Strzeż konta jak oka w głowie

Przed kilkoma dniami dowiedzieliśmy się o zniknięciu pieniędzy z konta bankowego Lecha Wałęsy. W marcu odnotowano serię ataków na klientów bankowości internetowej BZ WBK, z kolei w czerwcu złodzieje próbowali ukraść pieniądze z kont PKO BP. Pod koniec maja na dwóch bankomatach w Łodzi wykryto nakładki kopiujące dane z pasków magnetycznych na kartach.

Z kolei w czerwcu działanie takich urządzeń wykryto w bankomacie w Warszawie. W większości tych przypadków potwierdza się zasada sformułowana przez Kevina Mitnicka, najsłynniejszego hakera komputerowego, który uważał, że to ludzie są najsłabszymi elementami systemów zabezpieczeń. Zawsze łatwiej złamać osobę niż rozwiązania technologiczne. Wszystko wskazuje, że w kradzieży pieniędzy byłego prezydenta uczestniczył jeden z pracowników banku. Przed tego rodzaju przestępstwem posiadacz konta nie ma się jak bronić. Może tylko liczyć, że banki w takich sytuacjach zwrócą skradzione pieniądze, tak jak zwróciły je byłemu prezydentowi. Ale nie jest to niestety reguła.

Innym atakom można już zapobiegać. Kradzieże przez Internet zwykle bazują na wykorzystaniu ludzkiej lekkomyślności. By wyprowadzić pieniądze z cudzego konta, trzeba znać numer klienta i PIN oraz hasła służące do potwierdzania przelewów. Cyberzłodzieje najczęściej pytają o takie dane za pośrednictwem e-maili, które sprawiają wrażenie wysłanych przez bank. Kto złapie się na haczyk, pretensje może mieć tylko do siebie. Banki podkreślają, że nie kontaktują się z klientami w ten sposób, a podawanie poufnych danych w odpowiedzi na jakąkolwiek wiadomość jest zabronione.

Wyrafinowany atak skierowano w czerwcu na klientów PKO BP. Przestępcy rozpowszechnili w Internecie oszukańczy program udający zupełnie inną aplikację. Gdy internauta go pobrał, później przy próbie zalogowania się w banku był przekierowywany na podstawioną stronę udającą PKO BP. Jednak i tu przydawał się rozsądek, bo fałszywa strona prosiła o podanie kilku haseł jednorazowych, gdy prawdziwy serwis banku żąda tylko jednego. – To pierwszy odnotowany przez nas tego typu atak w Polsce i zapewne nie ostatni – uważa Łukasz Nowatkowski, dyrektor techniczny firmy G DATA produkującej oprogramowanie antywirusowe.

Jego zdaniem dla laika ten atak był trudny do wykrycia. – Przestępcy obeszli zabezpieczenia techniczne, na stronie logowania widoczny był symbol zamkniętej kłódki, a certyfikat bezpieczeństwa był poprawny. Ochronę w takim przypadku zapewni program antywirusowy, który zablokuje instalację oszukującego oprogramowania – mówi Nowatkowski.

Także Andrzej Koweszko, dyrektor nadzorujący ryzyko operacyjne w ING Banku Śląskim, uważa, że racjonalnie zachowujący się internauci, którzy korzystają w swoich komputerach z aktualnych zabezpieczeń, bardzo rzadko mają kłopoty z cyberprzestępcami.

Cyberzłodzieje zwykle próbują wyłudzić dane klientów fałszując e-maile z banków

– Ataki bywają skuteczne, bo niektóre osoby odruchowo, bez zastanawiania się, podają dane, o które prosi przestępca. Incydenty z ostatnich miesięcy pokazują, że spośród kilku tysięcy zaatakowanych klientów, tylko od kilkunastu do kilkudziesięciu osób daje się nabrać na socjotechniczne sztuczki – twierdzi Koweszko.

Od lat zainteresowaniem przestępców cieszą się bankomaty. Próby wyrwania urządzenia ze ściany zdarzają się niezwykle rzadko, częściej celem ataku są karty. Za pomocą specjalnych urządzeń zamontowanych na bankomacie złodzieje kopiują pasek magnetyczny karty i podpatrują kod PIN. Andrzej Koweszko jest przekonany, że przy zachowaniu podstawowych zasad ostrożności korzystanie z kart płatniczych jest bezpieczne, ale zwraca też uwagę na postęp technologiczny.

– Do niedawna urządzenia, jakie przestępcy instalowali na bankomatach, były duże i łatwo widoczne. Dziś trzeba się dokładnie przyjrzeć, by zauważyć np. cienką nakładkę nałożoną na klawiaturę. Także urządzenia skanujące, montowane na otworze do wprowadzania karty, mają często grubość zaledwie 2 – 3 mm.

Jednak jest sposób, by poznać oszustwo. Wszystkie elementy bankomatów są wkładane od środka urządzenia. Jeżeli cokolwiek da się podważyć paznokciem i oderwać, nie może być oryginalną częścią – wyjaśnia Andrzej Koweszko. W przypadku kradzieży bądź skopiowania karty bank zobowiązany jest zwrócić stratę, jeśli przekracza równowartość 150 euro.