Często ostrzegamy przed phishingiem - jednym z najstarszych i najgroźniejszych sposobów na wykradanie danych i pieniędzy. Ostatnia akcja tego typu skierowana przeciwko klientom BZ WBK okazała się wyjątkowo bolesna.
Przeczytaj też: Wyjątkowo perfidne e-maile. Nie są od Allegro!
Jak donosi Niebezpiecznik.pl od piątku użytkownicy banku zaczęli zgłaszać utratę sporej ilości gotówki - 10 tysięcy złotych lub większej. Ofiary otrzymywały wcześniej e-mail kierujący do, jak się później okazało, fałszywej strony BZ WBK.
Od: BZ WBK24 <rozne@adresy.e-mail>
Data: 06.05.2016 15:59 (GMT+01:00)
Temat: Blokada rachunku BZWBK
Data: 06.05.2016 r.
Dostęp do Twojego konta BZWBK został zablokowany!
W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie BZWBK24 internet, powodem jest nieautoryzowany dostęp do konta. W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na:
www.bzwbk.pl/weryfikacja
[link prowadził do: hxxp://centrum24.pw/?email=email@ofiary.pl]
Serdecznie pozdrawiamy,
Zespół Bank Zachodni WBK S.A.
W przypadku jakichkolwiek pytań prosimy o kontakt z Infolinia 1 9999
Fałszywa strona BZWBK Fot. za Niebezpiecznik.pl
Podobnie jak w przypadku innych ataków phishingowych użytkownicy zostali poproszeni o podanie numeru użytkownika i hasła w celu odblokowania konta. Kto dał się nabrać przekazywał swoje dane przestępcom.
W jaki sposób byli oni jednak w stanie wykraść pieniądze, skoro każda transakcja potwierdzana jest zwyczajowo kodem SMS?
Okazuje się, że Bank wyłączył dodatkową autoryzację dla swojej usługi Przelew24. Miało to ułatwić zakupy w sklepach internetowych.
Kiedy jednak konto zostało przejęte przez przestępców ci mogli dokonywać transakcji kupując np. bitcoiny na giełdach.
Katarzyna Prus-Malinowska, dyrektor bankowości mobilnej i internetowej w Banku Zachodnim WBK, w rozmowie z Niebezpiecznikiem przyznała, że przestępcy wykorzystali lukę spowodowaną wyłączeniem autoryzacji usługi Przelew24. Ponownie ostrzegła użytkowników bankowości elektronicznej przed sposobem działania przestępców.
Bank systematycznie informuje o konieczności ochrony danych do logowania, prowadzi akcje informacyjne, w których prosi, aby zachowali ostrożność i posiadali ograniczone zaufanie w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linków kierujących na stronę internetową banku. Linki mogą prowadzić do fałszywej strony, która ma wyłudzić dane do logowania. Przypominamy, że nie prosimy nigdy o podawanie jakichkolwiek danych w wiadomoście-mail lub SMS.
Wyłączenie zabezpieczenia może budzić pewne kontrowersje - w dobie rosnącej cyberprzestępczości wydaje się nierozsądne, szkoda, że bank wpadł w ogóle na pomysł takiego ułatwienia życia swoim klientom.
Straty wynoszą kilkaset tysięcy złotych. BZ WBK postanowił przywrócić autoryzację przelewów. Nie zamierza jednak oddawać utraconych pieniędzy automatycznie - poszkodowani muszą składać reklamacje, które będą rozpatrywane indywidualnie. Może okazać się, że bank uzna iż nie odpowiada za działania przestępców i skoro klient sam przekazał im hasło, to sam musi ponieść konsekwencje finansowe.
Bank może długo opierać się przed zwróceniem straconej kwoty. Dlatego właśnie należy przywiązywać wielką wagę do kwestii bezpieczeństwa.