20.11.2017 | 06:58

Piotr Siemieniak

Indywidualne numery rachunków bankowych w ZUS i możliwe scenariusze ataków

Z reguły ostrzegamy Was przez trwającymi właśnie atakami. Tym razem mamy okazję ostrzec przed atakami, które jeszcze się nie pojawiły – ale jest spora szansa, że już za miesiąc będziecie mogli na nie trafić w swoich skrzynkach – nie tylko pocztowych.

W większości obserwowanych przez nas ataków przestępcom chodzi głównie o pieniądze i właśnie wokół pieniędzy i procesów z nimi związanych kręci się świat internetowych oszustów. Szczególnie lubią oni sytuacje, które dotyczą dużych grup obywateli i wiążą się ze zmianami lub nowościami – wtedy przestępcy czują, że są w stanie wykorzystać niepewność swoich ofiar i je okraść. Taka okazja nadarzy się im już wkrótce – bo w styczniu 2018.

Wprowadzenie

Od dnia 1 stycznia 2018 roku każdy przedsiębiorca zobowiązany jest do korzystania z indywidualnego numeru rachunku składkowego w Zakładzie Ubezpieczeń Społecznych. Na ten numer przedsiębiorcy będą wykonywać łącznie jeden przelew na ubezpieczenia społeczne, ubezpieczenia zdrowotne, Fundusz Pracy, Fundusz Gwarantowanych Świadczeń Pracowniczych i Fundusz Emerytur Pomostowych. Kwota zadeklarowana w przelewie ma zostać automatycznie podzielona na ubezpieczenia i fundusze w oparciu o wysokość składek, które zostały określone w ostatniej deklaracji rozliczeniowej płatnika. Z dniem 31 grudnia 2017 roku obecne konta ZUS zostaną zamknięte i dokonywanie przelewów na te numery  będzie niemożliwe. To istotna zmiana dla każdego polskiego przedsiębiorcy i świetna okazja dla przestępców.

Akcja informacyjna dotycząca indywidualnego numeru rachunku

Indywidualny numer rachunku zostanie przesłany listem poleconym za pośrednictwem Poczty Polskiej. Co znajdzie się w korespondencji przesłanej przez ZUS? Przede wszystkim informacja o rachunku do rozliczeń z ZUS, informacja o e-składce oraz informacja o jednolitym pliku kontrolnym (JPK_VAT). W przypadku dokonania przelewu na nieprawidłowy rachunek bankowy przedsiębiorca nie może liczyć na ochronę ze strony Zakładu Ubezpieczeń Społecznych. Oznacza to, że na przedsiębiorcy ciąży obowiązek dochowania należytej staranności w procesie wykonywania przelewów. W sekcji pytań i odpowiedzi dotyczących e-składki (ZUS e-składka w Pytaniach i Odpowiedziach) możemy przeczytać o tym, że w przypadku otrzymania wpłaty po terminie ZUS pobierze należne odsetki i po prostu należy zwrócić szczególną uwagę na to, czy został wpisany poprawny numer rachunku bankowego.

Możliwy scenariusz ataku

Podszycie się pod ZUS i wysłanie do przedsiębiorców listu wskazującego „nowy numer rachunku ZUS” wydaje się najprostszym atakiem, lecz nie jest trudno go uprawdopodobnić. Do końca roku tego rodzaju atak nie ma większego sensu, ponieważ pierwsze przelewy na nowe numery rachunków będą wysyłane dopiero w 2018. Do tego momentu wszyscy przedsiębiorcy powinni już swój list od ZUSu otrzymać. Co zatem mogą zrobić przestępcy?

Oszuści mogą wysyłać np. informacje o zmianie wskazanego w poprzednim liście numeru rachunku. W celu podniesienia wiarygodności kampanii w treści korespondencji mogą zawrzeć nie tylko ogólnodostępne dane przedsiębiorcy, lecz również jego indywidualny numer rachunku bankowego do rozliczeń z ZUS. Skąd jednak atakujący może pobrać indywidualny numer rachunku bankowego przedsiębiorcy wykorzystywany do rozliczeń z ZUS?

There’s an app for that

Uzyskanie indywidualnego numeru rachunku jest możliwe za pomocą narzędzia, które jest udostępniane przez Zakład Ubezpieczeń Społecznych. Portal eskladka.pl umożliwia wygenerowanie prawidłowego numeru rachunku bankowego dla każdego płatnika w oparciu wskazanie dwóch identyfikatorów. W pierwszej grupie zostały wyodrębnione identyfikatory, takie jak NIP, REGON, PESEL, dowód osobisty, paszport. Natomiast w drugiej grupie zostały wyodrębnione identyfikatory obejmujące NIP, REGON, PESEL, dowód osobisty, paszport, imię i nazwisko, nazwa skrócona płatnika. Oznacza to, że wystarczy publicznie dostępny nr NIP i REGON przypisany do przedsiębiorcy, by wygenerować prawidłowy nr jego rachunku ZUS.

Z pomocą mogą przyjść dane, które są zawarte w publicznych rejestrach – Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) oraz w Krajowym Rejestrze Sądowym (KRS).

Wrzucanie danych z rejestrów do systemu eskladka.pl może być czasochłonne i uciążliwe dla atakującego oraz trudne do automatyzacji ze względu na obecny kod CATPCHA. Dlatego też istnieje możliwość przygotowania się do ataku w wersji „dla leniwych”, która będzie polegała na samodzielnym wygenerowaniu prawidłowego numeru. Do utworzenia prawidłowego numeru rachunku dla większości ofiar atakujący potrzebuje wyłącznie informację o Numerze Identyfikacji Podatkowej. Indywidualny numer rachunku poza dwucyfrową liczbą kontrolną składa się z 11 cyfrowej stałej, 3 cyfrowej liczby uzupełniającej (najczęściej 001) oraz Numeru Identyfikacji Podatkowej.

Ostrzeż swojego księgowego

Czy tego typu ataki na przedsiębiorców zostaną przeprowadzone? Nie jest to wykluczone i taki wektor ataku jest prawdopodobny. Podobne ataki były już przeprowadzane w przeszłości. Jak zatem upewnić się, że posiadany numer rachunku jest prawdziwy? Indywidualny numer rachunku ma ściśle określoną konstrukcję, na którą należy zwrócić uwagę. Numer wskazany przez przestępców raczej nie będzie zawierał naszego NIPu.

Konstrukcja indywidualnego numeru rachunku bankowego w ZUS. Źródło: http://www.zus.pl/eskladka

Warto poinformować osoby odpowiedzialne za dokonywanie przelewów do Zakładu Ubezpieczeń Społecznych o formie przekazywania informacji o rachunku oraz konstrukcji indywidualnego numeru. Informacja ta może być szczególnie wartościowa dla osób, które dopiero rozpoczynają prowadzenie działalności gospodarczej lub w przyszłości zamierzają otworzyć własną firmę.

Powrót

Komentarze

  • 2017.11.20 07:26 patryk b

    Sam fakt że nowy numer indywidualny do ZUSu dostałem pocztą mnie zirytował. I to nie poleconym a normalnie wrzuconym listem do skrzynki. Przecież każdy jełop mógł sobie wyskrobać to z mojej skrzynki. No do cholery. ZUS i jakiekolwiek bezpieczeństwo danych nie idą w parze.

    Odpowiedz
    • 2017.11.22 20:11 marek b

      no tak, i ktoś by mógł zapłacić składkę ZUS za Ciebie…. Masakra

      Odpowiedz
    • 2017.11.25 15:37 ktoś

      Dlatego należy do ZUS zgłosić adres kontaktowy w postaci skrytki pocztowej dodatkowo wyrażając wolę, że nie życzysz sobie wysyłania listów zwykłych w żadnej sprawie ze względu na ochronę twojej prywatności i bezpieczeństwo. A nie irytują cię listy coroczne z wysokością składek a tym samym ktoś kto je przeczyta dowie się ile dokładnie zarabiasz na miesiąc?

      Odpowiedz
  • 2017.11.20 08:14 Dawid

    Oszuści już działają. Wysyłają poczta podrobione listy z ich numerami kont. Oryginalne pismo z ZUSu ma znak wodny. P.S info z biura rachunkowego…

    Odpowiedz
    • 2017.11.25 18:33 Bart

      Dostałem bez znaku wodnego. Numer potwierdziłem na platformie PUE ZUS. Czyli z tym znakiem wodnym = bzdura

      Odpowiedz
  • 2017.11.20 08:46 maciek

    1) Dlaczego liczba mnoga w tytule? opisany zostal tylko jeden „scenariusz ataku”
    2) Tak naprawde „scenariusz ataku” to nie scenariusz tylko wektor ataku. Scenariusz nadal pozostaje ten sam.

    Odpowiedz
  • 2017.11.20 09:40 Kingu

    Oto państwowy monopol w pełnej krasie:
    „W przypadku dokonania przelewu na nieprawidłowy rachunek bankowy przedsiębiorca nie może liczyć na ochronę ze strony Zakładu Ubezpieczeń Społecznych” […] „W przypadku otrzymania wpłaty po terminie ZUS pobierze należne odsetki”

    Odpowiedz
    • 2017.11.22 00:16 OkropNick

      Dokładnie. Nieznoszę tych drani z całej wątroby.

      Odpowiedz
  • 2017.11.20 10:37 kk

    „Numer wskazany przez przestępców raczej nie będzie zawierał naszego NIPu.”
    No niestety ale może zawierać NIP, regon a nawet numer telefonu. W praktycznie każdym banku za odpowiednią dopłatą można otrzymać rachunki wirtualne, i wtedy to właściciel takiej puli może praktycznie dowolnie decydować co się znajdzie na ostatnich pozycjach w numerze konta. W ten sposób działają wszystkie większe firmy, mają jedno konto do którego jest podpięta określona pula rachunków wirtualnych. Faktyczne księgowanie na kontach klientów odbywa się w systemie księgowym firmy, a nie w banku.

    Odpowiedz
  • 2017.11.20 12:07 czesław

    Na czym mialby polegac taki atak skoro bank z którego korzysta ZUS jest znany, numer NIP jest niepowtarzalny i zawarty w numerze każdego indywidualnego r-ku.

    Odpowiedz
    • 2017.11.20 20:23 wer

      Jak nie zauważysz, że bank jest dziwny. Miejmy nadzieję, że systemy bankowe sobie z tym poradzą.

      Odpowiedz
  • 2017.11.20 14:03 MatM

    Dlatego dużo lepszym rozwiązaniem byłoby poinformowanie przedsiębiorców pocztą o nowych zasadach oraz o adresie URL generatora nadzorowanego przez ZUS tak aby każdy SAMODZIELNIE wygenerował sobie taki numer. Nie wiem jaki jest procent przedsiębiorców z dostępem do internetu ale skoro i tak będą musieli wysyłać JPK_VAT to pewnie mają, a ci nieliczni, którzy nie mają lub nie muszą mieć mogą sobie przedzwonić na infolinię ZUS i uzyskać numer analogowo. Czasem proste rozwiązania są najlepsze.

    Odpowiedz
  • 2017.11.20 19:58 M

    Czy nie uważacie że to banki powinny automatycznie podpowiadać poprawny numer rachunku do przelewów składek na ZUS dla rachunków firmowych dla których przecież mają podaną informację o NIP przedsiębiorcy?

    Odpowiedz
  • 2017.11.20 20:46 krytykantka

    Kretynizmem jest sam fakt, że istnieją numery REGON i numery PESEL. Zwłaszcza ten ostatni jest bardzo problematyczny, bo jest niezmienialny. Raz wycieknie i można śledzić daną osobę we wszystkich pozostałych bazach danych.

    Odpowiedz
    • 2017.11.25 16:01 Arisa

      Przecież ten numer powstał właśnie do śledzenia. I dlatego jest niezmienialny. W teorii możesz wyrzucić wszystkie identyfikatory i dowody i udawać że nie wiesz skąd się wziąłeś. To daje jakąś szansę na nowy pesel imię i nazwisko, pod warunkiem, że po publikacji twojego zdjęcia w telewizji nikt cię nie wskaże. No i taki wypad tylko w innym mieście i po podróży pod kapturem, w ciemnych okularach i po zmianie ubioru w miejscu wolnym od kamer.

      Odpowiedz
  • 2017.11.20 21:50 Asen

    Fałszywy list.
    Dzień później doniesienie o przestępstwie, najlepiej z drugim listem.
    Dzień później weryfikacja doniesienia w ZUS (nawet telefonicznie).
    Dzień później wniosek o blokadę fałszywego konta i powiązanych.
    Czy Państwo może dbać o swój autorytet? Może.

    Odpowiedz
    • 2017.11.25 16:02 Arisa

      Czy żyjesz w utopii czy w prawdziwym świecie? Zoperować raka też da się w 2 dni, a kto to w Polsce robi?

      Odpowiedz
  • 2017.11.21 22:32 Obserwator

    Niewielkie to zagrożenie.

    Jeżeli za wszystkie błędy urzędników odpowiada płatnik, to i tak trzeba odwalić spacerek do ZUS po taki numer, żeby dostać podpis pieczątkę, nazwisko i rysopis urzędnika, który udzielił infomacji.

    Inaczej nawet w oficjalnym liście może być zły numer z powodu tzw „komputer się pomylił” i jak myślicie, kto jest odpowiedzialny w takim wypadku?
    Potem ten numer uzyskany w ZUS można sprawdzać w różnych miejscach w internecie.

    Poza tym wychodzi też inne kretyństwo, jeśli jest nowy numer do płatności, to czemu program płatnik nie pobierze tego numeru automatycznie?

    pzdr

    Odpowiedz
    • 2017.11.22 23:03 adamh

      Nic się nie zaczęło na razie, nikt nie pokazał takiego pisma oszustów.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Indywidualne numery rachunków bankowych w ZUS i możliwe scenariusze ataków

Komentarze