AferyPrawa.com

opublikowano: 26-10-2010

Banki internetowe - wygoda dla klientów, ryzyko dla właścicieli i nowe możliwości dla hakerów i cyberprzestępców.

Z internetowego dostępu do pieniędzy korzysta - według różnych danych - od 4 do 7,5 mln Polaków. To przynajmniej co piąty z 18 mln posiadaczy kont osobistych. Wabikiem do wirtualnych kont są rosnące ceny "tradycyjnych" usług bankowych (średnia opłata za przelew zlecany w oddziale wzrosła w ostatnim roku z 3,12 do 3,45 zł, podczas gdy za internetowy płacimy średnio tylko 50 gr) i długie kolejki do okienek, które w największych bankach są na porządku dziennym. Sprawdzanie salda i zlecanie przelewów przez internet jest po prostu o niebo wygodniejsze.

Kłopot w tym, że wraz z popularnością bankowości elektronicznej rośnie też liczba przestępców-amatorów naszych pieniędzy. Z szacunków policji wynika, że rocznie ofiarami internetowych oszustów pada ok. 1,5-2 tys. klientów banków. Straty banków i klientów można szacować na kilka-kilkanaście milionów złotych.
Fałszywe e-maile "z banku" z prośbą o podanie haseł, wirusy przekierowujące użytkownika na fałszywe strony WWW, programy "szpiegujące" klawiaturę i wychwytujące cyfry, które wpisujemy przy logowaniu - to tylko niektóre sposoby hakerów. W takich sytuacjach nie pomaga nawet to, że dane wysyłane bankowi przez klienta są zawsze szyfrowane.

Banki nie zawsze uwzględniają reklamacje okradzionych w sieci klientów. Dlatego eksperci radzą: sprawdzić, jakie zabezpieczenia internetowe stosuje bank. Najlepszy system zabezpieczeń przed hakerami mają Nordea, ING Bank Śląski oraz BPH. Bardzo bezpieczni mogą się też czuć klienci Lukasa, BZWBK i Volkswagen Banku. Najsłabsze zabezpieczenia stosuje Polbank.

Wpadki banków i osiągnięcia hakerów :-)

14.08. W wyniku awarii systemu MultiBanku część przelewów zleconych przez jego klientów nie dotarła na rachunki odbiorców. Błąd systemu MultiBanku spowodował, że część przelewów zlecanych przez klientów tego banku między 8 a 11 sierpnia nie została zrealizowana. W polu odbiorcy pojawiały się bowiem dane nadawcy. To spowodowało, że część banków, do których były one kierowane, zwróciło je z powrotem.– Większość przelewów dotarła na rachunki odbiorców. - przekonuje Mateusz Żelechowski z MultiBanku. - Problem dotyczy około 1,2 proc., czyli 1 tys. przelewów realizowanych w poniedziałek 11 sierpnia.
Dodaje, że usterka systemu została wykryta i naprawiona, a do każdego klienta, który w tych dniach wykonywał przelewy, wysłano specjalny komunikat w systemie transakcyjnym. Natomiast osoby, których przelewy zostały odrzucone, są dodatkowo informowane o tym fakcie telefonicznie przez konsultantów banku. Problem nie dotyczy przelewów do ZUS oraz poleceń zapłaty, które w całości zostały zrealizowane poprawnie.
- Osoby, które wskutek usterki spóźniły się z terminowym wypełnieniem swoich zobowiązań, np. opłaceniem raty kredytu czy opłat za rachunki i poniosą związane z tym koszty, proszone są o składanie reklamacji w placówce banku lub przez multilinię, wówczas bank pokryje ewentualne straty klientów wynikające np. z karnych odsetek za zwłokę - zapewnia Mateusz Żelechowski. W ostatni weekend bank wprowadzał zmiany w systemie transakcyjnym, poszerzając jego funkcjonalność.

Niedawno drugą w tym roku awarię miał system Visa. W jej wyniku część klientów posiadających karty tej organizacji miała podwójnie zaksięgowane transakcje wypłat z bankomatów.
Kilka dni temu miała miejsce awaria części bankomatów Pekao, które przestały rozpoznawać swoich klientów i naliczały im prowizje za wypłaty z bankomatu.

2008-08-11 28-latek prał pieniądze z internetowego phishingu
Przez kilka miesięcy 28-latek z Gliwic uczestniczył w transferach pieniędzy, skradzionych dzięki przechwyceniu w internecie poufnych danych właścicieli kart kredytowych i kont. Zatrzymano go, gdy wypłacał kradzione pieniądze.
"Prowadzący śledztwo przejęli liczne dokumenty, potwierdzające udział mężczyzny w tym procederze. Wysokość strat na szkodę jednego z ogólnopolskich banków szacujemy na co najmniej kilkadziesiąt tysięcy złotych" - powiedział w sobotę Piotr Bieniak z zespołu prasowego śląskiej policji.
28-latkowi postawiono zarzut pośredniczenia w obrocie pieniędzy pochodzących z przestępstwa. Grozi mu za to nawet do 8 lat więzienia. Podejrzany jest pod dozorem policji, musi też wnieść poręczenie majątkowe. Teraz policjanci starają się dotrzeć do jego mocodawców.

2007-08-07 Kilka godzin trwała we wtorek awaria systemu obsługi klientów Banku Millenium. Nie była dostępna bankowość internetowa, nie można było posługiwać się niektórymi kartami banku, a także zrealizować zleceń w oddziałach.
Problemy zaczęły się ok. godz. 11, a o tym, że system Millnet jest niedostępny dla użytkowników, bank informował klientów na swojej stronie internetowej. Agnieszka Zygo z biura prasowego Banku Millennium mówiła PAP po południu, że problem dotyczy łączy telekomunikacyjnych.

23.07. Internetowy atak na klientów BZ WBK Sieciowi złodzieje przypuścili atak na klientów banku BZ WBK za pośrednictwem serwera szpitala w Kolumbii. Posiadacze kont w Banku Zachodnim- ale nie tylko oni - od kilku dni dostają fałszywe maile z prośbą o pilne zalogowanie się na stronie banku i uaktywnienie swojego konta przez podanie numeru PIN do karty. Zamieszania dopełnia fakt, że prawdziwa strona logowania do kont elektronicznych zaczęła zgłaszać się jako próba kradzieży danych.Według danych BZ WBK oszustom udało się nabrać 27 klientów banku. Z ich kont zniknęło w sumie 7 tysięcy złotych. Maile, wysyłane do klientów banku to oszustwo, do tego bardzo prymitywne. Część maili napisana jest po angielsku, część łamaną polszczyzną, ale bez polskich znaków. Adres strony, do której odsyła link w wiadomości rzekomo sygnowanej przez bank wyraźnie różni się od adresów używanych przez BZ WBK. Ostanie maile kierują do strony w kolumbijskiej domenie. Sama strona jest jednak bardzo podobna do witryny banku, dlatego osoby, które odruchowo klikną w link mogą dać się oszukać:

Pamiętajmy jednak - banki nigdy nie proszą o podanie numeru PIN do karty na stronach internetowych. Każdą taką prośbę można w ciemno potraktować jak próbę oszustwa i kradzieży danych, które mogą posłużyć złodziejom do wyczyszczenia konta z oszczędności. Na stronie internetowej BZ WBK - tej prawdziwej - bank opublikował komunikat, w którym radzi swoim klientom, którzy dali się oszukać, aby jak najszybciej zastrzegli swoje karty. Fałszywa strona została zgłoszona do bazy, z której korzystają nowoczesne przeglądarki. Osobom korzystającym np. z FireFoxa fałszywka zgłaszała się z ostrzeżeniem, że jest to oszustwo. Problem w tym, że taki sam komunikat zaczęła generować prawdziwa strona logowania do konta:

- To błąd, który już wyjaśniamy - zapewnił Money.pl Grzegorz Adamski z biura prasowego banku. - Na fałszywej stronie i w mailu były linki do prawdziwej strony naszego banku, dlatego automaty potraktowały ją podobnie jak te fałszywe.

2008-06-20 Hakerzy atakują klientów PKO BP
Użytkownicy strony internetowej PKO BP stali się celem ataków hakerskich łączących phishing i wyłudzanie haseł. Zakamuflowany wirus pobrany przez klientów banku kieruje ich na jego fałszywą witrynę i prosi o podanie kodów umożliwiających pobranie wszystkich środków z konta. Atak rozpoczyna się od zachęcenia użytkownika na zainfekowanej stronie internetowej do aktualizacji Flash Playera. Jednak pobrana aplikacja to w rzeczywistości trojan, który atakuje plik host, dzięki czemu może przekierować użytkownika na dowolną witrynę. Klient PKO BP, chcąc dokonać operacji na swoim koncie, klika w skrót lub wpisuje adres w przeglądarkę. Jednak wskutek działania trojana zamiast strony banku otwiera się witryna cyberprzestępców (na zdjęciu poniżej) wyglądająca niemal identycznie, jak serwis transakcyjny PKO BP.

Po wpisaniu przez użytkownika swojego prawdziwego logiku i hasła zostaje on przekierowany na kolejną stronę, na której proszony jest o podanie pięciu kolejnych kodów jednorazowych potrzebnych do pojedynczych transakcji internetowych w PKO BP. Jest to dlatego niezwykle groźne, bo dysponując kombinacją tych trzech informacji, cyberprzestępcy są w stanie przelać wszystkie środki na koncie klienta banku na dowolne konto. Ochronę przed tego typu atakami zapewniają pakiety antywirusowe z odpowiednim modułem, które sprawdzają, czy strona odwiedzana przez użytkownika nie została zgłoszona do specjalnego rejestru witryn wyłudzających dane. Dodatkowo specjalne dodatki antyphishingowe w przeglądarkach potrafią rozpoznawać lub nawet blokować sfałszowane strony. Warto też sprawdzać, czy adres URL odwiedzanej strony rozpoczyna się od https:// i czy jest prawidłowy. Szczególną uwagę należy przy tym zwrócić na koniec adresu, czyli domenę główną, którą bardzo łatwo jest sfałszować.

Wrocławski sąd aresztował dwóch z trzech licealistów podejrzanych o kradzieże pieniędzy z prywatnych kont bankowych. Młodzi ludzie wyjdą jednak na wolność jak wpłacą po 15 tysięcy złotych kaucji - powiedziała Polskiemu Radiu Wrocław prokurator Małgorzata Klaus.
Mężczyźni wpadli, bo policjanci już od pewnego czasu zbierali informacje o osobach, które podszywały się pod stronę internetową banku Inteligo. Podróbkę witryny umieścili na serwerze w Tajlandii. Następnie w krótkim czasie rozesłali maile do kilkudziesięciu tysięcy klientów z całego kraju, żądając weryfikacji danych dostępu do osobistych kont. W ten sposób uzyskali informacje od około 250 osób.
Sprawcy kupowali w Internecie różne towary płacąc za nie pieniędzmi z nie swoich kont. Straty, jakie ponieśli klienci banku szacuje się na kilkadziesiąt tysięcy złotych.

2007-11-22 Nowa metoda wykradania danych w sieci.
Przestępcy opracowali kolejny sposób wykradania danych dostępowych do banków internetowych - ostrzega F-Secure.
Najnowsza technika wykorzystywana przez cyberprzestępców została nazwana Man in the browser. Polega ona na zainfekowaniu komputerów złośliwym kodem, który jest aktywowany dopiero w momencie wejścia na stronę banku. Kiedy użytkownik podaje hasło i login program przejmuje je i wysyła na serwer przestępcy. Gotowe bazy takich danych sprzedawane są podczas tajnych licytacji.
Strony phishingowe mnożą się w szybkim tempie Technika Man in the browser jest dostosowana do konkretnych banków i instytucji finansowych. Tym właśnie różni się od masowo rozsyłanych maili stanowiących podstawę phishingu. Dedykowane ataki stanowią duże wyzwanie dla zapewnienia bezpieczeństwa użytkownikom. Skuteczną ochronę może zagwarantować tak zwana analiza behawioralna, która polega na sprawdzeniu zachowania aplikacji w systemie i blokowania działań podejrzanych lub nietypowych.

Historia skoków na e-banki

Pierwsze narzędzia do wykradania danych dostępowych to keyloggery - programy, które zapisywały znaki wstukiwane przez użytkownika na klawiaturze.
Bardziej zaawansowaną metodą był phishing i pharming. Phising to fałszywe e-maile wyglądające jak korespondencja z banku, które zachęcają do kliknięcia w link i podania swoich danych. Użytkownik trafia na fałszywą stronę banku jedynie imitującą prawdziwą witrynę, gdzie umieszcza swoje dane np. w celu weryfikacji hasła.
Pharming to automatyczne przekierowanie Internauty na nieprawdziwą stronę banku lub innej instytucji finansowej. Ten sposób nie wymaga klikania w link, ponieważ zmiana adresu na fałszywy następuje na poziomie Internetu.
Natomiast technika nazwana Man in the Middle łączy powyższe sposoby - cyberprzestępca wykorzystuje imitacje witryny bankowej w celu pozyskania loginu i hasła, które następnie wykorzystuje do skorzystania z istniejącego konta swojej ofiary.
Kradną z e-kont

6 sierpnia AMERYKA - hakerzy Ukradli numery 88 mln kart kredytowy
Amerykańska prokuratura oskarżyła we wtorek 11 osób w związku z kradzieżą numerów około 88 mln kart kredytowych i debetowych, co stanowi największą wykrytą dotychczas aferę tego typu - powiadomiły amerykańskie media.

2008-04-14 14 milionów złotych ukradziono w minionym roku z kart płatniczych - wynika z zebranych przez Money.pl danych. Każdego roku miliony tracą banki, wystawcy kart oraz zwykli użytkownicy. Miliony złotych trafiają do złodziei nie tylko dlatego, że karty są kradzione, ale także podrabiane - to tak zwany skimming. Polega on na kopiowania danych z kart za pomocą specjalnych czytników i wykorzystaniu ich do stworzenia duplikatu karty. Tym procederem zajmują się zorganizowane grupy przestępców, którzy działają na terenie wielu krajów. Są otwarci na nowinki techniczne, pomysłowi i często trudni do uchwycenia - twierdzą eksperci.
W 1999 roku - jak podaje NBP - dokonano ponad 10 tysięcy transakcji przestępczych przy użyciu kart płatniczych, na sumę ponad 7 mln złotych. Rok później tego typu transakcji było już 2,5 raza więcej (25 tysięcy) a klienci, banki i emitenci kart stracili aż 25 mln złotych. To najwyższa suma strat w ostatnich 9 latach.
Natomiast rekordową liczbę oszukańczych transakcji odnotowano w 2001 roku - 32 tysiące - jednak wtedy ukradziona kwota nie była rekordowa, bo wyniosła blisko 12 mln złotych.
W 2007 roku straty na skutek kradzieży z kart straty wyniosły 14 mln złotych. Dla porównania liczba wszystkich transakcji dokonanych kartami w ubiegłym roku to ponad 1075 mln na kwotę 265,15 mld złotych.

Choć zdaniem specjalistów skala oszukańczych transakcji w porównaniu do ogółu transakcji nie jest zbyt wielka, to jednak problem istnieje.
Źródło: NBP

Osobie, która utraciła środki pieniężne na skutek nieuprawnionego użycia karty płatniczej np. po jej kradzieży czy na skutek jej skopiowania, przysługują dwojakiego typu roszczenia: roszczenie przeciwko osobie, która dopuściła się kradzieży / podrobienia karty, o naprawienie szkody oraz roszczenie względem banku o zapłatę utraconych środków pieniężnych.
Roszczenie względem sprawcy kradzieży
Kradzież karty uprawniającej do podjęcia pieniędzy z bankomatu jest przestępstwem w rozumieniu kodeksu karnego i zagrożone jest karą pozbawienia wolności od 3 miesięcy do 5 lat. Posługiwanie się podrobioną kartą płatniczą uznawane jest zgodnie z orzeczeniem Sądu Najwyższego za przywłaszczenie cudzych praw majątkowych i zagrożone karą pozbawienia wolności do lat 2.
Samo zgłoszenie faktu popełnienia kradzieży do organów ścigania nie spowoduje, że osobie, która utraciła kartę, zostaną wypłacone środki pieniężne w przypadku wykrycia i skazania sprawcy kradzieży. Osoba poszkodowana powinna zatem wystąpić z powództwem cywilnym o naprawienie szkody przeciwko sprawcy kradzieży lub z powództwem adhezyjnym, tj. roszczeniem cywilnym zgłaszanym w trakcie toczącego się postępowania karnego. Wystąpienie z powództwem cywilnym możliwe jest również przeciwko podmiotom, które ponoszą winę za udostępnienie danych posiadacza karty lub danych dotyczących samej karty, np. przeciwko placówkom handlowym, w których dokonana została płatność kartą, przeciwko dostawcom usług lub centrom rozliczeniowym.
Roszczenie względem banku
W przypadku, gdy bank uchyla się od ciążącej na nim odpowiedzialności finansowej, klientowi banku przysługuje roszczenie o zapłatę utraconych środków pieniężnych. W takiej sytuacji, klient powinien wystąpić z powództwem cywilnym przeciwko bankowi do właściwego sądu powszechnego. Konsumenci mogą również zwrócić się z wnioskiem o wszczęcie postępowania do Arbitra Bankowego działającego przy Związku Banków Polskich, jeżeli wartość przedmiotu sporu nie przekracza kwoty 8 tys. zł. Orzeczenia arbitra są wiążące dla banku. Jeżeli rozstrzygnięcie arbitra nie jest dla konsumenta satysfakcjonujące, konsumentowi przysługuje prawo do skierowania sprawy na drogę postępowania cywilnego.

Kilkadziesiąt osób mogło paść ofiarą złodziei, którzy okradają konta w internetowym banku Inteligo. MediaRun.pl
Jedną z nich jest pani Katarzyna, mieszkanka stołecznego Bemowa, która o kradzieży ze swojego konta opowiedziała "Rz". W drugiej połowie marca chciała zrobić przelew. - Nie mogłam zalogować się na stronie internetowej. Przez pewien czas była ona blokowana. Potem pojawił się komunikat, aby wpisać aż pięć kodów do autoryzacji. Wtedy udało się dokonać transakcji. Okazało się jednak, że wykorzystałam trzy kody - mówi nasza czytelniczka. Dwa dni później bank powiadomił panią Katarzynę, że z jej konta wypłacono 8 tys. zł. Niewykluczone, że hakerzy wykorzystali do tej kradzieży dwa pozostałe jednorazowe hasła. - Byłam w szoku. To była pożyczka na remont mieszkania -opowiada poszkodowana.
Po kradzieży bank wszczął wewnętrzne postępowanie. Zmienił hasło i login pani Katarzyny, ale okazało się, że stare hasło i login nadal były aktywne. Kilka dni po zdarzeniu Inteligo zwróciło jej pieniądze. - Zgłosiłam tę sprawę na policję, bank zrobił to samo. Powiadomił o przestępstwie także prokuraturę - dodaje.
Z informacji "Rz" wynika, że w podobny sposób zostało okradzionych co najmniej kilkadziesiąt osób w Polsce. Śledztwo w tej sprawie prowadzi warszawskie Centralne Biuro Śledcze, a tropy prowadzą do międzynarodowych grup przestępczych, m.in. z Rosji. Niewykluczone, że współpracują z nimi byli pracownicy banku, którzy znają sposoby zabezpieczenia kont. Hakerzy wyłudzają hasła i loginy użytkowników poprzez tworzenie niemal idealnych kopii stron e-banków.

Polecam sprawy poruszane w działach:
SĄDY PROKURATURA ADWOKATURA
POLITYKA PRAWO INTERWENCJE - sprawy czytelników

Tematy w dziale dla inteligentnych:
ARTYKUŁY - tematy do przemyślenia z cyklu: POLITYKA - PIENIĄDZ - WŁADZA

"AFERY PRAWA" Niezależne Czasopismo Internetowe www.aferyprawa.com redagowane przez dziennikarzy AP i sympatyków z całego świata których celem jest PRAWO, PRAWDA SPRAWIEDLIWOŚĆ DOSTĘP DO INFORMACJI ORAZ DOBRO CZŁOWIEKA

uwagi i wnioski proszę wysyłać na adres: afery@poczta.fm - Polska redakcja@aferyprawa.com Dziękujemy za przysłane teksty opinie i informacje.

WSZYSTKICH INFORMUJĘ ŻE WOLNOŚĆ WYPOWIEDZI I SWOBODA WYRAŻANIA SWOICH POGLĄDÓW JEST ZAGWARANTOWANA ART 54 KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ.

zdzichu