Ostrzegamy przed nowym sposobem ataku na klientów bankowości elektronicznej. Metoda działania złodziei jest bardzo prosta, a ofiary same nieświadomie przelewają im swoje pieniądze.
Serwis Bankier.pl ostrzega przed nowym sposobem ataku na klientów bankowości elektronicznej. Metoda działania złodziei jest bardzo prosta, a ofiary same nieświadomie przelewają im swoje pieniądze. Jak to możliwe? Wystarczy, że przestępcy dysponują danymi, które pozwalają zalogować się przez internet na rachunek bankowy. Teoretycznie nawet jeśli ktoś włamie się na nasze konto i tak nic nie zdziała, gdyż serwisy transakcyjne posiadają dodatkowe zabezpieczenia, takie jak kody jednorazowe czy hasła SMS, które są niezbędne do przeprowadzenia jakiejkolwiek operacji. Złodzieje zwykle mogli dowiedzieć się ile pieniędzy mamy na koncie i przejrzeć historię naszych transakcji. Jednak w przypadku klientów banku PKO BP było inaczej.
Choć operacje są dodatkowo zabezpieczone, system umożliwiał zmianę numeru rachunku zdefiniowanego odbiorcy bez dodatkowej autoryzacji. W praktyce przestępcy, którzy weszli w posiadanie danych klienta niezbędnych do zalogowania się na rachunek podmieniali numery kont zdefiniowanych odbiorców na własne. Nieświadomi klienci, przeświadczeni, że przelewają pieniądze zaufanemu odbiorcy, zwyczajnie wykonywali przelew potwierdzając go kodem autoryzacyjnym. Problem w tym, że jeśli zostaniemy okradzeni w ten sposób i złożymy reklamację, bank prawdopodobnie negatywnie ją rozpatrzy z powodu złamania punktu regulaminu, w którym jasno jest zaznaczone, że klient nie może udostępniać danych autoryzacyjnych osobom trzecim. Więc nawet jeśli dane te zostały w jakiś sposób skradzione, bank nie może odpowiadać za powstałe w wyniku tej kradzieży szkody.
W czerwcu 201. roku pewien przedsiębiorca stracił w opisywany sposób 86 tys. złotych. Przestępcy podmienili numery rachunków zdefiniowanych odbiorców, a niczego niepodejrzewający przedsiębiorca przelewał im pieniądze. Sprawa wyszła na jaw dopiero po kilku dniach, kiedy do biznesmena zaczęli zgłaszać się kontrahenci, którzy nie otrzymali zapłaty. Jak podaje serwis Bankier.pl, zdaniem prokuratury, która prowadziła śledztwo nie był to odosobniony przypadek, a organy ścigania były powiadamiane o tego typu incydentach od sierpnia 2012 roku do czerwca 2013 roku.
Poprosiliśmy o komentarz biuro prasowe PKO BP.
Aktualizacja 18:01 29.11.2013 r.
_ System bankowości elektronicznej w PKO Banku Polskim odpowiada najwyższym standardom w zakresie bezpieczeństwa. Wykonywanie przelewów bankowych jest w PKO Banku Polskim, tak samo jak w innych bankach, oparte na 2 stopniowym systemie zabezpieczeń. Pierwszym poziomem są login i hasło, na drugim klient posiada możliwość wyboru pomiędzy kodem z karty kodów jednorazowych - „zdrapka”, sms-em lub tokenem. W naszym Banku wykonanie przelewu lub zmiana rachunku bankowego, na który wykonywany jest przelew, zawsze wymaga zatwierdzenia transakcji hasłem z 2 poziomu. Moment użycia hasła z tego poziomu zależy od typu realizowanego zlecenia - w przypadku płatności i zleceń stałych zarówno ich definiowanie jak i zmiana rachunku wymaga wykorzystania hasła, w przypadku zdefiniowanego odbiorcy kod jest wykorzystywany do finalnego potwierdzenia każdej realizowanej transakcji. W przypadku przelewów jednorazowych zawsze transakcja jest finalizowana hasłem z drugiego poziomu. Pomimo różnic w procesie pomiędzy typami transakcji
przy przelewie zewnętrznym klient zawsze używa hasła z drugiego poziomu, aby zrealizować lub zmienić parametry odbiorcy transakcji. Każdy z banków może w inny sposób przeprowadzać potwierdzanie przelewów w serwisach transakcyjnych. W przypadku naszego Banku klient nie potwierdza zmiany danych w „Zdefiniowanych odbiorcach”, ale w momencie użycia tych danych do przelewu. Inaczej traktowana jest usługa „Lista płatności”. – są to gotowe do realizacji przelewy. W tym przypadku każda ich modyfikacja wymaga kodu jednorazowego, bo z kolei ich realizacja nie wymaga już potwierdzenia kodem jednorazowym. Warto pamiętać, że po zalogowaniu się do serwisu transakcyjnego klient otrzymuje informację o terminie ostatniego logowania, a zatem pojawienie się informacji o logowaniach, których nie dokonywał, powinno wzbudzić jego czujność i spowodować kontakt z bankiem. Jeśli klient ma wątpliwości np. w zakresie operacji na jego rachunku, ma możliwość złożenia reklamacji, która jest zawsze rozpatrywana indywidualnie. Więcej
informacji na temat bezpieczeństwa transakcji tutaj: https://www.pkobp.pl/o-ipko-bankowosc-elektroniczna/bezpieczna-bankowosc/jak-unikac-zagrozenia/ https://www.pkobp.pl/o-ipko-bankowosc-elektroniczna/bezpieczna-bankowosc/hasla-i-certyfikaty/ Podobnie jak ewoluują metody stosowane przez przestępców internetowych, tak samo ewoluują sposoby zabezpieczeń w bankowości internetowej. O zagrożeniach związanych z korzystaniem z bankowości elektronicznej oraz zasadach bezpiecznego z niej korzystania od lat informują i banki, w tym PKO Bank Polski, i Związek Banków Polskich. Polecam np. komunikat ZBP z 17 października, który jasno pokazuje, że klient korzystając z bankowości elektronicznej musi pamiętać o kilku istotnych rzeczach, bo zastosowanie przez banki nawet najlepszych zabezpieczeń nie uchroni klienta, jeśli on o bezpieczeństwo nie zadba http://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci. Polecam uważnej lekturze ten tekst. _
Źródło: Bankier.pl, SW, WP.PL