W ubiegłym roku ujawniliśmy nowy typ hakerskiego ataku na klientów bankowości elektronicznej, który polegał na podmianie numerów kont odbiorców zdefiniowanych. Sprawa dotyczyła banku PKO BP. Okazuje się jednak, że poszkodowani są także klienci innych banków.
W listopadzie ubiegłego roku opisaliśmy sprawę przedsiębiorcy z Radomia, klienta banku PKO BP, który stracił ponad 80 tys. zł. Atak był nietypowy, bo polegał na podmianie numerów rachunków zdefiniowanych odbiorców. Złodziej pozyskał dane do logowania na rachunek klienta, a następnie podmienił zdefiniowanym w systemie odbiorcom numery rachunków na swój własny (a dokładniej założony na słupa). Nieświadomy klient dalej zlecał przelewy do zdefiniowanych w systemie kontrahentów, ale w rzeczywistości pieniądze szły na podmieniony rachunek.
Podmienili numery zdefiniowanych odbiorców
Złodziej mógł podmienić numery kont, bo PKO BP nie wymagał dla takiej operacji autoryzacji kodem SMS lub TAN. Dopiero po naszej publikacji bank zdecydował się uszczelnić procedury. Z pism prokuratury, do których dotarliśmy, wynika, że poszkodowanych zostało więcej klientów PKO BP. Jeden z przedsiębiorców założył stronę poszkodowaniprzezpkobp.pl, na której opisuje całe zajście.
Poszkodowani zarzucają bankowi, że nie miał wystarczających zabezpieczeń w systemach bankowości internetowej, bank ripostuje, że to klienci nie dochowali podstawowych zasad bezpieczeństwa. Sprawa trafiła do sądu.
Skontaktował się z nami kolejna poszkodowana – tym razem klientka Banku Spółdzielczego ze Wschowy. Opisuje, że padła ofiarą dokładnie tego samego ataku. Ktoś zalogował się na jej konto i podmienił numery kont zdefiniowanym odbiorcom. Mógł to zrobić, bo bank do realizacji takiej dyspozycji nie wymaga autoryzacji kodem SMS. Klientka straciła pieniądze samodzielnie autoryzując dyspozycje (bo nie sprawdziła numerów kont odbiorców zdefiniowanych w systemie). Bank nie zamierza rozpatrzyć reklamacji na jej korzyść. Schemat ataku przebiegał dokładnie tak samo jak w przypadku PKO BP. Oto fragmenty korespondencji z poszkodowaną klientką, która razem z mężem prowadzi firmę.
Złodzieje okradli klienta Banku Spółdzielczego we Wschowie
„W maju tego roku nasz stały dostawca towaru upomniał się o zapłacenie faktury. Moje zdziwienie było ogromne, kiedy kontrahent stwierdził, że numer konta, na które przelałam pieniądze jest niewłaściwy. Zdziwiłam się, bo posiadam zdefiniowaną listę odbiorców stałych od wielu lat. Po sprawdzeniu numerów kont okazało się, że została ona zmieniona. Złodziej podłożył swoje trzy numery kont pod dane odbiorców, którym to miesięcznie przelewam dość duże kwoty” – pisze poszkodowana klientka.
„Sprawę zgłosiłam na policję oraz w banku. Odpowiedź na reklamację zgłoszoną w banku otrzymaliśmy negatywną. Napisano, że to my jako posiadacze konta jesteśmy zobowiązani do bezpiecznego korzystania z danych umożliwiających zalogowanie się do banku i mamy nie udostępniać tych danych osobom trzecim. A przecież te dane zostały w jakiś sposób ode mnie wyłudzone!” – pisze oburzona klientka.
„Mam wątpliwości co do stopnia ochrony moich pieniędzy w Banku Spółdzielczym we Wschowie, ponieważ po wyłudzeniu od klienta login i hasła każdy może dokonywać zmian na koncie bez użycia hasła jednorazowego, które to ustrzegło by nas przed tą kradzieżą” – pisze poszkodowana.
Z kolei Bank Spółdzielczy we Wschowie twierdzi, że to klienci nie dochowali zasad bezpiecznego korzystania z bankowości internetowej. „Bank nie ponosi odpowiedzialności za informacje uzyskane przez osoby trzecie lub operacje wykonane przez bank na podstawie dyspozycji złożonych przez te osoby, jeśli w wyniku nieuprawnionego użycia przez te osoby środków identyfikacji elektronicznej, system zidentyfikował podmiot składający oświadczenie woli, jako uprawniony do złożenia takiego oświadczenia woli zgodnie z umową” – napisano w piśmie z banku.
„Dokonane zmiany skutkujące utratą środków były wykonane przez osobę, która poprawnie wykorzystała login i hasło. Reasumując należy stwierdzić, że złożona przez Pana reklamacja jest niezasadna” – napisano dalej.
Poprosiliśmy bank o komentarz w tej sprawie, ale pomimo przypomnień nie udało się nam otrzymać odpowiedzi. Nie wiadomo więc, czy bank świadomy potencjalnego zagrożenia planuje zmienić procedury (tak jak to zrobił PKO BP). Sprawa jest o tyle poważna, że banki spółdzielcze często korzystają z systemów dostarczanych przez jednego dostawcę. Nie można więc wykluczyć, że w innych instytucjach zainstalowany jest podobny system i może dojść do podobnych wyłudzeń. Z piśmie z prokuratury dostępnym na stronie poszkodowaniprzezpkobp.pl możemy znaleźć numery kont poszkodowanych z innych banków spółdzielczych. Podane na stronie numery sugerują, że ofiarami podobnych kradzieży mogli paść także klienci Banku Spółdzielczego w Więcborku i Banku Spółdzielczego w Białej Rawskiej.
Jak złodziej pozyskuje dane do logowania?
Możliwych jest kilka wariantów. Specjaliści podpowiadają nam, że najprościej jest „podsłuchać” login i hasło poprzez zainstalowanie oprogramowania szpiegowskiego na komputerze klienta. Wystarczy zainfekować komputer ofiary. Służą do tego programy typu RAT (Remote Access Trojan lub Remote Administration Tool) lub keyloggery przechwytujące wszystkie znaki wpisywane na klawiaturze ofiary. Jeśli hasło nie jest maskowane, złodziej dostaje od razu pełny ciąg znaków wpisany na klawiaturze.
Jeśli bank nie wymaga zatwierdzania danych odbiorców zdefiniowanych odrębnym narzędziem autoryzacyjnym (SMS lub TAN), złodziej może wejść w listę odbiorców i wprowadzić swój numer. Nieświadoma ofiara nadal realizuje przelewy, które trafiają na podstawiony rachunek. Z reguły takie konto otwierane jest na „słupa”, więc policja trafia do właściciela rachunku, który dobrowolnie lub bez swojej wiedzy udostępnił konto. Często są to tzw. amatorzy tanich trunków, którzy założyli rachunek za niewielką kwotę.
Niewykluczone, że takich przypadków podmian rachunków jest w Polsce w więcej. Po pierwszych publikacjach zaczęli się zgłaszać do nas klienci niektórych banków, twierdząc, że padli ofiarą podobnych ataków. Będziemy przyglądać się sprawie i wrócimy do tematu.
Wojciech Boczoń