Tak się robi phishingi – bank oszczędza na SMS-ach, klienci są naiwni, a straty idą w setki tysięcy

Dwuetapowe uwierzytelnianie transakcji za pomocą kodówwysyłanych niezależnym kanałem (np. SMS-em) powinno byćstandardem w e-bankowości. Bank BZWBK zechciał jednak niedawnozaoszczędzić na wysyłaniu SMS-ów i zrezygnował z takiejautoryzacji przy płatnościach pay-by-link (tj. płatności przezusługę Przelew24 na stronach partnerskich). Efekt? Jedna znajbardziej udanych w historii polskiego Internetu kampaniiphishingowych pozwoliła wykraść ofiarom setki tysięcy złotych.

Tydzień temu do skrzynek odbiorczych potencjalnych ofiarrozesłane zostały e-maile od „BZ WBK24” – z adresu„rozne@adresy.e-mail”. Nadawca informował, że w trosce obezpieczeństwo klientów dostęp do konta został zablokowany zpowodu nieautoryzowanego dostępu. Aby odzyskać konto, należałosię zweryfikować na stronie www.bzwbk.pl/weryfikacja. Faktyczniejednak link prowadził do strony w domenie centrum24.pw – ale tegojuż wielu odbiorców nie zauważyło, przyjmując całkiemprofesjonalnie przygotowany phishing za dobrą monetę.

Elegancko wyglądająca strona phishingu, zawierająca nawetreklamę Orange do kompletu oraz (o ironio) ostrzeżenie o zagrożeniuphishingiem, krok po kroku odpytywała ofiarę o login (NumerIdentyfikacji Klienta), hasło (PIN) – oraz o wszystkie dane kartypłatniczej. Karty płatnicze są w BZWBK zabezpieczonewykorzystującym kody jednorazowe protokołem 3-D Secure, więcwykraść za pomocą tych danych pieniądze nie było łatwo.

Wcale jednak nie było trzeba korzystać z danych kart (tenajpewniej trafiły na sprzedaż na czarnorynkowym forum). Napastnicywykorzystali fakt, że w marcu tego roku BZWBK domyślnie wyłączyłopotwierdzenia opłacania zakupów internetowych przez Przelewy24kodem SMS. Ta osobliwa praktyka została przez bank określona jako„włączenie uproszczenia transakcji” – jeśli ktośuproszczenia nie chciał, to mógł sobie w panelu Sposóbpotwierdzania zleceń ponownie włączyć potwierdzanie SMS-em lubtokenem.

BZWBK wyjaśniało wówczas w opublikowanym oświadczeniu, żepotwierdzenia smsKodem/tokenem nie wymaga płatność Przelewem24w większości sklepów i serwisów aukcyjnych w przypadku, gdy danatransakcja nie przekracza dziennego limitu transakcji niewymagającychautoryzacji smsKodem/tokenem. Standardowa (domyślna) wysokośćdziennego limitu transakcji niewymagających autoryzacjismsKodem/tokenem to 10 000,00 zł, jednak każdy klient może jązmienić wg własnych preferencji.

Wystarczyło więc zdobyć phisingiemlogin i hasło ofiary, by móc spokojnie kupować np. usługifinansowe czy bitcoiny na giełdach. W ten sposób można byłowyczyścić klientom konto do dziennego limitu transakcji –niejednokrotnie wyższego niż 10 tys. zł, w wypadku ludzi, którzylimit ten sobie zwiększyli.

Niebezpiecznik uzyskałoficjalne stanowisko banku już po włamaniu. W zasadzie nie ma cotam czytać, typowe korporacyjne okrągłe zdania. Nikomunajwyraźniej krzywda z powodu tej wpadki się nie stanie. Co więcej,automatycznego zwrotu wykradzionych środków ofiary nie mają sięco spodziewać – wszelkie reklamacje klientów będziemyrozpatrywać indywidualnie, stwierdziła Katarzyna Prus-Malinowska,dyrektor bankowości mobilnej i internetowej BZWBK.

Jedyną dobrą wiadomością w tymwszystkim jest to, że bank wycofał się z pomysłu brakupotwierdzeń transakcji kodem dla swoich przelewów. Klientomporadzić możemy jedynie, by sprawdzili osobiście, że tak właśniejest – w menu Ustawienia należy znaleźć pozycję Sposóbpotwierdzania zleceń. Opcja Płatności Przelewem24 (zakupyinternetowe) zawsze potwierdzane smsKodem lub tokenem powinna byćustawiona na tak. Warto też ograniczyć limity transakcyjnedla płatności internetowych – w menu Limity należy wybraćLimity przelewów i ustawić odpowiednio niski poziom w polu Dziennylimit transakcji internetowych.