Zobacz też: Sen "największego polskiego sukcesu na Kickstarterze" przechodzi w jawę
Od dłuższego czasu ostrzegamy przed działaniami cyberprzestępców , którzy wyspecjalizowali się w kradzieży pieniędzy z kont bankowych. Niestety tego typu ataki zdarzają się coraz częściej, a ofiary zdają się nie mieć świadomości jak łatwo stracić pieniądze. Na podstawie konkretnego przykładu opiszemy co się wydarzyło i jak można było tego uniknąć.
"Jak straciłem 40 tysięcy złotych"
Kilka dni temu na Wykopie znaleźliśmy film pewnego mężczyzny, który opisał jak stracił pokaźną kwotę. 40 tysięcy złotych zamiast trafić na konto pewnej kobiety trafiło do przestępców. Na filmie mężczyzna prezentuje swoje konto w mBanku. W pechowym przelewie, w pozycji "Rachunek odbiorcy" numer konta wyświetla się prawidłowo (końcówka 0010). Niestety po pobraniu potwierdzenia w PDF widać, że konto zostało podmienione (końcówka 9729).
Ofiara tego ataku zdaje sobie sprawę z tego, że za podmianę numeru konta jest odpowiedzialny wirus, jednocześnie dość jednoznacznie oskarża mBank. Jednym z najpoważniejszych zarzutów jest to, że adres mBanku poprzedzony jest "kłódeczką". Mężczyzna zgodnie z prawdą stwierdza, że jest to symbol połączenia szyfrowanego. Zdaje się jednak nie rozumieć jak ono funkcjonuje.
Wirus, który podmienił numer konta, działał na maszynie ofiary. A bezpieczne połączenie chroni przed atakiem czy też posłuchanie transmisji danych z zewnątrz. Kłódka gwarantuje więc, że na linii twój komputer-bank nikt nie przejmie danych. Tylko że w tym wypadku wirus miał pełną kontrolę nad komputerem.
Cztery sposoby na wyczyszczenie twojego konta
Wiele osób wciąż nie wie, że jednorazowe hasła przesyłane przez SMS, a nawet kody z papierowej listy haseł, nie zabezpieczają nas przed działaniem przestępców. Działają bowiem oni według kilku scenariuszy.
Podmiana danych, gdy kopiujesz numer konta. Przestępcy wiedzą, że lubimy wygodę. Dlatego tworzą wirusy, które są w stanie podmienić skopiowany przez nas numer konta. Nawet kiedy wkleimy taki numer do odpowiedniego pola w formularzu banku będziemy widzieć, że wszystko się zgadza. Dopiero po chwili, kiedy przeniesiemy wzrok w inne miejsce, wirus zadziała.
Podmiana numeru konta. Istnieją również wirusy, które kontrolują to, co piszemy. Rozpoznają ciąg cyfr będący numerem konta. Nie musimy więc używać metody kopiuj-wklej, by taki ciąg cyfr został przez przestępców podmieniony.
Przejęcie kontroli nad smartfonem. To nieco trudniejszy atak, bo wymaga zainfekowania jednocześnie naszego telefonu i komputera. Jeśli przestępcom uda się zainfekować złośliwe aplikacje na obu maszynach to po pierwsze przejmą nasze dane do logowania do bankowości (bo przekierują nas na fałszywą stronę banku), a po drugie odczytają hasło SMS... bez naszej wiedzy (nawet nie usłyszymy, że przyszła wiadomość). Ofiara nie musi siedzieć przy komputerze - jeśli przestępcy mają komplet danych konto mogą okraść w dowolnej chwili.
Przejęcie "papierowych haseł" . Stosowanie papierowej listy haseł nie jest w pełni bezpieczne. Przestępcy mogą bowiem przejąć kontrolę nad naszym komputerem i przekierować nas na fałszywą stronę banku. Wyświetlą informacje o awarii lub o konieczności dodatkowej weryfikacji tożsamości. W ten sposób uzyskają od nas kod z papierowej listy, za jego pomocą zmienią odbiorcę zaufanego, na przykład pozycję "Czynsz". I przeleją nasze pieniądze, bo transfer do osoby zaufanej nie wymaga już kodu.
Jak nie zostać ofiarą ataku?
Działanie cyberprzestępców utrudnią: aktualny antywirus, system i przeglądarka. Dbając o to minimalizujemy możliwości ataku. Kolejną ważną kwestią jest ignorowanie wszelkich podejrzanych e-maili i korzystanie jedynie z zaufanych stron internetowych. Wirusy czają się na stronach z nielegalnymi transmisjami sportowymi, filmami, grami. Pobieranie aktywatorów czy generatorów kluczy również jest prostą drogą do infekcji.
Niestety opisany w tym materiale przypadek dowodzi, że nawet aktualny antywirus nie chroni w 100% przed zagrożeniem. Niestety żadne oprogramowanie nie zapewni nam całkowitego bezpieczeństwa. Przestępcy zawsze mogą być o krok przed nami.
Jak bronić się przed fałszywym przelewem
Jedyna metoda to dokładne czytanie wiadomości SMS od banku. Musi podać cztery pierwsze i cztery ostatnie cyfry konta. Trzeba też pamiętać, że bank nigdy nie prosi o potwierdzenie tożsamości za pomocą kodu SMS. Inny sposób to... korzystanie z przelewu tradycyjnego. Jeśli nie do końca rozumiemy jak działa bankowość elektroniczna nie pozostaje nam nic innego jak płacenie rachunków na poczcie lub w banku. Pamiętajmy jednak, że przestępcy... wrzucają do skrzynek sfałszowane blankiety i rachunki. Może się więc okazać, że chcemy zapłacić za prąd, a pieniądze trafiają nie tam gdzie trzeba.
Padłem ofiarą ataku - co robić?
Nie pozostaje nam nic innego jak złożenie reklamacji. Mogą zaistnieć pewne sytuacje, w których bank zwróci nam pieniądze - na przykład kiedy płacimy kartą jest to możliwe, nawet jeśli pieniądze trafiły już do przestępców. Ofiara opisywanego tu ataku powinna udać się na policję. Być może sprawcy zbyt słabo się zabezpieczyli, albo wpadną za jakiś czas. Wedy będzie przynajmniej cień szansy na odzyskanie pieniędzy. Nie warto się jej pozbawiać pozostając bezczynnym.
Co może zrobić bank?
Jeśli zleciliśmy przelew na numer konta cyberprzestępców, ale potwierdziliśmy go kodem z wiadomości SMS bank ma ograniczone podstawy do uznania reklamacji.
Marta Rutkowska z biura prasowego mBanku odniosła się do tego konkretnego przypadku. W oświadczeniu przesłanym do naszej redakcji napisała:
"Niestety, wszystko wskazuje na to, że w tym wypadku cyberprzestępcy wykorzystali fakt, że użytkownik korzystał z zawirusowanego komputera. Złośliwe oprogramowanie mogło podmieniać wpisane w przeglądarce internetowej numery rachunków (z właściwego na numer "słupa", czyli osoby, która współpracuje z przestępcą). Sprawa tego typu złośliwego oprogramowania nie jest nowa. mBank, a także Związek Banków Polskich oraz media informują o tej formie ataku już od 2013 r. "
W tej konkretnej sytuacji trudno winić mBank. Przesłał do nadawcy przelewu kod SMS wraz z numerem konta - gdyby ofiara dokładniej przeczytała wiadomość do utraty pieniędzy by nie doszło.
Fot. YouTube
Bank Pocztowy stosuje jednak dodatkowe zabezpieczenie kiedy wklejamy numer konta ze schowka. Wtedy na ekranie monitora wyświetla się prośba o ręczne wpisanie czterech ostatnich cyfr. To utrudnia działania przestępcom.
Korzystanie z bankowości elektronicznej zawsze wiąże się z pewnym ryzykiem. Największym zagrożeniem jest jednak brak uwagi i automatyczne zatwierdzanie wszystkich transakcji. Wiadomości z banku trzeba niestety dokładnie czytać...
