W poniedziałek wieczorem portal Zaufana Trzecia Strona podał, że jeden z polskich banków padł ofiarą poważnego ataku hakerskiego. Zdaniem redakcji włamywacz przez kilka tygodni miał dostęp do serwera banku, dzięki czemu mógł między innymi wykonywać nieautoryzowane przelewy. Haker twierdzi, że wykradł milion złotych.
Redaktorzy portalu nie zdecydowali się ujawnić nazwy banku. W tekście podano, że chodzi o „polski bank”. Z opisanej historii wynika, że włamywacz wykrył lukę w systemie a następnie wstawił odwołanie do skryptu JS umieszczonego na swoim serwerze. Pozwalało mu to modyfikować numery rachunków na które przekazywane były przelewy klientów banku i podstawiać tam przygotowane przez siebie konta. Zarejestrował też odrębną domenę „systemu transakcyjnego”, która różniła się tylko jedną literą od oryginału.
Działania te rzekomo pozwoliły mu wyprowadzić z banku milion złotych. Dodatkowo mógł między innymi „okraść konto jednej z firm zajmujących się szybkimi przelewami pomiędzy bankami oraz obsługą płatności internetowych, generując przelewy na jej konta wewnętrzne, założone specjalnie w tym celu”.
Redaktorzy portalu twierdzą, że dysponują dowodami na włamanie i informowali o sprawie bank. Włamywacz pokazał im rzekomo „pełne dane kilkuset kart płatniczych banku, dane osobowe tysiąca klientów, dziesięć tysięcy numerów telefonów komórkowych klientów banku, loginy i hasła ponad 150 klientów banku wraz z saldami ich rachunków (w większości powyżej 100 tysięcy złotych każde), kilkadziesiąt tysięcy pozycji z wyciągów z rachunków klientów, potwierdzenia przelewów setek tysięcy złotych rzekomo przez niego skradzionych oraz kopię bankowego serwera WWW wraz z częścią systemu bankowości elektronicznej.” – podaje zaufanatrzeciastrona.pl
Źródło: zaufanatrzeciastrona.pl
W artykule możemy przeczytać, że bank początkowo opóźniał publikację materiału, później postraszył dziennikarzy prawnikiem. Autorzy zaczęli też dostawać anonimowe maile z pogróżkami i ostatecznie zdecydowali się nie ujawniać nazwy. W internecie pojawiły się już jednak pierwsze spekulacje na temat banku. Cała sprawa szczegółowo została opisana TUTAJ.
W sprawie pojawia się ciekawy wątek. Haker deklaruje, że mógł zmieniać numery zdefiniowanych kont bankowych dzięki temu, że włamał się na serwery banku. O podmianach rachunków pisaliśmy już na naszych łamach niejednokrotnie. Oszustwo polega na tym, że złodziej pozyskuje dane do logowania na konto klienta (na przykład dzięki key-loggerowi), a następnie podmienia numery rachunków na liście odbiorców zdefiniowanych wprowadzając swój własny numer konta. Nieświadomy niczego klient dalej realizuje przelewy i w rzeczywistości wysyła pieniądze na podstawiony numer. Po jakimś czasie wychodzi na jaw, że pieniądze nie trafiają do prawidłowych odbiorców, ale na podstawione numery kont. Banki umywają ręce, bo nie mają obowiązku sprawdzać czy dany numer konta należy do określonego odbiorcy. Reklamacje rozpatrywane są negatywnie.
Z opisanej przez Zaufaną Trzecią Stronę historii wynika natomiast, że wina wcale nie musi leżeć po stronie klientów. Do tej pory podmianę numerów rachunków wiązano ze złośliwym oprogramowaniem instalowanym na komputerach klientów. Banki zrzucały winę na to, że klient nie przestrzega zasad bezpiecznego korzystania z bankowości internetowej lub ma zawirusowany komputer. Jeśli informacje podane przez portal okażą się prawdziwe, może to być pierwszy nagłośniony atak, który polegał na podmianie numerów nie z winy klienta, ale banku.
Wojciech Boczoń
****
Komentuje Michał Kisiel, analityk Bankier.pl:
Bezpieczna e-bankowość?
Jeśli rewelacje przedstawione w serwisie „Zaufana Trzecia Strona” potwierdzą się, to będzie można mówić o pierwszym w kilkunastoletniej historii e-bankowości w Polsce, poważnym kryzysie związanym z bezpieczeństwem. Pierwszym, który ujrzał światło dzienne. Czym innym są bowiem włamania na rachunki wykorzystujące konie trojańskie i szczyptę socjotechniki, a czym innym infiltracja systemu banku przez atakującego z zewnątrz przestępcę. Ucierpi na tym wizerunek bankowości elektronicznej, do tej pory cieszącej się może nie nieskalaną, ale co najmniej dobrą opinią.
W sprawie interesujący jest jeszcze jeden wątek – blogi poświęcone bezpieczeństwu informacji stają się platformą komunikacji przestępców z mediami. Wprawdzie „Zaufana Trzecia Strona” (czy Niebezpiecznik.pl) nie cieszy się jeszcze taką estymą jak chociażby publikacje Briana Krebsa na amerykańskim rynku (Krebsonsecurity.com), ale doniesienia serwisu na pewno trafią do mainstreamowych mediów. Trudno rozstrzygnąć, czy autorzy mieli rację publikując okrojony tekst. Być może w ten sposób spełnili rolę narzędzia w rękach cyberszantażysty, a może przysłużyli się opinii publicznej, która inaczej nie dowiedziałaby się o skali niebezpieczeństwa. Teraz jednak informacja żyje własnym życiem, a internauci dopowiedzą sobie resztę historii.