Ukradli 3 mln zł przez Internet

Przed sądem w Szczecinie toczy się sprawa kradzieży ponad 3 mln zł, które dwóch mieszkańców tego miasta "wyprowadziło" z jednego z internetowych banków działających w Polsce. Oskarżonych jest w sumie dwadzieścia osób, w tym osiemnaście, które pośredniczyły w przekazywaniu pieniędzy. Jak donosi Głos Szczeciński, złodzieje przygotowywali się do kradzieży przez kilkanaście miesięcy. Prawdopodobnie w tym czasie rozsyłali na masową skalę konie trojańskie do potencjalnych klientów banku. Reszty scenariusza możemy się tylko domyślać, ponieważ ani poszkodowany bank, ani policja nie udostępniły żadnych informacji.

Przed sądem w Szczecinie toczy się sprawa kradzieży ponad 3 mln zł, które dwóch mieszkańców tego miasta "wyprowadziło" z jednego z internetowych banków działających w Polsce. Oskarżonych jest w sumie dwadzieścia osób, w tym osiemnaście, które pośredniczyły w przekazywaniu pieniędzy. Jak donosi Głos Szczeciński, złodzieje przygotowywali się do kradzieży przez kilkanaście miesięcy. Prawdopodobnie w tym czasie rozsyłali na masową skalę konie trojańskie do potencjalnych klientów banku. Reszty scenariusza możemy się tylko domyślać, ponieważ ani poszkodowany bank, ani policja nie udostępniły żadnych informacji.

Długie przygotowania, szybki phishing

Z dostępnych informacji wyłania się obraz operacji typowej dla międzynarodowych akcji "fiszerskich". Po zebraniu odpowiedniej ilości danych o kontach ofiar złodzieje w ciągu zaledwie tygodnia przetransferowali środki z kont ofiar na konta osiemnastu osób, zwerbowanych do tej operacji obietnicą prowizji. Ci z kolei przekazali pieniądze dalej, do złodziei, zapewne w gotówce. Jest to najbardziej prawdopodobny scenariusz, ponieważ wszyscy oskarżeni są mieszkańcami Szczecina. Łącznie ukradziono ponad 3 mln zł. Według policji tak wysoka suma była jedynym powodem, dla którego bank zgłosił kradzież.

Banki typowo internetowe od samego początku korzystały z list haseł jednorazowych, które teoretycznie powinny chronić przed nieautoryzowanymi transferami gotówki. Zapewne dlatego osoby w branży bankowej określają ten przypadek jako "trudny i tajemniczy".

Hasło jednorazowe z kartki, najpopularniejsza obecnie metoda zabezpieczania transakcji w polskiej bankowości elektronicznej, nie ma ustalonego czasu ważności, więc można je przechwycić, wyświetlić klientowi podrobioną informację, że przelew został wykonany, a następnie wykorzystać ukradzione hasło do zlecenia autentycznego przelewu na własne konto. Inna możliwość kradzieży to wykorzystanie karty kredytowej, ale ze względu na długi czas zamrożenia pieniędzy przez firmę autoryzującą jest to metoda niepraktyczna dla złodziei. W interesie wszystkich banków i ich klientów byłoby opublikowanie informacji, w jaki sposób doszło do kradzieży i jak się przed tym bronić w przyszłości.

Wspomniana kradzież miała miejsce w grudniu 2005 r. Około trzy miesiące temu w kilku polskich sieciach miały miejsce ataki typu DNS Cache Poisoning, za pomocą których złodzieje przekierowywali klientów na strony udające stronę banku. W tym przypadku nikt nie został okradziony. Pół roku temu mieliśmy przypadek kradzieży ok. 200 tys. zł, w którym poszkodowani byli podobno klienci Banku BPH. Sprawcami byli mieszkańcy Rzeszowa, którzy zostali zatrzymani przez policję. Na szczęście polskie banki niemające żadnych dodatkowych zabezpieczeń konta poza stałym hasłem do logowania należą do mniejszości (obecnie tylko Citibank).

W Polsce mimo wszystko bezpiecznie

Mała liczba włamań do banków internetowych w Polsce i wysoka skuteczność policji we wszystkich tych przypadkach nastrajają jednak optymistycznie do polskiej bankowości internetowej. Mimo wymienionych przypadków, wyróżnia się ona bardzo pozytywnie na tle reszty Europy, a tym bardziej USA, gdzie rocznie z banków internetowych kradnie się ok. 80 mln USD.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200