Jak bankowi złodzieje szybko dostosowali się do zmian w logowaniu

dodał 18 września 2019 o 12:05 w kategorii Info, Socjo  z tagami:
Jak bankowi złodzieje szybko dostosowali się do zmian w logowaniu

Od ostatniej soboty każdy z użytkowników polskich banków internetowych loguje się do nich trochę inaczej. Dodatkowy kod SMS lub zatwierdzenie w aplikacji miały poprawić bezpieczeństwo. Czy poprawiły?

Do tej pory złodziej, który ukradł nasz login i hasło do banku mógł zajrzeć do naszego rachunku, poczytać historię przelewów przychodzących i wychodzących, zobaczyć, ile zarabiamy, gdzie kupujemy pietruszkę, zapłacić rachunek za prąd na następne 30 lat – ale nie mógł ukraść pieniędzy, nie mogąc odczytać kodu z SMS-a lub kliknąć za nas w aplikacji banku. Nowa unijna regulacja postanowiła życie złodziejom utrudnić – od 14 września potrzebują kodu z SMS-a lub potwierdzenia z aplikacji już do logowania do rachunku – tak samo jak my, prawowici użytkownicy.

To w ogóle złodziejom nie przeszkadza

Tak jak się spodziewaliśmy, wdrożenie nowych mechanizmów logowania nie stanowiło istotnej przeszkody dla złodziei. Od lat znają już sposoby wyłudzania kodów SMS (w końcu bez nich nie mogliby nic ukraść) i po prostu musieli dodać nowe pola do swoich formularzy wyłudzających informacje od nieświadomych niczego ofiar. To, czego nie przewidzieliśmy, to to, że zajmie im to aż 4 dni. Jak się jednak okazuje, nawet w Pakistanie (bo tam często wynajmowani są deweloperzy narzędzi polskich złodziei) proces wdrożenia zmian kilka chwil zajmuje.

Przykładowe wdrożenie PSD2 u złodzieja

Ofiara otrzymuje SMS-a, z którego wynika, że powinna dopłacić 1,16 PLN do przesyłki kurierskiej. Klika w link i ląduje na odpowiednio spreparowanej stronie złodzieja.

Jeśli nadal jest przekonana, że należy kontynuować „płatność” (a wiele osób, szczególnie używając smartfona, nie patrzy na pasek adresu), wybierze swój ulubiony bank.

Jeśli ofiara jest klientem Santandera, to wyląduje na odpowiednio przygotowanej witrynie udającej ten właśnie bank.

Zostanie tam poproszona o NIK (identyfikator klienta).

Następnie strona poprosi o PIN (hasło).

Po czym – wdrażając silnie uwierzytelnienie – strona złodzieja poprosi o kod SMS. Otrzymawszy te dane złodziej może już zalogować się do banku zamiast klienta. Ofiara, nawet jeśli przeczyta SMS-a, zobaczy, że faktycznie loguje się właśnie do banku.

Pozostaje jeszcze przekonać klienta, że faktycznie opłaca przesyłkę.

I wyłudzić od niego drugi kod z SMS-a. Osoby, które skopiują na stronie kod autoryzacyjny, nie czytając pełnej treści drugiego SMS-a, padną ofiarą złodzieja.

Złodziejowi pozostaje podziękować za udany atak. Sformułowanie jest trochę niezręczne – zapewne autor strony nie mówi po polsku, a zamawiający nie zdążył jeszcze wprowadzić poprawek.

Wdrożenie trwa

Obserwacja działań przestępców pozwala nam stwierdzić, że proces dostosowania do PSD2 jest rozpisany na wiele etapów. Pamiętajmy, że dyrektywę muszą wdrożyć w kilkunastu bankach – to dużo trudniejsze, niż wdrożenie w jednej instytucji. Skutki takiego projektu widać np. w przypadku Aliora – programista najwyraźniej kopiował ekrany z wersji anglojęzycznej, a zamawiający nie zdążył wprowadzić odpowiednich korekt.

Z kolei w przypadku Getinu projekt nie wyszedł poza „lorem ipsum”.

Jesteśmy jednak przekonani, że za kilka, najdalej kilkanaście dni wszystkie strony złodziei będą już odpowiednio dopracowane. Zatem gdy przy najbliższej okazji przedstawiciele banków będą omawiać efekty wdrożenia PSD2, mogą wspomnieć, że wdrożenie było tak pełnym sukcesem, że nawet złodzieje przerobili już swoje witryny. Można skorzystać przy okazji ze zrzutów ekranu zamieszczonych powyżej. Mamy ich o wiele, wiele więcej – jeśli zatem chcecie, byśmy przyjechali sami opowiedzieć (i pokazać!), jak złodzieje kradną pieniądze, to wiecie, gdzie nas szukać.