Czy można wyczyścić komuś konto bankowe, znając tylko jego login i hasło do bankowości online, ale nie mając dostępu do kodów jednorazowych potwierdzających przelewy? Tak. Wystarczy podmienić numer konta w jakimkolwiek zdefiniowanym przelewie klienta… bo taka zmiana nie wymaga potwierdzenia kodem. Przynajmniej w PKO BP
Klient przelał 86 000 PLN na rachunek złodzieja
Incydenty, które właśnie w ten sposób pozbawiały klientów banku PKO BP gotówki opisuje Wojciech Boczoń z Bankier.pl. Trwały od sierpnia 2012 do czerwca 2013. Klient stracił 86 tys. zł., a bank nie uznał reklamacji, twierdząc, że właściciel rachunku nie dochował zasad bezpiecznego korzystania z bankowości internetowej (tj. ktoś wszedł w posiadanie jego danych do logowania) oraz nie zweryfikował poprawnie numeru rachunku, który bank pokazuje na ekranie podsumowania.
Tu podkreślić należy, że pomimo tego, iż przelew jest “zdefiniowany”, to i tak w PKO BP każdorazowo trzeba go potwierdzić, np. kodem z SMS-a, który to zawiera numer rachunku — a więc uważny klient miał szansę zorientować się, że nie jest to poprawny rachunek (zakładając, że go pamiętał…):
Przelew na rachunek 35…1600; Kwota xxxx PLM Kod sms nr x:
Zmiana zdefiniowanego odbiorcy - PKO BP
Zmiana zdefiniowanego odbiorcy – PKO BP, fot. Bankier.pl
Skąd przestępcy mieli login i hasło?
Klient przyznaje, że korzystał z “ogólnodostępnych sieci Wi-Fi” — ale naszym zadaniem, ciężko bez wzbudzenia podejrzenia “podsłuchać” dane do logowania do bankowości w publicznej sieci Wi-Fi (otwartej lub szyfrowanej WEP-em). Ponieważ połączenie z bankiem jest szyfrowane, to o ile klient weryfikuje certyfikat SSL i nie daje się nabrać na wprowadzanie loginu i hasła na podstawianych, nieszyfrowanych stronach, jest bezpieczny.
Bardziej prawdopodobne jest atak przy użyciu keyloggera, albo na komputerze klienta (poprzez zainfekowanei go trojanem) albo na cudzym sprzęcie, z którego klient skorzystał do wykonania operacji na swoim rachunku (np. w kawiarence internetowej).
Warto także zauważyć, że ponieważ złodzieje znaleźli lukę w module zmian przelewów zdefiniowanych, nie musieli oni stosować dodatkowo socjotechniki do zainfekowania telefonów komórkowych swoich ofiar w celu pozyskania kodów SMS-owych (jak robi to np. ZeuS w wersji mobilnej).
Atak był “prawie” doskonały — prawie, bo odbiorcy “zdefiniowani” po pewnym czasie zaczynali się dopominać swoich należności.
W trakcie wykonywania testów penetracyjnych szuka się tego typu możliwości “nadużycia” zaufania w systemie bankowym, a ewentualne błędy tego gatunku nazywa się “błędami logiki biznesowej“.
Weryfikuj rachunki kontrahentów
Podobny mechanizm oszustwa, z tym, że bazujący na podmianie numerów rachunków bankowych poprzez faksowanie oświadczenia o zmianie numeru konta opisywaliśmy nie dawno na podstawie wpadki warszawskiego metra, które posłało ponad pół miliona złotych na podstawiony rachunek.