PKO BP pod ostrzałem hakerów
Jak pokazuje ostatni „wyczyn” hakerów, nawet klienci banków nie mogą czuć się bezpiecznie. Dotychczas najbardziej „popularnymi” metodami na kradzież loginów i haseł do kont, a także kodów jednorazowych autoryzujących transakcję były keyloggery (zapisujące każde uderzenie w klawisze klawiatury) i podpięcie się pod niezabezpieczoną sieć wi-fi, z której klient korzysta (bądź „złamanie” hasła zabezpieczonej sieci). Jak wiadomo, wiedza hakerów nie stoi w miejscu, można by rzecz, że rozwija się wraz z rozwojem rozmaitych zabezpieczeń używanych przez banki czy inne instytucje.
Pomimo wszelkich starań jednemu z banków nie udało się ustrzec przed wpadką. Mowa tu o banku PKO BP, gdzie hakerzy wykryli poważną lukę w systemie, która umożliwiała zmianę numerów rachunków odbiorców zdefiniowanych. Co ciekawe, PKP BP nie wymaga jednorazowego hasła SMS, aby takiej zmiany dokonać. W praktyce wygląda na to, że każdy, mając odpowiednie dane do logowania, mógł podmienić numer rachunku na np. swój. Warto również zaznaczyć, że proceder ten trwał niespełna rok, bo od sierpnia 2012 roku do czerwca 2013 roku, dotykając tym samym kilku klientów banku, którzy stracili przez to wiele pieniędzy.
Przedstawiciele banku PKO BP w żadnym z przypadków nie uznali reklamacji tłumacząc tym, że wina leży po stronie klienta – nie zadbał należycie o bezpieczeństwo logowania, udostępnił komuś swoje dane do logowania, posiadał na swoim komputerze program do kradzieży danych, bądź też korzystał z ogólnodostępnej, nie zabezpieczonej hasłem (np. popularne hot spoty) sieci Wi-Fi, pod którą może podpiąć się każdy sprawny haker, zyskując tym samym dostęp do komputera ofiary.
Pomimo, że dokonanie wspomnianej wyżej zmiany numeru rachunku odbiorcy zdefiniowanego nie wymaga potwierdzenia go hasłem SMS, to wykonanie samego przelewu już tak. Oszukani klienci, przyjmując automatycznie, że operacja jest poprawna, i nie znając na pamięć numerów rachunków odbiorców swoich przelewów, potwierdzali przelew hasłem. Sam przelew niestety trafiał na konto oszustów.
AKTUALIZACJA (5 grudnia 2013 roku)
Poniżej publikujemy oficjalne stanowisko PKO BP w tej sprawie. Zachęcamy do lektury:
Tagi: PKO BP„System bankowości elektronicznej w PKO Banku Polskim odpowiada najwyższym standardom w zakresie bezpieczeństwa. Wykonywanie przelewów bankowych jest w PKO Banku Polskim, tak samo jak w innych bankach, oparte na 2 stopniowym systemie zabezpieczeń. Pierwszym poziomem są login i hasło, na drugim klient posiada możliwość wyboru pomiędzy kodem z karty kodów jednorazowych – „zdrapka”, sms-em lub tokenem. W naszym Banku wykonanie przelewu lub zmiana rachunku bankowego, na który wykonywany jest przelew, zawsze wymaga zatwierdzenia transakcji hasłem z 2 poziomu.
Moment użycia hasła z tego poziomu zależy od typu realizowanego zlecenia – w przypadku płatności i zleceń stałych zarówno ich definiowanie jak i zmiana rachunku wymaga wykorzystania hasła, w przypadku zdefiniowanego odbiorcy kod jest wykorzystywany do finalnego potwierdzenia każdej realizowanej transakcji. W przypadku przelewów jednorazowych zawsze transakcja jest finalizowana hasłem z drugiego poziomu. Pomimo różnic w procesie pomiędzy typami transakcji przy przelewie zewnętrznym klient zawsze używa hasła z drugiego poziomu, aby zrealizować lub zmienić parametry odbiorcy transakcji.
Każdy z banków może w inny sposób przeprowadzać potwierdzanie przelewów w serwisach transakcyjnych. W przypadku naszego Banku klient nie potwierdza zmiany danych w „Zdefiniowanych odbiorcach”, ale w momencie użycia tych danych do przelewu. Inaczej traktowana jest usługa „Lista płatności” – są to gotowe do realizacji przelewy. W tym przypadku każda ich modyfikacja wymaga kodu jednorazowego, bo z kolei ich realizacja nie wymaga już potwierdzenia kodem jednorazowym.
Warto pamiętać, że po zalogowaniu się do serwisu transakcyjnego klient otrzymuje informację o terminie ostatniego logowania, a zatem pojawienie się informacji o logowaniach, których nie dokonywał, powinno wzbudzić jego czujność i spowodować kontakt z bankiem.
Podobnie jak ewoluują metody stosowane przez przestępców internetowych, tak samo ewoluują sposoby zabezpieczeń w bankowości internetowej. O zagrożeniach związanych z korzystaniem z bankowości eklektronicznej oraz zasadach bezpiecznego z niej korzystania od lat informują i banki, w tym PKO Bank Polski, i Związek Banków Polskich. Polecam np. komunikat ZBP z 17 października, który jasno pokazuje, że klient korzystając z bankowości elektronicznej musi pamiętać o kilku istotnych rzeczach, o których pisaliśmy w poprzednim mailu, bo zastosowanie przez banki nawet najlepszych zabezpieczeń nie uchroni klienta, jeśli on o bezpieczeństwo nie zadba http://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci. Polecam uważnej lekturze ten tekst.”