info:dobreprogramy.plTak się robi phishingi – bank oszczędza na SMS-ach, klienci są naiwni, a straty idą w setki tysięcy .
Dwuetapowe uwierzytelnianie transakcji za pomocą kodów wysyłanych niezależnym kanałem (np. SMS-em) powinno być standardem w e-bankowości. Bank BZWBK zechciał jednak niedawno zaoszczędzić na wysyłaniu SMS-ów i zrezygnował z takiej autoryzacji przy płatnościach pay-by-link (tj. płatności przez usługę Przelew24 na stronach partnerskich). Efekt? Jedna z najbardziej udanych w historii polskiego Internetu kampanii phishingowych pozwoliła wykraść ofiarom setki tysięcy złotych.
Tydzień temu do skrzynek odbiorczych potencjalnych ofiar rozesłane zostały e-maile od „BZ WBK24” – z adresu „rozne@adresy.e-mail”. Nadawca informował, że w trosce o bezpieczeństwo klientów dostęp do konta został zablokowany z powodu nieautoryzowanego dostępu. Aby odzyskać konto, należało się zweryfikować na stronieZaloguj lub Zarejestruj się aby zobaczyć!. Faktycznie jednak link prowadził do strony w domenie centrum24.pw – ale tego już wielu odbiorców nie zauważyło, przyjmując całkiem profesjonalnie przygotowany phishing za dobrą monetę.
Elegancko wyglądająca strona phishingu, zawierająca nawet reklamę Orange do kompletu oraz (o ironio) ostrzeżenie o zagrożeniu phishingiem, krok po kroku odpytywała ofiarę o logik (Numer Identyfikacji Klienta), hasło (PIN) – oraz o wszystkie dane karty płatniczej. Karty płatnicze są w BZWBK zabezpieczone wykorzystującym kody jednorazowe protokołem 3-D Secure, więc wykraść za pomocą tych danych pieniądze nie było łatwo.
Wcale jednak nie było trzeba korzystać z danych kart (te najpewniej trafiły na sprzedaż na czarnorynkowym forum). Napastnicy wykorzystali fakt, że w marcu tego roku BZWBK domyślnie wyłączyło potwierdzenia opłacania zakupów internetowych przez Przelewy24 kodem SMS. Ta osobliwa praktyka została przez bank określona jako „włączenie uproszczenia transakcji” – jeśli ktoś uproszczenia nie chciał, to mógł sobie w panelu Sposób potwierdzania zleceń ponownie włączyć potwierdzanie SMS-em lub tokenem.
BZWBK wyjaśniało wówczas w opublikowanym oświadczeniu, że potwierdzenia smsKodem/tokenem nie wymaga płatność Przelewem24 w większości sklepów i serwisów aukcyjnych w przypadku, gdy dana transakcja nie przekracza dziennego limitu transakcji niewymagających autoryzacji smsKodem/tokenem. Standardowa (domyślna) wysokość dziennego limitu transakcji niewymagających autoryzacji smsKodem/tokenem to 10 000,00 zł, jednak każdy klient może ją zmienić wg własnych preferencji.
Wystarczyło więc zdobyć phisingiem login i hasło ofiary, by móc spokojnie kupować np. usługi finansowe czy bitcoiny na giełdach. W ten sposób można było wyczyścić klientom konto do dziennego limitu transakcji – niejednokrotnie wyższego niż 10 tys. zł, w wypadku ludzi, którzy limit ten sobie zwiększyli.
Niebezpiecznik uzyskał oficjalne stanowisko banku już po włamaniu. W zasadzie nie ma co tam czytać, typowe korporacyjne okrągłe zdania. Nikomu najwyraźniej krzywda z powodu tej wpadki się nie stanie. Co więcej, automatycznego zwrotu wykradzionych środków ofiary nie mają się co spodziewać – wszelkie reklamacje klientów będziemy rozpatrywać indywidualnie, stwierdziła Katarzyna Prus-Malinowska, dyrektor bankowości mobilnej i internetowej BZWBK.
Jedyną dobrą wiadomością w tym wszystkim jest to, że bank wycofał się z pomysłu braku potwierdzeń transakcji kodem dla swoich przelewów. Klientom poradzić możemy jedynie, by sprawdzili osobiście, że tak właśnie jest – w menu Ustawienia należy znaleźć pozycję Sposób potwierdzania zleceń. Opcja Płatności Przelewem24 (zakupy internetowe) zawsze potwierdzane smsKodem lub tokenem powinna być ustawiona na tak. Warto też ograniczyć limity transakcyjne dla płatności internetowych – w menu Limity należy wybrać Limity przelewów i ustawić odpowiednio niski poziom w polu Dzienny limit transakcji internetowych.
