Jednym z najbardziej perwersyjnych wirusów, które mogą nas zaatakować, jest ostatnio „robak” podszywający się pod… wyciąg z banku. Złodzieje naszych pieniędzy zauważyli, że banki często rezygnują już z wysyłania nam wyciągów papierowych i przeszły na elektroniczne. Nie musimy się zaglądać do skrzynki z listami, a w zamian za to co miesiąc dostajemy e-mailem listę operacji i saldo rachunku. Zresztą robią tak nie tylko banki – w telekomach e-faktura jest już standardem i dziś już ktoś, kto zażyczyłby sobie wysyłania faktury papierowej, byłby karany nawet 10-złotowym „domiarem” do rachunku.
Kłopot polega na tym, że istnienie e-faktury to genialny pomysł dla przestępców, by mieć pretekst do wpuszczania nam na komputery złośliwych „robaków”, które podpatrują nasze loginy i hasła. Wpuszczenie takiego „robaka” jeszcze nie oznacza, że ktoś może nam ukraść pieniądze, ale… nie da się ukryć, że zły człowiek jest wówczas już w połowie drogi (druga połowa to poznać nasz numer telefonu i również wpuścić nań wirusa, który przechwyci SMS-a autoryzacyjnego).
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Czytaj: Ten wirus kradnie kasę z konta wtedy, kiedy czujesz się najbezpieczniejszy
Czytaj: Banki zachęcają do zatwierdzania przelewów „koszykiem”. To bezpieczne?
Do tej pory e-przestępcy najczęściej wysyłali nam e-maile „z banku” z informacjami, że powinniśmy kliknąć załączony link i zalogować się, by odzyskać dostęp do rachunku. Albo „informowali”, że ze względów bezpieczeństwa trzeba potwierdzić login, hasło i numer telefonu. Większość z nas jest już odporna na tę ściemę i wie, że bank nigdy o nic nie prosi przez internet. A już na pewno o podanie loginu i hasła.
Prosić nie prosi, ale wysyła e-wyciągi. Złodzieje więc coraz częściej podszywają się pod tę korespondencję i też wysyłają nam coś, co przypomina wyciąg. Adres podobny do „legalnego”, załącznik taki jak zwykle… Sprawa jest o tyle poważna, że o ile zwykły spam klienci bez bólu „odstrzeliwują”, o tyle wyciąg z banku zawsze ściągną na komputer, choćby po to żeby sprawdzić czy nie ma w historii rachunku jakichś podejrzanych transakcji. Terminy na złożenie ewentualnej reklamacji biegną przecież właśnie od momentu dostarczenia klientowi wyciągu. Nieodebranie wyciągu może mieć z tego powodu niekorzystne konsekwencje.
Ostatnio serwis www.zaufanatrzeciastrona.pl informował, że klienci mBanku dostawali podejrzane wiadomości z załącznikiem do złudzenia przypominającym wyciąg z karty kredytowej. Wiadomość miała tytuł „mBank – elektroniczne zestawienie operacji na karcie kredytowej”. Co prawda załącznik był już dziwny, bo był to plik z rozszerzeniem zip (czyli spakowana grupa plików, a nie żaden plik tekstowy, czy pdf), ale ten i ów mógł się nabrać. Rozpakowując plik .zip trafiało się do pliku z rozszerzeniem .exe, którego kliknięcie otwierało wirusa.
Oczywiście: kto jest podejrzliwy i nie otwiera bezmyślnie wszystkich załączników do e-maili na pewno rozpozna próbę wprowadzenia złodziejskiego oprogramowania na swój komputer. Ale reszta tylko sprawdzi adres, z którego przesyłka przyszła (mBankowy), przeczyta list załączony do e-maila (taki jak zwykle) i wpuści sobie na dysk jakieś badziewie, które przekaże złodziejom loginy i hasła. Jakie jest na to lekarstwo? Cóż, prawdopodobnie takie, jakie tuż przed swoim „zgonem” zastosował Bank Smart. Dziś występuje pod marką Nest Bank i nie jest już wyłącznie bankiem smartfonowym.
Otóż w Banku Smart wysłali latem zeszłego roku klientom taką informację: „wyciągi bankowe, dotychczas dystrybuowane za pośrednictwem poczty elektronicznej, będą przekazywane za pośrednictwem aplikacji banku, dostępnej pod adresem (…)”. A więc po prostu klient sam musi się zalogować do banku i ściągnąć sobie powieszony w e-bankowości wyciąg. Niestety, tu akurat przekombinowali, bo kazali klientom logować się nie tyle do bankowości elektronicznej/mobilnej, ale na coś w rodzaju nowego konta, na którym są tylko wyciągi. Pod względem wygody – słabo. Ale idea ciekawa. To rzeczywiście poprawia bezpieczeństwo, bo przyzwyczaja klientów nie tylko do tego, że bank nigdy nie prosi o żadne loginy, hasła, ani klikanie w linki, ale też nigdy nie wysyła klientowi żadnych załączników.
Czytaj: Dostajesz wyciągi z konta obcej osoby? Nie awanturuj się, bo…
Dla części klientów – a może nawet dla większości – to była wkurzająca zmiana. Taki comiesięczny wyciąg z konta był impulsem, żeby zainteresować się czy pieniądze są na swoim miejscu. Mało kto pamięta, żeby co miesiąc wejść do e-bankowości tylko po to, by ściągnać sobie wyciąg. Gdyby coś niedobrego się stało z pieniędzmi (w dobie internetowych złodziei to nie jest całkiem wykluczone) taki „dowód rzeczowy” w postaci przesłanego przez bank raz w miesiącu wyciągu pozwala się zorientować i złożyć reklamację. Jeśli zapomnę ściągnąć e-wyciąg, może mi przepaść termin na złożenie reklamacji. Jeśli mam konta w kilku bankach, to zarządzanie e-wyciągami staje się jeszcze bardziej kłopotliwe.
Ale z drugiej strony… w czasach powszechnego phishingu być może powinniśmy się odzwyczaić od odbierania jakiejkolwiek korespondencji e-mailowej od banków. Jaką mamy gwarancję, że ktoś się nie podszył pod nasz bank i że zamiast pdf-a z wyciągiem na komputer nie wpuszczają nam wirusa? Może rzeczywiście lepiej samemu przeglądać sobie wyciągi po zalogowaniu i mieć pewność, że bank nigdy, w żadnej sprawie, nie będzie do nas pisał e-maila? A jeśli nawet, to w tym e-mailu będzie tylko informacja, że w portalu banku jest dostępny wyciąg..
To ostatnie jest niestety trudne, bo są produkty bankowe, w których bank ma obowiązek dostarczyć zestawienie transakcji. Jeśli nie ma to być forma papierowa lub elektroniczna, tylko np. powieszenie wyciągu w systemie transakcyjnym, to pojawia się pytanie: czy można mówić o tym, że dokument został „dostarczony” i to w takiej formie, która uniemożliwia bankowi nanoszenie na ów dokument zmian, gmeranie przy nim? Poza tym: czy jeśli bank będzie wysyłał mejla z informacją, że w serwisie transakcyjnym czeka na klienta wyciąg, to czy przestępcy nie zaczną produkować podobnych e-maili, „ubogaconych” o link do strony, na której podobno miałby być wyciąg, a jest wirus? Tak naprawdę jedynym „twardym” antidotum mogłoby być całkowite zaprzestanie wysyłania jakichkolwiek e-maili do klienta przez banki. I kto wie czy wkrótce do takiego rozwiązania nie dojdziemy.
