Nowy rodzaj ataku na konto bankowe – zagrożeni klienci PKO BP

dodał 27 listopada 2013 o 21:58 w kategorii Info  z tagami:
Nowy rodzaj ataku na konto bankowe – zagrożeni klienci PKO BP

Było już złośliwe oprogramowanie kradnące kody jednorazowe czy podmieniające numer konta w schowku. Okazuje się, że bank PKO BP nie wymaga od przestępców takiej kreatywności – znając login i hasło do cudzego konta też można je okraść.

Serwis bankier.pl opisuje nowy rodzaj ataku na cudze konto bankowe, polegający na podmianie numeru rachunku w danych zdefiniowanego odbiorcy. Problem wynika z przyjęcia przez bank założenia, że obowiązkiem klienta jest weryfikacja numeru rachunku przed zatwierdzeniem przelewu. Korzystają z tego przestępcy.

W praktycznie wszystkich już polskich bankach, by dokonać przelewu przez internet, trzeba podać jednorazowy kod dostępu (najczęściej przesyłany w wiadomości SMS). Przestępcy radzą sobie z tym w bardzo różny sposób. Ci bardziej zaawansowani technicznie tworzą oprogramowanie, które podmienia w locie stronę banku i nakłania użytkownika do zainstalowania na telefonie aplikacji, kradnącej kody jednorazowe lub wykonuje w tle inny przelew niż ten, który zlecił klient. Przestępcy o niższej wiedzy programistycznej tworzą konie trojańskie, które podmieniają numer rachunku w trakcie kopiowania go do schowka. Co jednak mają zrobić złodzieje, którzy jedyne, co potrafią, to ukraść login i hasło do cudzego rachunku?

W większości banków, posiadając jedynie te dane, mogą sobie obejrzeć saldo rachunku i historię zakupów użytkownika. Inaczej jednak sytuacja wygląda w banku PKO BP, którego interfejs nie wymaga podania hasła jednorazowego podczas próby zmiany numeru rachunku bankowego zdefiniowanego odbiorcy. Potwierdzenie kodem wymagane jest dopiero w momencie zatwierdzania przelewu. Ten świadomy wybór architektów systemu wykorzystują przestępcy. Przechwytują oni login i hasło użytkownika (PKO BP nie korzysta z hasła maskowalnego)  i korzystając z tych danych podmieniają numery rachunków zdefiniowanych odbiorców. Nieświadomy tego faktu użytkownik loguje się, wybiera odbiorcę i zatwierdza przelew, nie zwracając uwagi na zmieniony numer rachunku. Bankier.pl przytacza przykład przedsiębiorcy, który w czerwcu tego roku stracił w ten sposób 86 tysięcy złotych. Podobno ataki tego typu miały miejsce między sierpniem 2012 a czerwcem 2013.

Modyfikacja zdefiniowanego odbiorcy

Modyfikacja zdefiniowanego odbiorcy

Klient złożył reklamację w banku, jednak nie została ona uznana. Jak Pisze Bankier.pl, bank odpowiedział, że

W tej konkretnej sprawie kradzież środków, możliwa dzięki uzyskaniu a następnie posłużeniu się danymi do logowania do serwisu transakcyjnego przez osoby trzecie, była wynikiem nieprzestrzegania zasad bezpieczeństwa przez klienta. W tej sprawie nie było żadnej winy Banku. Weryfikacja poprawności danych realizowanego przelewu przed jego wysłaniem, w tym numeru konta odbiorcy, należy do klienta. Potwierdził on dane zlecanego przelewu indywidualnym narzędziem autoryzacyjnym

W tej sytuacji radzimy wszystkim klientom PKO BP, by nie korzystali z funkcji zdefiniowanego odbiorcy lub każdorazowo sprawdzali numer rachunku. Jeśli takie postępowanie uznacie za zbyt uciążliwe, zawsze możecie jeszcze zmienić bank. Nie sprawdzaliśmy całej oferty rynkowej, ale na przykład w mBanku definiowanie odbiorcy i modyfikacje tej definicji wymagają podania kodu jednorazowego. A jak jest w Waszym banku?

Dziękujemy użytkownikom naszego kanału irc #z3s (IRCNet) za pomoc w opracowaniu artykułu.