Schemat działania jest nietypowy. Szkodnik uaktywnia się dopiero w momencie, gdy zamierzamy wykonać przelew. Użytkownik wykonuje wszystkie czynności, a przelew trafia do odpowiedniego adresata.
Po zrealizowaniu płatności na stronie bankowej wyświetla się jednak dodatkowy komunikat z prośbą o ponowne wpisanie kodu. Otrzymany SMS zawiera natomiast nazwę odbiorcy wykonanego przed chwilą przelewu. W ten sposób cyberprzestępcy usypiają czujność ofiary, która myśli, że coś poszło nie tak i należy powtórzyć płatność.
Po chwili wyświetla się kolejna ramka, a internauta otrzymuje na telefon następny SMS z kodem do przepisania. Wykonanie tych czynności sprawia, że w rzeczywistości zatwierdzamy stałego odbiorcę, do którego przelewy można wysyłać bez potwierdzenia SMS. Kolejnym kodem akceptujemy natomiast nowy limit pojedynczej transakcji.
W wyniku tych czynności cyberprzestępcy mogą niezauważenie wyprowadzić pieniądze z naszego konta. W opisywanym przypadku ofiary utraciły niemal 10 tys. złotych. Kwota została przelana na zewnętrzne konto w dwóch transakcjach za pomocą bankowości elektronicznej BZ WBK.
Na czym polega przekręt?
Aby powyższa sytuacja była możliwa, komputer użytkownika już wcześniej musi zostać zainfekowany wirusem. Trojan najprawdopodobniej modyfikuje przeglądarkę internetową, wyświetlając fałszywe okno i przechwytując kod SMS do autoryzacji zmian na koncie.
Jak dochodzi do infekcji? Tego nie wiadomo. Najprawdopodobniej wirus jest rozsyłany jako fałszywa faktura do zapłaty lub inny podejrzany dokument, który może skłonić użytkownika do otwarcia załącznika.
Skuteczność tego przekrętu polega na tym, że w SMS kodzie wykorzystywana jest nazwa odbiorcy, do którego przed momentem wykonaliśmy przelew. Usypia to czujność ofiary, która dobrowolnie przekazuje kod w ręce cyberprzestępców.
Źródło: Z3S