Oszuści zaatakowali BZ WBK, rozsyłając e-maile z linkiem do sfałszowanej strony banku. Celem było wyłudzenie danych kart płatniczych.
Tysiące użytkowników internetu otrzymało e-mail z linkiem do podrobionej strony BZ WBK z prośbą o wpisanie danych kart płatniczych. To efekt ataku hackerów, który rozpoczął się już w poniedziałkowy poranek. Korespondencja docierała w trzech wersjach, w tym anglojęzycznej, a e-maile otrzymali zarówno posiadacze kont w BZ WBK, jak i osoby, które nie są jego klientami. Na fikcyjnych formularzach były pytania o numer karty, datę ważności, a także kod PIN.
- Osoby, które otrzymały tego rodzaju korespondencję, mogą być pewne, że mają do czynienia z próbą wyłudzenia danych - ostrzegają przedstawiciele banku.
Informatycy BZ WBK we współpracy z policją zablokowali serwery, z których został przeprowadzony atak, oprócz polskiego były także serwis brazylijski i kolumbijski.
Do wczorajszego popołudnia zidentyfikowano kilkadziesiąt przypadków klientów, którzy podali dane swoich kart, na niektórych zostały zrealizowane transakcje.
- Będziemy kontaktować się w klientami, którzy podali dane swoich kart. Natomiast każdy z tych przypadków, gdzie przeprowadzono transakcje z ich użyciem, będzie analizowany indywidualnie - mówi Piotr Gajdziński, rzecznik BZ WBK.
- Bank nie ma możliwości wyeliminowania takich prób wyłudzania danych - ocenia Rafał Pawlak, redaktor naczelny Hacking.pl.
- Atak był przygotowany profesjonalnie. Szacujemy, że e-maile z linkami do fałszywych stron dotarły co najmniej do kilkudziesięciu tysięcy internautów. Trudno walczyć z tego rodzaju akcjami - dodaje.
Kilka tygodni temu był przeprowadzony podobny atak również na BZ WBK, ale wówczas był on przygotowany nieudolnie. Banki coraz częściej są celem ataków oszustów.
W zeszłym roku w internecie krążyło o 463 proc. więcej trojanów umożliwiających wykradanie haseł do internetowych kont bankowych niż w 2006 roku - podaje Laboratorium PandaLabs, specjalizujące się w wykrywaniu i analizie oprogramowania komputerowego.
O CZYM MUSI PAMIĘTAĆ KLIENT BANKOWOŚCI INTERNETOWEJ
• Żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację.
• Banki nigdy nie podają w przesyłanych wiadomościach linków do stron transakcyjnych.
• Nie wolno używać wyszukiwarek internetowych do znalezienia strony logowania banku.
• Przed zalogowaniem trzeba sprawdzić, czy połączenie z bankiem jest szyfrowane.
• Nie wolno udostępniać osobom trzecim identyfikatora ani hasła dostępu.
• Nie wolno zapisywać haseł służących do logowania i powinno się je regularnie zmieniać.
• Trzeba sprawdzać datę ostatniego poprawnego oraz niepoprawnego logowania do systemu.
SZERSZA PERSPEKTYWA - RYNEK
W ubiegłym roku było kilka głośnych prób wyłudzenia danych od klientów instytucji finansowych, m.in. hakerzy próbowali przejąć hasła klientów Banku BPH i mBanku. Oszuści przeprowadzili także akcję rozsyłania e-maili z fałszywą stroną systemu szybkich płatności Moneybookers.