18 kwietnia 2017

Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi z rachunków?

Jednym z najbardziej perwersyjnych wirusów, które mogą nas zaatakować, jest ostatnio „robak” podszywający się pod… wyciąg z banku. Złodzieje naszych pieniędzy zauważyli, że banki często rezygnują już z wysyłania nam wyciągów papierowych i przeszły na elektroniczne. Nie musimy się zaglądać do skrzynki z listami, a w zamian za to co miesiąc dostajemy e-mailem listę operacji i saldo rachunku. Zresztą robią tak nie tylko banki – w telekomach e-faktura jest już standardem i dziś już ktoś, kto zażyczyłby sobie wysyłania faktury papierowej, byłby karany nawet 10-złotowym „domiarem” do rachunku.

Kłopot polega na tym, że istnienie e-faktury to genialny pomysł dla przestępców, by mieć pretekst do wpuszczania nam na komputery złośliwych „robaków”, które podpatrują nasze loginy i hasła. Wpuszczenie takiego „robaka” jeszcze nie oznacza, że ktoś może nam ukraść pieniądze, ale… nie da się ukryć, że zły człowiek jest wówczas już w połowie drogi (druga połowa to poznać nasz numer telefonu i również wpuścić nań wirusa, który przechwyci SMS-a autoryzacyjnego).

Czytaj: Ten wirus kradnie kasę z konta wtedy, kiedy czujesz się najbezpieczniejszy

Czytaj: Banki zachęcają do zatwierdzania przelewów „koszykiem”. To bezpieczne?

Do tej pory e-przestępcy najczęściej wysyłali nam e-maile „z banku” z informacjami, że powinniśmy kliknąć załączony link i zalogować się, by odzyskać dostęp do rachunku. Albo „informowali”, że ze względów bezpieczeństwa trzeba potwierdzić login, hasło i numer telefonu. Większość z nas jest już odporna na tę ściemę i wie, że bank nigdy o nic nie prosi przez internet. A już na pewno o podanie loginu i hasła.

Prosić nie prosi, ale wysyła e-wyciągi. Złodzieje więc coraz częściej podszywają się pod tę korespondencję i też wysyłają nam coś, co przypomina wyciąg. Adres podobny do „legalnego”, załącznik taki jak zwykle… Sprawa jest o tyle poważna, że o ile zwykły spam klienci bez bólu „odstrzeliwują”, o tyle wyciąg z banku zawsze ściągną na komputer, choćby po to żeby sprawdzić czy nie ma w historii rachunku jakichś podejrzanych transakcji. Terminy na złożenie ewentualnej reklamacji biegną przecież właśnie od momentu dostarczenia klientowi wyciągu. Nieodebranie wyciągu może mieć z tego powodu niekorzystne konsekwencje.

Ostatnio serwis www.zaufanatrzeciastrona.pl informował, że klienci mBanku dostawali podejrzane wiadomości z załącznikiem do złudzenia przypominającym wyciąg z karty kredytowej. Wiadomość miała tytuł „mBank – elektroniczne zestawienie operacji na karcie kredytowej”. Co prawda załącznik był już dziwny, bo był to plik z rozszerzeniem zip (czyli spakowana grupa plików, a nie żaden plik tekstowy, czy pdf), ale ten i ów mógł się nabrać. Rozpakowując plik .zip trafiało się do pliku z rozszerzeniem .exe, którego kliknięcie otwierało wirusa.

Oczywiście: kto jest podejrzliwy i nie otwiera bezmyślnie wszystkich załączników do e-maili na pewno rozpozna próbę wprowadzenia złodziejskiego oprogramowania na swój komputer. Ale reszta tylko sprawdzi adres, z którego przesyłka przyszła (mBankowy), przeczyta list załączony do e-maila (taki jak zwykle) i wpuści sobie na dysk jakieś badziewie, które przekaże złodziejom loginy i hasła. Jakie jest na to lekarstwo? Cóż, prawdopodobnie takie, jakie tuż przed swoim „zgonem” zastosował Bank Smart. Dziś występuje pod marką Nest Bank i nie jest już wyłącznie bankiem smartfonowym.

Otóż w Banku Smart wysłali latem zeszłego roku klientom taką informację: „wyciągi bankowe, dotychczas dystrybuowane za pośrednictwem poczty elektronicznej, będą przekazywane za pośrednictwem aplikacji banku, dostępnej pod adresem (…)”. A więc po prostu klient sam musi się zalogować do banku i ściągnąć sobie powieszony w e-bankowości wyciąg. Niestety, tu akurat przekombinowali, bo kazali klientom logować się nie tyle do bankowości elektronicznej/mobilnej, ale na coś w rodzaju nowego konta, na którym są tylko wyciągi. Pod względem wygody – słabo. Ale idea ciekawa. To rzeczywiście poprawia bezpieczeństwo, bo przyzwyczaja klientów nie tylko do tego, że bank nigdy nie prosi o żadne loginy, hasła, ani klikanie w linki, ale też nigdy nie wysyła klientowi żadnych załączników.

Czytaj: Dostajesz wyciągi z konta obcej osoby? Nie awanturuj się, bo…

Dla części klientów – a może nawet dla większości – to była wkurzająca zmiana. Taki comiesięczny wyciąg z konta był impulsem, żeby zainteresować się czy pieniądze są na swoim miejscu. Mało kto pamięta, żeby co miesiąc wejść do e-bankowości tylko po to, by ściągnać sobie wyciąg. Gdyby coś niedobrego się stało z pieniędzmi (w dobie internetowych złodziei to nie jest całkiem wykluczone) taki „dowód rzeczowy” w postaci przesłanego przez bank raz w miesiącu wyciągu pozwala się zorientować i złożyć reklamację. Jeśli zapomnę ściągnąć e-wyciąg, może mi przepaść termin na złożenie reklamacji. Jeśli mam konta w kilku bankach, to zarządzanie e-wyciągami staje się jeszcze bardziej kłopotliwe.

Ale z drugiej strony… w czasach powszechnego phishingu być może powinniśmy się odzwyczaić od odbierania jakiejkolwiek korespondencji e-mailowej od banków. Jaką mamy gwarancję, że ktoś się nie podszył pod nasz bank i że zamiast pdf-a z wyciągiem na komputer nie wpuszczają nam wirusa? Może rzeczywiście lepiej samemu przeglądać sobie wyciągi po zalogowaniu i mieć pewność, że bank nigdy, w żadnej sprawie, nie będzie do nas pisał e-maila? A jeśli nawet, to w tym e-mailu będzie tylko informacja, że w portalu banku jest dostępny wyciąg..

To ostatnie jest niestety trudne, bo są produkty bankowe, w których bank ma obowiązek dostarczyć zestawienie transakcji. Jeśli nie ma to być forma papierowa lub elektroniczna, tylko np. powieszenie wyciągu w systemie transakcyjnym, to pojawia się pytanie: czy można mówić o tym, że dokument został „dostarczony” i to w takiej formie, która uniemożliwia bankowi nanoszenie na ów dokument zmian, gmeranie przy nim? Poza tym: czy jeśli bank będzie wysyłał mejla z informacją, że w serwisie transakcyjnym czeka na klienta wyciąg, to czy przestępcy nie zaczną produkować podobnych e-maili, „ubogaconych” o link do strony, na której podobno miałby być wyciąg, a jest wirus? Tak naprawdę jedynym „twardym” antidotum mogłoby być całkowite zaprzestanie wysyłania jakichkolwiek e-maili do klienta przez banki. I kto wie czy wkrótce do takiego rozwiązania nie dojdziemy.

15
Dodaj komentarz

avatar
7 Comment threads
8 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
8 Comment authors
Kupowała na OLX. Chciała tylko zapłacić, a straciła wszystkie pieniądze z konta. Jak to możliwe? | Subiektywnie o finansach - Maciej SamcikmBank ostrzega: jest groźny wirus na smartfona. Podszywa się pod aplikację bankową i nas okrada! | Subiektywnie o finansach - Maciej Samcikkjoncapajacyk_123wredny_ciagle_nadenty_kardupel Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
pm
Gość
pm

Co do banku Smart ” A więc po prostu klient sam musi się zalogować do banku i ściągnąć sobie powieszony w e-bankowości wyciąg. ”
to niestety tak to nie działa. Trzeba utworzyć nowe konto w innym systemie, bo w przeciwieństwie do normalnych banków nie da się pobrać wyciągu z „głównego” systemu.

wredny_ciagle_nadenty_kardupel
Gość
wredny_ciagle_nadenty_kardupel

Nie ma czegos takiego jak Bank Smart. jest NestBank 😉

pajacyk_123
Gość
pajacyk_123

Wyciągi na maila nie byłyby złe, gdyby dało się w każdym banku w serwisie transakcyjnym zamieścić swój publiczny klucz gpg żeby wszystkie przesyłki z banku przychodziły do nas w formie zaszyfrowanej. Nie mogę pojąć, czemu nie jest to standardowa procedura w każdym banku, w końcu mało który klient ma swój własny serwer mailowy a z wiadomościami, które trafiają na skrzynki publiczne cholera wie co się dzieje (jak są zabezpieczone, gdzie archiwizowane itd.). Wtedy mamy sprawę prostą – każda przesyłka z banku jest podpisana ich kluczem a właściwa wiadomość zaszyfrowana naszym. Wszystko co nie przychodzi do nas w tej formie jest… Czytaj więcej »

pm
Gość
pm

W teorii świetny pomysł (sam bym się ucieszył), ale to by wymagało odrobiny inteligencji i chęci do działania u odbiorców. Tego brakuje w dzisiejszych czasach i bank, który by wymuszał coś takiego, miałby niewielu klientów, a jakby oferował, to korzystałby pewnie 1%, albo mniej.

pajacyk_123
Gość
pajacyk_123

Ale ja nie chcę nikogo przymuszać, chciałbym mieć tylko taką opcję + link do wspólnej strony informacyjnej/edukacyjnej prowadzonej przez np. ZBP, przeznaczonej tej tematyce dla tych bardziej inteligentnych, którzy może nie wiedzą obecnie czym jest PGP/GPG ale prawidłowo poinstruowani dadzą sobie z nim radę.

pm
Gość
pm

Jeżeli GPG nie będzie wymuszane, to większość tego nie wykorzysta. Bank nie wprowadzi funkcji dla ~1% klientów.

pajacyk_123
Gość
pajacyk_123

Wprowadziłyby, jeśli byłyby przymuszone prawem, ale teraz to już bujam w obłokach.

Tomek
Gość
Tomek

Za ten 10 złotowy domiar telekomy powinny być uprzejmie pociągnięte za ^$%^*. Ja rozumiem, iż ich to kosztuje, ale zasady zawarte w ustawie o VAT są jasne – za zgodą odbiorcy elektroniczna a jak zgody nie ma, ma być papier i już. Jak by nie było, to jest ich obowiązek wystawić dokument sprzedaży.

Olek
Gość
Olek

Wystawić dokument i owszem, ale czy jest gdzieś zakaz liczenia sobie za to ekstra opłaty?

pm
Gość
pm

W takim razie zgodne z prawem jest postawienie niemożliwych (albo nierealnych, np. 10 000zł za każdy dokument) wymagań przed wystawieniem dokumentu, który mają obowiązek wystawić?

kjonca
Gość
kjonca

Po prostu mają OBOWIĄZEK go wystawić. I dlatego formalnie nie jest tak, że mamy domiar za fakturę papierową, tylko rabat za elektryczną.

pajacyk_123
Gość
pajacyk_123

Przy okazji skoro piszesz Macieju o bezpieczeństwie, warto być wyczulonym na ten trik:
https://niebezpiecznik.pl/post/uwaga-na-niewykrywalny-phishing-poprzez-domeny-ze-znakami-unicode-podobnymi-do-liter-z-alfabetu-lacinskiego/

Jest też tam opisane, czemu „zielonka kłódka” obecnie nic nie znaczy (certyfikaty SSL można dziś mieć za darmo) w kontekście upewniania się czy połączyliśmy się z właściwą stroną.

trackback

[…] Czytaj też: Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi? […]

trackback

[…] Czytaj też: Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi? […]

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij

Gratulacje! Jesteś zapisany