Często bagatelizuje się zagrożenie ataku hackerów, twierdząc, że nawet dostając się na nasze konto bankowości elektronicznej, niewiele mogą zdziałać. Część banków stosuje hasła maskowane, jeszcze bardziej utrudniających sczytanie hasła przy logowaniu. Niedawny atak na klienta PKO BP dowodzi jednak, że można narobić wielkich szkód posiadając “tylko” login i hasło.

Cyberprzestępcy zorientowali się, że klienci PKO BP w istocie, muszą potwierdzać wysyłanie przelewu kodem SMS lub znajdującym się na karcie kodów jednorazowych. Nie trzeba jednak tego robić przy zmianie numeru konta zdefiniowanego adresata przelewu. Mając dostęp do historii konta, wszystko co złodziej musiał zrobić, to sprawdzić, na jakie konto trafiają największe sumy i podstawić pod zamierzonego odbiorcę transakcji własne konto.

Nieświadomy niczego klient banku stracił 86 tysięcy złotych, własnoręcznie zatwierdzając przelew na numer konta, który jeszcze do niedawna należał do kontrahenta. Jak łatwo przewidzieć, po pewnym czasie odbiorcy zaczęli zadawać pytania o przelewy, które zostały przecież wysłane. Po oględzinach sytuacji delikwent złożył reklamację do banku, spotkał się jednak z odmową i trzeba przyznać, że PKO BP miało ku niej solidne podstawy.

Jak przyznał sam klient banku, logował się do swego rachunku internetowego przez ogólnodostępne sieci bezprzewodowe – ogólnodostępne w sensie te, za których zabezpieczenia nie można ręczyć. Mogła to też być kafejka internetowa, gdyż, jak wskazują eksperci, ze względu na szyfrowane połączenia, sczytanie danych bezpośrednio z sieci jest bardzo trudne bez wzbudzania podejrzeń. Bank natomiast odrzuca reklamacje, gdyż w tym przypadku nastąpiło złamanie warunków umowy dotyczących bezpiecznego korzystania z usług banku online oraz nie sprawdził numeru konta, na który wysyła tak znaczne kwoty. Może wydać się to dziwne w kontekście zapamiętanych adresatów przelewów, ale cały czas jest to jakieś niedopatrzenie ze strony klienta, a banki – co udowodniły więcej, niż raz – to nie organizacje charytatywne.

Najprawdopodobniej klienta PKO czeka smutny los pogodzenia się z utratą 86 tysięcy złotych. Wyjątkowo trudno przychodzą tu słowa “a nie mówiłem?” ale mimo ostrzerzeń GIODO, mediów, papieża i tego bloga, hackerzy cały czas mają pełne ręce roboty i pełne konta zysku. Jednego razu łupem padnie 20 złotych, innym – 86 tysięcy, a jeszcze innym złodzieje cyberprzestępcy zdecydują się na kupno waluty w kantorze internetowym, czyniąc swój postępek praktycznie nienamierzalnym. Tylko od naszej ostrożności zależy, czy im to zadanie ułatwimy.