Konto bankowe pod kontrolą… cyberprzestępców?

la2

Jak podaje NBP zaufanie Polaków do transakcji bezgotówkowych rośnie. 10 lat temu tylko co drugi mieszkaniec kraju posiadał rachunek bankowy. Obecnie na mieszkańca przypada więcej niż jedno, bo ok. 1,5 konta. Zaufanie rośnie jednak powoli, bezpieczeństwo rozwiązań e-bankingowych pozostawia bowiem wiele do życzenia.

Klienci kilkunastu polskich banków korzystających z bankowości elektronicznej padli w ostatnim czasie ofiarą ataku cyberprzestępców. Rada Bankowości Elektronicznej Związku Banków Polskich odnotowuje kolejne przestępstwa bankowe z wykorzystaniem wirusów, przejmujących kontrolę nad telefonami komórkowymi klientów. Wcale nie musimy mieć na rachunku dużych sum, by naszym kontem zainteresowali się złodzieje. Z problemem niskiego poziomu bezpieczeństwa bankowości może zetknąć się właściwie każdy uczestnik obrotu bezgotówkowego. Na przykład możemy dowiedzieć się niespodziewanie, że zalegamy ze spłatą kredytu, którego wcale nie zaciągaliśmy… Jak to możliwe?

 „Pożyczona” identyfikacja osoby otwierającej konto

Banki oferują klientom coraz to atrakcyjniejsze możliwości komunikacji. Ma być szybko, wygodnie i przede wszystkim bez wychodzenia z domu. Już od kilku lat konto bankowe można założyć przez Internet.  Nie jest nawet konieczne późniejsze osobiste potwierdzenie tożsamości w oddziale banku, czy poprzez podpisanie umowy wysyłanej do domu klienta kurierem. Konto można otworzyć… dokonując przelewu przychodzącego z innego banku. Przelew stanowi potwierdzenie tożsamości klienta, zawiera bowiem jego imię, nazwisko oraz adres. Zarówno dla banków, jak i firm pożyczkowych oczywistym jest, że dana osoba musiała już być zidentyfikowana w poprzednim banku, ze strony którego wysyła przelew, dlatego taką weryfikację uznają za wystarczającą. Nowa metoda umożliwia nie tylko założenie konta, ale też zaciągnięcie kredytu.

Oferta banku ma przede wszystkim sprostać wymaganiom klienta, który nie ma czasu, na wypełnianie kolejny raz tych samych formularzy. Jeśli raz podał swoje dane, kolejna weryfikacja następuje dzięki zabezpieczeniom pierwszego banku, czyli SMS-om wysyłanym na telefon klienta, dokonującego przelewu. Największy w Polsce bank, PKO BP, szybko wycofał się jednak z wprowadzonej opcji otwierania kont przelewem. Do banków zaczęli się bowiem zgłaszać klienci, którzy padli ofiarą przestępstw e-bankingowych.

 SMS wysyłany z banku nie trafia na telefon klienta

Nowa metoda weryfikacji klienta otworzyła cyberprzestępcom drogę do zakładania fałszywych kont. Uproszczony sposób identyfikacji nowego użytkownika, wymaga od złodziei uzyskania jedynie danych do logowania się do konta internetowego oraz przechwycenia SMS-a autoryzującego przelew, decydujący o założeniu konta, czy zaciągnięciu kredytu. Potrzebne informacje cyberprzestępcy zdobywają za pomocą wirusów ZitMo oraz e-security.

Warto wiedzieć, jak działają te programy, aby w porę ustrzec się przed ich działaniem. ZitMo zagnieżdżony na komputerze, podsłuchuje hasło wpisywane przez klienta na klawiaturze podczas logowania się do banku. Następnie wirus musi przejąć kontrolę nad telefonem ofiary: Osoba otrzymuje komunikat o konieczności zainstalowania na swoim smartfonie aplikacji, podnoszącej bezpieczeństwo korzystania z e-bankingu. Po zainstalowaniu certyfikatu, kiedy bank wysyła na telefon klienta SMS autoryzujący przelew, w autentycznym czasie SMS ten jest blokowany i przekazywany do przestępcy. Bank rejestruje wysłanie SMS-a, ale klient nie otrzymuje żadnego powiadomienia. W ten sposób złodziej posiada już dane do logowania i kod do autoryzacji przelewu. Odtąd jego działania są nieograniczone. Na wyczyszczeniu konta, którego najbardziej się chyba obawiamy, myśląc o przestępstwa e-bankingowych się bowiem nie kończy.

Nie instalować bankowych aplikacji na telefon, nie logować się przez otwarte Wi-Fi!

Kradzież środków z ROR-u zostanie dość szybko wykryta. Cyberprzestępcy dzięki nowej metodzie identyfikacji osoby poprzez przelew bankowy, mogą zaś być dłużej bezkarni. Posługując się nowym kontem swojej ofiary, wykorzystując jej dane wyłudzają  w kredyty i pożyczki – sięgające łącznie nawet na kilkudziesięciu tysięcy złotych. Zdarza się też, że używają założonego rachunku, do przyjmowania należności za fikcyjne towary wystawione na aukcjach internetowych. Ofiara dowiaduje się o tych faktach dużo później, najczęściej dopiero, gdy na jej adres zaczynają przychodzić ponaglenia do spłaty rat kredytów.

Korzystając z e-bankingu musimy przede wszystkim sami zadbać o bezpieczeństwo naszych danych oraz naszych oszczędności. Ryzyko wykradnięcia danych, czy podsłuchania hasła wzrasta w przypadku logowania się na konto internetowe na obcych komputerach, albo korzystając z korzystać z otwartych sieci WiFi. Bezwzględnie powinniśmy unikać takich sytuacji.

Należy również pamiętać, że bank nigdy nie wymaga od nas instalowania na telefonie certyfikatów podnoszących bezpieczeństwo autoryzacji przelewów. Wszelkie tego typu komunikaty powinniśmy ignorować.

Zespół Kancelarii Le artist we współpracy z Katarzyną Sawczuk

Źródła:

http://www.bankier.pl/wiadomosc/Otworzyli-konto-przelewem-i-wyludzili-20-tys-zl-Wykorzystali-wirusy-3106090.html
http://www.bankier.pl/wiadomosc/BZWBK-ostrzega-trojan-Zeus-znowu-atakuje-2986754.html
http://www.alebank.pl/images/stories/konferencje/forum.rynku.uslug.platniczych/2014/fup.2014.nbp.01.pdf

 

 

 

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
Zasady pracy zdalnej a RODO – poradnik
Pusty rejestr naruszeń RODO – powód do dumy czy niepokoju?

1 Odpowiedź

  1. Ochrona swojego konta bankowego przed atakami cyberprzestępców jest niezwykle istotna, ponieważ zagrożenia w sieci stale rosną. Cyberprzestępcy wysyłają szkodliwe linki w wiadomościach e-mailowych a także w smsach. Aby zwiększyć bezpieczeństwo swojego konta bankowego warto pamiętać o tworzeniu unikalnych i trudnych do złamania haseł do kont bankowych, zawierających kombinację dużych i małych liter, cyfr oraz znaków specjalnych. Nigdy nie wolno używać tych samych haseł do różnych kont online. Warto włączyć dwuskładnikowe uwierzytelnianie.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO