USA: bank oskarżony o niedopilnowanie pieniędzy klienta

Władze amerykańskiego miasta Poughkeepsie oskarżyły lokalny bank o to, że stosując nieodpowiednie i przestarzałe zabezpieczenia systemu bankowości internetowej umożliwił przestępcom oczyszczenie miejskiego konta z blisko 400 tys. USD. Wiadomo już, że pieniądze zostały przesłane na konta zarejestrowane na Ukrainie.

Z informacji przedstawionych przez przedstawicieli miasta wynika, że z konta w banku TD Bank przestępcy nielegalnie podjęli w sumie 378 tys. USD. Pieniądze wykradano stopniowo, w czterech kolejnych transzach (w sumie prób było 9 - ale tylko cztery udane) - każdy przelew przesyłany był na inne konto w jednym z ukraińskich banków. Cała operacja trwała niespełna dwa dni.

Urzędnicy odkryli kradzież prawie 24 godziny po ostatnim przelewie - natychmiast powiadomili o tym bank, policję, Federalne Biuro Śledcze oraz Secret Service. Bankowcy próbowali anulować przelewy i w jednym przypadku im się udało (na konto miasta wróciło już 95 tys. USD).

Na razie ani śledczy, ani przedstawiciele banku nie zdradzają, w jaki sposób przestępcy zdołali wykraść pieniądze (władze Poughkeepsie nie odpowiedziały na pytania przesłane przez naszych kolegów z amerykańskiego Computerworlda). Ale najbardziej prawdopodobnym scenariuszem wydaje się przejęcie - za pomocą oprogramowania szpiegowskiego - haseł i loginów do e-konta. Ta wersja jest o tyle realna, że w wielu mniejszych amerykańskich bankach funkcjonują dość prymitywne mechanizmy zabezpieczania transakcji (nie wdrożono tam m.in. haseł jednorazowych) - dzięki temu zdobycie loginu i hasła do konta umożliwia nieautoryzowane przelanie pieniędzy na dowolne konto. Warto wspomnieć, że to kolejna podobna sprawa w USA - kilka tygodni temu przestępcy z Włoch i Rumunii w taki właśnie sposób ukradli 800 tys. USD firmie Hillary Machinery.

W oświadczeniu wydanym przez Urząd Miejski Poughkeepsie winą za kradzież obarczono bank, który - zdaniem urzędników - powinien uznać niespodziewane przelewy znacznych kwot na konta w ukraińskich bankach za podejrzane i zwrócić się do klienta z prośbą o zweryfikowanie transakcji. "Uważamy za skandal to, że wszystkie te przelewy zostały zaakceptowane przez bank bez najmniejszych zastrzeżeń" - napisano w dokumencie. Władze miasta są też rozczarowane postawą banku podczas wyjaśniania całego incydentu - bankowcom zarzucono, że w ciągu minionych trzech tygodni nawet wybrali się do miasta na spotkanie z władzami Poughkeepsie.

Przedstawiciele TD Bank są zdecydowanie bardziej ostrożni - na razie nie wypowiadają się szerzej na temat kradzieży, ale zapowiadają, ze gdy tylko stosowne służby zakończą dochodzenie, to ujawnione zostaną dodatkowe informacje. "Uważamy, że na tym etapie śledztwa nie powinniśmy spekulować o możliwych przyczynach tego incydentu" - mówi rzecznika banku.

Avivah Litan, specjalistka z firmy Gartner Inc, twierdzi, że to wydarzenie jest kolejnym dowodem na to, że wiele amerykańskich banków wciąż nie wdrożyło nawet najbardziej podstawowych systemów zabezpieczania kont i transakcji. "Dla banku wdrożenie takich mechanizmów powinno być priorytetem i nie rozumiem, jak taka instytucje może działać bez zdefiniowania podstawowych zasad oceniania wiarygodności transakcji. To nie jest fizyka atomowa - wystarczy określić procedury postępowania w przypadku przelewów zagranicznych" - komentuje przedstawicielka Gartnera.

Zdaniem Litan, liczba podobnych ataków na amerykańskie firmy i instytucje będzie rosła - dlatego banki powinny stworzyć kompleksowe systemy zabezpieczające przed kradzieżą pieniędzy z e-kont. "Istnieje wiele prostych i łatwych do wdrożenia zabezpieczeń, które można wprowadzić przed wysublimowanymi systemami wykrywania przestępstw - i to nimi powinni w pierwszej kolejności zająć się bankowcy. Ale klienci też mają lekcję do odrobienia - oni muszą zrobić wszystko co w ich mocy, by zabezpieczyć się przed złośliwymi aplikacjami wykradającymi hasła i loginy" - dodaje Avivah Litan.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200