Jak donosi "Głos Szczeciński", który poinformował o sprawie, złodzieje przygotowywali się do kradzieży przez kilkanaście miesięcy. Prawdopodobnie w tym czasie rozsyłali na masową skalę konie trojańskie do potencjalnych klientów banku.

Reszty scenariusza możemy się tylko domyślać, ponieważ ani poszkodowany bank ani policja nie udostępniły żadnych dodatkowych informacji.

Zobacz również:

• FBI ostrzega - masowy atak phishingowy w USA

Długie przygotowania, szybki phishing

Z dostępnych informacji wyłania się obraz operacji typowej dla międzynarodowych akcji "fiszerskich". Po zebraniu odpowiedniej ilości danych o kontach ofiar złodzieje w ciągu zaledwie tygodnia wytężonej pracy przetransferowali środki z kont ofiar na konta osiemnastu osób, zwerbowanych do tej operacji obietnicą prowizji. Ci z kolei przekazali pieniądze dalej, do złodziei, zapewne w gotówce Jest to najbardziej prawdopodobne ponieważ wszyscy oskarżeni są mieszkańcami Szczecina.

Łącznie ukradziono ponad 3 mln złotych. Według policji tak wysoka suma była jedynym powodem, dla którego bank zgłosił kradzież. Jak twierdzą policjanci, bank początkowo współpracował bardzo niechętnie, ujawniając tylko ułamek posiadanych informacji.

Według informacji uzyskanych przez Security Computerworld nieoficjalnie w środowisku bankowym, poszkodowanymi bankami były Citibank oraz Inteligo.

Jeśli ta informacja się potwierdzi, to więcej wątpliwości się pojawi niż wyjaśni. Inteligo i inne banki typowo internetowe od samego początku korzystały z list haseł jednorazowych, które teoretycznie powinny chronić przed nieautoryzowanymi transferami gotówki. Zapewne dlatego nasz rozmówca określił ten przypadek jako "trudny i tajemniczy".

"Zaprzeczamy doniesieniom jakoby z internetowych kont banku Inteligo wyprowadzono 3 mln zł. Nie jest również prawdą, że bank nie współpracował lub utrudniał jakiekolwiek postępowania związane z przestępczością internetową, prowadzone przez organy ścigania. W Inteligo nad zachowaniem bezpieczeństwa transakcji pracują wysokiej klasy specjaliści. Oczywiście próby włamań czy ataków zdarzają się, ale dotyczą one konkretnych użytkowników, nie zaś samej transakcyjnej platformy internetowej banku. Stale przypominamy klientom o zasadach bezpiecznego korzystania z usług bankowości internetowej" - komentuje Jarosław Augustowski, dyrektor rozwoju produktów Inteligo Financial Services SA.

Koniec kartek z hasłami?

Jednak, jak wiadomo, Polak potrafi. Hasło jednorazowe z kartki, najpopularniejsza obecnie metoda w polskiej bankowości elektronicznej, nie ma ustalonego czasu ważności więc można go przechwycić, wyświetlić klientowi podrobioną informację że przelew został wykonany, a następnie wykorzystać ukradzione hasło do zlecenia autentycznego przelewu na własne konto.

Inna możliwość do karty kredytowe, ale ze względu na długi czas zamrożenia pieniędzy przez firmę autoryzującą karty jest to metoda niepraktyczna dla złodziei. W interesie wszystkich banków oraz ich klientów byłoby opublikowanie informacji, w jaki sposób doszło do kradzieży i jak się przed tym bronić w przyszłości.

Polscy złodzieje za kratkami

Wspomniana kradzież miała miejsce w grudniu 2005, więc akcja policji i prokuratury była naprawdę szybka.

Około trzy miesiące temu w kilku polskich sieciach miały miejsce ataki typu DNS Cache Poisoning, przy pomocy których złodzieje przekierowywali klientów na strony udające stronę banku. W tym przypadku nikt nie został okradziony.

Około pół roku temu mieliśmy przypadek kradzieży ok. 200 tys. złotych, w którym poszkodowani byli podobno klienci BPH. Sprawcami byli mieszkańcy Rzeszowa, którzy zostali zatrzymani przez policję.

Na szczęście polskie banki nie mające żadnych dodatkowych zabezpieczeń konta poza stałym hasłem do logowania należą do mniejszości (obecnie jest to tylko Citibank).

W Polsce mimo wszystko całkiem nieźle

Mała ilość włamań do banków internetowych w Polsce oraz bardzo wysoka skuteczność policji we wszystkich tych przypadkach nastrajają jednak optymistycznie do polskiej bankowości internetowej.

Mimo wymienionych przypadków wyróżnia się ona bardzo pozytywnie na tle reszty Europy a tym bardziej Stanów Zjednoczonych, w których rocznie z banków internetowych kradnie się ok. 80 mln dolarów.