Z kont klientów BZ WBK zniknęło kilkaset tysięcy złotych. Bank przyznaje...

Ostatnia kampania cyberprzestępców skierowana przeciwko BZ WBK okazała się wyjątkowo dotkliwa. Wielu klientów straciło dziesiątki tysięcy złotych. Kulisy ataku budzą pewne kontrowersje.

Często ostrzegamy przed phishingiem - jednym z najstarszych i najgroźniejszych sposobów na wykradanie danych i pieniędzy. Ostatnia akcja tego typu skierowana przeciwko klientom BZ WBK okazała się wyjątkowo bolesna.

Przeczytaj też: Wyjątkowo perfidne e-maile. Nie są od Allegro!

Jak donosi Niebezpiecznik.pl od piątku użytkownicy banku zaczęli zgłaszać utratę sporej ilości gotówki - 10 tysięcy złotych lub większej. Ofiary otrzymywały wcześniej e-mail kierujący do, jak się później okazało, fałszywej strony BZ WBK.

Od: BZ WBK24 <rozne@adresy.e-mail>
Data: 06.05.2016 15:59 (GMT+01:00)
Temat: Blokada rachunku BZWBK

Data: 06.05.2016 r.
Dostęp do Twojego konta BZWBK został zablokowany!

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie BZWBK24 internet, powodem jest nieautoryzowany dostęp do konta. W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.bzwbk.pl/weryfikacja
[link prowadził do: hxxp://centrum24.pw/?email=email@ofiary.pl]

Serdecznie pozdrawiamy,
Zespół Bank Zachodni WBK S.A.
W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 1 9999

 

Fałszywa strona BZWBKFałszywa strona BZWBK Fot. za Niebezpiecznik.pl

Podobnie jak w przypadku innych ataków phishingowych użytkownicy zostali poproszeni o podanie numeru użytkownika i hasła w celu odblokowania konta. Kto dał się nabrać przekazywał swoje dane przestępcom.

W jaki sposób byli oni jednak w stanie wykraść pieniądze, skoro każda transakcja potwierdzana jest zwyczajowo kodem SMS?

Ułatwienie, które słono kosztuje

Okazuje się, że Bank wyłączył dodatkową autoryzację dla swojej usługi Przelew24. Miało to ułatwić zakupy w sklepach internetowych. 

Kiedy jednak konto zostało przejęte przez przestępców ci mogli dokonywać transakcji kupując np. bitcoiny na giełdach.

Bank ostrzega

Katarzyna Prus-Malinowska, dyrektor bankowości mobilnej i internetowej w Banku Zachodnim WBK, w rozmowie z Niebezpiecznikiem przyznała, że przestępcy wykorzystali lukę spowodowaną wyłączeniem autoryzacji usługi Przelew24. Ponownie ostrzegła użytkowników bankowości elektronicznej przed sposobem działania przestępców. 

Bank systematycznie informuje o konieczności ochrony danych do logowania, prowadzi akcje informacyjne, w których prosi, aby zachowali ostrożność i posiadali ograniczone zaufanie w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linków kierujących na stronę internetową banku. Linki mogą prowadzić do fałszywej strony, która ma wyłudzić dane do logowania. Przypominamy, że nie prosimy nigdy o podawanie jakichkolwiek danych w wiadomoście-mail lub SMS.

Wyłączenie zabezpieczenia może budzić pewne kontrowersje - w dobie rosnącej cyberprzestępczości wydaje się nierozsądne, szkoda, że bank wpadł w ogóle na pomysł takiego ułatwienia życia swoim klientom. 

Straty wynoszą kilkaset tysięcy złotych. BZ WBK postanowił przywrócić autoryzację przelewów. Nie zamierza jednak oddawać utraconych pieniędzy automatycznie - poszkodowani muszą składać reklamacje, które będą rozpatrywane indywidualnie. Może okazać się, że bank uzna iż nie odpowiada za działania przestępców i skoro klient sam przekazał im hasło, to sam musi ponieść konsekwencje finansowe.

Bank może długo opierać się przed zwróceniem straconej kwoty. Dlatego właśnie należy przywiązywać wielką wagę do kwestii bezpieczeństwa. 

Więcej o:
Komentarze (62)
Z kont klientów BZ WBK zniknęło kilkaset tysięcy złotych. Bank przyznaje...
Zaloguj się
  • dublet

    Oceniono 26 razy 16

    BZWBK pod zarządem obecnego vicePiSiora Morawieckiego blokował możliwość uznania POLSKIEGO Urzędu Skarbowego za odbiorcę zaufanego. Za zaufanego można zdefiniować NIEMIECKI urząd skarbowy, ukraiński lub mongolski, ale nie POLSKI! Ten bankster Morawiecki dalej szkodzi, teraz jako vice w nierządzie PiS!

  • strach_sie_bac

    Oceniono 13 razy 13

    Ja dostaję od pewnego czasu co kilka dni niby wiadomość od Poczty Polskiej (szata graficzna ja ze stron PP) :

    "Kurier nie dostarczył przesyłkę do numeru zgłoszenia UA7789875988PL na adres 10.05.2016, ponieważ nikt w tym czasie. Proszę zobaczyć informacje na temat wysyłki, drukowania i iść na pocztę, aby otrzymać pakiet.

    Zobacz informacje

    Jeżeli przesyłka nie dotrze w ciągu 7 dni roboczych Poczta Polska będzie miała prawo do ubiegania się koszty utrzymania przesyłka 200 zł za jeden dzień. Dziękujemy za korzystanie z naszych usług dostawy. Życząc miłego dnia Twoja Poczta Polska."

    "Najfajniejszy" jest język niby polski i nadawca z kodu źródłowego bilgilendirme@sudadamla.com :)))

  • silthor

    Oceniono 13 razy 7

    No cóż, BZ WBK ma funkcję, która pozwala rozpoznać, czy jesteś na stronie banku, czy na jej kopii zrobionej przez przestępców. Wystarczy tylko je uruchomić. Wówczas każdemu na stronie logowania pokazuje się wybrane przez niego dodatkowe zdjęcie. Przestępcy nie mają pojęcia, jakie zdjęcie sobie wybrałeś, więc nie mogą co podstawić skopiowanej strony. Niestety, głównymi winowajcami są ponownie właściciele kont, bo to oni kliknęli w link w mailu (a bank przestrzega, by tego nie robić, zawsze wpisuj sobie adres banku w pasku), a także nie ustawili sobie zabezpieczenia, o którym wcześniej wspomniałem. Wówczas łatwo by rozpoznali, że tak naprawdę nie są na stronie banku.

  • pesimist

    Oceniono 7 razy 5

    Raz w tygodniu dostaję takiego maila na spam adres, były z poczty, były z banków (m.in WBK choć akurat ten z WBK był żałośnie zrobiony, nawet grafiki nie dodali), w tym tygodniu padło na Inpost, mail z numerem przesyłki i pliczek do pobrania, ciekawe ile osób się nabierze.

  • czarna.wrona

    Oceniono 3 razy 3

    Dostałam coś takiego w zeszyły piątek, ale bank nie zna mojego emaila, wiec wywaliłam to gó... w kosmos!

    PS. Nie sposób dodzwonić się było w poniedziałek na infolinie!

  • calvo

    Oceniono 5 razy 3

    za brak autoryzacji to bank powinien z definicji oddac te pieniadze - nie kazdy konsument jest specem od zabezpieczen a tym bardziej ludzie starsi, ktorzy nie są tak lotni w e-swiecie

  • hermilion

    Oceniono 4 razy 2

    0To samo czeka zatem mbank, który 'ulatwił' zycie uzytkownikom allegro

Aby ocenić zaloguj się lub zarejestrujX