Rekordowy phishing w Polsce - skradziony 1 mln zł

Z jednego z polskich banków 'phisherzy' wyprowadzili ponad 1 mln złotych. Jest to pierwszy tak duży ujawniony przypadek kradzieży z banku internetowego. Poszkodowani są głównie klienci indywidualni, których konta nie były chronione hasłami jednorazowymi.

Według informacji, które udało się uzyskać redakcji czasopisma ComputerWorld kradzież była prowadzona przy pomocy koni trojańskich rozsyłanych emailem do potencjalnych ofiar. Dobrze zakamuflowany program monitorował aktywność użytkownika i zapisywał dane umożliwiające korzystanie z konta bankowego przez Internet. Dane te były później odsyłane na wcześniej przygotowane serwery. Koń trojański po paru dniach odinstalowywał się i usuwał ślady swojego działania z systemu. W dogodnym momencie złodzieje logowali się do banku i transferowali pieniądze na swoje konta, zakładane na podstawie fałszywych dokumentów, skąd były one natychmiast pobierane.

Ofiarami złodziei padli klienci banku, który oferuje dostęp przez Internet bez stosowania bezpiecznych metod uwierzytelnienia takich jak tokeny lub hasła jednorazowe. Logowanie do konta przy pomocy hasła i co gorsza brak dodatkowej autoryzacji przelewów stosuje na przykład Citibank Handlowy. Dwa hasła - odrębne do logowania i do przelewów są stosowane w MilleNet (Millenium), KredytBanku i BPH. Według niepotwiedzonych informacji ofiarą kradzieży padli klienci tego ostatniego banku. Szczegółowe informacje mają być opublikowane wkrótce.

Stosowanie dwóch haseł z punktu widzenia phishera jest żadnym utrudnieniem - po dokonaniu jednego tylko przelewu użytkownik konta jest tak samo narażony na kradzież jakby drugiego hasła nie było. Stosowanie jednego hasła do wszystkiego to kpina z klientów. Który z niefrasobliwych banków będzie następny?