Kolejna firma skarży się, że ktoś podmienił jej numery rachunków zdefiniowanych odbiorców w systemie bankowości internetowej powerNET. Deutsche Bank nie planuje jednak wprowadzić dodatkowej autoryzacji przy modyfikacji przelewów zdefiniowanych.
Modyfikacja szablonów odbiorców zdefiniowanych w systemie bankowości internetowej w większości banków wymaga zatwierdzenia narzędziem autoryzacyjnym. Ale nie wszędzie. I tę lukę wykorzystują hakerzy włamujący się na konta klientów. Za pomocą specjalnych programów szpiegujących pozyskują login i hasło klienta, a następnie logują się do systemu i modyfikują szablony odbiorców zdefiniowanych. Zmieniają tylko numery kont – w miejsce prawdziwych podstawiają inne rachunki (założone na słupy). Nieświadomy tego faktu klient dalej realizuje przelewy do odbiorców zdefiniowanych i w ten sposób wysyła pieniądze złodziejom. Nikt nie sprawdza przecież numerów rachunków, które już wcześniej zdefiniował w systemie bankowości internetowej.
iStockphoto/Thinkstock
To bardzo sprytny atak, bo później oszukany klient w żaden sposób nie może odzyskać pieniędzy od banku. Przecież to on wybrał odbiorcę, któremu zleca przelew i na dodatek zatwierdził dyspozycję własnym narzędziem autoryzacyjnym. Z punktu widzenia banku zrealizował przelew poprawnie. A to, że ktoś podmienił numery kont, to już problem klienta. – Zmiana danych odbiorcy jest zupełnie inną dyspozycją niż zlecenie przelewu. O ile do dyspozycji złożenia przelewu mają zastosowanie przepisy ustawy o usługach płatniczych (z wszelkimi tego konsekwencjami), o tyle możliwość zdefiniowania odbiorcy stałego jest jedynie opcją ułatwiającą użytkownikowi usługi bankowości internetowej realizowanie zleceń płatniczych – tłumaczą się banki.
Co więcej, zgodnie z obowiązującym prawem bank nie musi sprawdzać, czy numer rachunku przypisany jest do konkretnej osoby. Żeby zlecić przelew, wystarczy podać numer konta, a w pole odbiorcy wpisać chociażby Kaczora Donalda. Bank taki przelew zaksięguje i dostarczy pieniądze na wskazany numer konta.
To nie są incydentalne przypadki
Już kilkukrotnie na łamach Bankier.pl i PRNews.pl opisywałem podobne włamania na konta klientów. Za każdym razem banki umywają ręce, a klienci tracą pieniądze. Z reguły są to duże kwoty, bo złodzieje atakują przede wszystkim klientów firmowych, którzy rozliczają się ze swoimi kontrahentami. Opisywałem przypadek przedsiębiorcy z Radomia, który stracił w ten sposób 80 tys. zł. Sprawa dotyczyła banku PKO BP, który też nie wymagał dodatkowej autoryzacji przy modyfikacji szablonów zdefiniowanych. Po mojej publikacji bank wprowadził jednak dodatkowe zabezpieczenie w systemie i obecnie taki atak nie jest już możliwy. Podobny przypadek spotkał klienta banku Spółdzielczego we Wschowie. Także i w tym przypadku po mojej publikacji bank zobowiązał się wprowadzić modyfikacje do systemu i zabezpieczyć klientów przed podobnymi atakami.
Złodzieje próbują także oszukać klientów firmowych Deutsche Banku. W systemie powerNET, na którym pracują przedsiębiorcy, również nie ma potrzeby zatwierdzania zmian w zdefiniowanych szablonach. Opisywałem już przypadek jednej z wrocławskich firm, która uważa, że padła ofiarą podobnego ataku i straciła 170 tys. zł. Niedawno zgłosiła się do mnie kolejna firma, tym razem z Lublina. Z dokumentów, które mi przedstawiła wynika, że doszło do podobnego zdarzenia.
– Wspomniana kradzież dokonywana była poprzez podmienianie numerów kont w przelewach (5), głównie tych spakowanych w paczki, wprowadzonych do systemu po zalogowaniu się przy pomocy stałego loginu i hasła i przed ich zaakceptowaniem z wykorzystaniem hasła i karty z mikroprocesorem. W sumie ponieśliśmy stratę w wysokości 58.407,23 zł – pisze właścicielka firmy.
Bank zaleca sprawdzać numery rachunków
Także i w tym przypadku bank twierdzi, że klient autoryzował wszelkie dyspozycje prawidłowo. Nie zgadza z taką opinią klientka. – Z naszej perspektywy bank nie dopełnił i nadal nie dopełnia należytej dbałości o bezpieczeństwo środków i transakcji, skoro umożliwia wprowadzanie zmian w składanych dyspozycjach, posługując się jedynie stałym loginem i hasłem. Co więcej, pozwala na dokonanie takich zmian już w przelewach spakowanych w paczki. Po co są więc te paczki, skoro klient – zgodnie z zaleceniem banku – powinien za każdym razem sprawdzać numer rachunku? – pyta.
Poprosiłem bank o komentarz w tej sprawie. Zapytałem, dlaczego, skoro wie o podobnych problemach, nie wprowadzi dodatkowego zabezpieczenia przed modyfikacją paczek przelewów. – Zgodnie z założeniami działania systemu db powerNET zmiana danych odbiorców zdefiniowanych w systemie nie wymaga autoryzacji. Przypominamy jednak, że autoryzacji podlega każde zlecenie realizowane przez klienta – uzyskałem lakoniczną odpowiedź. – Według posiadanej przez nas wiedzy podobne rozwiązanie pozwalające na realizację przelewu na zmodyfikowanym szablonie bez dodatkowego narzędzia autoryzacyjnego stosowane jest w co najmniej 3 bankach działających na polskim rynku – napisano w komentarzu.
Sytuacja jest trudna, bo bank prawidłowo zrealizował wszelkie dyspozycje złożone klienta. Klient najprawdopodobniej będzie miał poważny problem z odzyskaniem utraconych pieniędzy. Nie można wykluczyć, że złodzieje wiedząc o tym, jak działa system, mogą znowu zaatakować. Klienci mogą się przed tym obronić wyłącznie przez zachowanie wzmożonej czujności. Przed zleceniem przelewów do kontrahentów powinni każdorazowo sprawdzać numery ich rachunków. I koniecznie pilnować standardów bezpiecznego korzystania z bankowości internetowej. To poprzez wirusy lub phishing złodzieje pozyskują ich dane do logowania.