szukaj

27.11.2013 | 21:58

avatar

Adam Haertle

Nowy rodzaj ataku na konto bankowe – zagrożeni klienci PKO BP

Było już złośliwe oprogramowanie kradnące kody jednorazowe czy podmieniające numer konta w schowku. Okazuje się, że bank PKO BP nie wymaga od przestępców takiej kreatywności – znając login i hasło do cudzego konta też można je okraść.

Serwis bankier.pl opisuje nowy rodzaj ataku na cudze konto bankowe, polegający na podmianie numeru rachunku w danych zdefiniowanego odbiorcy. Problem wynika z przyjęcia przez bank założenia, że obowiązkiem klienta jest weryfikacja numeru rachunku przed zatwierdzeniem przelewu. Korzystają z tego przestępcy.

W praktycznie wszystkich już polskich bankach, by dokonać przelewu przez internet, trzeba podać jednorazowy kod dostępu (najczęściej przesyłany w wiadomości SMS). Przestępcy radzą sobie z tym w bardzo różny sposób. Ci bardziej zaawansowani technicznie tworzą oprogramowanie, które podmienia w locie stronę banku i nakłania użytkownika do zainstalowania na telefonie aplikacji, kradnącej kody jednorazowe lub wykonuje w tle inny przelew niż ten, który zlecił klient. Przestępcy o niższej wiedzy programistycznej tworzą konie trojańskie, które podmieniają numer rachunku w trakcie kopiowania go do schowka. Co jednak mają zrobić złodzieje, którzy jedyne, co potrafią, to ukraść login i hasło do cudzego rachunku?

W większości banków, posiadając jedynie te dane, mogą sobie obejrzeć saldo rachunku i historię zakupów użytkownika. Inaczej jednak sytuacja wygląda w banku PKO BP, którego interfejs nie wymaga podania hasła jednorazowego podczas próby zmiany numeru rachunku bankowego zdefiniowanego odbiorcy. Potwierdzenie kodem wymagane jest dopiero w momencie zatwierdzania przelewu. Ten świadomy wybór architektów systemu wykorzystują przestępcy. Przechwytują oni login i hasło użytkownika (PKO BP nie korzysta z hasła maskowalnego)  i korzystając z tych danych podmieniają numery rachunków zdefiniowanych odbiorców. Nieświadomy tego faktu użytkownik loguje się, wybiera odbiorcę i zatwierdza przelew, nie zwracając uwagi na zmieniony numer rachunku. Bankier.pl przytacza przykład przedsiębiorcy, który w czerwcu tego roku stracił w ten sposób 86 tysięcy złotych. Podobno ataki tego typu miały miejsce między sierpniem 2012 a czerwcem 2013.

Modyfikacja zdefiniowanego odbiorcy

Modyfikacja zdefiniowanego odbiorcy

Klient złożył reklamację w banku, jednak nie została ona uznana. Jak Pisze Bankier.pl, bank odpowiedział, że

W tej konkretnej sprawie kradzież środków, możliwa dzięki uzyskaniu a następnie posłużeniu się danymi do logowania do serwisu transakcyjnego przez osoby trzecie, była wynikiem nieprzestrzegania zasad bezpieczeństwa przez klienta. W tej sprawie nie było żadnej winy Banku. Weryfikacja poprawności danych realizowanego przelewu przed jego wysłaniem, w tym numeru konta odbiorcy, należy do klienta. Potwierdził on dane zlecanego przelewu indywidualnym narzędziem autoryzacyjnym

W tej sytuacji radzimy wszystkim klientom PKO BP, by nie korzystali z funkcji zdefiniowanego odbiorcy lub każdorazowo sprawdzali numer rachunku. Jeśli takie postępowanie uznacie za zbyt uciążliwe, zawsze możecie jeszcze zmienić bank. Nie sprawdzaliśmy całej oferty rynkowej, ale na przykład w mBanku definiowanie odbiorcy i modyfikacje tej definicji wymagają podania kodu jednorazowego. A jak jest w Waszym banku?

Dziękujemy użytkownikom naszego kanału irc #z3s (IRCNet) za pomoc w opracowaniu artykułu.

Powrót

Komentarze

  • avatar
    2013.11.27 22:02 Pekao SA

    W przypadku Pekao SA jest tak, że zdefiniowany oznacza zdefiniowany, a nie zmienny.

    Odpowiedz
    • avatar
      2013.11.28 12:18 Przemo

      ale można go zmienić zatwierdzając kodem jednorazowym (zawsze).
      można też ustawić żeby nie prosiło o kod podczas wykonywania przelewu do zdefiniowanego odbiorcy (wymaga kodu), ale mamy pewność gdzie te pieniądze się znajdą.

      Czyli zły chochlik wkradając się na konto, może obdarować odbiorców przelewów zdefiniowanych (tylko tych które użytkownik uznał, że nie potrzebują dodatkowej autoryzacji) pieniędzmi, ale sam na tym nie skorzysta.

      Odpowiedz
  • avatar
    2013.11.27 23:13 Piotr Bielecki

    W Inteligo, podobnie jak w mBanku, trzeba podać kod jednorazowy do zmiany zdefiniowanego przelewu. Mam nadzieję, że tego nie zmienią w ramach jednolitości z firmą matką.

    Odpowiedz
  • avatar
    2013.11.28 01:18 chesteroni

    Ja swego czasu też musiałem podać kod jednorazowy, a jestem w pko bp.
    Co zaś do haseł maskowanych – jak dla mnie to jest to narzędzie utrudniające korzystanie z konta i wbrew pozorom obniżające bezpieczeństwo – hasło trzeba znać na pamięć, nie można mieć randomowego w jakimś keepassie wygenerowanego i wklejanego na stronce logowania.

    Odpowiedz
    • avatar
      2013.11.28 09:28 anon

      Używam keepass, ale żeby trzymać w nim hasła do różnych stron, na których mam konta. Nie ufam mu jednak na tyle, żeby przechowywać tam hasło do banku.

      Odpowiedz
  • avatar
    2013.11.28 09:24 adf88

    „każdorazowe sprawdzanie numeru rachunku” ma taki sam sens w PKO BP jak i w innych bankach. Jeśli nie pyta nas o kod jednorazowy podczas wykonywania przelewu zdefiniowanego to też nie ma żadnej zmiany oczekującej na zatwierdzenie.

    Odpowiedz
  • avatar
    2013.11.28 09:25 Paweł

    W przypadku Citi rowniez kazda ingerencja w zdefiniowanego odbiorce wymaga potwierdzenia kodem z sms. Do dzis wydawalo mi sie to oczywiste…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowy rodzaj ataku na konto bankowe – zagrożeni klienci PKO BP

Komentarze