Sytuacja zdarzyła się w styczniu 2015 roku. Właścicielka firmy zajmującej się sprzedażą mebli i blatów, pani Agnieszka, zalogowała się przez przeglądarkę internetową na konto bankowe swojej firmy. Pojawił się błąd. Trudno, przecież takie sytuacje zdarzały się już wcześniej. Kiedy jednak po kilku minutach zalogowała się ponownie, stan rachunku był uszczuplony o 60 tys. złotych. Historia pokazała zrealizowanie czterech przelewów po 15 tys. złotych każdy. Jak to się stało? Najprawdopodobniej był to efekt ataku cyberprzestępcy.

Co robić?!

Oczywiście zadzwonić na infolinię banku i zgłosić sytuację. Niestety tutaj panią Agnieszkę spotkała kolejna, nieprzyjemna niespodzianka. Konsultant ani nie przyjął reklamacji, ani nie wstrzymał przelewów, które poprzez system szybkich płatności online Dotpay trafiły do firmy Bitstar, kantora bitcoinów. Co dalej? Bank umył ręce. Stwierdził, że komputer pani Agnieszki mógł być zarażony złośliwym oprogramowaniem, a przecież za to nie może ponosić odpowiedzialności. 

Lampka w bankowym tunelu

Dalej nastąpiła interwencja operatorów płatności – Dotpay i Bitstar – którzy niezależnie od systemów bankowych także wychwytują nietypowe operacje i zapobiegają potencjalnym próbom wyłudzeń. Co zwróciło ich uwagę? Charakter i kwota dokonanych przelewów. Operatorzy podali w wątpliwość legalność tych operacji, w efekcie czego konto podejrzanego użytkownika kantoru zostało zablokowane. Niestety, zdążył on już wymienić większość pieniędzy.

Schematy oszustw w internecie

Zaufany pośrednik płatności online to zawsze dodatkowy poziom zabezpieczeń, szczególnie gdy procedury bankowe zawodzą. Dzięki stosowaniu analizy statystycznej danych jest on w stanie skutecznie wykrywać potencjalne próby wyłudzeń, a także tworzyć modele ewentualnych oszustw, aby im zapobiegać. Co może być takim schematem? Przykładowo, próba obciążenia karty kredytowej najpierw na niską kwotę, a następnie na dużo wyższą. Taki model działania służy cyberprzestępcom do badania możliwości dokonania oszustwa oraz testowania atakowanych kart kredytowych. Dlatego widząc na koncie jakiekolwiek podejrzane transakcje, których nie dokonaliśmy, lub wątpliwego źródła blokady – nawet na bardzo małe kwoty – powinniśmy podjąć natychmiastową reakcję i zawiadomić bank oraz operatora płatności!

Pamiętajmy też, że osoby korzystające z tradycyjnych przelewów bankowych są najczęstszymi obiektami ataków hakerskich. Dlatego gdy kopiujemy numer konta np. z treści e-maila lub strony sklepu internetowego, powinniśmy po wklejeniu do formularza przelewu upewnić się, czy cyfry są poprawne. Złośliwe oprogramowanie, takie jak np. VBKlip lub Banatrix, potrafi wykryć czynność kopiowania, podmieniając cyfry przy wklejaniu na inne, wskazane przez cyberprzestępcę. Co więcej, niektóre wersje Banatrixa pokazują w przeglądarce poprawny numer konta, a do banku wysyłają sfałszowany. Dlatego przy przepisywaniu kodu SMS potwierdzającego transakcję należy dokonać ponownej weryfikacji. Trzecim krokiem jest sprawdzenie poprawności numeru konta po potwierdzeniu operacji na stronie banku. Dlaczego? Ponieważ cyberprzestępcy stworzyli KINS służący do atakowania telefonów i podmiany SMS-ów przychodzących z banku. Co innego jest w sytuacji, gdy korzystamy z operatorów szybkich przelewów internetowych. Przy takich transakcjach klient nie musi przepisywać numeru konta, nie ma więc ryzyka zaatakowania przez złośliwe oprogramowanie.

Kim jest operator płatności?

Dodatkowe warunki stawiane operatorom płatności online sprawiają, że poziom bezpieczeństwa transakcji przeprowadzanych przez tego typu systemy rośnie znacząco, nawet w porównaniu ze zwykłymi przelewami bankowymi. Rejestr takich instytucji płatniczych prowadzi Komisja Nadzoru Finansowego, która weryfikuje, czy akredytowana firma spełnia wszystkie wymagania bezpieczeństwa. Listę firm można sprawdzić w wyszukiwarce dostępnej na stronie internetowej Komisji Nadzoru Finansowego, dodatkowo warto prześledzić rejestr licencjonowanych Agentów Rozliczeniowych prowadzony przez Narodowy Bank Polski. Jeżeli podmiot podający się za instytucję płatniczą znajduje się na ww. listach, możemy być spokojni o nasze środki finansowe. Można także upewnić się, czy instytucja finansowa posiada certyfikat PCI DSS świadczący o zgodności z popularnymi systemami płatności kartami kredytowymi. Standard ten potwierdza spełnianie światowej jakości norm dotyczących bezpieczeństwa.

Dziś obiektem ataku hakerskiego może zostać każdy, dlatego pamiętajmy o zasadach bezpieczeństwa przy płatnościach internetowych. Ważna jest też wiedza, co należy zrobić, gdy nieszczęśliwie staniemy się ofiarą ataku cyberprzestępcy. W tym miejscu pamiętajmy o gwarancjach i reklamacjach. To z jednej strony możliwość korzystania z dodatkowych ubezpieczeń oferowanych przez operatora płatności, z drugiej – tzw. chargeback przy płatnościach kartą kredytową.

Bernadetta Madej, Dotpay