Kto ukradł moje pieniądze

Gdy przechowujemy pieniądze w banku zakładamy, że są bezpieczne. Mimo to, co jakiś czas zdarzają się jednak kradzieże, coraz częściej w erze e-bankowości. Dlaczego?

Gdy przechowujemy pieniądze w banku zakładamy, że są bezpieczne. Mimo to, co jakiś czas zdarzają się jednak kradzieże, coraz częściej w erze e-bankowości. Dlaczego?

Karty kredytowe, tak popularne w USA od lat 50. XX wieku, stanowią częsty cel przestępców. Pierwsze nie zawierały żadnych zabezpieczeń, wystarczyło znać numer karty i datę jej ważności, aby kupić coś na cudzy koszt. Wiele transakcji w USA jest autoryzowanych w taki sposób do dzisiaj. Bardzo ważnym krokiem w kierunku poprawy bezpieczeństwa transakcji było wprowadzenie kart elektronicznych, które były chronione kodem PIN.

Niestety niektóre z kart były przeznaczone dla bankomatów pracujących offline, zatem musiały posiadać zapisany na pasku magnetycznym, kryptograficzny skrót kodu PIN. Ponieważ kod ten był bardzo słabo szyfrowany, wystarczyło skopiowanie paska magnetycznego karty i odtworzenie PIN-u. W tym czasie banki uważały transakcje z użyciem kodu PIN za stuprocentowo pewne. Żaden z banków nigdy się do tego oficjalnie nie przyznał, ale tzw. skimming dotknął także polskich użytkowników kart płatniczych. Chociaż dzisiejsze karty płatnicze posiadają wiele zabezpieczeń, nadal kradzież pieniędzy przy użyciu karty jest stosunkowo prosta.

Karta pod lupą

Standardowe paski magnetyczne kart płatniczych posiadają zapisane trzy ścieżki, pełne zakodowanych informacji. Niektóre z nich odzwierciedlają informacje zapisane (lub wytłoczone) na karcie, szczegóły reguluje norma EN ISO/EC 7813:1996 (Karty transakcji finansowych). Złodzieje znają dokładnie rolę wszystkich trzech ścieżek zapisanych na pasku magnetycznym i nie stanowi dla nich problemu ani skopiowanie karty, ani zmiana jej właściwości (np. z karty debetowej na kredytową, która inaczej zachowuje się w niektórych terminalach). Wiele terminali i bankomatów odczytuje jedynie drugą ścieżkę, pomijając pierwszą, na której zapisane są informacje o danych posiadacza karty. Bardzo wiele podrobionych kart zawiera zapisaną jedynie drugą ścieżkę, bo tak jest prościej i szybciej. Niemniej pasek magnetyczny jest łatwy do skopiowania i nie stanowi dzisiaj żadnego zabezpieczenia.

Kod PIN, pełniący rolę zabezpieczenia tożsamości użytkownika, też nie jest bez wad. Złodzieje wykorzystują pomysłową technikę, polegającą na instalacji miniaturowej kamery albo nakładki na klawiaturę bankomatu, aby przechwycić wpisywany kod PIN. W tym samym czasie inne urządzenie odczytuje pasek magnetyczny karty płatniczej, całość informacji wysyłana jest bezprzewodowo do przestępcy opodal. Sukces wrocławskiej policji, która zatrzymała niedawno szajkę przestępczą kradnącą dane kart za pomocą takich narzędzi udowodnił ponad wszelką wątpliwość, że skimming z kradzieżą PIN-u jest w zasięgu polskich przestępców.

W dobie takich zagrożeń, tradycyjne zapisy w regulaminach usług bankowych, które stwierdzały, że transakcje przy użyciu prawidłowego kodu PIN nie podlegały reklamacji, odchodzą w przeszłość. Nie można bowiem przerzucać na klienta całości odpowiedzialności za bezpieczeństwo bankomatów. Wystawcy kart będą zmuszeni przestawiać się na inne rozwiązania.

Niebezpieczna samoobsługa

Samoobsługowa bankowość internetowa spowodowała rewolucję w dostępie do usług bankowych, ograniczyła konieczność wizyt w zatłoczonym oddziale, zdejmując jednocześnie wiele zadań z barków pracowników obsługi banku. Ponieważ zakłada ono połączenie zdalne, wymagane są odpowiednie narzędzia autoryzacji. Pierwsze portale transakcyjne zakładały logowanie się przy użyciu loginu i statycznego hasła. Drugie hasło było używane do potwierdzania przelewów. Niefrasobliwość banków, które polegały jedynie na szyfrowaniu za pomocą SSL, szła znacznie dalej. Portal transakcyjny polskiego oddziału Citibanku zezwalał na logowanie przy użyciu numeru karty i kodu PIN. Tak niski poziom zabezpieczeń nie miał w tym czasie precedensu w polskich warunkach (konkurencja na naszym rynku stosowała już tokeny i hasła jednorazowe oraz skuteczne zabezpieczenia proceduralne). Tego typu rejestracja do serwisu Citibanku jest możliwa do dziś.

Użytkownicy starszych wersji systemu eksploatowanego w banku BPH posiadali opcję składowania certyfikatu w magazynie banku, co praktycznie redukowało zabezpieczenie do drugiego, statycznego hasła. Do czasu wdrożenia haseł SMS, był to jeden z gorzej zabezpieczonych banków, bowiem nie chronił przed złośliwym oprogramowaniem zainstalowanym w systemie Windows. Dodatkowo przez długi czas zezwalał na logowanie przy użyciu przewidywalnego loginu (pierwsze litery imienia, nazwiska i cyfry). Program obecny w pamięci komputera mógł przejąć login i hasło pomimo jego maskowania, ukraść certyfikat, zarejestrować wciskane klawisze przy jego aktywacji hasłem, a następnie wysłać całość danych przez Internet. Wiele nielegalnych przelewów zostało wykonanych właśnie tą drogą. O analogicznych zdarzeniach donosiła np. 5 kwietnia 2008 r. Gazeta Wyborcza Kraków, ale podobnych kradzieży było znacznie więcej.

Te banki, które z żelazną konsekwencją stosowały dwuskładnikowe zabezpieczenie, często unikały tego typu ataków. Przykładem mogą być BGŻ i Pekao (tokeny challenge-response), mBank i Multibank (hasła jednorazowe, a później hasła SMS), Volkswagen Bank Direct i Toyota Bank (token RSA) czy PKO Inteligo (hasła jednorazowe w formie zdrapki).

Najsłabsze ogniwo

Niestety czasami nawet takie zabezpieczenia nie wystarczą, gdy w grę wchodzi czynnik ludzki. Obecne ataki kierowane przeciw nowoczesnym bankom internetowym wykorzystują głównie czynnik ludzki. Wysyłane są masowo wiadomości e-mail zawierające treść zachęcającą do zalogowania się do systemu w celu "odzyskania dostępu" lub "potwierdzenia danych" i kierujące na fałszywą stronę internetową imitującą logowanie do właściwego serwisu. Przestępcy liczą na to, że użytkownik dostarczy wszystkie informacje niezbędne dla dokonania nielegalnego przelewu środków z jego rachunku. W ten sposób okradziono ponad 20 kont ze szczecińskiego oddziału PKO BP. Jak informował 10 października br. rzecznik szczecińskiej policji Katarzyna Legan, sprawa ma charakter rozwojowy i prawdopodobnie proceder miał znacznie szerszy rozmiar.

Ponieważ transakcje finansowe w polskim systemie bankowym mogą zostać wyśledzone przez organy ścigania, przestępcy wykorzystują podstawione osoby zwane popularne "słupami" do realizacji przelewów za granicę (najczęściej na Ukrainę). Proponowane prowizje wynoszą kilka procent kwot. Mechanizm przestępstwa polega na posługiwaniu się kontami przez podstawione osoby, transferze kradzionych z kont pieniędzy na konto "słupa" i wyprowadzenie ich za granicę.

Czynnikiem ludzkim jest także działalność przestępcza pracowników banku lub współpraca z rzeczywistymi przestępcami. Takie zdarzenia rzadko wychodzą na jaw, ale wiadomo na pewno, że mają miejsce. Przykładem może być sprawa byłej pracownicy banku BPH Anety F., zatrzymanej w sierpniu 2007 r., która przywłaszczyła sobie co najmniej 2 mln zł. Niedawno zaś pracownik Lukas Banku przywłaszczył sobie pewne kwoty pieniędzy, kosztem jednego z klientów banku. Kradzieże tą drogą dokonywane są stopniowo, na stosunkowo niewielkie kwoty, przy czym wybierane są rachunki o dużych obrotach i bardzo dużej liczbie transakcji.

Nielegalna kopia

Skimming polega na skopiowaniu paska magnetycznego karty płatniczej bez wiedzy jej właściciela. Wytworzona w ten sposób kopia zachowuje się w bankomacie lub terminalu jak oryginał i będzie obciążała użytkownika oryginalnej karty. Skopiowanie karty jest możliwe w wielu miejscach - w placówkach handlowych i w bankomatach. Ten drugi sposób jest bardziej niebezpieczny, gdyż przestępca może przy pomocy kamery lub nakładki na klawiaturę poznać kod PIN. W placówce handlowej nie zawsze jest to możliwe, choćby dlatego, że są karty, które w sklepie są autoryzowane podpisem. Karty skopiowane przy pomocy skimmingu mogą posłużyć do nielegalnych zakupów towarów i usług oraz do pobrania pieniędzy z bankomatu. Jak podaje portal Policyjni.pl, w ubiegłym tygodniu schwytano dwoje obywateli Wlk. Brytanii, którzy pobierali pieniądze z polskich bankomatów przy użyciu sfałszowanych kart płatniczych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200