W ubiegłym roku ujawniliśmy nowy typ hakerskiego ataku na klientów bankowości elektronicznej, który polegał na podmianie numerów kont odbiorców zdefiniowanych. Sprawa dotyczyła banku PKO BP. Okazuje się jednak, że poszkodowani są także klienci innych banków.
W listopadzie ubiegłego roku opisaliśmy
sprawę przedsiębiorcy z Radomia, klienta banku PKO BP, który stracił ponad
80 tys. zł. Atak był nietypowy, bo polegał na podmianie numerów rachunków
zdefiniowanych odbiorców. Złodziej pozyskał dane do logowania na rachunek
klienta, a następnie podmienił zdefiniowanym w systemie odbiorcom numery
rachunków na swój własny (a dokładniej założony na słupa). Nieświadomy klient dalej zlecał przelewy do
zdefiniowanych w systemie kontrahentów, ale w rzeczywistości pieniądze szły na
podmieniony rachunek.
Podmienili numery zdefiniowanych odbiorców
Złodziej mógł podmienić numery
kont, bo PKO BP nie wymagał dla takiej operacji autoryzacji kodem SMS lub TAN.
Dopiero po naszej publikacji bank
zdecydował się uszczelnić procedury. Z pism prokuratury, do których
dotarliśmy, wynika, że poszkodowanych zostało więcej klientów PKO BP. Jeden z
przedsiębiorców założył stronę poszkodowaniprzezpkobp.pl, na której opisuje
całe zajście.
Poszkodowani zarzucają bankowi,
że nie miał wystarczających zabezpieczeń w systemach bankowości internetowej,
bank ripostuje, że to klienci nie dochowali podstawowych zasad bezpieczeństwa.
Sprawa trafiła do sądu.
Skontaktował się z nami kolejna poszkodowana – tym razem klientka Banku
Spółdzielczego ze Wschowy. Opisuje, że padła ofiarą dokładnie tego samego
ataku. Ktoś zalogował się na jej konto i podmienił numery kont zdefiniowanym
odbiorcom. Mógł to zrobić, bo bank do
realizacji takiej dyspozycji nie wymaga autoryzacji kodem SMS. Klientka
straciła pieniądze samodzielnie autoryzując dyspozycje (bo nie sprawdziła
numerów kont odbiorców zdefiniowanych w systemie). Bank nie zamierza rozpatrzyć
reklamacji na jej korzyść. Schemat ataku przebiegał dokładnie tak samo jak w
przypadku PKO BP. Oto fragmenty korespondencji z poszkodowaną klientką, która
razem z mężem prowadzi firmę.
Złodzieje okradli klienta Banku
Spółdzielczego we Wschowie
„W maju tego roku nasz stały dostawca towaru upomniał się o
zapłacenie faktury. Moje zdziwienie było ogromne, kiedy kontrahent stwierdził,
że numer konta, na które przelałam pieniądze jest niewłaściwy. Zdziwiłam się,
bo posiadam zdefiniowaną listę odbiorców
stałych od wielu lat. Po sprawdzeniu numerów kont okazało się, że została
ona zmieniona. Złodziej podłożył swoje
trzy numery kont pod dane odbiorców, którym to miesięcznie przelewam dość duże
kwoty” – pisze poszkodowana klientka.
„Sprawę zgłosiłam na policję oraz w banku. Odpowiedź na
reklamację zgłoszoną w banku otrzymaliśmy negatywną. Napisano, że to my jako
posiadacze konta jesteśmy zobowiązani do bezpiecznego korzystania z danych
umożliwiających zalogowanie się do banku i mamy nie udostępniać tych danych
osobom trzecim. A przecież te dane
zostały w jakiś sposób ode mnie wyłudzone!” – pisze oburzona klientka.
„Mam wątpliwości co do stopnia ochrony moich pieniędzy w Banku
Spółdzielczym we Wschowie, ponieważ
po wyłudzeniu od klienta login i hasła każdy może dokonywać zmian na koncie bez
użycia hasła jednorazowego, które to ustrzegło by nas przed tą kradzieżą” –
pisze poszkodowana.
Z kolei Bank Spółdzielczy we
Wschowie twierdzi, że to klienci nie dochowali zasad bezpiecznego korzystania z
bankowości internetowej. „Bank nie
ponosi odpowiedzialności za informacje uzyskane przez osoby trzecie lub
operacje wykonane przez bank na podstawie dyspozycji złożonych przez te osoby,
jeśli w wyniku nieuprawnionego użycia przez te osoby środków identyfikacji
elektronicznej, system zidentyfikował podmiot składający oświadczenie woli,
jako uprawniony do złożenia takiego oświadczenia woli zgodnie z umową” - napisano
w piśmie z banku.
„Dokonane zmiany skutkujące utratą środków były wykonane przez
osobę, która poprawnie wykorzystała login i hasło. Reasumując należy
stwierdzić, że złożona przez Pana reklamacja jest niezasadna” - napisano dalej.
Poprosiliśmy bank o komentarz w tej sprawie, ale pomimo przypomnień nie
udało się nam otrzymać odpowiedzi. Nie wiadomo więc, czy bank świadomy
potencjalnego zagrożenia planuje zmienić procedury (tak
jak to zrobił PKO BP). Sprawa jest o tyle poważna, że banki spółdzielcze
często korzystają z systemów dostarczanych przez jednego dostawcę. Nie można
więc wykluczyć, że w innych instytucjach zainstalowany jest podobny system i
może dojść do podobnych wyłudzeń. Z piśmie z prokuratury dostępnym na stronie
poszkodowaniprzezpkobp.pl możemy znaleźć numery kont poszkodowanych z innych
banków spółdzielczych. Podane na stronie numery sugerują, że ofiarami podobnych
kradzieży mogli paść także klienci Banku Spółdzielczego w Więcborku i Banku
Spółdzielczego w Białej Rawskiej
Jak złodziej pozyskuje dane do logowania?
Możliwych jest kilka wariantów.
Specjaliści podpowiadają nam, że najprościej jest „podsłuchać” login i hasło
poprzez zainstalowanie oprogramowania szpiegowskiego na komputerze klienta.
Wystarczy zainfekować komputer ofiary. Służą
do tego programy typu RAT (Remote Access Trojan lub Remote Administration Tool)
lub keyloggery przechwytujące wszystkie znaki wpisywane na klawiaturze
ofiary. Jeśli hasło nie jest maskowane, złodziej dostaje od razu pełny ciąg
znaków wpisany na klawiaturze.
Jeśli bank nie wymaga zatwierdzania danych odbiorców zdefiniowanych
odrębnym narzędziem autoryzacyjnym (SMS lub TAN), złodziej może wejść w listę
odbiorców i wprowadzić swój numer. Nieświadoma ofiara nadal realizuje
przelewy, które trafiają na podstawiony rachunek. Z
reguły takie konto otwierane jest na „słupa”, więc policja trafia do
właściciela rachunku, który dobrowolnie lub bez swojej wiedzy udostępnił konto.
Często są to tzw. amatorzy tanich trunków, którzy założyli rachunek za
niewielką kwotę.
Niewykluczone, że takich
przypadków podmian rachunków jest w Polsce w więcej. Po pierwszych publikacjach
zaczęli się zgłaszać do nas klienci niektórych banków, twierdząc, że padli
ofiarą podobnych ataków. Będziemy przyglądać się sprawie i wrócimy do tematu.
Wojciech Boczoń
