Wiadomość o tym, że z internetowych kont klientów banku BPH hakerzy ukradli milion złotych, paradoksalnie może mieć pozytywny wydźwięk. Nie tylko dlatego, że dzięki komputerowym złodziejom przypomniano sobie o takich terminach jak phishing (kradzież danych osobowych) czy spyware (programy szpiegujące). Można mieć nadzieję, że zdarzenia tego rodzaju przynajmniej niektóre polskie banki skłonią do lepszego zabezpieczenia internetowych kont.
Jak podaje „Business Week” jako przykład wręcz skandalicznej niefrasobliwości najczęściej podawany jest Citibank. Aby dokonać w nim internetowej transakcji, nie trzeba jej potwierdzać żadnym hasłem. Wystarczy zalogować się na stronę banku, podając login i stałe hasło użytkownika, a potem można robić, co się chce. Nic więc dziwnego, że bank ten stał się najpopularniejszym na świecie celem phishingu. Typowy atak przebiegał następująco: phisherzy rozsyłali e-maile, które wyglądały jak wiadomość od Citibanku. Użytkownicy proszeni byli o wejście na wskazane w e-mailu strony WWW, by zweryfikować dane. Po kliknięciu na link podany w e-mailu trafiali na miejsce do złudzenia przypominające prawdziwą stronę Citibanku, gdzie proszono ich o wpisanie loginu i hasła. Dane tych, którzy się dali nabrać, trafiły w ręce złodziei. Nie mogliby ich wykorzystać, gdyby Citibank stosował lepsze systemy zabezpieczenia, np. przy realizacji przelewów prosił klienta dodatkowo o podanie jednorazowego kodu generowanego przez token. W wypadku BPH kradzieży dokonano z wykorzystaniem tzw. koni trojańskich rozsyłanych e-mailem do klientów. Program monitorował aktywność użytkownika i zapisywał dane umożliwiające korzystanie z internetowego konta bankowego. Po zdobyciu informacji złodzieje logowali się na strony banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów. Natychmiast dokonywali wypłat. Co prawda, aby dokonać przelewu w BPH, trzeba było podać inne hasło niż przy logowaniu, ale nie było ono jednorazowe. Po dokonaniu jednej transakcji zabezpieczenie stawało się łupem hakerów i było niewiele warte. System ten wciąż stosują Kredyt Bank czy ING Bank Śląski.
Są też dobrze zabezpieczone konta, np. BZ WBK. Transakcje potwierdza się hasłem z tokena, którego uruchomienie wymaga wprowadzenia pięciocyfrowego hasła PIN (kod uniemożliwia użycie urządzenia po kradzieży) lub kodem otrzymywanym SMS-em każdorazowo z banku na podany przy podpisaniu umowy numer komórki (tzw. SMS-kod).