Dotąd zmorą bankowców - i ośmiomilionowej rzeszy osób korzystających z dostępu do konta przez internet - był głównie tzw. phishing, czyli prymitywne próby wyłudzenia od klientów haseł za pomocą fałszywych e-maili udających korespondencję z banku.
Po kliknięciu na link wskazany w takim e-mailu użytkownik trafia na podrobioną stronę banku - często o bardzo podobnym adresie do oryginalnego (np. mbamk.pl zamiast mbank.pl - przykład teoretyczny). Jeśli ktoś nieopatrznie próbuje zalogować się na takiej stronie, nieświadomie przekazuje oszustowi login i hasło do konta.
Do niedawna ulubionym "obiektem" ataków fałszywymi e-mailami byli klienci Citibanku. "Gazeta" opisywała próby wyłudzeń haseł od nawet kilkuset klientów banku. Powód? Citibank jako jeden z ostatnich, dopiero w ostatnich tygodniach, wprowadził dodatkowe zabezpieczenie w postaci jednorazowych haseł SMS-owych, którymi klient potwierdza przelewy.
Banki, w których hasła jednorazowe funkcjonują od dawna, zapewniają klientów, że ignorowanie podejrzanej korespondencji gwarantuje bezpieczeństwo. A nawet jeśli oszust z pomocą fałszywego e-maila zdobędzie hasło i login do konta, to i tak nie przeleje pieniędzy na swoje konto.
Wirus zamiast e-maila
Okazuje się, że bankowcy nie mają w pełni racji. W Polsce pojawiły się już wirusy, które bez wiedzy użytkownika przekierowują go na fałszywą stronę, gdy tylko wpisze on w przeglądarce adres banku. Złodziej nie musi więc już wysyłać e-maila, licząc na nieostrożność posiadacza konta.
Taka przygoda zdarzyła się ostatnio panu Markowi, klientowi PKO BP korzystającemu z dostępu do konta za pomocą Inteligo. - Gdy chciałem zalogować się, po podaniu identyfikatora i hasła zamiast strony z moimi rachunkami zobaczyłem taką, na której bank prosi mnie o podanie pięciu nieużywanych haseł jednorazowych! - relacjonuje nasz czytelnik.
Strona była łudząco podobna do "prawdziwej" strony logowania Inteligo. Co więcej, adres w okienku przeglądarki Internet Explorer informował, że czytelnik jest na właściwej stronie banku!
Nasz czytelnik zapewnia, że nie odpowiadał na żaden podejrzany e-mail, fałszywa strona wyświetliła się po wpisaniu w przeglądarce IE adresu banku.
Pan Marek natychmiast zadzwonił do PKO BP i zapytał, czy to możliwe, by bank prosił o podanie "hurtem" kilku haseł jednorazowych. - To wykluczone - usłyszał.
- Prześwietliłem komputer programem antywirusowym. Pomogło. Ale teraz korzystam z dostępu do konta tylko przez telefon komórkowy. Telefonów wirusy się tak często nie imają - opowiada czytelnik.
Niebezpieczne wirusy
- Wygląda na to, że ktoś wykorzystał starą lukę w Internet Explorer, która pozwala zamaskować rzeczywisty adres strony - tłumaczy Robert Dąbroś, specjalista ds. bezpieczeństwa w firmie McAfee. Choć Microsoft wypuścił łatkę, która usuwa problem, to wciąż zdarzają się takie próby. Ci którzy nie zaktualizowali swojej przeglądarki, nadal są narażeni na ataki.
Czy korzystanie z innych przeglądarek niż IE chroni nasze pieniądze? Niekoniecznie. Oszust może tak zarazić komputer, że nie ma znaczenia, z jakiej przeglądarki korzysta użytkownik. Zawsze zostanie przekierowany na fałszywą stronę, choć przeglądarka będzie wyświetlała informację, że jesteśmy na stronie o właściwym adresie.
Jak to możliwe? Złodziej może podmienić w naszym komputerze (np. za pomocą wirusa) plik, który "sprawdza" adres każdej strony, którą chcemy odwiedzić. Komputer nie będzie wówczas pytał serwera o prawidłowość adresu, tylko od razu będzie wchodził na fałszywą stronę.
Drugi sposób to atak na bazę danych, której używa dostawca usług internetowych. Gdyby oszustowi udało się podmienić np. adres strony www.inteligo.pl na serwerach TP, wówczas każdy użytkownik Neostrady, który wklepałby adres banku, trafiłby na stronę oszusta. - Do tej pory mieliśmy trzy takie zgłoszenia, jedno dotyczyło dużej firmy świadczącej usługi dostępu do internetu - mówi Dąbroś.
Banki ostrzegają: bądźmy podejrzliwi!
Ile groźnych wirusów krąży po Polsce? Banki nabierają wody w usta. Dąbroś mówi, że jeszcze dwa lata temu taki atak traktowany był jako coś zupełnie wyjątkowego, a dziś McAfee, które obsługuje głównie wielkie korporacje (w tym finansowe), ma już kilka takich zgłoszeń na kwartał.
Niektóre banki już ostrzegają klientów przed złośliwymi wirusami. Na głównej stronie Pekao24 umożliwiającej zdalny dostęp do pieniędzy klientom Banku Pekao zamieszczono niedawno taki komunikat: "Informujemy, że logowanie nie wymaga podania kodów z listy kodów jednorazowych". Czy to oznacza, że bank miał zgłoszenia klientów o wyłudzaniu haseł jednorazowych? - Nie, ale znamy kilka takich przypadków z innych banków. Prewencyjnie ostrzegamy klientów - mówi Robert Moreń, rzecznik Pekao.
Jak się bronić przed plagą wirusów? - Stosować aktualny program antywirusowy oraz firewall. Przy logowaniu sprawdzić, czy w prawym dolnym rogu okna przeglądarki pojawiła się zamknięta kłódka - znak, że strona jest szyfrowana - wylicza Marek Kłuciński, rzecznik PKO BP.
Bankowcy zalecają klientom podejrzliwość przy korzystaniu z dostępu do pieniędzy przez internet. - Każdemu, kto w nietypowej sytuacji zostanie poproszony o hasło jednorazowe, choć wcześniej bank go nie wymagał, powinna zapalić się w głowie czerwona lampka - uczulają.
