Ten artykuł czytasz w ramach bezpłatnego limitu

Czytelnik, który chce pozostać anonimowy, poinformował nas o dość nietypowej kradzieży środków z konta, jaka mu się przytrafiła:

Ktoś podszył się pode mnie w kontakcie telefonicznym z bankiem (T-Mobile Usługi Bankowe [dostarczane przez Alior Bank]) i wydał dyspozycję zamknięcia mojego rachunku oszczędnościowego oraz przelania znajdującej się tam dużej sumy pieniędzy na podane przez siebie konto. Stało się to pod koniec stycznia i byłem początkowo w ciężkim szoku.
(…)
O produktach banku nie informowałem nikogo nigdy. Ciężko mi też uwierzyć w podsłuchanie lub wykradzenie tych danych przez wirusa, jestem programistą i od dawna dość rygorystycznie przestrzegałem zasad bezpieczeństwa.
(…)
Jestem też zaskoczony tym, że można takiej dyspozycji dokonać na telefon, bez innej formy autoryzacji i z pominięciem okresu wypowiedzenia umowy o rachunek. Kiedy wyrażałem przez infolinię zgody marketingowe (żeby dołączyć do Cashback), to musiałem podać kod z SMS, tak jak przy przelewach zlecanych przez internet. Te wątpliwości podjęte są w [mojej] reklamacji.

Czytelnik, jak widać, jest świadomy. Nie brał też udziału w konkursie T-Mobile Usługi Bankowe, który zachęcał klientów do wgrywania na Facebooka zdjęć swojej karty płatniczej. Jak więc możliwe, że komuś mimo wszystko udało się wykraść jego pieniądze?

Weryfikacja i szczegółowe pytania

Zamknięcie rachunku przez telefon i transfer wszystkich zgromadzonych na nim środków na inne konto bez konieczności podania jednorazowego kodu? Brzmi nieprawdopodobnie. - Odpowiadając na pana pytanie, pragnę wyjaśnić, że klient może zamknąć produkt telefonicznie wyłącznie po potwierdzeniu swojej tożsamości. Weryfikacja obejmuje szereg bardzo szczegółowych pytań osobowych oraz produktowych. Po jej dokonaniu klient może przelać środki na rachunek w obcym banku, obecnie jedynie do kwoty 100 zł. Jeśli na koncie znajdują się środki o wyższej wartości, klient może samodzielnie dokonać przelewu za pośrednictwem systemu bankowości elektronicznej lub zamknąć rachunek osobiście w oddziale - wyjaśnia Julian Krzyżanowski, rzecznik prasowy Alior Banku, który obsługuje usługi bankowe pod marką T-Mobile.

Krzyżanowski dodał, że przypadek naszego czytelnika był “jednostkowy” i moglibyśmy dowiedzieć się więcej, gdyby nie tajemnica bankowa. Tak czy owak, w odpowiedzi rzecznika są dwie istotne informacje.

  • Weryfikacja operacji zamknięcia konta i przelewu środków następowała wyłącznie na podstawie odpowiedzi na pytania. Rzecznik nie wspomniał nic o wymaganiu kodu jednorazowego, choć autoryzacja dyspozycji tego typu może być stosowana w serwisach telefonicznych. W niektórych bankach podanie kodu będzie niezbędne nawet przy operacji mniej “wrażliwej” niż przelew. Dla pewności dopytaliśmy Alior Bank, czy kod nie był potrzebny. Odpowiedziano nam, że "decyzje o stosowanych metodach bezpieczeństwa podejmowane są w oparciu o analizę i ocenę ryzyka, z uwzględnieniem potrzeb i wymagań biznesowych".

    Poza kodem jednorazowym bank może zastosować jeszcze inną metodę autoryzacji - telefon do wydającego dyspozycję klienta na numer podany w danych do korespondencji. W niektórych bankach każdy przelew powyżej pewnej kwoty musi być autoryzowany w rozmowie telefonicznej wykonanej do klienta, nawet jeśli wcześniej został potwierdzony kodem jednorazowym!

  • Obecnie po zamknięciu konta można przelać tylko do 100 zł. Czy "obecnie" oznacza, że przed tą kradzieżą można było więcej?

Tymczasem kwota, jaką złodzieje przelali z konta naszego czytelnika, jest - jak sam powiedział - "dwa rzędy wielkości większa niż 100 zł". Czytelnik dodaje, że bank sam zgłosił sprawę do prokuratury.

"Sprawa rozwojowa"

Sprawa ma ciąg dalszy. Relacjonuje nasz czytelnik:

Byłem dzisiaj na komendzie miejskiej, żeby złożyć zeznania, i dowiedziałem się, że całość środków jest zabezpieczona. GetinBank (…) zaklasyfikował przelew jako podejrzany i zablokował pieniądze do czasu wyjaśnienia sprawy. Policja już pytała o konto, na które mogą mi środki zwrócić, i mają to ‘niedługo’ zrobić.

Ponadto toczy się postępowanie, organy ścigania analizowały nagranie telefoniczne, pytali mnie o parę nazwisk itp. Sprawa jest rzekomo ‘rozwojowa’. Natomiast Alior odpowiedział na reklamację tylko tym, że środki zabezpieczono. Nie odniósł się do pytań, m.in. jak w ogóle było możliwe zamknięcie rachunku na telefon, bez kodów na SMS i bez okresu wypowiedzenia.

Wygląda na to, że ta kradzież mogła być dobrze zaplanowana, choć oczywiście luki w zabezpieczeniach Aliora mogły pomóc (i wiele wskazuje na to, że złodzieje byli świadomi tych luk).

Nie zgadniecie pewnie, co złodziej chciał zrobić z wykradzionymi pieniędzmi... Nasz czytelnik w międzyczasie dostał list z prośbą o weryfikację konta na giełdzie bitcoinowej BitMarket, którego - jak możecie się domyślić - sam nie zakładał. Wygląda więc na to, że ktoś próbuje wykradzione środki zamienić na wirtualną walutę, korzystając do tego z tej samej “skradzionej” tożsamości.

Mam konto w banku - co robić, jak żyć?

O tym, jak bezpiecznie robić przelewy, pisaliśmy już nieraz (zobacz: 6 porad, jak bezpiecznie wykonywać przelewy). Opisany wyżej przypadek pokazuje jednak, że nawet stosując się do porad “bezpiecznej bankowości elektronicznej”, możemy paść ofiarą kradzieży wszystkich środków. Choćby ze względu na przeoczenia w bankowych procedurach weryfikacji klienta. Tu oczywiście zaradzić mógłby sam T-Mobile/Alior, wdrażając potwierdzenie tego typu dyspozycji kodem jednorazowym. Spytaliśmy więc Usługi Bankowe T-Mobile dostarczane przez Alior Bank, czy mają zamiar wprowadzić potwierdzanie podobnych transakcji kodem jednorazowym. Odpowiedziano nam, że "informacje o stosowanych i planowanych do wdrożenia rozwiązaniach bezpieczeństwa mają charakter wewnętrzny".

Czyli nie wiadomo, czy bank to zrobi. Ale uwierzytelnianie telefoniczne to pięta achillesowa wielu usług, nie tylko bankowych. Manipulując konsultantami na infoliniach, często można uzyskać coś, co w bezpośredniej interakcji z serwisem internetowym danej usługi nie jest możliwe. Wystarczy wspomnieć przypadek dziennikarza, któremu ktoś przejął konto Apple i zdalnie skasował dane z laptopa, telefonu i iPada, a wszystko dzięki wcześniejszemu zmanipulowaniu call center Amazona. Albo wpadkę prezesa Cloudflare, którego pełne służbowych danych konto na GMailu przejęto po jednym telefonie do jego operatora telefonii komórkowej i wystosowanej do niego prośbie o przekierowanie poczty głosowej na inny, kontrolowany przez przestępców numer telefonu (tak odczytano kod potrzebny do resetu hasła do GMaila).

W przypadku ataku na Usługi Bankowe T-Mobile dostarczane przez Alior Bank ciężko jednak mówić o socjotechnice, tu znajdowała się luka w tzw. logice biznesowej - po prostu brakowało odpowiednio silnego zabezpieczenia. Ktoś, kto znał odpowiedź na "szczegółowe pytania dotyczące produktów klienta”, był w stanie w rozmowie telefonicznej podszyć się pod niego.

Dlatego lepiej nie chwalcie się, z jakich usług korzystacie. I jak brzmi panieńskie nazwisko waszej mamy (tu warto sprawdzić, czy na Facebooku nie macie oznaczonego konta mamy jako “rodziny”, a mama w publicznym profilu nie chwali się nazwiskiem panieńskim). Na marginesie - to, że ukryjecie swoją datę urodzenia na FB, za wiele nie zmieni - każdy, kto przejrzy wasz profil pod kątem zwrotów "sto lat!”, i tak dowie się, w jakim dniu obchodzicie urodziny.

Po publikacji niniejszego artykułu zgłosiła się do nas osoba, która poinformowała nas o trochę innym wariancie ataku (ale również z wykorzystaniem połączenia telefonicznego), w ramach którego klientom Aliora w minionym roku skradziono środki z kont (idące w setki tysięcy złotych). Wiemy, że poszkodowanych osób jest więcej i szukamy do nich kontaktu. Jeśli znasz taką osobę lub jesteś jedną z nich, daj nam znać na: jakub.wator@agora.pl.

Autorami artykułu są pracownicy firmy Niebezpiecznik, która szkoli programistów i administratorów w zakresie bezpieczeństwa IT i... włamuje się na serwery (za zgodą) polskich firm w celu namierzenia błędów bezpieczeństwa w ich sieciach i aplikacjach - zanim zrobią to prawdziwi włamywacze. Więcej informacji o bezpieczeństwie w sieci i nie tylko na Niebezpiecznik.pl.

Rok 2017 to wielkie wyzwanie dla bezpieczeństwa w sieci - w "Temacie Dnia" o świecie wirtualnym

Czytaj ten tekst i setki innych dzięki prenumeracie

Wybierz prenumeratę, by czytać to, co Cię ciekawi

Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich. Zrezygnować możesz w każdej chwili.