Zapewne słyszeliście już o wielkiej aferze, jaką jest
kradzież pieniędzy z kont klientów mBanku. Bank ten był szczególnie narażony na
ataki złodziei z powodu przeprowadzanego rebrandingu oraz scalenia oferty
mBanku z Multibankiem.
Maciej Samcik bardzo dobrze opisał sytuacje, w których z
kont w mBanku wyparowały bajońskie sumy pieniędzy, od kilkunastu do kilkudziesięciu tysięcy złotych dla każdego z
okradzionych klientów. Do tego wystarczył jeden SMS autoryzacyjny … i poznanie danych do logowania.
Szczegóły kradzieży
W każdym z tych przypadków niezbędne było zatwierdzenie kodem SMS operacji dodania odbiorcy zaufanego.
Złodzieje wcześniej musieli w jakiś sposób uzyskać od swoich
„celów” dane do logowania. Najczęściej miało to miejsce po zainstalowaniu wirusa na komputerze lub telefonie. Inną
możliwością było przekierowanie ruchu sieciowego na własne serwery (np. łącząc
się przez publiczne sieci WiFi).
Następnie złodzieje stosowali różne podstępy aby wymóc na
klientach zatwierdzenie kodem SMS wspomnianych już transakcji. Te sposoby były najróżniejsze.
Jak ktoś jest zainteresowany szczegółami to odsyłam na blog Macieja Samcika.
Czy jedynymi winnymi są klienci banku?
Moim zdaniem nie do końca. Gdyby chodziło o przelewy na
kwoty do kilku tysięcy, to zgodziłbym się z tym stwierdzeniem.
Natomiast w sytuacji, w której klient rzekomo bierze pożyczkę,
robi przelew z karty kredytowej, a następnie wszystkie te środki są przelewane
na jeden numer konta, to gołym okiem widać, że coś może być nie tak. Wystarczyłby
krótki telefon z banku przed puszczeniem takiego przelewu, aby uchronić przed
kradzieżą.
Mi już kilka razy zdarzyło się, że Alior Bank wykrywał
podejrzaną transakcję kartą i czekał na moją interwencję.
W kilku bankach spotkałem się też z komunikatem
ostrzegającym przed tego typu kradzieżami. Są to m.in. Bank Millennium, BZ WBK
oraz Citi Handlowy.
Jak ustrzec się przed kradzieżą?
- Przede wszystkim należy uważnie czytać SMS-y autoryzujące.
- Najlepiej nie łączyć się z
bankiem z niezaufanych komputerów / sieci
- Jak widzimy podejrzany
komunikat na stronie banku to należy zachować zasadę ograniczonego
zaufania
- Sam kilkukrotnie miałem
podejrzenie, że strona banku wygląda jakoś inaczej. Czasami też w pasku
adresowym zamiast pełnego adresu banku widniał zapis przetłumaczony na
adres IP. W takich wypadkach nigdy nie kontynuowałem logowania. Z tego co
pamiętam ten problem wystąpił w przypadku mBanku oraz Alior Sync, ale
równie dobrze może to być inny bank.
- Nie należy też instalować na swoich telefonach aplikacji z
nieznanego źródła.
- Problem z poprzedniego
punktu można rozwiązać posiadając prosty telefon zamiast smartfona.
- Stosując dywersyfikację
(patrz niżej)
Dywersyfikacja
Muszę przyznać, że opisywane kradzieże mocno mnie zszokowały.
Bynajmniej nie chodzi o fakt ich wystąpienia. Przede wszystkim nie mogę
uwierzyć, że ktoś w mBanku trzyma tak duże pieniądze. Wystarczy spojrzeć na ranking
lokat lub ranking
rachunków oszczędnościowych, gdzie mBanku nie uświadczycie. Uwaga. mBank
wprowadził całkiem ciekawą ofertę lokat na 3% dla nowych środków, która już by
się w tym rankingu pojawiła.
Sam większość oszczędności trzymam na rachunkach
oszczędnościowy i lokatach w mniej obleganych bankach, dzięki czemu po pierwsze
pieniądze te zarabiają chociaż ciut więcej niż wynosi inflacja, a po drugie jak
ktoś włamałby mi się do jednego banku to stracę tylko część pieniędzy.
Zresztą sytuacja taka jak u klientów mBanku nie byłaby
możliwa, ponieważ SMS dajmy na to z Meritum Banku od razu wzbudziłby mój
niepokój, jako że nie wykonuję tam żadnych operacji.
Wnioski
Wniosków można wysnuć kilka. Po pierwsze trzeba baczniej przyglądać się wiadomościom SMS
otrzymywanych od banków. Po drugie, uważać trzeba na to, gdzie się logujemy na
strony banku i jakie aplikacje ściągamy na naszego smartfona. Po trzecie, nie warto trzymać całości kapitału w jednym
banku. W razie problemów czy to z dostępem do konta czy takimi jak
opisywane dzisiaj, nie stracimy wszystkich pieniędzy a zaledwie ich część.
