http://wyborcza.biz/Po_stronie_klienta/1,140634,17873935,Tak_okradaja_nam_konta_w_internetowych_bankach.html?piano_t=1
Tak okradaj膮 nam konta w internetowych bankach
Sposoby okradania nas z pieni臋dzy przez internet s膮 coraz bardziej wymy艣lne. A banki wci膮偶 nie chc膮 wzi膮膰 za to cho膰by cz臋艣ci odpowiedzialno艣ci.
Najpopularniejszym sposobem stosowanym przez przest臋pc贸w internetowych wci膮偶 jest wy艂udzanie za pomoc膮 fa艂szywych e-maili "z banku" kod贸w dost臋pu do konta (login i has艂o), a potem nak艂anianie nas do tego, by艣my sami zatwierdzili transakcj臋, kt贸ra prowadzi do przes艂ania pieni臋dzy na konta z艂odziei. Jak si臋 to odbywa? Przest臋pcy, kt贸rzy wcze艣niej zainstalowali na naszym komputerze wirusa i mog膮 go zdalnie kontrolowa膰, podstawiaj膮 nam na ekranie fa艂szyw膮 stron臋, na kt贸rej "bank" prosi o potwierdzenie kodem SMS np. danych adresowych klienta. Jednocze艣nie s膮 zalogowani na naszym koncie i zlecaj膮 inn膮 operacj臋 - zdefiniowanie nowego odbiorcy przelew贸w.
Na nasz膮 kom贸rk臋 przychodzi SMS autoryzacyjny, a my mechanicznie zatwierdzamy transakcj臋, nie czytaj膮c, 偶e SMS dotyczy nie potwierdzenia jakichkolwiek danych, tylko zdefiniowania nowego odbiorcy przelew贸w. Potem z艂odzieje po prostu przelewaj膮 wszystkie pieni膮dze klienta na ROR (np. likwiduj膮c lokaty, niekiedy te偶 zaci膮gaj膮c kredyt online lub obci膮偶aj膮c kart臋 kredytow膮 ofiary).
Jak przej膮膰 login, has艂o i SMS autoryzacyjny?
Niestety, ponad rok temu pojawi艂y si臋 przypadki kradzie偶y jeszcze bardziej niebezpiecznych - po艂膮czonych z przej臋ciem kontroli nad smartfonem, na kt贸ry przychodz膮 SMS-y autoryzacyjne z banku. Ofiar膮 takiej kradzie偶y pad艂 pan Waldemar, klient mBanku, kt贸ry od p贸艂tora roku walczy o zwrot 25 tys. z艂 wyprowadzonych z konta i karty kredytowej. Na jego komputerze zosta艂 zainstalowany wirus (nie wiadomo jak i kiedy, ale klient u偶ywa i aktualizuje oprogramowanie antywirusowe), kt贸ry go 艣ledzi艂 i mia艂 dost臋p do wpisywanych login贸w oraz hase艂.
W pewnym momencie wirus podstawi艂 klientowi fa艂szyw膮 stron臋 banku i poprosi艂 o potwierdzenie numeru telefonu "w zwi膮zku z aktualizacj膮 systemu". Z艂odzieje, kt贸rzy mieli login i has艂o do konta oraz numer telefonu klienta, wys艂ali mu na ten telefon fa艂szyw膮 "aktualizacj臋 aplikacji" (na ekranie telefonu wy艣wietli艂a si臋 pro艣ba o aktualizacj臋 certyfikatu bezpiecze艅stwa). Klient nieopatrznie zatwierdzi艂 t臋 "aktualizacj臋", dzi臋ki czemu z艂odzieje mogli przechwytywa膰 SMS-y autoryzacyjne. A potem mieli ju偶 z g贸rki. Zalogowali si臋 na konto pana Waldemara, zdefiniowali siebie jako nowego odbiorc臋 przelew贸w, przej臋li SMS autoryzuj膮cy tak膮 zmian臋 i wyprowadzili pieni膮dze.
Bank najpierw czeka艂 na wynik 艣ledztwa policji, a po jego umorzeniu odm贸wi艂 panu Waldemarowi zwrotu pieni臋dzy. I zdania nie zmieni艂, cho膰 klient dwukrotnie odwo艂ywa艂 si臋 od tego werdyktu. Wed艂ug mBanku przelewy zosta艂y wykonane bez naruszenia zabezpiecze艅 banku. "Wykorzystano login i has艂o znane jedynie klientowi, a do autoryzacji pos艂u偶y艂y jednorazowe kody SMS wys艂ane na numer telefonu u偶ytkownika. Wyprowadzenie 艣rodk贸w z konta wymaga艂o interakcji z klientem, kt贸ry zainstalowa艂 na swoim telefonie aplikacj臋 pochodz膮c膮 z nieznanego 藕r贸d艂a, pozwalaj膮c膮 przechwyci膰 kody autoryzuj膮ce transakcje w serwisie". Bank argumentuje, 偶e ostrzega klient贸w przed tego rodzaju kradzie偶ami oraz "dok艂ada wszelkich stara艅, by uchroni膰 klient贸w przed potencjalnymi atakami haker贸w. Od wielu miesi臋cy prowadzi m.in. na stronie internetowej oraz blogu kampani臋 informacyjn膮 wskazuj膮c膮, w jaki spos贸b wykry膰 ewentualne zagro偶enie i skutecznie je usun膮膰".
Bank te偶 powinien by膰 czujny!
Pan Waldemar uwa偶a jednak, 偶e takie stawianie sprawy to nadu偶ycie ze strony banku, gdy偶 on - a jest klientem 艣wiadomym, pracownikiem innego banku - nie m贸g艂 zrobi膰 nic wi臋cej, by zapobiec zainstalowaniu na swoim komputerze wirusa (u偶ywa艂 legalnego i aktualizowanego oprogramowania antywirusowego). Nie m贸g艂 r贸wnie偶 艂atwo sprawdzi膰, czego dotyczy艂a "aktualizacja aplikacji" podes艂ana mu przez z艂odziei. Nie udost臋pni艂 te偶 nikomu PIN-u ani loginu. Pan Waldemar uwa偶a tak偶e, 偶e to bank nie dochowa艂 staranno艣ci, poniewa偶 nie monitorowa艂 i nie potwierdzi艂 z klientem du偶ego przelewu, kt贸ry dotyczy艂 nie tylko ca艂ego salda ROR-u, lecz tak偶e wyczyszczenia karty kredytowej. Czytelnik uwa偶a, 偶e by艂a to na tyle rzadka transakcja, i偶 bank powinien sprawdzi膰 j膮 mimo prawid艂owej autoryzacji.
Ofiar膮 identycznej kradzie偶y pad艂 pan Micha艂, klient Citi Handlowego. W jego przypadku z konta znikn臋艂o prawie 80 tys. z艂, bank za艣 r贸wnie偶 nie zwr贸ci艂 pieni臋dzy.
Banatrix, czyli podmiana w locie
Innym z艂odziejskim hitem jest wirus o nazwie Banatrix, kt贸ry - je艣li klient wpu艣ci go do komputera - podmienia dane przelewu podczas jego wysy艂ania. Klient my艣li, 偶e autoryzuje przelew, kt贸ry zleci艂, a tymczasem autoryzuje wyprowadzenie pieni臋dzy ze swojego konta.
Ofiar膮 Banatrixa pad艂 pan Leszek, kt贸remu w ten spos贸b z艂odzieje usi艂owali zabra膰 11 tys. z艂. "Wirus podmieni艂 numer rachunku bankowego, na kt贸ry by艂 wysy艂any przelew, ale na ekranie przegl膮darki ca艂y czas wy艣wietla艂 si臋 numer, kt贸ry wpisa艂em - r臋cznie, nie metod膮 kopiuj-wklej. Tej wersji wirusa (prawdopodobnie z 10 grudnia zesz艂ego roku) nie wykrywa艂 偶aden aktualny program antywirusowy. Sprawa wysz艂a na jaw dopiero przy okazji, gdy m贸j kontrahent zapyta艂, co z p艂atno艣ci膮. Zalogowa艂em si臋 do banku i obejrza艂em histori臋 rachunku - ca艂y czas pokazywa艂 si臋 poprawny numer! Dopiero pobranie potwierdzenia przelewu w PDF-ie pokaza艂o, 偶e przelew rzeczywi艣cie poszed艂 na inny rachunek" - opowiada czytelnik.
Takie podmienione przelewy by艂y a偶 trzy, ka偶dy do innego banku. Pan Leszek od razu zawiadomi艂 banki "docelowe", 偶e rachunki najprawdopodobniej nale偶膮 do z艂odziei, i wezwa艂 do zwrotu pieni臋dzy. W ING Banku spraw臋 rozpatrzyli w ci膮gu jednego dnia i zdecydowali si臋 odda膰 pieni膮dze. W Alior Banku po tygodniu odm贸wiono zwrotu pieni臋dzy. Bank Pekao do chwili otrzymania przeze mnie ostatniej korespondencji od pana Leszka nie odpowiedzia艂 na reklamacj臋.
Maciej Samcik
07.05.2015
Wyszukiwarka