VÚB banka varuje svojich klientov pred podvodnými e-mailami, ktoré ich v mene banky vyzývajú k aktualizácii prístupu k internet bankingu z dôvodu ukončenia platnosti prístupových práv. „Zaznamenali sme ich v utorok, keď nás na to niekoľko klientov upozornilo cez call centrum,“ vraví pre TREND.sk hovorkyňa banky Alena Walterová.
Ide o istú formu phishingu, ktorú banky už dlhšie na Slovensku nezaznamenali. Súčasťou mailu bol aktívny odkaz na falošný dotazník VÚB banky, ktorý sa nachádzal na cudzej doméne.
Maily zrejme z Ruska
Klienti mali vyplniť osobné údaje – meno, číslo účtu, mail, dátum narodenia, užívateľské meno a samozrejme heslo. Útočníkovi by tieto informácie boli zrejme nanič, pretože na autorizáciu platby by potreboval kód GRID karty alebo notifikačnú SMS. Vo formulári si preto od klientov žiadal číslo mobilného telefónu a mail.
Banka v každom prípade klientom odporučila, aby e-maily ignorovali, vymazali z doručenej pošty a aktualizovali antivírusový systém.
To, že ide o podvod, je zrejmé aj laikovi na prvý pohľad. Mail došiel klientom z adresy [email protected] a bol čiastočne napísaný v azbuke. Perlou na záver bol podpis s úctou „vaše on-line bankovníctvo oddelenia sporiteľne“.
Načasovanie podvodných e-mailov zrejme nie je náhodné. Začiatkom mesiaca banka spustila nový internet banking, ktorý v prvých hodinách vypadával.
Vlastné zariadenie vs. zariadenia banky
Čo by sa však stalo, ak by klient údaje vyplnil a odoslal? Vrátila by mu banka „ukradnuté“ peniaze? VÚB tvrdí, že najprv by prípad prešetrila. Cez bezpečnostných technikov by chcela zistiť, ako došlo k autorizácií a získaniu hesiel.
Banky tvrdia, že ak k úniku došlo na zariadení klienta a evidentnou nedbanlivosťou bezpečnostných prvkov, je za stratu finančných prostriedkov zodpovedný len klient a banke sa môže nanajvýš posťažovať.
Na druhej strane, ak sa hackeri nabúrali do zariadenia banky, akým je napríklad bankomat formou skimmingu (zlodeji sa snažia urobiť klon platobnej karty a duplikát použiť na výber hotovosti z bankomatu - útočníci získavajú citlivé dáta úpravou bankomatov špeciálnymi zariadeniami), zodpovednosť za prípadné finančné straty znáša banka. Finančné inštitúcie sa odvolávajú na zákon o platobných službách, ktorý nepriamo prípady definuje.
Kde je však hranica medzi nedbanlivosťou a sofistikovanými krokmi hackera, ktoré klient nepostrehne? V júni tohto roka padlo prelomové rozhodnutie Krajského súdu v Trenčíne, ktoré sa týka klienta - obete podvodnej stránky banky (phishingu). Na prípad upozornil právnik Martin Husovec na blogu.
Kľúčový súdny spor
Klientovi VÚB zmizlo ešte v decembri 2011 z účtu 3-tisíc eur, pretože do počítača si nevedome nainštaloval vírus. V počítači vírus aktivoval a následne v internetovom prehliadači vygeneroval stránku, ktorá okopírovala dizajn internetového bankovníctva jeho banky.
Vírus mal bez vedomia klienta spustiť transakcie. „Účelom tejto podvodnej stránky bolo ľsťou vylákať citlivé autentifikačné údaje a následne ich poslať neznámemu páchateľovi. Neprimeraným zabezpečením počítača voči škodlivým vírusom boli dobrovoľne zverené bezpečnostné prvky neznámemu podvodníkovi,“ píše sa v rozhodnutí.
Aby sa transakcia udiala, bolo potrebný kód z notifikačnej SMS alebo GRID karty. Útočník, ktorý sa vydával za zamestnanca banky, preto zavolal v nedeľu pred dvoma rokmi klientovi.
Povedal mu, že na jeho účte prebiehajú prostredníctvom bankomatovej karty podozrivé transakcie a na ich zrušenie je potrebný údaj – pozíciu GRID karty. Klient varovaniu uveril a kód z karty útočníkovi poskytol. Až neskôr zistil, keď sa prihlásil do internet bankingu, že mu z účtu bez jeho vedomia zmizlo 3-tisíc eur.
Situáciu vysvetlil v banke, ktorá reklamáciu po prešetrení zmietla zo stola. Dôvod? Klient vydaním údajov konal v hrubej nedbanlivosti, pretože porušil svoje zákonné povinnosti, a preto musí znášať stratu sám.
Klient dal banku na súd a chcel dosiahnuť, že konal len ľahko nedbanlivo a nie hrubým porušením bezpečnostných pravidiel – to v praxi znamená, že jeho spoluúčasť na strate by bola len 100 eur, zvyšok by zaplatila banka.
Klient nemá dostatok odborných vedomostí
Okresný súd v Trenčíne rozhodol v prospech klienta s čím banka nesúhlasila a odvolala sa. Krajský súd sa však s okresným súdom stotožnil.
„Bežný klient banky s priemernými znalosťami práce s počítačom nemusí mať dostatok odborných vedomostí k tomu, aby rozpoznal, že pracuje s vírusom vygenerovanou fiktívnou stránkou internetového bankovníctva, alebo aby poznal do podrobností pracovné postupy banky,“ píše v rozsudku sudkyňa Emília Zimová.
Banka sa s rozsudkom nestotožnila z logických dôvodov. Klient banky sa útoku mohol vyhnúť viacerými spôsobmi: mohol lepšie ochránil svoj počítač od vírusu používaním antivírusového systému, alebo aj tým, že by používal bezpečný internetový prehliadač bez zneužiteľných zraniteľností. Pri samotnom použití stránky sa zrejme klient mohol vyhnúť podvodu aj tým, že by si v ľavom hornom rohu prehliadača overil certifikát banky (obsahuje https://).
A najhoršia na tom je skutočnosť, že klient sa stále mohol vyhnúť útoku jednoducho aj tým, že by v telefonickom rozhovore neprezradil údaje potrebné na autentifikáciu transakcie (SMS kód).
K získaniu SMS nakoniec podľa právnika M. Husovca, ktorý sa na prípad pozrel bližšie, došlo tak, že klientovi prišla SMS správa na potvrdenie žiadosti o zmenu telefónneho čísla v jeho online profile – poslal mu ju však útočník.
Poskytnutím SMS kódu dokázal útočník následne zmeniť pôvodné telefónne číslo klienta na svoje vlastné číslo. Klientovi tak už autorizačná SMS správa na samotnú transakciu o prevode nedošla, pretože bola zaslaná na iné telefónne číslo, ktoré mal útočník.
Nájsť „stratené“ peniaze je takmer nemožné, pretože útočníci prevedú peniaze zvyčajne na cudzie (už napadnuté) účty a cez bankomat ich rýchle vyberú.
Banka teda dopadla takto: Súd jej vymeral preplatenie nákladov vo výške 3 485,60 eur s úrokom z omeškania vo výške 9,25 percenta ročne od 7. januára 2011 do zaplatenia, ako aj náhradu trov konania titulom zaplateného súdneho poplatku 209 eur a titulom trov právneho zastúpenia 665,94 eur. Len na porovnanie, v apríli minulého roka dospel Spolkový najvyšší súd v podobnom prípade v prospech banky. Klient naivne sprístupnil útočníkovi desať autorizačných detailov.
