Bójcie się ! Hakerów - dziś atakują Polaków

crazY01 • 2014-01-29, 14:36

Gdy Marek Barczak, 32-latek z Poznania, wspomina ten grudniowy wieczór, jeszcze dziś przechodzą go dreszcze. Siadł przed komputerem, żeby opłacić fakturę za telefon i internet. Tuż po zalogowaniu się na konto bankowe spostrzegł, że nie jest tam sam. Kursor poruszał się bez jego udziału. Właśnie otwierała się strona transakcyjna, na której był już przygotowany przelew na 2,3 tys. zł, czyli prawie wszystko, co miał w tym momencie na rachunku.
Chwilę później w okienku do wpisywania haseł autoryzujących transakcję zaczęły się pojawiać kolejne znaki. Jakby tajemniczy gość miał je pod ręką tak samo jak Marek. – To było jak w filmie o duchach! Szczęście, że odruchowo sam kliknąłem w okienko do haseł. To spłoszyło złodzieja, a za moment nie było już śladu po jego buszowaniu na koncie – tłumaczy rozemocjonowany. To było tak, jakby nakrył włamywacza w domu, a ten salwował się ucieczką przez okno.

Chwilę później w okienku do wpisywania haseł autoryzujących transakcję zaczęły się pojawiać kolejne znaki. Jakby tajemniczy gość miał je pod ręką tak samo jak Marek. – To było jak w filmie o duchach! Szczęście, że odruchowo sam kliknąłem w okienko do haseł. To spłoszyło złodzieja, a za moment nie było już śladu po jego buszowaniu na koncie – tłumaczy rozemocjonowany. To było tak, jakby nakrył włamywacza w domu, a ten salwował się ucieczką przez okno.

Zachowałam się troszkę dziecinnie

Marek przez tydzień wojował z bankiem, żądając, by ten wyjaśnił, jakim sposobem doszło do włamania. Bał się, że nawet zmiana loginu i hasła nie zagwarantuje, że ów ktoś znów nie zaatakuje konta i tym razem skutecznie go nie oczyści. Nic jednak nie wskórał. Do kradzieży przecież nie doszło, a bank napisał, że ręczy za swój system ochrony przed atakami hakerskimi, i zaapelował do Barczaka o przestrzeganie zasad bezpieczeństwa przy korzystaniu z konta.

Po otrzymaniu tej wiadomości wpadł we wściekłość. Ale teraz – po dziesiątkach godzin spędzonych na bankowych forach internetowych i na rozmowach na ten temat ze znajomymi – nie dałby sobie uciąć ręki, że sam jest bez winy. Nieraz przecież zdarzyło mu się wyjść z konta w pośpiechu, bez wylogowania. A to okazja dla monitorujących sieć hakerów. W podróżach, zwłaszcza zagranicznych, zdarzało mu się też odwiedzać kawiarenki internetowe i zlecać przelew. W dodatku, odkąd rok temu zaczął korzystać z bankowości mobilnej, kody dostępu ma zapisane w smartfonie, z którego loguje się na konto w pierwszej lepszej sieci WiFi i na który dostaje z banku hasła do zatwierdzania transakcji.

Chyba nie wykazał się czujnością. Pociesza się, że na forach, przez które się przekopał, wyczytał wyznania bardziej od siebie lekkomyślnych. Niektórzy odpisywali na SMS-y, w których oszuści podszywający się pod bank prosili o weryfikację danych osobowych, loginu czy hasła. Zdarzało się, że dostawali je na talerzu. Inni dali się złapać na haczyk w postaci e-maila z linkiem do fałszywej (choć często bardzo starannie odwzorowanej) strony swojego banku.

Na taką sztuczkę nabrała się latem zeszłego roku Zofia Ławrynowicz, posłanka PO. Otworzyła link z e-maila, który przyszedł na jej sejmową pocztę. – Znakomicie podrobili stronę banku i dokumentnie wyczyścili mi konto. Ale przyznaję się do błędu, zachowałam się troszkę dziecinnie – tłumaczyła potem w Radiu Szczecin.

Wśród klientów bankowości elektronicznej są nawet tacy, którzy nie odmówili prośbie „banku” o podanie np. dwóch kolejnych haseł do autoryzacji przelewu pieniędzy. Te pieniądze wędrują potem, dla zatarcia śladów, przez sznurek kont aż do jakiegoś banku na Seszelach lub Malediwach. Albo po prostu w Rosji lub na Ukrainie, bo tam coraz częściej urywa się ślad.

Atak to tajemnica bankowa

Według raportu firmy Symantec za 2012 rok, cyberprzestępczość kosztuje polskich konsumentów ponad 4 mld zł. Ale to suma wszystkich oszustw w sieci, głównie w handlu. Kradzieże z kont bankowych to drobna ich część. Policja, której pokrzywdzeni muszą je zgłosić – i to zanim jeszcze złożą reklamację w banku – nie ma tu wielu sukcesów. Półgębkiem mówi o kilkudziesięciu przypadkach kradzieży miesięcznie na kwoty od kilkuset złotych do kilkudziesięciu tysięcy. Eksperci z firm zarabiających na oprogramowaniu typu spyware i programach antywirusowych, jak Symantec czy Kaspersky Lab, mnożą liczbę takich ataków przynajmniej przez dziesięć.

Pracownicy banków to kwestionują. Mówią o incydentalnych przypadkach i to, rzecz jasna, raczej u konkurentów niż u siebie. – Od dawna nie mieliśmy do czynienia z kradzieżami na kontach klientów – zapewnia dyr. Ryszard Jurkowski z departamentu bezpieczeństwa Pekao SA, aktywny też w Radzie Bankowości Elektronicznej Związku Banków Polskich.

W nieoficjalnych rozmowach można usłyszeć więcej. – Takie ataki, zwłaszcza skuteczne, są dla banków problemem wizerunkowym. Nie chcą się do nich przyznawać, bo grozi to odpływem przestraszonych klientów do konkurencji. Dlatego większość woli się dogadać z poszkodowanymi i zrekompensować im przynajmniej część strat, by nie pomstowali na bank w mediach i na forach internetowych. Obecnie takich ugód jest wyraźnie więcej niż jeszcze 2-3 lata temu – twierdzi szef departamentu bezpieczeństwa elektronicznego jednego z największych banków.

– Polskie banki mają dobrze zabezpieczoną infrastrukturę informatyczną – uważa Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń. I dodaje: – Nie znalazły jednak sposobu, aby wyraźnie podnieść poziom bezpieczeństwa po stronie klientów.

Bankierom pozostaje prewencja. Od klasycznych metod prowokowania cyberoszustów jak słynny honey pot (dosłownie: garnek z miodem), czyli instalowanie w wirtualnej przestrzeni zupełnie niezabezpieczonych komputerów, które pomagają namierzać botnety i rozszyfrowywać nowe, złośliwe aplikacje, po monitorowanie kont i wyłapywanie niestandardowych transakcji czy wręcz informowanie ich właścicieli o tym, że na komputerze mają na przykład trojana ZeuS.

Zombi atakują

Na witrynach większości banków ostrzeżenia biją po oczach: „Uwaga na trojan Banapter, podmieniający numery rachunków bankowych wklejanych ze »schowka«”!; „Pamiętaj, bank nigdy nie prosi o wykonywanie przelewów testowych!”; „Ostrzegamy przed nową wersją trojana Zeus/Zbot atakującego telefony komórkowe!”.

To brzmi niczym komunikaty wojenne. Bo to już wojna. W tej wojnie każdy może stać się nie tylko ofiarą, lecz także najemnikiem – praktycznie wspólnikiem przestępstwa. Setki tysięcy Polaków dostaje ostatnio na pocztę e-mailową spam z propozycjami atrakcyjnej finansowo i mało absorbującej pracy. Ba, takie oferty pojawiają się nawet w lokalnych urzędach pracy! Mało absorbująca praca, rzekomo w handlu czy obsłudze klientów, sprowadza się do założenia lub udostępnienia swego konta, z którego okazjonalnie byłyby dokonywane płatności dla „kontrahentów firmy”. W rzeczywistości chodzi o znalezienie słupów, na których rachunki przychodziłyby pieniądze kradzione z kont w kraju czy za granicą i którzy przelewaliby je na kolejne, pomagając w zatarciu śladów.

Jeszcze 3-4 lata temu Polacy byli na marginesie zainteresowania globalnych oszustów internetowych. Teraz jednak kusi ich podwojenie liczby aktywnie korzystających z bankowości elektronicznej, z których większość chroni swe konto znacznie słabiej niż mieszkanie czy samochód.

Dlatego dla cyberoszustów stajemy się swoistym poligonem doświadczalnym. – Najnowsze złośliwe oprogramowanie, przeznaczone do atakowania bankowości online, bardzo często testowane jest na polskich użytkownikach kont internetowych – twierdzi Piotr Kijewski, kierownik zespołu CERT Polska, specjalista od bezpieczeństwa w sieci.

Mamy już prawie 22 miliony użytkowników bankowości internetowej, w tym połowę takich, którzy logują się na konto przynajmniej kilka razy miesięcznie. Zdaniem Mirosława Maja komputer nawet co trzeciego z nich może być zainfekowany. „Polskie komputery są masowo wykorzystywane przez cyberprzestępców. Pod względem liczby maszyn »zombi« nasz kraj zajmuje ósme miejsce na świecie” – alarmuje firma Symantec w raporcie za 2012 r.

Zombi to komputery z różnymi wirusami, m.in. groźnymi trojanami produkowanymi głównie po to, by buszować w bankowości elektronicznej (np. ZitMo, E-Security, Citadel czy ZeuS P2P). Właściciel zainfekowanego komputera praktycznie traci nad nim kontrolę. Cyberprzestępcy grupują je w sieć i zdalnie kontrolują, jako tzw. botnet. Za pomocą takich sieci atakują bankowe systemy informatyczne i witryny internetowe.

Jeszcze gorzej może być w przypadku ponad dwóch milionów klientów bankowości mobilnej, korzystających z niej głównie przez smartfony, zabezpieczone słabiej niż komputery. Ledwie co trzeci instaluje na nich jakiś program antywirusowy. Większość ściąga, jak popadnie, rozmaite aplikacje – często już zainfekowane. Eksperci ostrzegają, że ponad 90 proc. trojanów tworzonych jest na system Android, najpopularniejszy w naszych telefonach.

Szantaż to zasłona dymna

Celem takich zmasowanych akcji, często prowadzących do wielogodzinnej blokady bankowych witryn, jest zwykle wymuszenie okupu. Banki rutynowo alarmują wtedy policję i stawiają na nogi własne służby informatyczne, ale słyszeliśmy też o przypadkach dogadywania się z hakerami. Wielkiej instytucji finansowej bardziej opłaca się wydać kilkadziesiąt tysięcy złotych, niż ryzykować kilka godzin paraliżu usług internetowych – to może kosztować nawet parę milionów złotych.

Ale nie chodzi tylko o szantaż i okup. Wielu ekspertów do spraw bezpieczeństwa elektronicznego twierdzi, że takie ataki na banki coraz częściej są zasłoną dymną, która absorbuje bankowych informatyków, dając cyberprzestępcom większą swobodę w dobraniu się do kont klientów. Bankowcy i w tej kwestii są bardzo dyskretni. Ataki ujawniają raczej przy okazji, gdy dotyczą także innych firm. Tak było, gdy wiosną zeszłego roku serwis Allegro znalazł się na celowniku 32-letniego hakera z Legnicy, żądającego kilkudziesięciu tysięcy złotych okupu. Szantażował jednocześnie mBank i bank ING. Policja dość szybko go namierzyła i aresztowała, ale i tak zdążył narobić szkód na ok. 8 mln.

Cóż, jaki kraj, tacy cyberprzestępcy. W tym samym mniej więcej czasie hakerzy napadli na amerykański Citibank, zdobyli dane kart kredytowych kilku tysięcy klientów i w ciągu paru tygodni dokonali nimi transakcji na prawie trzy miliony dolarów! A to i tak nic w porównaniu z trojanem Eurograbber, którego twórcy rok temu sprzątnęli prawie 40 mln euro z kont kilkudziesięciu tysięcy klientów europejskich banków!

Cyberprzestępczość staje się na świecie ogromnym biznesem. W nieoficjalnym, ale dość wiarygodnym cenniku internetowej szarej strefy dane do kart kredytowych mieszkańców USA i starej Unii (z loginem i hasłem lub PIN) – wykradane z zainfekowanych komputerów czy smartfonów – można kupić za 2-3 proc. ich limitu kredytowego. Chętnych nie brakuje, skoro liczbę mniejszych lub większych cyberataków na świecie liczy się w tysiącach tygodniowo.

Na świecie się o tym mówi, nasze banki na razie wolą zaklinać rzeczywistość. – To bzdury. Ataki na banki już się praktycznie u nas nie zdarzają – przekonuje przedstawiciel Związku Banków Polskich. – Tłem awarii jest po prostu rosnąca skala działalności banków i stopień skomplikowania ich systemów informatycznych. A także ich współdziałanie np. z systemami operatorów kart płatniczych czy sieci komórkowych, przy dynamicznym rozwoju bankowości mobilnej. Nie zawsze działa to perfekcyjnie.

Żródło - Ciekawe więc wam podrzucam

michone

2014-01-29, 14:43

10

japie**ole nie mogłeś tego strzeszczyć ? nic ciekawego i nowego tutaj nie ma...

myfault

2014-01-29, 14:46

30

początek

aż mi sie ta scena przypomina

Ra...........py

2014-01-29, 15:03

22

W Polsce mamy zajebiste zabezpieczenie do bankowości internetowej, wszystko podpie**ala rudy ch*j i już nie ma czego kraść hakerom.

crazY01

2014-01-29, 15:09

5

michone napisał/a:

japie**ole nie mogłeś tego strzeszczyć ? nic ciekawego i nowego tutaj nie ma...

Przykro mi, nie potrafię strzeszczyć czegokolwiek, natomiast zakładam, że ludzie potrafią szybko i ze zrozumieniem czytać

Rada na przyszłość : omijaj długie tematy z małą ilością zdjęć 8-)

KhazAkar

2014-01-29, 15:36

1

Dziwić się,że wszystko łatwo ukraść przez neta,skoro:
-Nie korzystają z skutecznych antywirusów
-Brak firewalli (ten winzgrozowy jest ch*jowy)
-Bądź co bądź,ch*jowe systemy (powiedzmy sobie szczerze,windoza nie jest bezpiecznym systemem).
Więc co zrobić,skoro sytuacja jest tak nędzna?
-Instalacja skutecznych pakietów bezpieczeństwa(a najlepiej całe pakiety,coś jak FortiClient i FortiServer)
-Wymiana windowsów na Linuksy(np.Debian czy Ubuntu)

maderfakermen

2014-01-29, 16:29

25

Cytat:

Siadł przed komputerem, żeby opłacić fakturę za telefon i internet. Tuż po zalogowaniu się na konto bankowe spostrzegł, że nie jest tam sam. Kursor poruszał się bez jego udziału.

Buhahaha i na tym się kończy wiarygodność tego artykułu...

0nline

2014-01-29, 21:52

7

Ech: " W podróżach, zwłaszcza zagranicznych,".. a na koncie dwa tysie... fejk

Jestę informatykię

Jak ktoś widzi ruchy myszki na ekranie to znaczy że ma kompa ustawionego na pomoc zdalną + sesję zdalną bez wylogowania. Nie ma inne możliwości. Początek wali takim fejkiem że aż chce się płakać. Reszta to norma. Dzięki temu bankowcy uzyskają "argumenta" na podwyższenie opłat za prowadzenie kont czy innych usług.
Bądźcie rozsądni w korzystaniu z internetu a wszystko będzie ok.

blizniak

2014-01-30, 00:27

Chwilę później w okienku do wpisywania haseł autoryzujących transakcję zaczęły się pojawiać kolejne znaki. Jakby tajemniczy gość miał je pod ręką tak samo jak Marek. – To było jak w filmie o duchach! Szczęście, że odruchowo sam kliknąłem w okienko do haseł. To spłoszyło złodzieja, a za moment nie było już śladu po jego buszowaniu na koncie – tłumaczy rozemocjonowany. To było tak, jakby nakrył włamywacza w domu, a ten salwował się ucieczką przez okno.

spiepszaj_dzbanie

2014-01-30, 00:36

Ten artykuł to jakaś megaściema.

O jak to dobrze że nie muszę się obawiać ataku złodziei. Na twardzielu nie ma nic "wartego świeczki" a na koncie dwie dychy i nie ma się czego bać.

Eurek

2014-01-30, 01:41

1

Cytat:

Siadł przed komputerem, żeby opłacić fakturę za telefon i internet. Tuż po zalogowaniu się na konto bankowe spostrzegł, że nie jest tam sam. Kursor poruszał się bez jego udziału.

no k***a naprawde? haker ci myszką ruszał. przecie to stek bzdor wyssanych z palca. owszem wyskakujące/gasnace okna czasem sie jakiemus hakerowi amatorowi przytrafią, ale to?? tworca artykułu miał takie pojęcie o tym co pisał (tudziesz facet ktory przelał kase na brazzersa i zeby przed dziewczyna miec alibi to wymyslil) ze az mnie kompletnemu laikowi ktory kiedys dla funu liznal temat rece opadly

darkwoolf90

2014-01-30, 03:03

1

Już ch*j z tym, że ściema ale po co pisać 2 razy jeden akapit? Szanuj autorze nasz czas i nerwy.

bloodwar

2014-01-30, 08:58

W większości banków internetowy przelew można wykonać po wpisaniu hasła, generowanego jednorazowo tuż po zalogowaniu, przypisanego do danego uzytkownika i temu użytkownikowi wysyłane na komórkę. Hakier musiałby jakoś odczytać smsa żeby autoryzować przelew... Niemożliwe, żeby ktoś był tak mądry, żeby włamać się komuś na kompa, włamać na stronę banku a potem jeszcze wychwycić z sieci operatora smsa a być tak głupim żeby dokonywać ataku na oczach ofiary ruszając mu kursorem przed oczyma wiedząc, że pierwszą rzeczą jaką zrobi będzie telefon do banku a po kilku minutach przelew na jego konto zostanie anulowany a on sam namierzony.

Deathrun

2014-01-30, 11:44

Pieć lat mojego życia zawodowego pracowałem w Bankach, i żaden (słownie żaden) klient nie składał reklamacji bo mu pieniądze z konta zniknęły "same". Trzeba być naprawdę nieostrożnym albo zwykłym idiotą, żeby pieniądze zniknęły Ci z konta.

Ja...........nk

2014-01-30, 12:10

1

ciekawe niby co mają kraść Polakom ? zadłużenia ?