Było już złośliwe oprogramowanie kradnące kody jednorazowe czy podmieniające numer konta w schowku. Okazuje się, że bank PKO BP nie wymaga od przestępców takiej kreatywności – znając login i hasło do cudzego konta też można je okraść.
Serwis bankier.pl opisuje nowy rodzaj ataku na cudze konto bankowe, polegający na podmianie numeru rachunku w danych zdefiniowanego odbiorcy. Problem wynika z przyjęcia przez bank założenia, że obowiązkiem klienta jest weryfikacja numeru rachunku przed zatwierdzeniem przelewu. Korzystają z tego przestępcy.
W praktycznie wszystkich już polskich bankach, by dokonać przelewu przez internet, trzeba podać jednorazowy kod dostępu (najczęściej przesyłany w wiadomości SMS). Przestępcy radzą sobie z tym w bardzo różny sposób. Ci bardziej zaawansowani technicznie tworzą oprogramowanie, które podmienia w locie stronę banku i nakłania użytkownika do zainstalowania na telefonie aplikacji, kradnącej kody jednorazowe lub wykonuje w tle inny przelew niż ten, który zlecił klient. Przestępcy o niższej wiedzy programistycznej tworzą konie trojańskie, które podmieniają numer rachunku w trakcie kopiowania go do schowka. Co jednak mają zrobić złodzieje, którzy jedyne, co potrafią, to ukraść login i hasło do cudzego rachunku?
W większości banków, posiadając jedynie te dane, mogą sobie obejrzeć saldo rachunku i historię zakupów użytkownika. Inaczej jednak sytuacja wygląda w banku PKO BP, którego interfejs nie wymaga podania hasła jednorazowego podczas próby zmiany numeru rachunku bankowego zdefiniowanego odbiorcy. Potwierdzenie kodem wymagane jest dopiero w momencie zatwierdzania przelewu. Ten świadomy wybór architektów systemu wykorzystują przestępcy. Przechwytują oni login i hasło użytkownika (PKO BP nie korzysta z hasła maskowalnego) i korzystając z tych danych podmieniają numery rachunków zdefiniowanych odbiorców. Nieświadomy tego faktu użytkownik loguje się, wybiera odbiorcę i zatwierdza przelew, nie zwracając uwagi na zmieniony numer rachunku. Bankier.pl przytacza przykład przedsiębiorcy, który w czerwcu tego roku stracił w ten sposób 86 tysięcy złotych. Podobno ataki tego typu miały miejsce między sierpniem 2012 a czerwcem 2013.
Modyfikacja zdefiniowanego odbiorcy
Klient złożył reklamację w banku, jednak nie została ona uznana. Jak Pisze Bankier.pl, bank odpowiedział, że
W tej sytuacji radzimy wszystkim klientom PKO BP, by nie korzystali z funkcji zdefiniowanego odbiorcy lub każdorazowo sprawdzali numer rachunku. Jeśli takie postępowanie uznacie za zbyt uciążliwe, zawsze możecie jeszcze zmienić bank. Nie sprawdzaliśmy całej oferty rynkowej, ale na przykład w mBanku definiowanie odbiorcy i modyfikacje tej definicji wymagają podania kodu jednorazowego. A jak jest w Waszym banku?
Dziękujemy użytkownikom naszego kanału irc #z3s (IRCNet) za pomoc w opracowaniu artykułu.
Komentarze
W przypadku Pekao SA jest tak, że zdefiniowany oznacza zdefiniowany, a nie zmienny.
ale można go zmienić zatwierdzając kodem jednorazowym (zawsze).
można też ustawić żeby nie prosiło o kod podczas wykonywania przelewu do zdefiniowanego odbiorcy (wymaga kodu), ale mamy pewność gdzie te pieniądze się znajdą.
Czyli zły chochlik wkradając się na konto, może obdarować odbiorców przelewów zdefiniowanych (tylko tych które użytkownik uznał, że nie potrzebują dodatkowej autoryzacji) pieniędzmi, ale sam na tym nie skorzysta.
W Inteligo, podobnie jak w mBanku, trzeba podać kod jednorazowy do zmiany zdefiniowanego przelewu. Mam nadzieję, że tego nie zmienią w ramach jednolitości z firmą matką.
Ja swego czasu też musiałem podać kod jednorazowy, a jestem w pko bp.
Co zaś do haseł maskowanych – jak dla mnie to jest to narzędzie utrudniające korzystanie z konta i wbrew pozorom obniżające bezpieczeństwo – hasło trzeba znać na pamięć, nie można mieć randomowego w jakimś keepassie wygenerowanego i wklejanego na stronce logowania.
Używam keepass, ale żeby trzymać w nim hasła do różnych stron, na których mam konta. Nie ufam mu jednak na tyle, żeby przechowywać tam hasło do banku.
http://nco5ranerted3nkt.onion/forum/viewtopic.php?id=995
„każdorazowe sprawdzanie numeru rachunku” ma taki sam sens w PKO BP jak i w innych bankach. Jeśli nie pyta nas o kod jednorazowy podczas wykonywania przelewu zdefiniowanego to też nie ma żadnej zmiany oczekującej na zatwierdzenie.
W przypadku Citi rowniez kazda ingerencja w zdefiniowanego odbiorce wymaga potwierdzenia kodem z sms. Do dzis wydawalo mi sie to oczywiste…