Osoby czytające wydania polityki

„Polityka”. Największy tygodnik w Polsce.

Wiarygodność w czasach niepewności.

Subskrybuj z rabatem
Rynek

Nie bądź zombi

Cyberzłodzieje: jak chronić pieniądze w sieci

Wojciech Traczyk/SE / EAST NEWS
Już 10 mln Polaków przeniosło swoje pieniądze w cyberprzestrzeń. Przestępcy podążyli za nimi. Tego lata bankomatowi złodzieje szczególnie dali się we znaki mieszkańcom Śląska, Częstochowy, Warszawy.

W lipcu złodzieje zaatakowali jeden z warszawskich bankomatów PKO BP: pewnego popołudnia musieli zainstalować sprzęt kopiujący karty płatnicze oraz kody dostępu. Po kilku dniach ruszyli z fałszywymi kartami w miasto i wyciągali z kont, ile tylko bankomat zgodził się wypłacić. W ciągu ostatnich dwóch miesięcy był to już czwarty przypadek skimmingu (od ang. skim – zbierać śmietankę z mleka, usuwać z powierzchni). W czerwcu śląscy policjanci rozbili zajmujący się tym gang Rumunów, w lipcu, również na Śląsku – aresztowali podrabiających karty płatnicze Bułgarów. W ostatnich dniach czerwca w Częstochowie ofiarą szajki skimmerów padli klienci wypłacający pieniądze w bankomacie ING Banku Śląskiego.

Współczesny rabunek w banku coraz rzadziej ma formę zwyczajnego napadu. Złodzieje przenoszą się teraz masowo tam, gdzie i klienci – do cyberprzestrzeni. – Większość osób zaglądających do Internetu ma na jego temat tylko podstawową wiedzę – mówi oficer powstałego w czerwcu 2010 r. Wydziału ds. Zwalczania Cyberprzestępczości Komendy Głównej Policji. – Wysyła e-maile, wchodzi na portal społecznościowy, szuka informacji. Taki bezradny użytkownik, który nie ma pojęcia, że samym tylko pojawieniem się w sieci naraża się na okradzenie, to w naszym żargonie zombi. Poniżej spis rad, jak jako zombi uchronić się przed okradzeniem.

1

Sprawdzaj stan konta

Bankowcy nie lubią o tym mówić, ale w przestępstwach bankowych coraz większy udział mają oszustwa wewnętrzne. Kret to urzędnik, który ujawnia przestępcom dane swojego klienta. Byli lub obecni pracownicy banku znają wszystkie procedury. Wiedzą, jak wyłudzać PIN. Popełniają najczęściej oszustwa kredytowe, wyłudzają numery kart, podskubują drobne sumy z kont klientów. Czasem są to tzw. krótkie pożyczki – pieniądze po kilku dniach wracają na konto właściciela.

Banki są przeważnie uczulone na tego typu niebezpieczeństwo. – Wszystkie operacje w systemie są na bieżąco kontrolowane – mówi Wojciech Kaczorowski z Banku Millennium. – Specjalne programy wyłapują zdarzenia nietypowe dla danego klienta, grupy klientów, strefy geograficznej. A nasi specjaliści od bezpieczeństwa oceniają, czy trzeba się tym zainteresować. Klient, który zazwyczaj używa swojej karty tylko w sklepach i punktach usługowych, i nagle, w ciągu kilku godzin, dokonuje dużych wypłat gotówki z bankomatu, może spodziewać się telefonu. – W taki sposób dostałam informację, że z mojego konta ktoś ściągnął sporą sumę – mówi Ewa B., która padła ofiarą skimmingu. Gdy potwierdziła obawy bankowców, jej kartę natychmiast zablokowano, a bank obiecał zwrócić skradzione pieniądze.

Zainteresowanie kontrolerów budzą wszystkie seryjne przelewy, z jednego rachunku na kilkanaście innych. – A gdy widzimy, że w nocy, za granicą, kilkunastu klientów naszego banku wypłaca spore sumy, to są tylko dwie możliwości – mówi Krzysztof Paczkowski, odpowiedzialny za bezpieczeństwo w PKO BP. – Albo autokar z polską wycieczką zatrzymał się pod bankomatem, albo mamy kolejny przypadek skimmingu.

Ale drobne, zmienne, nieregularnie podskubywane kwoty mogą umknąć uwadze. Jeden z pracowników dużego banku wpadł na tym, że odprowadzał z kont klientów po 40 zł. Gdyby zmieniał sumę, być może nikt by się nie zorientował. Dlatego najskuteczniejszym kontrolerem jest sam klient. Warto stale śledzić, co się dzieje na koncie.

2

Sprawdź czytnik kart w bankomacie

Wiele osób lekceważy radę, by zasłaniać choćby dłonią wstukiwany w bankomacie PIN. Na ogół skimmerzy odwiedzają kilka miast. Na wybranych bankomatach, najczęściej w centrum, w uczęszczanych punktach, instalują tuż przy czytniku urządzenie skanujące karty i kamerę rejestrującą moment podania przez klienta PIN. Kamera najczęściej jest podwieszona u góry, może być też zamontowana z boku.

Niestety, zasłanianie nic nie da, jeśli zamiast kamery złodzieje zainstalują nowocześniejszą wersję: nakładkę na klawiaturę. Dlatego warto sprawdzać, czy klawisze wyglądają tak samo jak zwykle, czy czytnik kart nie jest zbyt wypukły, klawiatura równa lub lekko obniżona w stosunku do obudowy, a sam bankomat nie ma żadnych odstających części.

Dodaliśmy osłonki wokół klawiatury, by ułatwić zasłanianie wystukiwanego PIN – mówi Krzysztof Paczkowski z PKO BP. – I natychmiast rozdzwoniły się telefony. To klienci alarmowali, że coś jest nie w porządku. Każde takie zgłoszenie sprawdzamy i już nieraz, dzięki czujności klientów, udało się uniemożliwić złodziejom działanie. Niektóre bankomaty na ekranie mają zdjęcie klawiatury i czytnika w nienaruszonym stanie. Zanim wsunie się kartę do szczeliny, warto porównać zdjęcie z rzeczywistością.

Skimmery coraz częściej wysyłają dane esemesem. Według policji, na przestępczym rynku najtańszy zestaw kosztuje 1,8 tys. dol., za profesjonalne urządzenie wyposażone w moduły GSM, skrojone na miarę konkretnego bankomatu, trzeba zapłacić przynajmniej 8 tys. euro. Takie urządzenia są często wyposażone w alarm, który ma chronić złodzieja przed innym złodziejem.

3

Przyjrzyj się terminalowi w sklepie

Skimmery są także montowane w terminalach sklepowych. Urządzenie jest wtedy troszkę dłuższe niż zazwyczaj. Trudniej to zauważyć, bo terminale różnią się między sobą. Ale jest mało prawdopodobne, by współpracujący ze złodziejami nieuczciwy sprzedawca trzymał taki terminal na ladzie. Raczej ustawi go niżej, by był niewidoczny dla klientów. I to już powinno zaniepokoić. Trzeba trzymać się żelaznej zasady: właściciel nie traci z oczu swojej karty. Tymczasem wciąż jeszcze zdarza się, zwłaszcza w restauracjach, że kelner zabiera kartę i idzie z nią na zaplecze, przynosząc płacącemu wydruk do podpisu. To, w jaki sposób potwierdza się transakcję, nie zależy od banku czy rodzaju karty, ale od centrum rozliczeniowego, które pośredniczy między sprzedawcą a bankiem. Do niedawna jeszcze od klientów równie często żądano autoryzacji podpisem, jak i PIN. Dziś króluje PIN.

4

Wymień kartę na chipową

Jako pierwsi w Polsce wprowadziliśmy karty chipowe z mikroprocesorem, których nie można zeskanować – mówi Piotr Gajdziński z BZ WBK. – Już wszyscy nasi klienci takie mają. Zaletą karty chipowej jest to, że nie przeciąga się jej przez sklepowy terminal. Właściciel sam wkłada kartę do czytnika umieszczonego z przodu, czeka na pojawienie się kwoty i potem wprowadza PIN.

Gajdziński nie ma jednak wątpliwości, że cyberprzestępcy nie dadzą za wygraną i będą próbować złamać kolejne zabezpieczenia. Zwłaszcza że mikroprocesory nie działają we wszystkich bankomatach, a wtedy dane odczytywane są z paska magnetycznego, w który także jest wyposażona karta chipowa. Jednym z najnowszych pomysłów Visy są karty z ekranem i klawiaturą. Po wpisaniu PIN karta generuje jednorazowe hasło do bankomatu, wyświetlane na ekraniku.

5

Nie daj się złowić poławiaczom danych

Najpopularniejszą metodą poszukiwania zombi przez bankowych złodziei jest phishing (celowo błędny zapis ang. słowa fishing – łowienie ryb). Chodzi o zarzucanie wędki w necie i łowienie haseł, loginów, PIN, numerów kart kredytowych, adresów e-mailowych. – W zeszłym roku mieliśmy bardzo duży atak phishingowy na nasz bank, prowadzony z serwera w Kolumbii – mówi Piotr Gajdziński z BZ WBK. – Klienci dostawali e-maile z informacją, że zmieniła się strona internetowa banku i trzeba podać kod PIN, żeby się zalogować.

Na phishing łapie się około 6 proc. spośród kilkunastu, czasem kilkudziesięciu tysięcy internautów zaatakowanych podczas jednej akcji. E-maile z przynętą wysyła robot, adresy e-mailowe można kupić na całym świecie za około pół centa od sztuki. Te, które jeszcze nigdy nie były wykorzystywane, są droższe.

Nie trzeba mieć dużego doświadczenia, by nie dać się nabrać na najprostszy phishing. Banki raczej nie wysyłają e-maili, poczta jest na stronie banku, dostępna po zalogowaniu. W ważniejszych sprawach pracownicy dzwonią i zapraszają do oddziału. A jeżeli zdarzy się korespondencja drogą e-mailową, na pewno będzie skierowana tylko do nas, z naszym imieniem i nazwiskiem.

Fałszywy list zawiera link do witryny internetowej łudząco podobnej do strony bankowej. – A tam jest prośba o podanie numeru karty, jej daty ważności i cvv (trzycyfrowy kod na odwrocie karty obok miejsca na podpis) mówi Sławomir Brzeziński z BZ WBK. – To wystarczy do zrealizowania transakcji w Internecie. Adres strony fałszywego banku najczęściej różni się jedną literką od prawdziwego, np. zamiast „l” może być duże „i”. Przed logowaniem trzeba też sprawdzić kłódkę w oknie przeglądarki, jej obecność również oznacza połączenie szyfrowane, a po kliknięciu pojawi się identyfikacja strony.

6

Kup porządny komputer

Oficer wydziału ds. cyberprzestępczości, który wielokrotnie, udając zwykłego internautę, podpatrywał za pomocą specjalnych programów, jak atakują go w sieci przestępcy, twierdzi, że już po 5 sekundach roboty widzą nowego użytkownika Internetu i natychmiast sprawdzają, czy mogą się dostać do jego systemu. Po to chociażby, by zainstalować tam złośliwe oprogramowanie, które modyfikuje przeglądarkę, router lub cały system operacyjny komputera. Wtedy wpisanie w oknie przeglądarki internetowej prawidłowego adresu banku doprowadzi do przekierowania na fałszywą stronę. – Tak naprawdę do korzystania z bankowości internetowej powinno się mieć osobny, dobrze zabezpieczony komputer – mówi Piotr Gajdziński z BZ WBK.

Cyberprzestępca, któremu uda się włamać do systemu, może też ustawić przeglądarkę w taki sposób, że po kliknięciu na symbol kłódki wyświetla poprawne certyfikaty fałszywym stronom. Klient, przekonany, że jest na stronie swojego banku, loguje się i podaje hasło. Wtedy najczęściej wyskakuje okienko z komunikatem o błędnej nazwie użytkownika. Niepodejrzewający niczego internauta (komu z nas nie zdarza się pomylić przy wpisywaniu loginu czy hasła?) próbuje jeszcze raz. W ciągu tych kilku sekund login i hasło są już skopiowane przez cyberprzestępcę, a przeglądarka przekierowuje klienta na prawdziwą stronę banku, gdzie już bez przeszkód loguje się w systemie.

7

Zmieniaj swoje hasło

By utrudnić podejrzenie hasła przez potencjalnych cyberwłamywaczy, banki stosują do logowania hasła maskowane: ciąg znaków, najczęściej ośmiu cyfr, z których przy każdej kolejnej transakcji podajemy tylko dwie. System prosi np. o wpisanie drugiej i piątej. Złodziejowi nie wystarczy więc jednorazowe podejrzenie hasła. Jednak przestępcy są cierpliwi i nie opuszczają tak szybko komputera, do którego udało im się włamać. Kilkanaście logowań klienta na stronie banku najczęściej wystarcza, by poznać całe hasło. – Dlatego trzeba pamiętać o okresowej zmianie hasła – radzi Piotr Gajdziński. – A wielu tego nie robi, bojąc się pomyłki.

Lepszym rozwiązaniem są hasła jednorazowe, używane zazwyczaj do potwierdzenia transakcji. Początkowo były to TAN, drukowane przez bank listy kilkudziesięciu kodów w formie zdrapki lub plastikowych kart. Ale zdarzało się, że użytkownicy podawali oszustom wszystkie kody, wypełniając fałszywe formularze. Bezpieczniejsze są hasła esemesowe. Każda transakcja musi być potwierdzona jednorazowym, esemesowym kodem. Niestety, i na to rozwiązanie złodzieje mają już sposób. SMS można przechwycić z telefonu przez podsłuch GSM lub włamując się do serwera banku. Wtedy przestępca będzie mógł dokonać jednej transakcji.

8

Pomyśl o tokenie GSM

Dość skutecznym sposobem bankowych speców od zabezpieczeń są tokeny, niewielkie elektroniczne urządzenia, wyświetlające aktualne hasło, zmieniające się np. co minutę, niezbędne do zalogowania i potwierdzenia transakcji. Zabezpieczony PIN token ma jedną podstawową wadę: jest drogi.

Dla oszczędności i wygody, zamiast osobnego urządzenia, funkcję tokenu może pełnić komórka, po zainstalowaniu specjalnej aplikacji. Jest to tzw. token GSM, jedno z najnowszych zabezpieczeń bankowości internetowej. Jako pierwsze w Polsce wprowadziły to rozwiązanie Eurobank i Pekao SA.

Jednak użycie komórki nie eliminuje zagrożenia podsłuchem GSM i wirusami atakującymi telefony. Dodatkowo cała operacja jest dość skomplikowana. W Pekao SA najpierw trzeba wpisać cztery ostatnie cyfry konta odbiorcy przelewu oraz numer wygenerowany przez PekaoToken. Dopiero wówczas klient otrzymuje hasło jednorazowe, dzięki któremu może autoryzować transakcję.

Token GSM to rozwiązanie tańsze od esemesów, zarówno dla banku, jak i dla klienta. Płaci się tylko za aplikację, potem wysyłane tokeny są bezpłatne.

9

Stosuj zasadę ograniczonego zaufania

Mimo wysiłków bankowców, by zwiększyć poziom bezpieczeństwa, człowiek może czuć się bezradny wobec zaawansowanych metod stosowanych przez oszustów. – Na włamaniu do bankomatu traci bank, a nie klient – mówi Tomasz Bogusławski z Pekao SA. Jeżeli zdarzy się skimming, banki zwracają klientom wszystkie stracone pieniądze. W przypadku phishingu, gdy podamy oszustom nasze hasła, kody i PIN, odpowiedzialność ciąży na nas. Jednak często banki wykazują wielkoduszność.

– Finansowe straty akcji skimmingowej czy ataku phishingowego na ogół są do udźwignięcia dla banku – mówi Krzysztof Paczkowski z PKO BP. – Bardziej cierpi na tym nasza reputacja.

To też jest powód, dla którego banki nie mówią za dużo o zagrożeniach. – Jeżeli my będziemy uporczywie ostrzegać klientów, a konkurencja nie, klient może uznać, że nasz bank jest mniej bezpieczny niż inne – przyznają bankowi spece od wizerunku. Warto więc pamiętać, że nawet najbardziej przyjazny bank jest tylko bankiem, a nie przyjacielem.

Polityka 36.2010 (2772) z dnia 04.09.2010; Rynek; s. 48
Oryginalny tytuł tekstu: "Nie bądź zombi"
Więcej na ten temat
Reklama

Czytaj także

null
Ja My Oni

Jak dotować dorosłe dzieci? Pięć przykazań

Pięć przykazań dla rodziców, którzy chcą i mogą wesprzeć dorosłe dzieci (i dla dzieci, które wsparcie przyjmują).

Anna Dąbrowska
03.02.2015
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną