Jakiś czas temu opisałem nowy typ złodziejskiego ataku na klientów bankowości internetowej. Oszuści włamują się na konto i podmieniają numery rachunków na liście zdefiniowanych odbiorców. Nieświadomy tego faktu klient dalej realizuje przelewy, ale na podstawione konta. Choć od opisanej sprawy minął ponad rok, to nadal zdarzają się podobne przypadki. Tym razem napisał do mnie klient Deutsche Banku, który wysłał na podstawione rachunki blisko 170 tys. zł.
Opisywałem na łamach PRNews.pl i Bankier.pl nietypowy typ kradzieży środków z kont klientów banku PKO BP i Banku Spółdzielczego we Wschowie. Nietypowy, bo złodzieje skradli dane do logowania i podmienili numery kont zdefiniowanym odbiorcom. Nieświadomi posiadacze kont nadal realizowali zlecenia i rozliczali się z kontrahentami. W efekcie sami wysyłali pieniądze na podmienione konta. Było to możliwe, bo żaden z banków nie wymagał podczas zmiany szablonów autoryzacji dodatkowym hasłem.
Banki odmówiły rozpatrzenia reklamacji pozytywnie, bo w ostatecznym rozrachunku, to klient posługując się własnymi kodami jednorazowymi autoryzował dyspozycje wysłania przelewów. A że nie sprawdzał numerów rachunków, na które realizuje przelewy to już jego problem. Podkreśliły, że to obowiązkiem klienta – a nie banku – jest sprawdzać czy wysyła pieniądze na odpowiedni numer. Bank nie musi też sprawdzać, czy dany numer powiązany jest z odbiorcą. Na nic zdały się argumenty, że numery zostały podmienione przez złodziei.
Po tym jak nagłośniłem sprawę, PKO Bank Polski wprowadził dodatkowe zabezpieczenie do systemu bankowości internetowej. Teraz jego klienci muszą za każdym razem podawać hasło, gdy modyfikują szablon zdefiniowanego odbiorcy.
Napisał do nas jednak kolejny czytelnik, który uważa, że stał się ofiarą takiego samego oszustwa. Prowadzi firmę we Wrocławiu, a jego rachunek biznesowy obsługuje Deutsche Bank (system internetowy dbpowerNET). Z korespondencji z bankiem, którą mi udostępnił wynika, że także i on realizował przelewy do swoich kontrahentów, a pieniądze trafiały na obce konto. Pierwszy przelew na kwotę około 20 tys. zł nie dotarł do prawidłowego odbiorcy już pod koniec ubiegłego roku. Początkowo przedsiębiorca myślał, że to gdzieś po stronie banku zaszła pomyłka i źle zaksięgowano pieniądze. Nadal realizował przelewy, a pieniądze płynęły wciąż na podstawione rachunki. Łącznie wysłał 170 tys. zł.
– Odbiorca był oczywiście zdefiniowany i od 2010 roku na jego profilu nie było żadnych zmian. Numer rachunku nie był na 100 % ręcznie wpisywany bo niby po co? Najczęściej przelewy przygotowuję tylko ja i ja je akceptuję – powiedział w rozmowie z PRNews.pl.
Bank: klient sam zmodyfikował dane odbiorców
Bank wykazał jednak, że przelewy przygotowane przez przedsiębiorcę były po chwili edytowane przez jego wspólnika. To z użyciem jego danych dokonywano zmian. Obaj panowie prowadzą firmę od 2006 roku i mają do siebie pełne zaufanie. Ich zdaniem ktoś pozyskał dane do logowania jednego z nich i z ich użyciem podmieniał numery rachunków. Z punktu widzenia banku wygląda to jednak inaczej – dyspozycję zmiany rachunku bankowego wykonywał jeden z uprawnionych właścicieli. Podobnie jak w poprzednio opisywanych przeze mnie przypadkach sprawa utknęła w martwym punkcie. Przedsiębiorcy składają reklamacje, ale póki co doczekali się tylko rady, by zmienili sobie hasła do bankowości internetowej. Są załamani, bo strata tak dużej kwoty może oznaczać dla nich bankructwo.
Bank nie chce komentować sprawy. – Ze względu na tajemnicę bankową nie możemy komentować konkretnych przypadków. Pragniemy jednak poinformować, że w sytuacji gdy klient zgłasza podejrzenie phishingu, bank dokonuje szczegółowej analizy okoliczności. Gdyby w wyniku analizy okazało się, że dane dostępowe zostały pozyskane przez osoby trzecie bez winy klienta, bank rozpatruje każdy przypadek indywidualnie. Chcemy jednocześnie podkreślić, że Deutsche Bank szczegółowo informuje klientów o zasadach bezpiecznego korzystania z bankowości internetowej na stronach logowania do systemów bankowości elektronicznej – mów rzecznik prasowy banku Sabina Salamon.
Bank potwierdza też, że do modyfikacji odbiorcy definiowanego nie jest potrzebne dodatkowe narzędzie autoryzacyjne. – Zgodnie z parametrami naszego systemu dbpowerNET zmiana danych odbiorców zdefiniowanych w systemie bankowości elektronicznej dla firm nie wymaga autoryzacji. Natomiast autoryzacji podlega każde zlecenie realizowane przez klienta. Po zalogowaniu się do serwisu transakcyjnego, Klient może sprawdzić termin ostatniego logowania i w momencie gdy zauważyłby sytuację, w której nastąpiło logowanie, którego sam nie dokonywał, powinien niezwłocznie skontaktować się z bankiem – mówi Sabina Salamon.
Koniecznie sprawdzaj numery odbiorców – nawet zdefiniowanych!
Jak pokazuje powyższy przypadek, wciąż nie wszystkie banki stosują dodatkowe zabezpieczenia przy modyfikacji przelewów zdefiniowanych. Z punktu widzenia użytkowników bankowości internetowej może to stwarzać zagrożenia. Zwłaszcza teraz, gdy nie ma tygodnia, by złodzieje nie próbowali wyłudzić od klientów banków danych do logowania do bankowości posługując się technikami phishingu. Sprawa jest dyskusyjna, bo wystarczyłoby – tak jak to zrobił PKO BP – zmodyfikować procedury i wprowadzić dodatkową autoryzację. Klienci banków powinni więc sprawdzić, czy w ich bankowości internetowej można zmieniać szablony odbiorców bez kodów jednorazowych. Jeśli tak, za każdym razem gdy będą zlecali przelew, powinni sprawdzać numer konta.
Przypomnijmy, w przypadku kradzieży banki będą przyjmowały linię obrony podobną do tej, którą obrał PKO BP i odzyskanie pieniędzy w takiej sytuacji nie będzie proste: „Dyspozycja zmiany danych odbiorcy zdefiniowanego jest całkowicie odrębną dyspozycją niż zlecenie przelewu. O ile do dyspozycji przelewu znajdują zastosowanie przepisy ustawy o usługach płatniczych z wszelkimi tego konsekwencjami, o tyle należy podkreślić, że możliwość zdefiniowania odbiorcy jest jedynie narzędziem ułatwiającym użytkownikowi serwisu internetowego iPKO realizowanie zleceń płatniczych. Nie stanowi natomiast elementu zlecenia płatniczego ani nie zwalnia użytkownika z leżącego w jego własnym interesie obowiązku weryfikacji numeru rachunku bankowego, na który według jego zamiaru mają trafić środki.”