13.06.2015 | 21:17

Adam Haertle

Jak okradziono klienta Plus Banku, który nie odzyskał swoich pieniędzy

Jeden z klientów Plus Banku, duża firma zajmująca się pośredniczeniem w płatnościach, została w bardzo sprytny sposób okradziona przez włamywaczy. Niestety do tej pory firma nie otrzymała zwrotu skradzionych środków.

Jedną z ofiar ataku włamywaczy na serwer Plus Banku okazała się być firma działająca na rynku pośredników płatności elektronicznych (nazwijmy ją firmą X). Przedstawiciel firmy opowiedział nam historię ataku i próby odzyskania straconych pieniędzy pod warunkiem zachowania anonimowości. Historia jest na tyle interesującą, ze postanowiliśmy ją opisać bez ujawniania, o jaką firmę chodzi.

Jak okraść konto znając tylko login i hasło

Przestępcy atakujący konta bankowości elektronicznej od dawna stoją przed tym samym problemem – jak okraść konto, posiadając wyłącznie login i hasło użytkownika. Powiecie pewnie – niemożliwe! A jednak włamywaczom, którzy na serwerach Plus Banku podsłuchali login i hasło firmy X, ta sztuka się udała. Okradli firmę na 35 tysięcy złotych. Jak tego dokonali?

Firma X zajmuje się zwiększaniem łatwości i tempa obrotu pieniężnego w kraju. Posiada swoje rachunki w każdym banku i umożliwia płatności natychmiastowe – klient wpłaca środki na rachunek w jednym banku, a firma wypłaca je ze swojego rachunku w innym banku na konto docelowe. Pomysł prosty i skuteczny, służy także często do realizowania płatności za zakupy. To właśnie wykorzystali przestępcy.

Złodzieje najpierw podsłuchali login i hasło konta firmy X. Następnie poobserwowali historię przelewów i dokonali zakupów internetowych na kwotę około 35 tysięcy złotych w sklepach, w których płatności obsługiwała firma X. Następnie skorzystali z faktu, ze firma X posiadała w Plus Banku dwa rachunki, z których jednego nie używała. Przelali zatem odpowiednią ilość środków z jednego rachunku na drugi (przelewy między rachunkami nie wymagają dodatkowej autoryzacji) nadając przelewowi tytuł podobny do wcześniejszych transakcji na tym rachunku. Następnie zwrócili tę kwotę na główny rachunek za pomocą przelewów o odpowiednich tytułach.

Wpłaty klientów firmy identyfikowane są automatycznie na podstawie tytułów przelewów. Włamywacze nadali zatem odpowiednie tytułu przelewom na odpowiednie kwoty i wysłali je na główny rachunek firmy z jej drugiego rachunku. Automaty firmy zaksięgowały transakcje, ponieważ w Plus Banku dla przelewów wewnętrznych bank nie udostępniał w danych transakcji numeru rachunku nadawcy. Zazwyczaj wszystkie banki to robią i system firmy X mógłby zidentyfikować przelewy jako fałszywe – ale Plus Bank takich danych nie udostępniał.

Wpłaty zostały zaksięgowane, system wysłał potwierdzenia do sprzedawców, sprzedawcy wysłali towar klientom i otrzymali swoje środki od firmy X. Problem odkryła prawie natychmiast bieżąca kontrola sald, ale firma X nie mogła długo dojść do tego, jak dokonano oszustwa. Mimo posiadania rachunków w wielu bankach nigdy nie spotkała się z taką sytuacją. Podejrzewała nawet pracownika w oddziale banku, ale wątpliwości rozwiał włamywacz, który przesłał firmie opis przeprowadzonego oszustwa. Początkowo firma nie chciała w to uwierzyć, ale szybko potwierdziła przebieg wydarzeń na podstawie zapisów w swoich systemach.

Reakcja Plus Banku

Atakujący – mimo próśb firmy X – nie zwrócił skradzionych środków, zatem firma złożyła do Plus Banku reklamacje. Do tej pory – a minął już prawie miesiąc – nie zostały one rozpatrzone. Jak mówi przedstawiciel firmy:

Jestem wysoce zdegustowany poziomem ignorancji zarządu PlusBanku. Jedyną odpowiedź, jaką otrzymaliśmy od banku, to taka, że środki znajdują się na naszym koncie i żaden przelew zewnętrzny nie został zrealizowany. To prawda, co nie zmienia faktu, że nieautoryzowaną ingerencje w przelewy wewnętrzne zrealizowaliśmy zamówienia na 35tys PLN. Dodatkowo do naszego rachunku był przypisany nikomu nieznany nowy pełnomocnik… Którego można było usunąć jedynie w oddziale.

Dla kontrastu zacytujmy ostatnie oświadczenie banku:

W związku z mediowymi doniesieniami, dotyczącymi bezpieczeństwa danych pragniemy poinformować, że pieniądze Klientów PlusBanku były i są bezpieczne. […] Żaden z Klientów Banku nie poniósł uszczerbku finansowego.

Bardzo współczujemy firmie X, ponieważ wygląda na to, ze czeka ją długi proces cywilny z bankiem. W związku z incydentem firma wdrożyła kolejne procedury identyfikacji i weryfikacji przelewów, by uniknąć podobnej sytuacji w przyszłości. Na szczęście kwota 35 tysięcy złotych nie jest poważnym obciążeniem jej budżetu – ale niesmak pozostaje.

Deser

Na deser chcieliśmy poinformować, że w sieci ciągle, kilka miesięcy po włamaniu, są publicznie dostępne dwa serwery należące najwyraźniej do firmy, która jest autorem witryny WWW Plus Banku, przeznaczone do prac nad tą witryną. Na serwerach tych można znaleźć zarówno kopię produkcyjną strony (obecnie wyświetlającą komunikat o błędzie wraz z loginem i hasłem do bazy danych) oraz wersję deweloperską. Gratulujemy.

Komunikat z błędem

Komunikat z błędem

Powrót

Komentarze

  • 2015.06.13 21:23 sklerk

    Co za prostaki w tym PlusBanku siedzą, jak ja się cieszę że nie mam tam konta.

    Odpowiedz
  • 2015.06.13 21:27 Ja

    Bluemedia ?

    Odpowiedz
    • 2015.06.14 14:18 maslan

      Najpierw tak pomyślałem bo to jedyna firma od przelewów szybkich, ale potem tak sobie pomyślałem że to równie dobrze może być np. PayU bo oni mają szybkie przelewy z każdego banku, sprzedawców (allegro!) itd. No ale tym razem w przeciwieństwie do pierwszego artykułu gdzie naprawdę można było wywnioskować jaki bank (wykop chyba pierwszy się ogarnął bo ma duży zasięg) możemy tylko domniemywać w dodatku nie ma to znaczenia tak naprawdę, jakakolwiek to firma, życzę powodzenia w odzyskiwaniu kasy :)

      Odpowiedz
  • 2015.06.13 21:32 Art

    Tak w sumie to trochę mi szkoda PlusBanku. Pewnie każdy ma podobny bajzel u siebie, a trafiło akurat na nich :-)

    Odpowiedz
    • 2015.06.13 22:27 cm

      Aż takiego bajzlu to nigdzie nie ma.

      Odpowiedz
      • 2015.06.14 14:23 maslan

        Pracowałem w jednym z naprawdę dużych i powiem że jest blisko ;)

        Odpowiedz
      • 2015.06.14 14:57 amras

        Jest, potwierdzone empirycznie, retail na około 100 punktów w kraju.

        Odpowiedz
      • 2015.06.14 19:30 maslan

        Ja jeszcze dodam parę słów, ja tam pracowałem a lubię być uczciwy w dodatku trochę doświadczenia mam. Informowałem o możliwych usprawnieniach, oraz błędach bezpieczeństwa swojego pracodawcę (szefa itd.) – mają wy.ebane. Nikt się nie przejął, bo zatrudniają nieudaczników, którzy nie pozwalają niewygodnym faktom (zamiast się przyznać i poprawić) pójść wyżej w hierarchii firmy. Dopiero mimo braku pozwolenia (wolę być uczciwy i praworządny niż nie podpaść szefowi) musiałem pójść i pokazać wyżej, to była lekka awantura, trudno mój dział dostał ale co ja poradzę….

        Jakby to powiedzieć, więc jak ma być lepiej? Jak znam życie to w plus banku też było paru takich pracowników co wiedziało o tym, a nawet mówiło swoim przełożonym. Tyle że praca w banku to stan umysłu…..

        Odpowiedz
        • 2015.06.15 13:04 qqq

          Dobrze zrobiłeś. Trzeba mieć charakter aby być uczciwym.

          Odpowiedz
  • 2015.06.13 21:37 Właśnie

    właśnie,
    kto pisał soft do plus banku? to nie jakiś soft pudełkowy przypadkiem?

    Odpowiedz
    • 2015.06.13 22:25 s

      W przypadku banków nie ma czegoś takiego jak pudełkowy soft. To są zbyt duże, customowe i ważne systemy by można było sobie na coś takiego pozwolić. Do tego dochodzą wiekowe elementy systemu oparte na technologiach mających nawet po kilkadziesiąt lat. Spotkałem się też z podsystemami tworzonymi przez zewnętrznych dostawców i te faktycznie mogą być „pudełkowe”, gdy wiele banków korzysta z tego samego rozwiązania.
      Konkretów pisać nie będę, obowiązuje mnie tajemnica. Pracowałem kiedyś w banku i powiem tyle – wszędzie znajdą się błędy i uchybienia, ale takiego bajzlu jaki pokazał nam teraz Plus Bank sobie po prostu nie wyobrażam.

      Odpowiedz
      • 2015.06.14 09:49 M.

        Jasne, że jest pudełkowy soft. Np. def2000 od Asseco i Internet banking od Novum.

        Odpowiedz
        • 2015.06.14 10:38 s

          OK, nie wiem jak to wygląda w innych bankach. Ja pracowałem w dużym banku gdzie zdecydowana większość softu była własnej produkcji.

          Odpowiedz
    • 2015.06.14 00:10 Ajek

      Symulator bankowości internetowej deluxe.

      Odpowiedz
  • 2015.06.13 21:48 Ty221

    Uśmiałem się! PlusBank – gratulujemy!

    To hasło przecież można łatwo w Google znaleźć. Z3S musicie lepiej obfuskować te screeny…

    Odpowiedz
    • 2015.06.13 22:48 Dr.Watson

      Chociaż by path do plików :) /home/users/pb/public_html i masz w google pierwszy wynik :) btw hostować się w kei… lame :D no to teraz agencja interaktywna ma do zjedzenia niezłą hotchilli :D

      Odpowiedz
      • 2015.06.14 11:12 turrysta

        Znikło już. Pan developer najwyraźniej czyta z3s ;-)
        Ciekawe ile Google będą to w cache trzymać.

        Odpowiedz
      • 2015.06.15 15:11 Robert

        Katastrofa. Takie systemy to powinni testować na wewnętrznym serwerze. Nie mówiąc już o tym że nie wiedzą do czego .htaccess służy? Ale w ogóle to mnie nie dziwi, ostatnio poprawiałem klientowi stronę po jakiejś dużej agencji… to co było w środku nie da się opisać słowami – cisną się na klawiaturę takie znaczki z pod shifta.

        Odpowiedz
    • 2015.06.13 23:28 dolb

      Jak obfuscować screeny przecie żeby tego na google nie wyłapać po publikacji, to trzebaby co drugą literkę wyświetlać – to już lepiej nic nie wrzucać. To, że mają wystawiony serwer deweloperski na zewnątrz woła się o pomste do nieba – każdy wie, że takie głębokie ukrycie to o kant dupy rozbić. Poza tym, żeby errorów nie łapać / używać domyślnych ustawień webserwera – no sami się prosili :D

      Odpowiedz
  • 2015.06.13 21:51 MarcinB

    Skoro podsłuchiwali hasła to skad mieli do nieużywanego rachunku??!

    Odpowiedz
    • 2015.06.13 22:21 Adam

      Hasło było do konta, a na koncie dwa rachunki. Używany i nieużywany.

      Odpowiedz
  • 2015.06.13 21:55 handlarz bydłem

    Tak to jest jak środki trzyma się w MinusBanku ;-P

    Odpowiedz
  • 2015.06.13 22:16 Lik

    Hmmm z opisu wynika, ze blad nie byl po stronie banku, ale po stronie softu firmy X, bo on nie zwerydikowal nadawcy… I puscil dalej przelewy. I jeszcze co do tego ma bank jak to wszystko dzieje sie na kontach firmy X?

    Odpowiedz
    • 2015.06.13 22:20 Adam

      A hasło do konta to skąd złodziej miał?

      Odpowiedz
      • 2015.06.14 10:31 lik

        Z opisu i wyjasnien banku wynika, ze „finalna” kasa zostala przelana przez automat firmy X i to wszystko dzialo sie pomiedzy rachunkami firmy X.

        Jak ja zapuszcze sobie jakies narzedzie dla moich ranchunkow i cos sie stanie, to czyj by to byl blad?
        Oczywiscie inna kwestia jest samo wlamanie do systemu bankowego itd.

        Odpowiedz
        • 2015.06.14 14:25 maslan

          Hasło do konta, typie Bank dał d**** całkowicie, uważasz że to będzie twój problem jeśli hasło do konta komuś „wyda” twój bank?

          Odpowiedz
    • 2015.06.13 22:33 s

      A w jaki sposób firma X miała zweryfikować nadawcę? Mogli jedynie sprawdzić czy przelew nie idzie z ich własnego rachunku i zapewne takie zabezpieczenie po tym incydencie wdrożyli.
      Błąd był po stronie banku, bo włamywacz nie złamał zabezpieczeń firmy X tylko złamał zabezpieczenia banku i dzięki temu mógł się zalogować na konto firmy X i wykonywać przelewy między jej rachunkami.

      Odpowiedz
    • 2015.06.13 23:03 xbartx

      Jeżeli ktoś przeleje Ci pieniądze między Twoim kontami bez Twojej zgody i wiedzy, to rozumiem nie jest to wina banku tylko Twoja?

      Odpowiedz
      • 2015.06.14 18:25 Jarek

        jesli masza konto firmowe i 2 rachunki to swobodnie możesz robic przelewy miedzy nimi za free i od „kopa”

        Odpowiedz
  • 2015.06.13 22:59 ToJa

    Ou, Code Igniter?

    Odpowiedz
  • 2015.06.13 22:59 Michał El

    Wydaje mi się że w całej tej sytuacji z PlusBankiem, jedyną osobą z honorem jest (paradoksalnie) włamywacz. Nie popieram jego działań ale mimo wszystko należy mu się szacunek za to jak postępuje w tej sytuacji.

    Odpowiedz
  • 2015.06.13 23:09 Przemek

    Code Igniter jako system bankowy? bosze…

    Odpowiedz
  • 2015.06.13 23:35 RaV

    W obsługiwanych bankach BlueCash (Bluemedia) nie ma Plus Banku (ani Invest Banku), PB jest obsługiwany raczej przez:
    „Serwis Przelewy24 jest jednym z wielu serwisów internetowych poznańskiej Grupy DialCom24, w ramach której PayPro SA – Agent Rozliczeniowy prowadzi system autoryzacji i rozliczeń”

    Odpowiedz
  • 2015.06.14 00:06 Piotr

    Ja na swoje pieniądze czekałem 6 miesięcy i pewnie tylko dlatego je dostałem bo zostały pobrane z konta (karta kredytowa) pomimo limitu dziennego. Inna sprawa to po co limity które nie są respektowane (bodajże transakcja offline).

    Odpowiedz
    • 2015.06.15 08:36 Przemysław

      Limity są respektowane, tylko jeżeli jest transakcja offline, to na jakiej zasadzie terminal ma sprawdzić czy został osiągnięty limit? Na karcie nie jest to zapisywane, to bank zwraca odpowiedź, że limit osiągnięty…

      Odpowiedz
      • 2015.06.18 10:39 Znawca

        Limity SĄ zapisywane na karcie dla użytku offline. A przynajmniej mogą :)

        Problem jest taki, że banki z zasady nie wgrywają tego „na czipa” dopóki ktoś ich nie zmusi. Zapewne taniej jest raz na jakiś czas oddać kasę, niż bawić się w programowanie kart.

        Druga sprawa, że zmiana danych „na czipie” jest możliwa tylko przy wykonywaniu transakcji stykowych – więc jeśli zawsze zbliżasz, to ani zmiana limitów, ani blokada karty nigdy nie zostanie na niej zapisana. Tym sposobem mam kartę zastrzeżoną dwa lata temu (w wyniku kradzieży CVC), która nadal działa offline (jednakże! prawie wszystkie punkty przestawiły się już na transakcje zbliżeniowe online)

        Odpowiedz
  • 2015.06.14 00:53 Bprog

    Czy KNF nie reguluje tego typu apkety techniczne jak zabezpieczenia takich stron? Z tego co widzę to parę regulacji KNF dla banków zostało w tym przypadku złamane.

    Odpowiedz
  • 2015.06.14 04:22 Zryp

    plusbank.pl gdzie jest login i hasło do bazy to tylko strona „wizytówka” banku, jej wykonanie zostało zlecone firmie hotchili i wyrzucili ją na swój serwerek w kei. Włamanie na w/w stronkę poza stratami wizerunkowymi banku raczej nic nie dawało. Jedynie co przychodzi mi do głowy na szybko to albo podrzucenie tam jakiegoś trojana, albo podmiana linka loguj, albo zamiana nr telefonu mogła coś delikatnie namieszać. Cała zabawa ze znikaniem pieniędzy działa się na plusbank24.pl i raczej nigdy nie dowiemy się na ile błędy programistów hotchili mogły przyczynić się do wyjebki, choć na 99% to zupełnie dwa odrębne serwisy.
    Patrząc jednak na skalę i sposób przedstawiania faktów podejrzewam, że włamanie miało miejsce głównie na plusbank24.pl – część bankowości elektronicznej poza infrastrukturą hotchili, a strona wizytówka firmy plusbank.pl poleciała na fali (zapewne to jakiś gotowość typu wordpress, joomla, etc).
    Czytając aktualności na hotchili widać taki wpis z przed roku „Obecnie przygotowujemy elektroniczne formularze zakładania rachunków bankowych i lokat. A to dopiero początek :)” może rzeczywiście admini plusbank byli na tyle głupi, że dali hotchili jakieś api do swojej wewnętrznej infrastruktury (aby mogli zakładać konta, etc) i przez proste włamanko na gówno stronkę wizytówkę włamywacz uzyskał możliwość wejścia w część plusbank24.pl.

    Odpowiedz
  • 2015.06.14 08:00 MESSIAH

    Wy się podniecacie taką gówno burzą? Po pierwsze żadna duża firma pośrednicząca która by została okradziona z pieniędzy nie rozmawiałaby z płotkami pokroju trzeciastrona.pl tylko z mediami z górnej półki. Wiadomo że na zmyślaniu się zarabia.

    Odpowiedz
    • 2015.06.14 10:29 adam

      Sęk w tym,że żadna duża firma medialna nie chce o tym z nikim gadać.
      Kruk krukowi…

      Odpowiedz
  • 2015.06.14 09:03 jk

    To dobre case-study dla firm zajmujących się pośrednictwem płatności. Zaleciłbym również nieakceptowanie przelewów z wszystkich swoich kont w innych Bankach – jeśli są na liście zaufanych odbiorców. No i oczywiście zmiana hasła do bankowości.

    Odpowiedz
  • 2015.06.14 10:57 m

    Jeden z deweloperów podpytuje nawet na forum php xD co za bieda

    Odpowiedz
    • 2015.06.14 19:02 handlarz bydłem

      Zniszczyłeś mnie tym tekstem xD /o/

      Odpowiedz
  • 2015.06.14 14:04 e

    A na czym polega wina banku? W tej sytuacji zawiodły mechanizmy u klienta. Nie doszło do włamania do banku, jak bank miałby odróżnić użycie właściwego loginu i hasła od niewłaściwego? Pieniądze też nie też nie opuściły banku, jest to tylko sprawa między złodziejem a operatorem szybkich płatności.

    Odpowiedz
    • 2015.06.14 17:02 Rozbawiony

      Pier… o Szopenie.

      Odpowiedz
    • 2015.06.14 19:33 maslan

      Chyba nie znasz kontekstu. Złodziej miał dostęp do konta operatora płatności bo bank był źle zabezpieczony, i to przez bank wyciekły dane logowania.

      Ciekawe czy byś był taki cwany jakbyś też stracił dane, i np. złodziej złośliwie zerwał by ci fundusz inwestycyjny, straciłbyś np. karnie 90% wkładu. Nadal sprawa między tobą a złodziejem?

      Odpowiedz
    • 2015.06.14 20:08 anonim641

      Wina banku polega na nieświadomym udostępnieniu loginu/hasła złodziejowi.

      Odpowiedz
      • 2015.06.15 13:00 jw

        Albo przelewał w te i we wte z konta złotówkowego na walutowe, aż zejdzie z saldem do zera (koszty przewalutowania)

        Odpowiedz
  • 2015.06.14 21:05 Paweł

    Jakby ktoś chciał pomóc to szukają teraz administratora IT :D

    http://www.pracuj.pl/praca/administrator-it-warszawa,oferta,3967730

    Odpowiedz
    • 2015.06.15 07:57 stefan

      Jeden z wymogów:
      – wykształcenia minimum średniego (kierunek informatyczny),
      Obstawiam, że dają 1300 netto na start :P

      Odpowiedz
  • 2015.06.15 10:06 Josh

    Ja rozumiem, żeby bank, ale prywatnego klienta który nic nie zrobił :/

    Odpowiedz
  • 2015.06.15 11:10 azr

    błąd leży po części po każdej ze stron.

    (ale najważniejsze jest to, że udało się dostać do nie hashowanych!!! haseł klientów banku co pozwoliło na zalogowanie się do portalu bankowości)

    osobiście tworzyłem podobny system (automatycznego księgowania wpłat) dla powiedzmy branży zbliżonej do finansowej:
    1) analityk po podaniu wymagań od klienta, bardzo szybko wychwycił lukę w takim rozumowaniu
    2) system został zaprojektowany z możliwością definiowania kont 'zabronionych’
    3) klient po uruchomieniu serwisu, nie dość że wpisał wszystkie konta techniczne do filtrów – to dodatkowo, gdyby to nie zadziałało, zarejestrował fikcyjnego użytkownika na portalu wpisał te konta tworząc drugą linie wyłapywania.

    Można? można!
    system działa z sukcesem n-ty rok i pomimo nawet jakiś błędów w banku źle księgowane przez nich przelewy są wyłapywane przez system.

    Odpowiedz
  • 2015.06.15 12:20 Stefan

    NBP, KNF itd. powinni postarać się o natychmiastowe odebranie licencji bankowej dla Plus Banku, którego działania zagrażają środkom zgromadzonym przez klientów Plus Banku.

    Odpowiedz
  • 2015.06.15 16:32 jj

    w artykule mamy: „Złodzieje najpierw podsłuchali login i hasło konta firmy X.”
    pytanie zasadnicze, gdzie podsłuchali – czy były to informacje zdobyte w wyniku głośnego ostatnio wycieku danych klientów, czy też wsadzili jakiegoś trojana firmie X.
    tak na prawdę, to z artykułu nie wynika jednoznacznie jak do tego doszło.
    w mojej opinii jeśli dane logowania zostały uzyskane w wyniku wycieku, to bank ma obowiązek naprawić wszystkie szkody wynikające z tego faktu, natomiast jeżeli doszło do tego drugiego zdarzenia, czyli dane logowania zostały podsłuchane w firmie X, to nie mają oni najmniejszych podstaw do żądania czegokolwiek – nie dość, że dali sobie ukraść login i hasło, to jeszcze nie zweryfikowali poprawnie przelewów

    Odpowiedz
    • 2015.06.15 20:17 Adam

      Podsłuchali na serwerze banku oczywiście.

      Odpowiedz
  • 2015.06.20 12:56 Krystyna

    Domyslam sie, ze firma, o ktorej tu mowa to dialcom zwiazany z przelewami24. Wlasnie zostalam w identyczn y sposob okradziona na spora sume. Bank nie poczuwa sie do odpowiedzialnosci. Wszystkich poszkodowanych w citi banku prosze o kontakt. [email protected]

    Odpowiedz

Zostaw odpowiedź do s

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak okradziono klienta Plus Banku, który nie odzyskał swoich pieniędzy

Komentarze