baner

Aktualności

LUKA W PROTOKOLE SSL V. 3.0 – NOWE ZAGROŻENIE ATAKAMI HAKERSKIMI

Komunikat z dnia 20 października 2014 r.

 

Szanowni Państwo,

Związek Banków Polskich pragnie ostrzec przed nowym zagrożeniem zidentyfikowanym w protokole SSL v. 3.0, w którym wykryto poważną lukę pozwalającą między innymi na przeprowadzenie ataku Man in the Middle. Celem tego ataku jest, poprzez lukę w protokole SSL v. 3.0, wejście przez przestępców w kanał komunikacyjny pomiędzy użytkownikiem a danym serwisem i przechwycenie informacji związanych z procesem identyfikacji i uwierzytelnienia tożsamości użytkownika w danym serwisie. Zagrożenie dotyczy wszystkich użytkowników internetu korzystających z połączenia szyfrowanego za pomocą HTTPS wykorzystującego SSL v3.0, w tym z serwisami społecznościowymi, pocztą elektroniczną oraz bankowymi systemami transakcyjnymi. Przestępcy posiadając informacje związane z procesem logowania mogą podszyć się np. pod danego klienta banku (kradzież tożsamości klienta) i wykonać transakcję oszukańczą.

W związku z powyższym Rada Bezpieczeństwa Banków ZBP zaleca:

  • Bankom:

­    przeprowadzenie analiz i podjęcie działań, np. wyłączenia obsługi protokołu SSL v. 3.0 w celu ograniczenia ryzyka ataku, do czasu przeprowadzenia aktualizacji protokołu SSL v. 3.0 usuwającej tę podatność.

  • Klientom:

­    zmodyfikowanie ustawień używanej przeglądarki (wyłączenie używania SSL v2.0 i v. 3.0), do czasu przeprowadzenia aktualizacji protokołu SSL v. 3.0 usuwającej tę podatność,

­    korzystanie z innych przeglądarek internetowych wspierających bezpieczny protokół TLS.

 

Rada Bezpieczeństwa Banków

Związek Banków Polskich


WŁAMAMANIA DO SKRZYNEK POCZTY ELEKTRONICZNEJ

Komunikat z dnia 7 października 2014 r.

 

Szanowni Państwo,

Rada Bankowości Elektronicznej Związku Banków Polskich informuję, iż w ostatnim okresie nasiliły się przypadki oszustw, które dokonywane są przy użyciu przejętych przez przestępców skrzynek poczty elektronicznej dużych firm.

Oszuści po przełamaniu zabezpieczeń dostępu do poczty elektronicznej analizują jej zawartość w celu ustalenia kontrahentów danej firmy. Następnie preparują nową wiadomość, w której informują kontrahentów o nowym rachunku bankowym, na  który należy przelać środki. Wiadomość jest wysyłana z przejętej skrzynki pocztowej i sprawia wrażenie, iż wysłał ją jej właściciel.

Firmy, które otrzymały takie maile mogą nieświadomie przelać środki z kontraktów na rachunek bankowy wskazany i będący w dyspozycji przestępców.

W związku z powyższym Rada Bankowości Elektronicznej ZBP zaleca aktualizację oprogramowania oraz weryfikację zabezpieczeń serwerów pocztowych. Dodatkowo, zaleca się stosowanie haseł do poczty elektronicznej, które składają się z co najmniej 8 znaków i są kombinacją małych i dużych liter, cyfr oraz znaków specjalnych, dzięki czemu będą unikalne, skomplikowane i trudne do ustalenia przez osoby trzecie.

Zalecamy również każdorazową weryfikację informacji o zmianie numerów rachunków bankowych kontrahentów innym kanałem niż poczta elektroniczna np. telefonicznie, z tym, że należy kontaktować się ze wcześniej podawanymi numerami telefonów (nigdy dzwoniąc pod numer podany w wiadomości informującej o zmianie numeru rachunku bankowego, gdyż telefon ten może być w posiadaniu przestępców.

 

Rada Bankowości Elektronicznej

Związek Banków Polskich


TROJAN BANATRIX – PRZEGLĄDARKI INTERNETOWE

Komunikat z dnia 7 października 2014 r.

 

Szanowni Państwo,

Rada Bankowości Elektronicznej Związku Banków Polskich ostrzega przed nowym rodzajem ataku, na klientów korzystających z bankowości internetowej. Atak jest przeprowadzany z wykorzystaniem trojana Banatrix i polega na przeszukiwaniu przez trojan pamięci procesów przeglądarek internetowych: Chrome, Internet Explorer, Firefox oraz Opera w celu znalezienia ciągu liczb, który odpowiada numerowi rachunku bankowego, a następnie zamianie go na inny numer rachunku podstawiony przez przestępców.

W efekcie, na stronach internetowych banków zostają zamienione wszystkie numery polskich  rachunków bankowych. Osoba, która nie zauważy tej zmiany może przelać środki na inny rachunek bankowy wykorzystywany przez hakerów .

Szczegóły działania trojana Banatrix opisane zostało na stronie: http://www.cert.pl/news/8999

 

Rada Bankowości Elektronicznej

Związek Banków Polskich

wydrukuj stronę

ZAGROŻENIE DLA PRZEDSIĘBIORCÓW - OSZUKAŃCZE ZLECANIA WYKONANIA WYSOKOKWOTOWYCH POLECEŃ PRZELEWU + rozwiń
Komunikat z dnia 30 września 2014 r.

OSTRZEŻENIE PRZED ATAKAMI NA SMARTFONY KLIENTÓW UŻYWANE W BANKOWOŚCI ELEKTRONICZNEJ + rozwiń
Komunikat z dnia 1 sierpnia 2014 r.

OSTRZEŻENIE PRZED ATAKAMI NA KOMPUTERY KLIENTÓW UŻYWANE W BANKOWOŚCI ELEKTRONICZNEJ + rozwiń
Komunikat z dnia 1 sierpnia 2014 r.

WYKORZYSTYWANIE KART PŁATNICZYCH DO POTWIERDZANIA TOŻSAMOŚCI KONSUMENTÓW + rozwiń
Komunikat z dnia 9 lipca 2014 r.

ZAGROŻENIE SPOWODOWANE LUKĄ W OPROGRAMOWANIU OpenSSL + rozwiń
Komunikat z dnia 14 kwietnia 2014 r.

ZAGROŻENIE DLA KLIENTÓW BANKOWOŚCI INTERNETOWEJ KORZYSTAJĄCYCH Z ROUTERÓW WIFI + rozwiń
Komunikat z dnia 6 lutego 2014 r.

NOWE ZAGROŻENIE DLA KLIENTÓW KORZYSTAJĄCYCH Z KART MIKROPROCESOROWYCH I eTOKENÓW + rozwiń
Komunikat z dnia 30 stycznia 2014 r.

FIKCYJNE UMOWY O PRACE – JAK NIE ZOSTAĆ „MUŁEM”? + rozwiń
KOMUNIKAT Z DNIA 20 GRUDNIA 2013 R.

TROJAN BANAPTER – PODMIENIAJĄCY RACHUNKI BANKOWE WKLEJANE ZE „SCHOWKA” + rozwiń
Komunikat z dnia 17 października 2013 r.

TROJAN CITADEL ATAKUJE PC – TROJAN ZITMO INFEKUJE TELEFONY KOMÓRKOWE + rozwiń
Komunikat z dnia 24 kwietnia 2013 r.

ZŁOŚLIWE OPROGRAMOWANIE – TROJANY CITADEL ORAZ ZEUS P2P + rozwiń
Komunikat z dnia 28 września 2012 r

UJAWNIANIE INFORMACJI WRAŻLIWYCH SERWISOM OFERUJĄCYM SZYBKIE PŁATNOŚCI + rozwiń
Komunikat z dnia 31 maja 2012 r.

ZŁOŚLIWE OPROGRAMOWANIE W PLIKACH PDF + rozwiń
Komunikat z dnia 11 kwietnia 2011 r.

NOWE ZAGROŻENIE DLA TELEFONÓW KOMÓRKOWYCH – TROJAN ZEUS + rozwiń
Komunikat z dnia 16 marca 2011 r.