Bójcie się ! Hakerów - dziś atakują Polaków

crazY01 • 2014-01-29, 14:36

Gdy Marek Barczak, 32-latek z Poznania, wspomina ten grudniowy wieczór, jeszcze dziś przechodzą go dreszcze. Siadł przed komputerem, żeby opłacić fakturę za telefon i internet. Tuż po zalogowaniu się na konto bankowe spostrzegł, że nie jest tam sam. Kursor poruszał się bez jego udziału. Właśnie otwierała się strona transakcyjna, na której był już przygotowany przelew na 2,3 tys. zł, czyli prawie wszystko, co miał w tym momencie na rachunku.
Chwilę później w okienku do wpisywania haseł autoryzujących transakcję zaczęły się pojawiać kolejne znaki. Jakby tajemniczy gość miał je pod ręką tak samo jak Marek. – To było jak w filmie o duchach! Szczęście, że odruchowo sam kliknąłem w okienko do haseł. To spłoszyło złodzieja, a za moment nie było już śladu po jego buszowaniu na koncie – tłumaczy rozemocjonowany. To było tak, jakby nakrył włamywacza w domu, a ten salwował się ucieczką przez okno.

Chwilę później w okienku do wpisywania haseł autoryzujących transakcję zaczęły się pojawiać kolejne znaki. Jakby tajemniczy gość miał je pod ręką tak samo jak Marek. – To było jak w filmie o duchach! Szczęście, że odruchowo sam kliknąłem w okienko do haseł. To spłoszyło złodzieja, a za moment nie było już śladu po jego buszowaniu na koncie – tłumaczy rozemocjonowany. To było tak, jakby nakrył włamywacza w domu, a ten salwował się ucieczką przez okno.

Zachowałam się troszkę dziecinnie

Marek przez tydzień wojował z bankiem, żądając, by ten wyjaśnił, jakim sposobem doszło do włamania. Bał się, że nawet zmiana loginu i hasła nie zagwarantuje, że ów ktoś znów nie zaatakuje konta i tym razem skutecznie go nie oczyści. Nic jednak nie wskórał. Do kradzieży przecież nie doszło, a bank napisał, że ręczy za swój system ochrony przed atakami hakerskimi, i zaapelował do Barczaka o przestrzeganie zasad bezpieczeństwa przy korzystaniu z konta.

Po otrzymaniu tej wiadomości wpadł we wściekłość. Ale teraz – po dziesiątkach godzin spędzonych na bankowych forach internetowych i na rozmowach na ten temat ze znajomymi – nie dałby sobie uciąć ręki, że sam jest bez winy. Nieraz przecież zdarzyło mu się wyjść z konta w pośpiechu, bez wylogowania. A to okazja dla monitorujących sieć hakerów. W podróżach, zwłaszcza zagranicznych, zdarzało mu się też odwiedzać kawiarenki internetowe i zlecać przelew. W dodatku, odkąd rok temu zaczął korzystać z bankowości mobilnej, kody dostępu ma zapisane w smartfonie, z którego loguje się na konto w pierwszej lepszej sieci WiFi i na który dostaje z banku hasła do zatwierdzania transakcji.

Chyba nie wykazał się czujnością. Pociesza się, że na forach, przez które się przekopał, wyczytał wyznania bardziej od siebie lekkomyślnych. Niektórzy odpisywali na SMS-y, w których oszuści podszywający się pod bank prosili o weryfikację danych osobowych, loginu czy hasła. Zdarzało się, że dostawali je na talerzu. Inni dali się złapać na haczyk w postaci e-maila z linkiem do fałszywej (choć często bardzo starannie odwzorowanej) strony swojego banku.

Na taką sztuczkę nabrała się latem zeszłego roku Zofia Ławrynowicz, posłanka PO. Otworzyła link z e-maila, który przyszedł na jej sejmową pocztę. – Znakomicie podrobili stronę banku i dokumentnie wyczyścili mi konto. Ale przyznaję się do błędu, zachowałam się troszkę dziecinnie – tłumaczyła potem w Radiu Szczecin.

Wśród klientów bankowości elektronicznej są nawet tacy, którzy nie odmówili prośbie „banku” o podanie np. dwóch kolejnych haseł do autoryzacji przelewu pieniędzy. Te pieniądze wędrują potem, dla zatarcia śladów, przez sznurek kont aż do jakiegoś banku na Seszelach lub Malediwach. Albo po prostu w Rosji lub na Ukrainie, bo tam coraz częściej urywa się ślad.

Atak to tajemnica bankowa

Według raportu firmy Symantec za 2012 rok, cyberprzestępczość kosztuje polskich konsumentów ponad 4 mld zł. Ale to suma wszystkich oszustw w sieci, głównie w handlu. Kradzieże z kont bankowych to drobna ich część. Policja, której pokrzywdzeni muszą je zgłosić – i to zanim jeszcze złożą reklamację w banku – nie ma tu wielu sukcesów. Półgębkiem mówi o kilkudziesięciu przypadkach kradzieży miesięcznie na kwoty od kilkuset złotych do kilkudziesięciu tysięcy. Eksperci z firm zarabiających na oprogramowaniu typu spyware i programach antywirusowych, jak Symantec czy Kaspersky Lab, mnożą liczbę takich ataków przynajmniej przez dziesięć.

Pracownicy banków to kwestionują. Mówią o incydentalnych przypadkach i to, rzecz jasna, raczej u konkurentów niż u siebie. – Od dawna nie mieliśmy do czynienia z kradzieżami na kontach klientów – zapewnia dyr. Ryszard Jurkowski z departamentu bezpieczeństwa Pekao SA, aktywny też w Radzie Bankowości Elektronicznej Związku Banków Polskich.

W nieoficjalnych rozmowach można usłyszeć więcej. – Takie ataki, zwłaszcza skuteczne, są dla banków problemem wizerunkowym. Nie chcą się do nich przyznawać, bo grozi to odpływem przestraszonych klientów do konkurencji. Dlatego większość woli się dogadać z poszkodowanymi i zrekompensować im przynajmniej część strat, by nie pomstowali na bank w mediach i na forach internetowych. Obecnie takich ugód jest wyraźnie więcej niż jeszcze 2-3 lata temu – twierdzi szef departamentu bezpieczeństwa elektronicznego jednego z największych banków.

– Polskie banki mają dobrze zabezpieczoną infrastrukturę informatyczną – uważa Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń. I dodaje: – Nie znalazły jednak sposobu, aby wyraźnie podnieść poziom bezpieczeństwa po stronie klientów.

Bankierom pozostaje prewencja. Od klasycznych metod prowokowania cyberoszustów jak słynny honey pot (dosłownie: garnek z miodem), czyli instalowanie w wirtualnej przestrzeni zupełnie niezabezpieczonych komputerów, które pomagają namierzać botnety i rozszyfrowywać nowe, złośliwe aplikacje, po monitorowanie kont i wyłapywanie niestandardowych transakcji czy wręcz informowanie ich właścicieli o tym, że na komputerze mają na przykład trojana ZeuS.

Zombi atakują

Na witrynach większości banków ostrzeżenia biją po oczach: „Uwaga na trojan Banapter, podmieniający numery rachunków bankowych wklejanych ze »schowka«”!; „Pamiętaj, bank nigdy nie prosi o wykonywanie przelewów testowych!”; „Ostrzegamy przed nową wersją trojana Zeus/Zbot atakującego telefony komórkowe!”.

To brzmi niczym komunikaty wojenne. Bo to już wojna. W tej wojnie każdy może stać się nie tylko ofiarą, lecz także najemnikiem – praktycznie wspólnikiem przestępstwa. Setki tysięcy Polaków dostaje ostatnio na pocztę e-mailową spam z propozycjami atrakcyjnej finansowo i mało absorbującej pracy. Ba, takie oferty pojawiają się nawet w lokalnych urzędach pracy! Mało absorbująca praca, rzekomo w handlu czy obsłudze klientów, sprowadza się do założenia lub udostępnienia swego konta, z którego okazjonalnie byłyby dokonywane płatności dla „kontrahentów firmy”. W rzeczywistości chodzi o znalezienie słupów, na których rachunki przychodziłyby pieniądze kradzione z kont w kraju czy za granicą i którzy przelewaliby je na kolejne, pomagając w zatarciu śladów.

Jeszcze 3-4 lata temu Polacy byli na marginesie zainteresowania globalnych oszustów internetowych. Teraz jednak kusi ich podwojenie liczby aktywnie korzystających z bankowości elektronicznej, z których większość chroni swe konto znacznie słabiej niż mieszkanie czy samochód.

Dlatego dla cyberoszustów stajemy się swoistym poligonem doświadczalnym. – Najnowsze złośliwe oprogramowanie, przeznaczone do atakowania bankowości online, bardzo często testowane jest na polskich użytkownikach kont internetowych – twierdzi Piotr Kijewski, kierownik zespołu CERT Polska, specjalista od bezpieczeństwa w sieci.

Mamy już prawie 22 miliony użytkowników bankowości internetowej, w tym połowę takich, którzy logują się na konto przynajmniej kilka razy miesięcznie. Zdaniem Mirosława Maja komputer nawet co trzeciego z nich może być zainfekowany. „Polskie komputery są masowo wykorzystywane przez cyberprzestępców. Pod względem liczby maszyn »zombi« nasz kraj zajmuje ósme miejsce na świecie” – alarmuje firma Symantec w raporcie za 2012 r.

Zombi to komputery z różnymi wirusami, m.in. groźnymi trojanami produkowanymi głównie po to, by buszować w bankowości elektronicznej (np. ZitMo, E-Security, Citadel czy ZeuS P2P). Właściciel zainfekowanego komputera praktycznie traci nad nim kontrolę. Cyberprzestępcy grupują je w sieć i zdalnie kontrolują, jako tzw. botnet. Za pomocą takich sieci atakują bankowe systemy informatyczne i witryny internetowe.

Jeszcze gorzej może być w przypadku ponad dwóch milionów klientów bankowości mobilnej, korzystających z niej głównie przez smartfony, zabezpieczone słabiej niż komputery. Ledwie co trzeci instaluje na nich jakiś program antywirusowy. Większość ściąga, jak popadnie, rozmaite aplikacje – często już zainfekowane. Eksperci ostrzegają, że ponad 90 proc. trojanów tworzonych jest na system Android, najpopularniejszy w naszych telefonach.

Szantaż to zasłona dymna

Celem takich zmasowanych akcji, często prowadzących do wielogodzinnej blokady bankowych witryn, jest zwykle wymuszenie okupu. Banki rutynowo alarmują wtedy policję i stawiają na nogi własne służby informatyczne, ale słyszeliśmy też o przypadkach dogadywania się z hakerami. Wielkiej instytucji finansowej bardziej opłaca się wydać kilkadziesiąt tysięcy złotych, niż ryzykować kilka godzin paraliżu usług internetowych – to może kosztować nawet parę milionów złotych.

Ale nie chodzi tylko o szantaż i okup. Wielu ekspertów do spraw bezpieczeństwa elektronicznego twierdzi, że takie ataki na banki coraz częściej są zasłoną dymną, która absorbuje bankowych informatyków, dając cyberprzestępcom większą swobodę w dobraniu się do kont klientów. Bankowcy i w tej kwestii są bardzo dyskretni. Ataki ujawniają raczej przy okazji, gdy dotyczą także innych firm. Tak było, gdy wiosną zeszłego roku serwis Allegro znalazł się na celowniku 32-letniego hakera z Legnicy, żądającego kilkudziesięciu tysięcy złotych okupu. Szantażował jednocześnie mBank i bank ING. Policja dość szybko go namierzyła i aresztowała, ale i tak zdążył narobić szkód na ok. 8 mln.

Cóż, jaki kraj, tacy cyberprzestępcy. W tym samym mniej więcej czasie hakerzy napadli na amerykański Citibank, zdobyli dane kart kredytowych kilku tysięcy klientów i w ciągu paru tygodni dokonali nimi transakcji na prawie trzy miliony dolarów! A to i tak nic w porównaniu z trojanem Eurograbber, którego twórcy rok temu sprzątnęli prawie 40 mln euro z kont kilkudziesięciu tysięcy klientów europejskich banków!

Cyberprzestępczość staje się na świecie ogromnym biznesem. W nieoficjalnym, ale dość wiarygodnym cenniku internetowej szarej strefy dane do kart kredytowych mieszkańców USA i starej Unii (z loginem i hasłem lub PIN) – wykradane z zainfekowanych komputerów czy smartfonów – można kupić za 2-3 proc. ich limitu kredytowego. Chętnych nie brakuje, skoro liczbę mniejszych lub większych cyberataków na świecie liczy się w tysiącach tygodniowo.

Na świecie się o tym mówi, nasze banki na razie wolą zaklinać rzeczywistość. – To bzdury. Ataki na banki już się praktycznie u nas nie zdarzają – przekonuje przedstawiciel Związku Banków Polskich. – Tłem awarii jest po prostu rosnąca skala działalności banków i stopień skomplikowania ich systemów informatycznych. A także ich współdziałanie np. z systemami operatorów kart płatniczych czy sieci komórkowych, przy dynamicznym rozwoju bankowości mobilnej. Nie zawsze działa to perfekcyjnie.

Żródło - Ciekawe więc wam podrzucam

si...........19

2014-01-30, 19:33

2

Dobrze tak Barczakowi, Nie chcial Krawczyka dac na niskopodlogowce to niech cierpi teraz.

tojatypniepokorny

2014-01-30, 19:52

84

!Timon

2014-02-01, 00:55

Jest tyle legalnych i półlegalnych sposobów wyłudzania pieniędzy które działają, że chyba nie ma takiego idioty który połasiłby się dokonać przestępstwa za 2 tysiące i włamać komuś na konto. Chociaż...

korskidegenerat

2014-02-01, 01:02

1

Dlatego ja dla bezpieczeństwa swoje pieniądzę z wypłaty skutecznie przepijam w ciągu 3 dni

A na serio to myszką może ktoś ruszać tylko przez pomoc zdalną, osoba która "siedzi" na czyimś komputerze może nie zostawiać zauważalnych śladów swojej obecności.

korinogaro

2014-02-01, 01:11

1

Banki tak bardzo nas zabezpieczają że kodowanie sygnału z kart zbliżeniowych jest do tego stopnia antyczne, że sprzętem za 130$ odczytasz w parę sekund dane każdej takiej karty z odległości do pół metra. Potem tylko maszynka do wgrywania danych na pasek magnetyczny i możesz iść i płacić nawet kluczem do pokoju hotelowego (tym w formie karty magnetycznej oczywiście).

Katan

2014-02-01, 01:33

@ Eurek
Jest program, który pozwala połączyć 2 komputery w jeden, np. Na jednym ruszasz myszka i powiedzmy zmieniasz ustawienia i to samo dzieje się na drugim bez ingerencji drugiej osoby...
Widziałem jak informatyk zmieniał jakieś ustawienia w programie rachunkowym na odległość. Patrzyłem na ekran i właśnie myszka sama się ruszała i włączała kolejne okna... Więc nie jest to ściema... A przynajmniej jest to całkiem możliwe.

HiSpect

2014-02-01, 01:37

4

Syn odkrył teamviewera i postanowił opróżnić staremu konto.

Mykolla

2014-02-01, 03:11

bloodwar napisał/a:

W większości banków internetowy przelew można wykonać po wpisaniu hasła, generowanego jednorazowo tuż po zalogowaniu, przypisanego do danego uzytkownika i temu użytkownikowi wysyłane na komórkę. Hakier musiałby jakoś odczytać smsa żeby autoryzować przelew... Niemożliwe, żeby ktoś był tak mądry, żeby włamać się komuś na kompa, włamać na stronę banku a potem jeszcze wychwycić z sieci operatora smsa a być tak głupim żeby dokonywać ataku na oczach ofiary ruszając mu kursorem przed oczyma wiedząc, że pierwszą rzeczą jaką zrobi będzie telefon do banku a po kilku minutach przelew na jego konto zostanie anulowany a on sam namierzony.

Skoro system generuje hasło to system ma 'gdzieś ' to hasło. Prawda?

@topic
Włamania na konta są powszechne głównie przez zidiociałych użytkowników.. Kody jednorazowe są w większości przypadków dobrym zabezpieczeniem ale parę miesięcy temu na jakimś portalu pisali że i z tym haxxiory sobie poradzili ( artykuł zapewne mógł być w podobny stylu jak ten), ale nie twierdzę, że nie jest to możliwe.

markross

2014-02-01, 06:46

ja pie**ole... takiego zajebistego hejta napisałem i mi się samo wstecz kliknęło i tekst poleciał

fak juuu hakery, zaraz zainstaluję sobie wszystkie reklamowane w artykule antywiry i wylecicie w kosmos razem ze swoimi zombie komputerami..
a tak btw to niezly nob pisał tego arta, bez ingerencji użytkownika to nawet windows jest bezpieczny a co tu gadać o systemach bankowych za miliony $$$
Prawdziwi hakerzy tworzą trojany na bankomaty, sterowniki w elektrowniach (polecam Stuxnet i Duqu) a nie bawią sie zdalnym pulpitem....

Machol

2014-02-01, 09:41

1

Jeżeli coś jest na rzeczy, raczej dotyczy durnych amerykanów. Porównajcie sobie zabezpieczenia przy logowaniu do bankowości elektronicznej Pekao S.A z tymi które są w Citibanku... Jeżeli dostęp można sobie odblokować a hasło po nieudanym wpisaniu zmienić po odgadnięciu "sekretnego" pytania a nie wizytą w banku... to nie mam więcej pytań.

Ciesin

2014-02-01, 10:07

Czyli miałem rację. Nic nie pobije skarpety w materacu/

Swoją drogą, początek artykułu to jednocześnie koniec jego wiarygodności.

viszti108

2014-02-01, 10:42

MAchol gratuluje spostrzegawczości

, żeby w citku odblokować hasło musisz znać login, nr karty i pin do bankomatu, pozniej odpowiedzi na 2 pytania ktore sam ustawiales, ale odpowiedzi dodatkowo co do wielkosci znaków etc. Jezeli wybrales imie matki jako jedno z pytań to gratuluje wymyslonego poziomu zabezpieczen

.

A tak btw. artykuł bez sensu, czytam go jakbym był z 5 lat młodszy...

Winterstorm

2014-02-01, 10:43

Mykolla napisał/a:

Skoro system generuje hasło to system ma 'gdzieś ' to hasło. Prawda?

Zawsze mi się wydawało, że takie hasła są generowane na bieżąco (losowy ciąg cyfr i liter), ale nie jestem znawcą, więc mogę się mylić

viszti108

2014-02-01, 10:53

Mówisz o tokenach, teraz wystarczy ze zassasz apke na androida i sms'y z kodami autoryzacyjnymi moga byc przechwytywane. No cóż, trza mieć mózg

spider666

2014-02-01, 12:14

jak już Kraker nie Haker