ZAGROŻENIE DLA KLIENTÓW BANKOWOŚCI INTERNETOWEJ

ZAGROŻENIE DLA KLIENTÓW BANKOWOŚCI INTERNETOWEJ
KORZYSTAJĄCYCH Z ROUTERÓW WIFI
Komunikat z dnia 6 lutego 2014 r.
Szanowni Państwo,
uprzejmie informujemy, iż Związek Banków Polskich otrzymał informacje o nowym sposobie
działania przestępców ukierunkowanym na Klientów korzystających z bankowości
internetowej.
Działania te polegają na wykorzystaniu błędów w niektórych popularnych modelach
bezprzewodowych routerów WiFi (routery to urządzenia służące do udostępniania za
pośrednictwem fal radiowych Internetu w domu, restauracjach czy hotelach). Wykorzystanie
ww. błędów pozwala na taką modyfikacji konfiguracji routerów, by połączenia z niektórymi
polskimi bankami odbywały się poprzez serwery należące do przestępców.
Dzięki tym działaniom przestępcy pozyskują identyfikatory i hasła Klientów oraz podstawiają
zmodyfikowaną stronę banku z komunikatem o wprowadzonej przez Bank zmianie formatu
rachunku i wynikającej z tego konieczności zatwierdzenia nowego szablonu przelewów
zaufanych. Jeśli Klient poprawnie zautoryzuje utworzenie takiego szablonu przelewu
zaufanego przestępcy będą w stanie dokonać przelewu środków finansowych Klienta na
rachunek nad którym mają kontrolę i w ten sposób dokonać kradzieży.
Opisany powyżej scenariusz kradzieży środków przez przestępców możliwy jest na skutek
błędów w oprogramowaniu urządzeń wykorzystywanych przez Klientów oraz w wyniku
manipulacji zachowaniami Klientów przez przestępców (tzw. ataki socjotechniczne) w celu
nakłonienia ich do zatwierdzania operacji, których nie zlecali.
Jak rozpoznać, czy router z którego korzystasz został przejęty przez przestępców:

jeśli zobaczysz komunikat o konieczności zatwierdzenia szablonu zaufanego w
związku ze zmianą formatu rachunków – np. taki jak prezentowany poniżej;

jeśli podczas logowania do banku w polu adresu przeglądarki znajduje się inny niż
zazwyczaj adres – np. zawierający dodatkowo frazę „ssl-” taki jak zaprezentowany
poniżej:
UWAGA ! fraza „ssl-” może być w przyszłości zastąpiona przez przestępców inną, dlatego
ważne jest by użytkownicy pamiętali, jak powinien wyglądać dokładnie rzeczywisty adres
bankowości elektronicznej.


jeśli podczas połączenia z bankiem transmisja nie jest zaszyfrowana (brak kłódki, brak
przedrostka https://) lub jest szyfrowana ale zabezpieczona certyfikatem, który nie
został wystawiony dla Twojego banku przez zaufany urząd certyfikacji,
jeśli podczas połączenia z bankiem jest przedrostek https:// lecz przeglądarka zgłasza
problem z poprawnością certyfikatu ( poniżej przykłady) sprawdź czy w szczegółach
certyfikatu jako organizacja widnieje nazwa twojego Banku.
Uwaga!! przestępcy używają fałszywych certyfikatów firmy Thawte.
Poniżej przykład fałszywego certyfikatu (kolor czerwony) oraz przykład poprawnego
certyfikatu (kolor zielony). Charakterystyczna jest również bardzo długa data ważności
fałszywego certyfikatu tj. 8 lat.
Co zrobić jeśli zauważyłeś symptomy takie jak opisane powyżej?



skontaktuj się ze swoim bankiem, opisz sytuację i postępuj zgodnie z informacjami
podanymi przez Twój bank. W zależności od sytuacji zalecana jest zmiana hasła do
bankowości wykonana przy wykorzystaniu innego, zaufanego dostępu do Internetu, a
jeśli nie ma takiej możliwości wskazana jest tymczasowa blokada kanału bankowości
internetowej.
należy przywrócić router do ustawień fabrycznych i ponownie skonfigurować go wg
zaleceń Twojego dostawcy Internetu, UWAGA! – do przywracania konfiguracji
wymaganej przez dostawcę Internetu nie można korzystać z wykonanej kopii
ustawień, ponieważ zawiera ona ustawienia zmodyfikowane przez przestępców!
w konfiguracji routera należy wyłączyć możliwość administrowania routerem od
strony Internetu (dostęp od strony WAN). Instrukcje dotyczące sposobu zmiany
konfiguracji zawarte są zazwyczaj w instrukcji obsługi routera udostępnianej przez
producenta/dostawcę routera.
Ponadto pamiętaj o stosowaniu zasad bezpieczeństwa, o których banki informują na
swoich stronach internetowych, w szczególności:
Pamiętaj, że banki nigdy nie proszą o autoryzację operacji, których Ty nie zlecałeś.
W szczególności – banki nie wymagają abyś autoryzował jakiekolwiek operacje związane ze
zmianą formatów rachunków, ich numeracją lub innymi działaniami prowadzonymi z
inicjatywy banku. Takie operacje - jeśli są prowadzone przez Banki - są realizowane
automatycznie i NIE WYMAGAJĄ podawania kodów autoryzacyjnych. Generalną zasadą
jest, że kody autoryzacyjne są narzędziem przeznaczonym dla Klienta, którym autoryzuje
(zatwierdza) on samodzielnie złożone dyspozycje.


Dokładnie sprawdzaj dyspozycję operacji (np. w SMS) zanim ją zautoryzujesz.
Zwracaj uwagę na wszelkie nietypowe zmiany w systemie bankowości internetowej
Twojego banku, nietypowe komunikaty, w szczególności takie, w których jesteś
proszony o:
1.
2.
3.
4.
podanie dodatkowych danych lub autoryzację operacji których nie zlecałeś
ponowne zatwierdzenie operacji, dla której wpisałeś już kod autoryzacyjny
ponowne podanie hasła, które zostało już raz wprowadzone.
W przypadku zauważenia takich zmian należy bezwzględnie skontaktować się
z bankiem w celu ich potwierdzenia.
Zawsze dokładnie sprawdzaj wpis w pasku adresu strony przeglądarki - zarówno na stronie na
której podajesz login i hasło jak i później w trakcie korzystania z bankowości, szczególnie
przed podaniem każdego kodu autoryzującego operację.
Zawsze sprawdzaj czy połączenie z bankiem jest szyfrowane (przedrostek https://, widoczna
w obrębie przeglądarki kłódka) oraz sprawdzaj prawidłowość certyfikatu wykorzystywanego
do szyfrowania, który powinien być wystawiony dla Twojego banku (sprawdzenia certyfikatu
można dokonać poprzez kliknięcie na kłódkę lub zielony pasek adresu strony ).
Rada Bankowości Elektronicznej, Związek Banków Polskich