Wracamy do głośnej sprawy ataku hakerów na klientów PKO BP. Po naszej publikacji bank zdecydował się zmienić procedury dotyczące modyfikacji odbiorców zdefiniowanych. Poszkodowani chcą by bank oddał im pieniądze, bo ich zdaniem nie stosował odpowiednich zabezpieczeń. Bank ripostuje, że to klienci nie przestrzegali zasad bezpieczeństwa. Sprawa trafiła do sądu.
Jesienią pisaliśmy o sprawie przedsiębiorcy z Radomia, którego konto bankowe zostało zaatakowane przez hakera. Przestępca pozyskał dane do logowania do systemu bankowości internetowej (bank stosuje stałe hasło i login), a następnie podmienił numery rachunków odbiorców zdefiniowanych na „swój” numer konta. Było to możliwe, bo bank nie wymagał potwierdzania takiej operacji kodem autoryzacyjnym ze zdrapki lub SMS. Nieświadomy niczego przedsiębiorca nadal realizował przelewy, w rzeczywistości wysyłając pieniądze złodziejowi. Dopiero po jakimś czasie zorientował się, że pieniądze nie dotarły do prawidłowych odbiorców.
Z pism prokuratury, do których dotarliśmy jesienią, wynikało, że zaatakowanych w ten sposób było ponad 20 osób. Proceder trwał od sierpnia 2012 r. do czerwca 2013 r. Część ataków bank zablokował, ale niektórzy poszkodowani stracili po kilkadziesiąt tysięcy złotych. Po publikacji skontaktowali się z nami kolejni przedsiębiorcy, którzy padli ofiarą tego samego ataku. Jeden z nich, Piotr B., przedsiębiorca z Płocka stracił 25 tys. zł. Stworzył stronę internetową poszkodowaniprzezpkobp.pl, na której opisuje szczegółowo całe zajście.
Bank: Klient powinien weryfikować dane odbiorcy
Policja dotarła do właściciela jednego z kont, na które wpływały pieniądze. Było to konto założone „na słupa”. Właściciel w zamian za kilkaset złotych założył rachunek i oddał dane dostępowe hakerowi. „W lutym 2014 Mariusz P. został zatrzymany i trafił na przesłuchanie.
Przyznał się do założenia konta w BZWBK na które trafiały skradzione pieniądze. Jak twierdził, dostał za to wynagrodzenie. Mariusz P. twierdzi, że nie ma nic wspólnego z kradzieżą pieniędzy z naszego konta, jest jedynie założycielem konta. Prokuratura postawiła Mariuszowi P. zarzuty i skierowała sprawę do sądu (…) Ślad natomiast zaginął po hackerze, który dokonał włamania. Mariusz P. twierdzi, że go nie zna i założył konto gdyż dostał kilkaset złotych” – czytamy na stronie internetowej z opisem sprawy.
Zdaniem banku winę za kradzież środków z konta ponoszą klienci, którzy nie dochowali należytej staranności w obsłudze systemów internetowych. – W tej konkretnej sprawie kradzież środków, możliwa dzięki uzyskaniu a następnie posłużeniu się danymi do logowania do serwisu transakcyjnego przez osoby trzecie, była wynikiem nieprzestrzegania zasad bezpieczeństwa przez klienta – usłyszeliśmy w biurze prasowym PKO BP, kiedy kontaktowaliśmy się w sprawie przedsiębiorcy z Radomia. – W tej sprawie nie było żadnej winy Banku. Weryfikacja poprawności danych realizowanego przelewu przed jego wysłaniem, w tym numeru konta odbiorcy, należy do klienta. Potwierdził on dane zlecanego przelewu indywidualnym narzędziem autoryzacyjnym – dodano.
Klienci: przecież to absurd!
Okradzeni klienci oczywiście nie zgadzają się z opinią banku. „Przecież to absurd. W jakim celu w takim razie definiować przelew skoro musimy go za każdym razem sprawdzać? Skoro bank oferuje przelewy zdefiniowane, powinien zabezpieczyć je przez możliwością zmiany bez zgody klienta. Skoro bank PKOBP nie jest w stanie zabezpieczyć swoich klientów przez włamaniem na ich konta i zmianą tych przelewów, powinien wyraźnie o tym powiadomić lub zlikwidować taką usługę.” – napisał przedsiębiorca z Płocka. Piotr B zapewnia przy tym, że komputer, z którego wykonywał przelewy „jest najlepiej zabezpieczonym komputerem w firmie”.
Poszkodowani zarzucają bankowi, że jego procedury bezpieczeństwa stosowane w kontach nie były wystarczające. „Posiadając login i hasło można na nich wykonywać dowolne operacje bez wiedzy właściciela oprócz zatwierdzania przelewów” – czytamy na stronie poszkodowaniprzezpkobp.pl. „W konkurencyjnych bankach już dawno wykonanie jakiejkolwiek operacji wiąże się z każdorazowym wpisaniem kodu.”
Sprawa jesienią trafiła do sądu rejonowego w Warszawie. W pozwie zarzucono bankowi, że nie zabezpieczył w sposób należyty bezpieczeństwa transakcjikartą kodów jednorazowych. Zarzucono ponadto, że przyjął założenie, iż komputer jest zawirusowany, ale nie poparł tego żadnymi danymi i nie zwrócił się do poszkodowanych z prośbą o zbadanie komputera na tę okoliczność. Przedsiębiorcy zaznaczyli też, że bank nie dochował należytej staranności i pozwolił wykonać trzy przelewy na jeden numer rachunku, mimo tego, że odbiorcy mieli różne nazwy i adresy.
Bank: zmiana danych to nie przelew
Bank w odpowiedzi na zarzuty napisał: „Nawet gdyby prawdą było to, że modyfikacja danych zdefiniowanych odbiorców dokonał została w sposób oszukańczy, i tak nie byłoby podstaw do przyjęcia odpowiedzialności PKO BP za realizację Przelewów. Wynika to z prostego faktu, że dyspozycja zmiany danych odbiorcy zdefiniowanego jest całkowicie odrębną dyspozycją niż zlecenie przelewu.
O ile do dyspozycji przelewu znajdują zastosowanie przepisy ustawy o usługach płatniczych z wszelkimi tego konsekwencjami, o tyle należy podkreślić, że możliwość zdefiniowania odbiorcy jest jedynie narzędziem ułatwiającym użytkownikowi serwisu internetowego iPKO realizowanie zleceń płatniczych. Nie stanowi natomiast elementu zlecenia płatniczego ani nie zwalnia użytkownika z leżącego w jego własnym interesie obowiązku weryfikacji numeru rachunku bankowego, na który według jego zamiaru mają trafić środki.”
Bank: czynności wykonywane były przez osobę nieuprawnioną
W przypadku sprawy przedsiębiorcy z Płocka bank ponadto zaznaczył, że właścicielem rachunku firmowego jest żona przedsiębiorcy, a nie on sam (oficjalnie jest jej pracownikiem), więc to ona nie zachowała należytej starannościprzekazując dane autoryzacyjne, login i hasło swojemu mężowi.
„Z pełną stanowczością zatem należy podkreślić, że w niniejszej sprawie czynności wykonywane były przez osobę nieuprawnioną, tj. Piotra B., któremu świadomie i celowo udostępnione zostały narzędzia dostępu do środków na rachunku Powodów.” – napisano w odpowiedzi na pozew. „Tym nie mniej jednak, nawet w razie (bezpodstawnego zdaniem Banku) uznania, że Przelewy były transakcjami nieautoryzowanymi (…) w niniejszej sprawie pełną odpowiedzialność można przypisać jedynie Powódce, która w pełni świadomie (okoliczność przyznana w pozwie) naruszyła co najmniej jeden ze swoich obowiązków (…)”.
Procedury jednak zmieniono. „Dla wygody użytkowników”
Mimo zdecydowanych stanowisk obu stron, bank w marcu zmienił procedury i wprowadził konieczność zatwierdzania zmian w odbiorcach zdefiniowanych kodem SMS lub kodem ze zdrapki. W Inteligo – internetowej marce PKO BP – taka operacja już wcześniej standardowo była zatwierdzana kodem SMS. Według banku nie ma to związku ze sprawą, bo system i tak był bezpieczny.
– Wprowadzenie dodatkowej autoryzacji przy edycji danych w odbiorcach zdefiniowanych wynika z planowanego połączenia listy zdefiniowanych odbiorców i listy płatności. Jest to element ciągłego procesu doskonalenia systemów bankowości elektronicznej PKO pod kątem wygody, komfortu i prostoty użytkowania – usłyszeliśmy w biurze prasowym.
Tak było do marca 2014:
Tak jest obecnie:
Do pierwszych kradzieży taką metodą doszło w 2012 roku. Poszkodowani uważają, że gdyby bank od razu wprowadził dodatkową autoryzację przy zmianie odbiorców zdefiniowanych, dałoby się uniknąć kolejnych włamań. Zwłaszcza, że z danych prokuratury wynika, że później bank kilkukrotnie udaremnił podobne ataki. Nie wszystkie skutecznie, o czym świadczy chociażby przypadek przedsiębiorcy z Radomia.
Sąd rejonowy w Warszawie na wniosek PKO BP zdecydował się przekazać sprawę do sądu polubownego przy Związku Banków Polskich. Poszkodowany przedsiębiorca z Płocka złożył zażalenie na tę decyzję i obecnie czeka na odpowiedź.