http://wyborcza.biz/Po_stronie_klienta/1,140634,17873935,Tak_okradaja_nam_konta_w_internetowych_bankach.html?piano_t=1
Tak okradają nam konta w internetowych bankach
Sposoby okradania nas z pieniędzy przez internet są coraz bardziej wymyślne. A banki wciąż nie chcą wziąć za to choćby części odpowiedzialności.
Najpopularniejszym sposobem stosowanym przez przestępców internetowych wciąż jest wyłudzanie za pomocą fałszywych e-maili "z banku" kodów dostępu do konta (login i hasło), a potem nakłanianie nas do tego, byśmy sami zatwierdzili transakcję, która prowadzi do przesłania pieniędzy na konta złodziei. Jak się to odbywa? Przestępcy, którzy wcześniej zainstalowali na naszym komputerze wirusa i mogą go zdalnie kontrolować, podstawiają nam na ekranie fałszywą stronę, na której "bank" prosi o potwierdzenie kodem SMS np. danych adresowych klienta. Jednocześnie są zalogowani na naszym koncie i zlecają inną operację - zdefiniowanie nowego odbiorcy przelewów.Na naszą komórkę przychodzi SMS autoryzacyjny, a my mechanicznie zatwierdzamy transakcję, nie czytając, że SMS dotyczy nie potwierdzenia jakichkolwiek danych, tylko zdefiniowania nowego odbiorcy przelewów. Potem złodzieje po prostu przelewają wszystkie pieniądze klienta na ROR (np. likwidując lokaty, niekiedy też zaciągając kredyt online lub obciążając kartę kredytową ofiary).Jak przejąć login, hasło i SMS autoryzacyjny?Niestety, ponad rok temu pojawiły się przypadki kradzieży jeszcze bardziej niebezpiecznych - połączonych z przejęciem kontroli nad smartfonem, na który przychodzą SMS-y autoryzacyjne z banku. Ofiarą takiej kradzieży padł pan Waldemar, klient mBanku, który od półtora roku walczy o zwrot 25 tys. zł wyprowadzonych z konta i karty kredytowej. Na jego komputerze został zainstalowany wirus (nie wiadomo jak i kiedy, ale klient używa i aktualizuje oprogramowanie antywirusowe), który go śledził i miał dostęp do wpisywanych loginów oraz haseł.W pewnym momencie wirus podstawił klientowi fałszywą stronę banku i poprosił o potwierdzenie numeru telefonu "w związku z aktualizacją systemu". Złodzieje, którzy mieli login i hasło do konta oraz numer telefonu klienta, wysłali mu na ten telefon fałszywą "aktualizację aplikacji" (na ekranie telefonu wyświetliła się prośba o aktualizację certyfikatu bezpieczeństwa). Klient nieopatrznie zatwierdził tę "aktualizację", dzięki czemu złodzieje mogli przechwytywać SMS-y autoryzacyjne. A potem mieli już z górki. Zalogowali się na konto pana Waldemara, zdefiniowali siebie jako nowego odbiorcę przelewów, przejęli SMS autoryzujący taką zmianę i wyprowadzili pieniądze.Bank najpierw czekał na wynik śledztwa policji, a po jego umorzeniu odmówił panu Waldemarowi zwrotu pieniędzy. I zdania nie zmienił, choć klient dwukrotnie odwoływał się od tego werdyktu. Według mBanku przelewy zostały wykonane bez naruszenia zabezpieczeń banku. "Wykorzystano login i hasło znane jedynie klientowi, a do autoryzacji posłużyły jednorazowe kody SMS wysłane na numer telefonu użytkownika. Wyprowadzenie środków z konta wymagało interakcji z klientem, który zainstalował na swoim telefonie aplikację pochodzącą z nieznanego źródła, pozwalającą przechwycić kody autoryzujące transakcje w serwisie". Bank argumentuje, że ostrzega klientów przed tego rodzaju kradzieżami oraz "dokłada wszelkich starań, by uchronić klientów przed potencjalnymi atakami hakerów. Od wielu miesięcy prowadzi m.in. na stronie internetowej oraz blogu kampanię informacyjną wskazującą, w jaki sposób wykryć ewentualne zagrożenie i skutecznie je usunąć".Bank też powinien być czujny!Pan Waldemar uważa jednak, że takie stawianie sprawy to nadużycie ze strony banku, gdyż on - a jest klientem świadomym, pracownikiem innego banku - nie mógł zrobić nic więcej, by zapobiec zainstalowaniu na swoim komputerze wirusa (używał legalnego i aktualizowanego oprogramowania antywirusowego). Nie mógł również łatwo sprawdzić, czego dotyczyła "aktualizacja aplikacji" podesłana mu przez złodziei. Nie udostępnił też nikomu PIN-u ani loginu. Pan Waldemar uważa także, że to bank nie dochował staranności, ponieważ nie monitorował i nie potwierdził z klientem dużego przelewu, który dotyczył nie tylko całego salda ROR-u, lecz także wyczyszczenia karty kredytowej. Czytelnik uważa, że była to na tyle rzadka transakcja, iż bank powinien sprawdzić ją mimo prawidłowej autoryzacji.Ofiarą identycznej kradzieży padł pan Michał, klient Citi Handlowego. W jego przypadku z konta zniknęło prawie 80 tys. zł, bank zaś również nie zwrócił pieniędzy.Banatrix, czyli podmiana w locieInnym złodziejskim hitem jest wirus o nazwie Banatrix, który - jeśli klient wpuści go do komputera - podmienia dane przelewu podczas jego wysyłania. Klient myśli, że autoryzuje przelew, który zlecił, a tymczasem autoryzuje wyprowadzenie pieniędzy ze swojego konta.Ofiarą Banatrixa padł pan Leszek, któremu w ten sposób złodzieje usiłowali zabrać 11 tys. zł. "Wirus podmienił numer rachunku bankowego, na który był wysyłany przelew, ale na ekranie przeglądarki cały czas wyświetlał się numer, który wpisałem - ręcznie, nie metodą kopiuj-wklej. Tej wersji wirusa (prawdopodobnie z 10 grudnia zeszłego roku) nie wykrywał żaden aktualny program antywirusowy. Sprawa wyszła na jaw dopiero przy okazji, gdy mój kontrahent zapytał, co z płatnością. Zalogowałem się do banku i obejrzałem historię rachunku - cały czas pokazywał się poprawny numer! Dopiero pobranie potwierdzenia przelewu w PDF-ie pokazało, że przelew rzeczywiście poszedł na inny rachunek" - opowiada czytelnik.Takie podmienione przelewy były aż trzy, każdy do innego banku. Pan Leszek od razu zawiadomił banki "docelowe", że rachunki najprawdopodobniej należą do złodziei, i wezwał do zwrotu pieniędzy. W ING Banku sprawę rozpatrzyli w ciągu jednego dnia i zdecydowali się oddać pieniądze. W Alior Banku po tygodniu odmówiono zwrotu pieniędzy. Bank Pekao do chwili otrzymania przeze mnie ostatniej korespondencji od pana Leszka nie odpowiedział na reklamację.
Maciej Samcik
07.05.2015
megur