Z kont klientów BZ WBK zniknęło kilkaset tysięcy złotych. Bank przyznaje...

Ostatnia kampania cyberprzestępców skierowana przeciwko BZ WBK okazała się wyjątkowo dotkliwa. Wielu klientów straciło dziesiątki tysięcy złotych. Kulisy ataku budzą pewne kontrowersje.

Często ostrzegamy przed phishingiem - jednym z najstarszych i najgroźniejszych sposobów na wykradanie danych i pieniędzy. Ostatnia akcja tego typu skierowana przeciwko klientom BZ WBK okazała się wyjątkowo bolesna.

Przeczytaj też: Wyjątkowo perfidne e-maile. Nie są od Allegro!

Jak donosi Niebezpiecznik.pl od piątku użytkownicy banku zaczęli zgłaszać utratę sporej ilości gotówki - 10 tysięcy złotych lub większej. Ofiary otrzymywały wcześniej e-mail kierujący do, jak się później okazało, fałszywej strony BZ WBK.

Od: BZ WBK24 <rozne@adresy.e-mail>
Data: 06.05.2016 15:59 (GMT+01:00)
Temat: Blokada rachunku BZWBK

Data: 06.05.2016 r.
Dostęp do Twojego konta BZWBK został zablokowany!

W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie BZWBK24 internet, powodem jest nieautoryzowany dostęp do konta. W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:

www.bzwbk.pl/weryfikacja
[link prowadził do: hxxp://centrum24.pw/?email=email@ofiary.pl]

Serdecznie pozdrawiamy,
Zespół Bank Zachodni WBK S.A.
W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 1 9999

 

Fałszywa strona BZWBKFałszywa strona BZWBK Fot. za Niebezpiecznik.pl

Podobnie jak w przypadku innych ataków phishingowych użytkownicy zostali poproszeni o podanie numeru użytkownika i hasła w celu odblokowania konta. Kto dał się nabrać przekazywał swoje dane przestępcom.

W jaki sposób byli oni jednak w stanie wykraść pieniądze, skoro każda transakcja potwierdzana jest zwyczajowo kodem SMS?

Ułatwienie, które słono kosztuje

Okazuje się, że Bank wyłączył dodatkową autoryzację dla swojej usługi Przelew24. Miało to ułatwić zakupy w sklepach internetowych. 

Kiedy jednak konto zostało przejęte przez przestępców ci mogli dokonywać transakcji kupując np. bitcoiny na giełdach.

Bank ostrzega

Katarzyna Prus-Malinowska, dyrektor bankowości mobilnej i internetowej w Banku Zachodnim WBK, w rozmowie z Niebezpiecznikiem przyznała, że przestępcy wykorzystali lukę spowodowaną wyłączeniem autoryzacji usługi Przelew24. Ponownie ostrzegła użytkowników bankowości elektronicznej przed sposobem działania przestępców. 

Bank systematycznie informuje o konieczności ochrony danych do logowania, prowadzi akcje informacyjne, w których prosi, aby zachowali ostrożność i posiadali ograniczone zaufanie w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linków kierujących na stronę internetową banku. Linki mogą prowadzić do fałszywej strony, która ma wyłudzić dane do logowania. Przypominamy, że nie prosimy nigdy o podawanie jakichkolwiek danych w wiadomoście-mail lub SMS.

Wyłączenie zabezpieczenia może budzić pewne kontrowersje - w dobie rosnącej cyberprzestępczości wydaje się nierozsądne, szkoda, że bank wpadł w ogóle na pomysł takiego ułatwienia życia swoim klientom. 

Straty wynoszą kilkaset tysięcy złotych. BZ WBK postanowił przywrócić autoryzację przelewów. Nie zamierza jednak oddawać utraconych pieniędzy automatycznie - poszkodowani muszą składać reklamacje, które będą rozpatrywane indywidualnie. Może okazać się, że bank uzna iż nie odpowiada za działania przestępców i skoro klient sam przekazał im hasło, to sam musi ponieść konsekwencje finansowe.

Bank może długo opierać się przed zwróceniem straconej kwoty. Dlatego właśnie należy przywiązywać wielką wagę do kwestii bezpieczeństwa. 

Więcej o:
Komentarze (62)
Z kont klientów BZ WBK zniknęło kilkaset tysięcy złotych. Bank przyznaje...
Zaloguj się
  • m1st

    0

    To, że ktoś klika w linki z maila mimo jasnych informacji, że nie ma klikać w żadne nie przestanie mnie zadziwiać.
    Sprawa Przelewy24 jednak jest ze strony banku błędem za który powinni zapłacić z własnej kieszeni.
    Kupując już jakiś czas temu zauważyłem, że transakcje przez Przelewy24 nie wymagają autoryzacji tokenem. Zadzwoniłem do Banku z opie...m, a oni mi mówią, że wprowadzili taka opcję jako ułatwienie dla klientów i że mogę ją sobie wyłączyć. Innymi słowy bez mojej zgody włączyli opcję zmniejszającą bezpieczeństwo mojego konta... genialny ruch. Najwyraźniej w dziale bezpieczeństwa zatrudnili kogoś po marketingu z WSB.

  • bbury

    0

    nic dziwnego że przywrócili autoryzację SMS-ami ... skoro od lipca będą one w BZWBK grubo płatne...
    Z jednej strony bełkot o dbałości o bezpieczeństwo klienta a z drugiej stron zmuszanie go kosztami do rezygnacji z autoryzacji SMSami z uwagi na ich niebotyczne koszty to Himalaje hipokryzji.

  • kiajk

    0

    trzeba uważać, a banki powinny bardziej dbać o bezpieczeństwo. zresztą usługi bankowe też mają do poprawki, zwłaszcza konta. na szczęście da się coś z tym zrobić, więc włączyłam się do akcji:miliony-polakow.pl. ankieta, która nie zajmuje wiele czasu a jednak może pomóc w stworzeniu konta idealnego.

  • Patrycja Graczyk

    0

    Ja również otrzymałam tego maila. Najciekawsze (chyba) jest to, że mail wpłynął na mój adres służbowy (którego bank nigdy nie posiadał) oraz - że przestałam być klientką banku WBK jakieś pół roku temu.
    Klientką WBK byłam od czasów studiów (czyli kilkanaście lat, w tym udzielone 2 kredyty konsumpcyjne) i w momencie mojej rezygnacji nie padło ani jedno pytanie, dlaczego odchodzę. Pracownik banku w najmniejszym stopniu nie próbował mnie przekonać do zmiany decyzji. To tak nawiasem mówiąc.

  • rtd5rtd

    0

    kiedy do polski dotrze secure rsa id?

  • Jeden Dwa

    Oceniono 2 razy 0

    co za debil używa linka z maila do otwarcia strony logowania banku? ja mam zapisany link "dzieindziej" i sobie go wklejam, wiem ze jest nie zmodyfikownay i prowadzi tam gdzie trzeba :)

  • mikrobyznesmen

    Oceniono 2 razy 0

    "skoro każda transakcja potwierdzana jest zwyczajowo kodem SMS?(...) Okazuje się, że Bank wyłączył dodatkową autoryzację dla swojej usługi Przelew24."

    Może warto wrócić do papierowych list haseł jednorazowych? Cyberprzestępca nie włamie się do takiej listy leżącej na biurku przy komputerze. :)

  • kamil-t

    Oceniono 2 razy 0

    "Kupując bitcoiny na giełdach". Tak, jak wiadomo bitcoin to coś co budzi szczególne pożądanie przestępców i szczególnie ich podnieca. Wprawdzie w ogólnych transakcjach przestępców bitcoin to akurat - jak się okazuje - jakieś 0,0000001% ich obrotów czy coś koło tego (w ogóle kapitalizacja jego jest znikoma), ale kto tam by liczył zera i w ogóle kogo obchodzą dane?

  • norman67

    Oceniono 2 razy 0

    Bank kiedykolwiek coś oddał z dobreju woli - oszuści i złdozieje chronieni przez tabuny sk..rwionych prawników.

Aby ocenić zaloguj się lub zarejestrujX