Külön említést érdemel egy újabb keletű trükk, amely Magyarországon az utóbbi években jelent meg, főleg az Erste Bank George nevű mobilbanki appját célozva, de más banknál is elképzelhető. Itt a csalók arra próbálják rávenni az ügyfelet, hogy a mobilbanki alkalmazását telepítse újra és regisztrálja egy megadott linken keresztül, vagy adjon meg app aktiváló kódokat – valójában azonban a támadók ezáltal saját készülékükön regisztrálják az ügyfél fiókját.
Hogyan működik? A csalási kísérlet tipikusan e-mailben érkezik (vagy akár SMS-ben is jöhetne). Azt állítja, hogy a banki app (pl. George) “lejár” vagy “biztonsági frissítés szükséges”, és utasít, hogy a mellékelt linkre kattintva végezze el az újraregisztrálást . Ha az ügyfél bedől, a link egy hamis banki oldalra visz, ami bekéri a netbank felhasználónevét/jelszavát (esetleg a régi app PIN-t), mintha az újraaktiváláshoz kellene . Ezek után megkérheti az ügyfelet egy SMS-ben kapott aktiváló kód beírására is. Valójában eközben a háttérben a csaló egy saját telefonon telepítette a bank alkalmazását, az ügyfél adataival próbál belépni, és a regisztrációs SMS kódot kéri le. Magyarán az áldozat maga adja meg a belépéshez és eszköz-hozzáadásához kellő minden adatot a támadónak. Az Erste Bank nyomatékosan közölte, hogy soha nem kérnek e-mailben ilyen műveletet, és az ilyen üzenetek átverések .
Következmény: A csaló saját telefonján be tud lépni a mobilbankunkba, mintha mi lennénk. Innentől kezdve az összes kétfaktoros jóváhagyás (push üzenet) is nála jelenik meg, hiszen az ő eszköze válik a “regisztrált” készülékké. Gyakorlatilag teljes hozzáférést nyer a bankszámlánkhoz, és utalásokat indíthat, megtakarítást leköthet stb. Az áldozat pedig lehet, hogy észre sem veszi, hiszen neki az eredeti appja esetleg kijelentkezett, vagy működik tovább (attól függ, a bank hogy kezeli a párhuzamos app-hozzáféréseket).
Védekezés: Mobilbanki alkalmazást csak a hivatalos áruházból telepítsünk újra, és ha ilyen “felszólítást” kapunk, előbb ellenőrizzük a bank honlapján a híreket vagy hívjuk fel őket. Soha ne adjuk meg a belépési adatainkat vagy aktiváló kódot külső linken keresztül. Ha gyanús eset történt, haladéktalanul jelezzük a banknak és tiltsuk a netbank hozzáférést.