Internetowi złodzieje zaatakowali Citibank Handlowy

Niektórzy klienci polskiej filii Citibanku zostali skierowani na fałszywą stronę www, gdzie podawali hasła dostępu do kont oraz numery kart kredytowych. Złodzieje wykorzystali też błąd przeglądarki Microsoftu. To pierwszy tak zuchwały przypadek groźnego spamu w polskiej branży bankowej. Szefowie Citibanku uspokajają: „Zablokowaliśmy stronę oszustów, a klientom nic nie grozi.”

Internetowi oszuści rozpoczęli akcję nieco ponad tydzień temu. W środę 28 stycznia niektórzy posiadacze kont osobistych Citibanku Handlowego e-maile dostali informację o uruchomieniu nowego systemu transakcji internetowych. „Prosimy o jak najszybsze zalogowanie się oraz sprawdzenie naszego nowego systemu” – zachęcał nadawca podający się za pracownika Citibanku. Podał też link: www.online.citibank.pl (to prawdziwy adres strony banku). Dla niepoznaki prosił też, by klienci przysyłali mu opinie o „nowym systemie”.

Osoby, które dały się nabrać i kliknęły na wskazany link, były automatycznie kierowane na zupełnie inną stronę www, wyglądem do złudzenia przypominającą jednak witrynę Citibanku. To jeszcze nie wszystko! Oszuści, doskonale znając słabe strony przeglądarki Internet Explorer Microsoftu, potrafili tak zakamuflować swoje działania, że w pasku adresu przez cały czas wyświetlał się orginalny adres strony Citibanku! Kiedy ofiara podała hasło PIN i numer karty kredytowej, system „wyrzucał” ją ze sfałszowanej strony, zaś złodzieje mieli otwartą drogę do konta.

Zmasowaną akcję internetowych oszustów przeciwko Citibankowi potwierdziła jego rzeczniczka Joanna Cegłowska – „Rzeczywiście, w ostatnim czasie dostaliśmy sygnały o e-mailach wysyłanych przez oszustów do przypadkowych osób, wśród których była niewielka grupa klientów Citibanku. Niezłocznie zablokowaliśmy stronę, klientom nic więc nie grozi. Razem z organami ścigania staramy się zidentyfikować oszustów” – uspokaja Cegłowska. Dodaje, że bank umieścił na swojej stronie WWW specjalne ostrzeżenie i rozesłał je do wszystkich klientów.

Rzeczniczka Citibanku podkreśla, że bank nie ma w zwyczaju wysyłać do klientów żadnej korespondencji, w której prosiłby o podawanie haseł PIN czy numerów kart płatniczych – „Jestem przekonana, że nasi klienci, nawet jeśli otrzymali e-mail od oszustów, podeszli do niego z nieufnością. Osoby, które odpowiedziały na takiego e-maila, podając poufne dane, prosimy o niezwłoczny kontakt z CitiPhone pod numer 0801-32-2484” – apeluje Cegłowska.

Ile osób mogło wejść na fałszywą stronę Citibanku i podać dane? Tego Cegłowska nie ujawnia – „Nie mamy informacji, aby jakikolwiek klient został oszukany” – zapewnia. Jej zdaniem takie przypadki spamu (niezamawian ejelektronicznej korespondencji) zdarzają się na całym świecie i nie są niczym niezwykłym. W Polsce podobny, ale mniej groźny problem miał prawie rok temu mBank. Złodzieje skopiowali jego stronę internetową i umieścili pod innym adresem. Jednak klienci mogli zauważyć, że zostali przekierowani w podejrzane miejsce, bo przeglądarka wyświetlała zmieniony adres.

„Po tamtej sprawie wprowadziliśmy dodatkowe zabezpieczenia. Intensywnie ostrzegamy też klientów przed tego typu oszustwami” – przyznaje Szymon Midera, rzecznik mBanku.

Z naszych informacji wynika, że zmasowana akcja złodziei przeciwko Citibankowi wywołała popłoch wśród bankowców – „Dowiedziałem się o tym we wtorek. Natychmiast poprosiliśmy informatyków, żeby sprawdzili nasze systemy” – powiedział nam anonimowo rzecznik dużego banku detalicznego. Specjaliści podkreślają, że atak na Citibank był bardzo dobrze przygotowany.

„Złodzieje celowo wybrali bank, który przy logowaniu do systemu wymaga podania numeru karty kredytowej. Znając go stosunkowo najłatwiej można wyprowadzić pieniądze z konta klienta” – mówi anonimowo specjalista od bankowych systemów zabezpieczeń. Szymon Midera z mBanku dodaje, że klienci banków, które przy logowaniu wymagają tylko hasła, a dodatkowo stosują również drugie zabezpieczenie – token, listę haseł jednorazowych czy tzw. klucz prywatny (specjalny plik, który trzeba otworzyć przed wykonaniem przelewu) – powinni czuć się bezpieczni.

Jacek Balcer, rzecznik banku BPH-PBK, podkreśla, że nawet najsprawniejszy system zabezpieczeń nie uchroni przed atakiem oszustów, jeśli klient sam będzie nieostrożny – „Nie można bezgranicznie ufać internetowi. Pamiętajmy, że istnieje bardzo prosty sposób sprawdzenia, czy jesteśmy faktycznie na stronie internetowej naszego banku. Każda strona transakcyjna jest szyfrowana, a to oznacza, że w dolnym prawym rogu monitora pojawia się mały symbol kłódki. Jeśli go tam nie ma, lepiej nie podawać żadnych informacji dotyczących konta” – ostrzega Balcer.

Szymon Midera z mBanku dodaje, że Microsoft wydał już „łatkę” na błąd w przeglądarce Internet Explorer. To właśnie ten błąd pozwolił złodziejom ukryć prawdziwy adres strony, na którą byli kierowani nie przeczuwający niczego klienci Citibanku – „Każdy posiadacz internetowego konta bankowego powinien w trosce o bezpieczeństwo własnych pieniędzy ściągnąć ze strony Microsoftu to uaktualnienie” – mówi Midera.

Więcej informacji o technice maskowania adresów URL znajdziesz na naszych stronach.

Źródło: Gazeta.pl

Zobacz również:

Klienci Citibanku w niebezpieczeństwie
Hacking po rosyjsku