O autorze
to blog o tym co mnie interesuje: o Łodzi, o ludziach z tego miasta, o podróżach, o smakowaniu, o jeździe na rowerze i pstrykaniu zdjęć - bez polityki i zbędnych celebrytów.
Punkt Widzenia
więcej na facebooku : punktwidzenia.natemat.pl

punkt.widzenia@wp.pl

m phishing bank

-Mogę Cię podpisać z imienia i nazwiska ? -A nie może być Ewa B. ? -Może, ale to nie Ty ukradłaś, tylko Ciebie okradli.. -No właśnie, ludzie myślą, że się dałam, bo jestem głupia .. -Nie jesteś. Ktoś Cię oszukał, albo bank, albo hakerzy... No właśnie, kto ?

Ewa, szefowa oddziału dużej ogólnopolskiej firmy. Codziennie podpisuje nowe kontrakty, wydaje dziesiątki poleceń, zatrudnia pracowników i kontroluje obroty firmy tak, by przypadkiem nie spadały. Nie spadają. Generalnie daje radę. Prywatnie również wydaje się osobą ogarniętą.



Wrześniowy wtorek. Przed południem. Ewa w pracy. Potrzebuje doładować dziecku telefon. „Wchodzi“ na swoje konto w mbanku. Z komputera firmowego, w pełni zabezpieczonego, z w pełni legalnym oprogramowaniem. W górnym pasku przeglądarki wpisuje tylko pierwszą literę i wyskakuje jej adres, z którego się loguje za każdym razem, gdy potrzebuje zajrzeć na swoje prywatne rachunki.

Tym razem napisał do niej sam mbank. Duży komunikat o tym, że w wyniku pomyłki na jej konto zaksięgowano błędnie przelew, że bank prosi, by zwrócić go do nadawcy, w przeciwnym razie zostanie zablokowany dostęp do konta i wyciągnięte konsekwencje prawne. Tu następuje seria artykułów prawa bankowego, na których to bank opiera swoją dosyć stanowczą prośbę.

Ewa, pomiędzy rozmową z jednym a drugim klientem, w przerwie między negocjacjami, sprawdza stan swojego konta. Faktycznie jest nadpłata. 9,900 zł. Nadawca się zgadza z podanym w komunikacie od banku. Odsyła pieniądze.

Ale, żeby wykonać przelew zwrotny musi najpierw wpisać kod, który dostaje sms’em z banku na prywatny telefon. Standardowa procedura.

I tym razem wszystko zadziałało jak zwykle. Przychodzi sms, Ewa wpisuje podany kod, wykonuje przelew i po sprawie.

Tak przynajmniej myśli do następnego dnia gdy zagląda na konto ponownie. Tym razem zamiast nadpłaty... ubytek i to spory. Z konta Ewy zniknęło równo 9,900 zł. Nie ma wątpliwości, że padła ofiarą oszustwa..

Kontaktuje się z bankiem. Później policją i prokuraturą. Dowiaduje się, że to nie pierwszy taki przypadek. Bank odpowiada natychmiast- phishing. Padła Pani ofiarą hakerów. Po prostu. Niezabezpieczony komputer, nielegalne oprogramowanie, wirus i bum, hakerzy ukradli Pani pieniądze. Bank nie jest zainteresowany wyjaśnianiem sprawy, jego przedstawiciele tłumaczą, że to zadanie policji. Nie ma opcji „błąd banku“.

Sprawdzam dokładnie phishing, czyli całe zło, które okradło Ewę. Wikipedia pisze: Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której spamerzy wzajemnie się rozpoznawali. Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji.

Ewa nikomu nie podawała żadnych haseł, nie była o to proszona. Nikt nie próbował wyłudzić od niej żadnych danych, żadnych loginów, żadnych numerów telefonów.
Druga wersja podawana przez bank to: “koń trojański” okradł Panią Ewę. Internetowy szkodnik potrafi modyfikować treść wyświetlanej strony w taki sposób, że wygląda ona, jakby była częścią serwisu internetowego banku.

Firmowy komputer Ewy nie wyhodował żadnego konia trojańskiego ani innego szkodnika. Jest bezpieczny jak złoto w szwajcarskim banku.

Załóżmy jednak, że tak się stało. Że bank ma rację i Ewa padła ofiarą hakerów.
Skąd jednak Ci mieli jej numer telefonu, na który standardowo wysłano kod potwierdzający dyspozycję przelewu?

Numery telefonów klientów, na które wysyłane są kody posiada tylko bank. Ponoć są pilnie strzeżone. I słusznie, bo to dosyć ważne ogniwo w łańcuszku pt. bezpieczeństwo. Nie ma ich na indywidualnej stronie rachunku klienta. Jeśli więc hakerzy nawet złamali zabezpieczenia, i dostali się do prywatnego konta Ewy, nie mieli szans znaleźć tam numeru telefonu. To skąd go mieli?

Rzecznik prasowy mbanku, do którego wysłałam zapytanie odpisał:
”zgodnie z prawem bankowym, nie udzielamy informacji na temat sytuacji finansowej poszczególnych klientów banku”.

Informacja wyczerpująca, fakt. Od rzecznika spodziewałam się więcej.
Szukam informacji na stronach banku. Odpowiedzi też jakby brak.

Pytam znajomą, która kiedyś pracowała w mbanku. Potwierdza, na indywidualnych rachunkach internetowych nie widnieją numery telefonów poszczególnych klientów. Ale mają do nich dostep np. wszyscy pracownicy call center. Jakieś kilkaset osób.
Czy oby nie wypłynęły dane klientów? Nie wiadomo, bo bank nie udziela żadnych odpowiedzi.

Zaraz po przygodzie Ewy, na stronie banku pojawiły się komunikaty, ostrzeżenia, przestrogi. I słusznie.

Zamiast jednak winić klienta, jego komputer i hakerów może najpierw warto zacząć od siebie I własnych wewnętrznych zabezpieczeń. Zwłaszcza, że to nie pierwsza taka przygoda w tym banku…

-Wiesz, z drugiej strony to dobrze, że Ci nikt dziecka nie porwał, nie odciął Ci pociąg nogi… To tylko pieniądze.

-Jasne, mam dwójkę dzieci, i One naprawdę się przydają...
Trwa ładowanie komentarzy...