Pod koniec września, w internecie pojawiły się oferty sprzedaży baz z danymi klientów czterech z najpopularniejszych polskich oddziałów banków: ING Banku Śląskiego, mBanku, Idea Banku oraz Credit Agricole. Autentyczność doniesień o samym wycieku jak i okoliczności w których doszło do rzekomego zdarzenia, bada już prokuratura, policja a także Bankowe Centrum Cyberbezpieczeństwa Związku Banków Polskich we współpracy ze wskazanymi bankami.
3 złote za rekord, hurtem – taniej…
Jeden z użytkowników sieci TOR (ang. The Onion Router) przedstawił 23 września 2017 roku na jednym z forów ofertę sprzedaży baz z danymi wykradzionymi dnia 11 września z serwerów polskich oddziałów banków. Wśród danych znajdują się : numer umowy, kwota na rachunku wraz z jego numerem, nazwa lub imię i nazwisko właściciela rachunku, jego szczegółowy adres oraz numer PESEL oraz dane kontaktowe takie jak numer telefonu czy adres mailowy.
Jeden rekord, zawierający komplet wyżej wymienionych danych, użytkownik forum wycenił na trzy złote! Jak obiecuje oferent, na każdym ze wskazanych kont znajduje się kwota przynajmniej dziesięciu tysięcy złotych. Gwarantuje ponadto, że każdy z rekordów sprzedany może być jedynie jednemu nabywcy, co w domyśle może pomóc… w ograniczeniu liczby prób wyłudzenia pieniędzy od jednej osoby w krótkim odstępie czasu. Nabywcy większej liczby rekordów, z kilku banków, liczyć mogą na atrakcyjniejsze ceny w hurcie.
Popularne „escrow”
Każde nielegalne działanie wiąże się z ryzykiem. Sztuką jest jego maksymalne zredukowanie. Oferta nieprzypadkowo opublikowana została w sieci TOR, która jest wirtualną siecią komputerową, chroniącą tożsamość użytkowników, w tym ich lokalizację oraz ukrywającą ruch, który generują oni swoją działalnością. Sieć wykorzystuje kryptografikę. Użytkownik TOR’u, musi posiadać na swoim komputerze specjalny program, umożliwiający mu połączenie się z węzłami (tzn. serwerami pośredniczącymi sieci). Informacja, którą generuje użytkownik jest szyfrowana, a następnie przesyłana kolejno przez wskazane węzły, aby finalnie trafić na serwer docelowy. Dotarcie do użytkownika mimo że istotnie utrudnione, nie jest niemożliwe.
Popularną metodą płatności w TORze jest tzw. „escrow” (z ang. bezpieczeństwo w rękach stron trzecich, depozyt). Usługa ta polega na pośrednictwie w sprzedaży innego zaufanego użytkownika forum. Ma on za zadanie zweryfikować, czy kupujący dokona poprawnej wpłaty oraz czy oferent dysponuje gotowymi do przekazania, umówionymi danymi. W swej istocie przypomina ona depozyt czy powiernictwo, a podobny mechanizm wykorzystywany jest w transakcjach handlowych i pomaga zabezpieczyć interes obu stron umowy – zbywcy i nabywcy.
Ponieważ sprzedaż danych o których mowa wyżej okazała się faktem, więc pozwala to przypuszczać, że oferta ta jest prawdziwa, a do wycieku doszło i nie jest to jedynie próbą wyłudzenia pieniędzy.
Sprawą zajmują się właściwe organy
Na oficjalnej stronie Credit Agricole znajdziemy komunikat z 27 września, w którym bank zapewnia, ze aktywnie śledzi wszystkie informacje dotyczące bezpieczeństwa zarówno systemów informatycznych jak i transakcji bankowych w internecie. Doniesienia medialne są dokładnie sprawdzane i analizowane, a administratorzy podeszli do sprawy z powagą, nie tylko zajmując się problemem, ale również informując opinię publiczną o niewygodnym fakcie.
CA wskazuje, że sprawą zajęła się już prokuratura i policja. Bank aktywnie współpracuje również z Bankowym Centrum Cyberbezpieczeństwa Związku Banków Polskich. Jest to nowa instytucja, działająca nieco ponad rok.
28 września na stronie ING Banku Śląskiego, wydano podobny komunikat, w którym bank ostrzega przed oszustami próbującymi wyłudzić takie dane jak login czy hasło. Przypominamy, że tego rodzaju informacji nie udostępniono w bazie z rekordami.
Bezpieczeństwo w sieci
W tym miejscu warto przypomnieć podstawowe zasady, które pozwolą nam zachować bezpieczeństwo, korzystając z usług bankowych w sieci. Przede wszystkim należy pamiętać, ze dane związane z naszymi kartami płatniczymi oraz danymi do logowania w bankowości internetowej czy aplikacji mobilnej są poufne i nie należy ich podawać przypadkowym, dzwoniącym do nas osobom czy w wiadomościach mailowych. Każdą podejrzaną wiadomość e-mail warto zawsze skonsultować z bakiem, korzystając z oficjalnych danych kontaktowych zawartych na oficjalnej stronie. Nie należy w tym czasie otwierać plików załączonych do wiadomości, ponieważ mogą zawierać szkodliwe oprogramowanie.
Przed zalogowaniem się do serwisu warto również zadbać o szyfrowane połączenie (https://) i znacznik zielonej kłódki w pasku z adresem strony. Dobrze jest też starać się, aby logowanie odbywało się z tego samego urządzenia. Sam komputer powinien być wyposażony w aktywne oprogramowanie antywirusowe.
Regularna zmiana haseł jest szczególnie ważna jeżeli chodzi o dostęp do konta bankowego. Zaleca się, aby składało się ono z nie mniej niż 8 znaków, zawierało zarówno małe jak i duże litery oraz cyfry i inne znaki.
Dokonując pojedynczych transakcji, warto zwrócić uwagę na poprawny kod przesłany przez bank, kwotę, jak również numer rachunku i poprawność danych odbiorcy. Przed każdym wylogowaniem, zalecamy sprawdzić historię transakcji.
W razie wątpliwości i celem uzyskanie szczegółowych informacji, polecamy również zapoznać się z „Polityką Bezpieczeństwa” udostępnianej na stronie Państwa banku.