Kilkudziesięciu klientów banku BPH padło ofiarą phisherów, którzy poprzez rozesłany do użytkowników wirus dostali się do ich konta. Łączna zrabowana suma szacowana jest na prawie 1 mln złotych, a największa kwota wyjęta z jednego konta to 120 tys. zł. Nie wykluczone, że dotknęło to również klientów innych banków.Pierwsze przypadki kradzieży zauważono już kilka miesięcy temu, kiedy klienci zaczęli zauważać przelewy na nieznane im konta. W tym samym czasie najwięcej tego typu przestępstw zgłosił Bank BPH, dlatego na nim została skupiona uwaga, ale bardzo prawdopodobne, że problem dotyczy też innych banków, lecz na nieco mniejszą skalę.n
n
Policja rozpoczęła śledztwo w tej sprawie, jednak do dziś nie udało się nikogo zatrzymać. Nie wiadomo też, czy phisherzy są z Polski. Ze względu na dobro śledztwa nie podaje się żadnych szczegółów, które mogłyby utrudnić działania policji. Wiadomo jedynie, że do kradzieży wykorzystano wirus, który zbierał potrzebne informacje niezbędne do zalogowania się przez przeglądarkę do banku. W ten sposób phisherzy przejmowali loginy i hasła, po czym przelewali pieniądze na swoje konta.n
n
Z uwagi na nieświadomość wielu użytkowników wykradano hasła niezwykle łatwo. Policja podejrzewa, że część użytkowników nawet nie zdaje sobie jeszcze sprawy, że suma pieniędzy na ich koncie stopniała. Jednocześnie apeluje o zachowanie niezbędnego poziomu bezpieczeństwa podczas korzystania z bankowości elektronicznej i stała kontrolę operacji na swoim koncie.
Co na to BPH?
Rzecznik prasowy BPH Jacek Balcer zaprzeczył, aby pracownicy zaobserwowali włamania do systemu internetowego banku. Zapewniając jednocześnie, że stosowany system bankowości internetowej Sez@m „gwarantuje najwyższy poziom bezpieczeństwa i ciągle jest udoskonalany”.n
n
Przyznał przy tym, że zdarzają się próby nieuprawnionego logowania, ale są one powodowane przez klientów nie pamiętających danych dostępowych.n
n
Bank na swoich stronach zamieszcza wszelkie informacje, aby przestrzec użytkowników przed możliwym niebezpieczeństwem oraz korzystaniem z niepewnych komputerów np. w kawiarenkach internetowych. n
n
Rzecznik Banku BPH zwrócił uwagę na możliwość zwiększania bezpieczeństwa poprzez oferowane przez bank rozwiązania, z których klienci dosyć rzadko korzystają.
Phishing
Phishing – w branży komputerowej, oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego na inżynierii społecznej.n
n
Termin został ukuty w połowie lat 90. przez crackerów próbujących wykraść konta w serwisie AOL. Atakujący udawał członka zespołu AOL i wysyłał wiadomość do potencjalnej ofiary. Wiadomość zawierała prośbę o ujawnienie hasła, np. dla „zweryfikowania konta” lub „potwierdzenia informacji w rachunku”. Gdy ofiara podawała hasło, napastnik uzyskiwał dostęp do konta i wykorzystywał je w przestępczym celu, np. do wysyłania spamu.n
n
Termin phishing jest niekiedy tłumaczony jako password harvesting fishing (łowienie haseł). Inni utrzymują, że termin pochodzi od nazwiska Briana Phisha, który miał być pierwszą osobą stosującą techniki psychologiczne do wykradania numerów kart kredytowych, jeszcze w latach 80. Jeszcze inni uważają, że Brian Phish był jedynie fikcyjną postacią, za pomocą której skamerzy wzajemnie się rozpoznawali.n
n
Dzisiaj przestępcy sieciowi wykorzystują techniki phishingu w celach zarobkowych. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.
