czwartek, 13 lutego 2014

Jak ustrzec się przed kradzieżą pieniędzy z konta?


Zapewne słyszeliście już o wielkiej aferze, jaką jest kradzież pieniędzy z kont klientów mBanku. Bank ten był szczególnie narażony na ataki złodziei z powodu przeprowadzanego rebrandingu oraz scalenia oferty mBanku z Multibankiem.

Maciej Samcik bardzo dobrze opisał sytuacje, w których z kont w mBanku wyparowały bajońskie sumy pieniędzy, od kilkunastu do kilkudziesięciu tysięcy złotych dla każdego z okradzionych klientów. Do tego wystarczył jeden SMS autoryzacyjny … i poznanie danych do logowania.



Szczegóły kradzieży


W każdym z tych przypadków niezbędne było zatwierdzenie kodem SMS operacji dodania odbiorcy zaufanego.

Złodzieje wcześniej musieli w jakiś sposób uzyskać od swoich „celów” dane do logowania. Najczęściej miało to miejsce po zainstalowaniu wirusa na komputerze lub telefonie. Inną możliwością było przekierowanie ruchu sieciowego na własne serwery (np. łącząc się przez publiczne sieci WiFi).

Następnie złodzieje stosowali różne podstępy aby wymóc na klientach zatwierdzenie kodem SMS wspomnianych już transakcji. Te sposoby były najróżniejsze. Jak ktoś jest zainteresowany szczegółami to odsyłam na blog Macieja Samcika.



Czy jedynymi winnymi są klienci banku?


Moim zdaniem nie do końca. Gdyby chodziło o przelewy na kwoty do kilku tysięcy, to zgodziłbym się z tym stwierdzeniem.

Natomiast w sytuacji, w której klient rzekomo bierze pożyczkę, robi przelew z karty kredytowej, a następnie wszystkie te środki są przelewane na jeden numer konta, to gołym okiem widać, że coś może być nie tak. Wystarczyłby krótki telefon z banku przed puszczeniem takiego przelewu, aby uchronić przed kradzieżą.

Mi już kilka razy zdarzyło się, że Alior Bank wykrywał podejrzaną transakcję kartą i czekał na moją interwencję.

W kilku bankach spotkałem się też z komunikatem ostrzegającym przed tego typu kradzieżami. Są to m.in. Bank Millennium, BZ WBK oraz Citi Handlowy.


Jak ustrzec się przed kradzieżą?


  • Przede wszystkim należy uważnie czytać SMS-y autoryzujące.
  • Najlepiej nie łączyć się z bankiem z niezaufanych komputerów / sieci
  • Jak widzimy podejrzany komunikat na stronie banku to należy zachować zasadę ograniczonego zaufania
    • Sam kilkukrotnie miałem podejrzenie, że strona banku wygląda jakoś inaczej. Czasami też w pasku adresowym zamiast pełnego adresu banku widniał zapis przetłumaczony na adres IP. W takich wypadkach nigdy nie kontynuowałem logowania. Z tego co pamiętam ten problem wystąpił w przypadku mBanku oraz Alior Sync, ale równie dobrze może to być inny bank.
  • Nie należy też instalować na swoich telefonach aplikacji z nieznanego źródła.
  • Problem z poprzedniego punktu można rozwiązać posiadając prosty telefon zamiast smartfona.
  • Stosując dywersyfikację (patrz niżej)


Dywersyfikacja




Muszę przyznać, że opisywane kradzieże mocno mnie zszokowały. Bynajmniej nie chodzi o fakt ich wystąpienia. Przede wszystkim nie mogę uwierzyć, że ktoś w mBanku trzyma tak duże pieniądze. Wystarczy spojrzeć na ranking lokat lub ranking rachunków oszczędnościowych, gdzie mBanku nie uświadczycie. Uwaga. mBank wprowadził całkiem ciekawą ofertę lokat na 3% dla nowych środków, która już by się w tym rankingu pojawiła.

Sam większość oszczędności trzymam na rachunkach oszczędnościowy i lokatach w mniej obleganych bankach, dzięki czemu po pierwsze pieniądze te zarabiają chociaż ciut więcej niż wynosi inflacja, a po drugie jak ktoś włamałby mi się do jednego banku to stracę tylko część pieniędzy.

Zresztą sytuacja taka jak u klientów mBanku nie byłaby możliwa, ponieważ SMS dajmy na to z Meritum Banku od razu wzbudziłby mój niepokój, jako że nie wykonuję tam żadnych operacji.

Pamiętajcie, dywersyfikacja jest jedną z podstawowych zasad inwestycji.

Wnioski


Wniosków można wysnuć kilka. Po pierwsze trzeba baczniej przyglądać się wiadomościom SMS otrzymywanych od banków. Po drugie, uważać trzeba na to, gdzie się logujemy na strony banku i jakie aplikacje ściągamy na naszego smartfona. Po trzecie, nie warto trzymać całości kapitału w jednym banku. W razie problemów czy to z dostępem do konta czy takimi jak opisywane dzisiaj, nie stracimy wszystkich pieniędzy a zaledwie ich część.

10 komentarze :

Zulu pisze...

Trzymanie takich kwot na zwykłym rachunku rozliczeniowym to głupota i marnotrawstwo. No i jak można autoryzować nieznane transakcje?? Zwłaszcza że w SMSie z m banku wyraźnie jest napisane czego dotyczy autoryzacja...

Anonimowy pisze...

Głupota, a gdzie trzymać w dzisiejszych czasach jak nic się nie opłaca?

Anonimowy pisze...

No całkowicie się z tobą zgadzam ale niech każdy posiadacz konta w mbanku powie z ręką na sercu czy nie zdarzyło się autoryzować coś w pośpiechu przelewając coś komuś. Należy być czujnym jednak każdy ma słabszy dzień i koncentracja może być słabsza + pośpiech i mamy nieszczęście. Dobrze było by gdyby mbank jakoś zaczął się tym interesować i spróbował coś poprawić (dodatkowa autoryzacja dla większych kwot + częstych przelewów), możliwości jest sporo. Tego również oczekuje od mojego banku, oprócz mojej czujności.

Anonimowy pisze...

Dołączam się do pytania. Gdzie trzymać pieniądze? Niby duże, ale nie na tyle, aby pozawalały na kupienie mieszkania, czy działki.

Anonimowy pisze...

Śliczna strona to jak widać nie wszystko. Wina jednak leży tu po obu stronach. Użytkownicy takich kont powinni pilnować tego co robią. Z drugiej strony nie każdy dostosował się do obecnej sytuacji. Niektóre osoby i firmy posiadają rachunki internetowe, ponieważ potrzebują ich do kontaktów z klientami. Nie powoduje to jednak, by nadążali za rozwojem cywilizacji. Tych właścicieli kont powinien chronić bank przez odpowiednie oprogramowanie i uświadamianie swych klientów, a nie umywanie rąk.

Anonimowy pisze...

Jako czytelnik Niebezpiecznika dodałbym jeszcze jedną ważną radę - zawsze aktualizuj swoje oprogramowanie (czy to na komputerze, czy firmware swojego sprzętu - zwłaszcza routera). Z założenia każda aktualizacja wnosi kolejne usprawnienia i zabezpieczenia, więc nie należy zapominać o regularnym sprawdzaniu najnowszych wersji i aktualizowaniu a zabezpieczymy się w ten sposób przed większością "ataków".

Anonimowy pisze...

Wine ponosi mgang bo robi wszystko żeby ludzie korzystali z haseł przesyłanych w sms zamiast z list papierowych.

Anonimowy pisze...

W sumie... brak hasła maskowanego, gdy za 1 razem weszli na fałszywą stronę złodzieje musieli by zgadnąć 60% hasła aby się zalogować na prawdziwej w tym samym czasie. Do tego brak obrazka gdzie złodzieje musieli by zgadnąć obrazek 1 z np. 20. Lepiej omijać ten bank, bank bez obrazka i hasła maskowanego to jak ser szwajcarski...

Kamil Pieczonka pisze...

Mam wrażenie, że nikt z komentujących nie wie jak do kradzieży doszło. Po pierwsze strona mBanku nie ma z tym nic wspólnego, ofiara ataku łączyła się ze stroną, która wyglądała jak mBankowa (nawiasem mówiąc był to stary, a nie nowy system) i podawał dane autoryzujące jakąś aktualizację konta. W tym czasie atakujący logował się do prawdziwego mBanku danymi klienta i wykorzystał SMS autoryzujący do dodania zaufanego konta, w ten sposób tekst w SMSie, był bardzo zbliżony do tego co myślał, że robi atakowny. Później już tylko szybki przelew atakującego i tyle. Słabym ogniwem nie jest mBank czy kod na SMS, ale człowiek.

I racja, hasło maskowane na pewno by nie zaszkodziło.

wojcik.sylwia pisze...

Czytając ten artykuł uświadomiłam sobie jak nieuważna jestem. Nie czytam treści smsów autoryzujących przelewy, nie zwracam uwagi na stronę www mojego banku. Studiuję i nie mam na koncie kilkunastu czy kilkudziesięciu tysięcy, ale mam swoje ciężko zarobione oszczędności, które jak widzę przez własną nieostrożność mogę łatwo stracić. Dzięki temu artykułowi na pewno stanę się ostrożniejsza.

Prześlij komentarz