Polka straciła 36 tys. zł: napastnik wykiwał zarówno ją, jak i bank

Pani Justyna, która kliknęła w link otrzymany w SMS-ie, straciła 20 tys. zł oszczędności oraz stała się pożyczkobiorcą na kwotę 16 tys. zł – donosi serwis legalniewsieci.pl. Samo zjawisko kradzieży dokonanej poprzez fałszywą bramkę płatności to nic nowego, jednak w niniejszej historii szczególne jest, że napastnik wymanewrował nie tylko kobietę, ale też bank.

Jest godzina 20.40. Na telefon Pani Justyny przychodzi SMS, który ma rzekomo pochodzić od firmy kurierskiej. SMS informuje o konieczności dopłaty (1.19 zł) do przesyłki kurierskiej w związku z jej nadwagą – czytamy w reportażu. Oczekująca na trzy paczki kobieta, niewiele myśląc, postanawia uregulować należność. Tak oto klika w umieszczony we wiadomości link, a następnie podaje login i hasło do swojego konta w ING Banku Śląskim.

Pierwsza próba płatności kończy się błędem, ale druga jest już skuteczna. Rano jednak ofiarę czeka nie lada szok. Okazuje się, że z jej konta zniknęły całe oszczędności w kwocie 20 tys. zł. Mało tego, przy składaniu reklamacji bank powiadamia, że wzięto także kredyt konsumencki na kwotę 16 tys. zł. Oczywiście ofiara nie ma pojęcia o żadnej z tych operacji.

Tymczasem ING jest jednym z tych banków, w których klasycznego ataku phishingowego z użyciem fałszywej bramki przeprowadzić się nie da. Stosuje bowiem niekonwencjonalny mechanizm logowania, który nie wymaga podawania całego hasła, ale tylko wybranych znaków. Co logiczne, nieświadomy klient może się zapomnieć i wpisać w fałszywym formularzu cały ciąg, ale pani Justyna, jak twierdzi, takiego błędu nie popełniła.

Zatem, co zrobili przestępcy? Tylko pierwsze, nieudane logowanie prowadziło do bramki fałszywej. Przy próbie numer dwa kobieta trafiła na autentyczną stronę banku. Prowadzi to do wniosku, że na smartfon ofiary przemycono malware, który przejął sesję, a potem – kody autoryzacyjne.

Nie mając zhakowanego urządzenia w ręku, ciężko mówić o szczegółach, ale potencjalnych wektorów takiego ataku jest co najmniej kilka. Przykładowo, już od 2019 r. wiadomo, że izolację bezpiecznej enklawy wielu mobilnych procesorów można przełamać poprzez emulację środowiska bezpiecznego w ogólnodostępnej puli pamięci. Wtedy chroniona aplikacja "myli się" i zamiast chronić poufne dane w przestrzeni izolowanej od innych procesów, wykłada im je jak na tacy.

Choć bank na razie zasłania się stwierdzeniem, że winę ponosi klientka, która dopuściła do rażącego niedbalstwa, pani Justyna powinna odzyskać pieniądze na drodze sądowej. Jak zauważa źródło, w podobnej sprawie (sygn. akt I C 566/17) Sąd Okręgowy w Warszawie przyznał rację poszkodowanemu. Uznając m.in., że działał w sposób niezamierzony i nieświadomy, a tu dochodzi do tego wątek złamania zabezpieczeń aplikacji, spadający wprost na barki banku.

Ale mamy też ważny morał. Żadne zabezpieczenie, nawet pozornie bardzo sprytne, nie gwarantuje 100-proc. bezpieczeństwa. Sprawdza się tym samym niepisana zasada, iż w podejrzane linki najlepiej jest w ogóle nie klikać. A już na pewno nie wtedy, gdy dotyczą one finansów.