Kilka razy do roku otrzymuję do przeanalizowania sprawę sądową dotyczącą kradzieży środków z rachunków bankowych. Wszystkie takie kradzieże zaczynają się nieświadomą instalacją trojana bankowego na komputerze / telefonie klienta. Więcej o tym, jak przebiegają przestępstwa fraudowe - w artykule!
Filmy przedstawiają komputerowych włamywaczy i walczących z nimi jako cyborgów o nadludzkim wręcz rozumie potrafiących pojąć, co oznaczają ciągi symboli przemykających przez monitory… W praktyce, przestępstwa fraudowe, czyli kradzieże środków z rachunków bankowych, są jednak znacznie mniej wyrafinowane...
Choć fraudy mają różne scenariusze polegają generalnie nie na pokonaniu zabezpieczeń systemu transakcyjnego banku, ale na ich obejściu. Z punktu widzenia systemu banku przestępca działa więc tak, jak zwykły użytkownik. Odróżnienie operacji wykonywanych przez przestępców od operacji wykonywanych przez zwykłych użytkowników nie jest więc łatwe.
Znane mi fraudy działy się wg tego samego schematu:
Pierwszym krokiem do kradzieży środków z rachunku jest spowodowanie zainstalowania bankowego trojana (zwanego w postępowaniach sądowych „złośliwym oprogramowaniem”) na komputerze/telefonie. Posłuży ono później do realizacji przestępstwa. Tu spotyka się dwie główne metody: phishing i akcje telefoniczne.
Oprogramowanie antywirusowe nie zawsze gwarantuje wykrycie bankowego trojana! A więc nawet z programem antywirusowym nie możemy czuć się bezpiecznie!
Tzw. phishing, to rozsyłanie fałszywych maili, które mają spowodować zainstalowanie oprogramowania, które pomoże przestępcom w kradzieży środków z rachunku bankowego. Dzieje się to wskutek uruchomienia programu znajdującego się pod przesłanym linkiem lub załączonego do listu.
Oczywiście taki fałszywy list jest wykonany tak, by choć na chwilę wzbudził nasze zaufanie, czy uśpił naszą czujność – zwykle więc odwołuje się do wyglądu strony internetowej i wizerunku banku, może też odwoływać się do instytucji takich, jak policja, czy inne organy władzy. Może odwoływać się do zagrożenia naszego rachunku, dokonanego włamania na nasze konto etc.
Pomysłowość w skłonieniu nas do błędu jest naprawdę nie ograniczona.
Innym popularnym działaniem przygotowującym fraud stały się ostatnio różnego typu akcje telefoniczne, w czasie których przestępcy próbują skłonić do zainstalowania programu na telefonie komórkowym, komputerze czy do przejścia do wskazanej strony internetowej.
Ulubionym pretekstem jest ostatnio konieczność zabezpieczenia rachunku bankowego przed przestępcami, np. z powodu włamania na nasze konto (taką narracją posługują się przestępcy) – dzwonią wtedy w imieniu banku, Policji, a nawet Narodowego Banku Polskiego (tak, tak, sam miałem taki przypadek!), by nas zmylić przedstawiają się z imienia i nazwiska. Na telefonie, jako dzwoniący potrafi wyświetlić się nazwa banku (!) Często nasz rozmówca ma wschodni akcent, co dziś już nikogo przecież nie dziwi.
Czasem fraud jest realizowany już podczas takiej rozmowy – wtedy przestępcy poproszę o zainstalowanie jakiegoś programu, zalogowanie się do aplikacji bankowej etc. Liczba schematów tego typu działań jest nieograniczona.
Morał: nigdy, przenigdy nie należy wykonywać działań związanych z rachunkami bankowymi na polecenie kogoś dzwoniącego do nas. Przecież nie wiemy, kim dzwoniący jest naprawdę (w informatyce mówimy, że nie potrafimy go uwierzytelnić, tj. potwierdzić jego tożsamości).
Gdy bankowy trojan („złośliwe” oprogramowanie) zostanie już zainstalowany, czas na wykradzenie danych pozwalających zalogować się do systemu bankowego.
Tu często najprostsze metody są często najlepsze – gdy użytkownik loguje się do systemu bankowego – wyskakuje mu okienko / strona służące do wyłudzenia naszych danych, całego hasła, hasła jednorazowego z listy etc. By nas do tego skłonić wprowadzenie tych danych jest warunkiem przejścia do funkcji obsługi rachunku, niezbędne do zabezpieczenia rachunku, przelewów operacji, etc.
Innym narzędziem jest rejestracja sekwencji naciśnięć klawiszy i przesyłanie tych informacji do przestępców (oprogramowanie do tego służące to tzw. keylogger).
Czasem fakt zainstalowania „złośliwego” oprogramowania objawia się jakąś zmianą w zachowaniu naszego komputera czy telefonu – w jednej ze spraw niemożliwe stało się drukowanie.
Wraz z rozwojem metod autoryzacji operacji na rachunku same dane identyfikacyjne nie wystarczają do realizacji fraudowego przelewu. Dlatego często wyłudzeniu danych autoryzacyjnych towarzyszy skłonienie do zainstalowania aplikacji na telefonie. Wg fałszywej narracji ma ona zabezpieczać telefon, ale w praktyce służy ona przekazywaniu przestępcom SMS'ów autoryzujących przelewy.
Choć posiadanie danych pozwalających zalogować się do systemu bankowego daje często największą swobodę w realizacji fraudu, w wielu przypadkach przestępcy pominą ten etap i przejdą od razu do realizacji kradzieży.
Oczywiście schematów działania jest tu tyle, co kampanii fraudowych.
Jeszcze kilka lat temu wykradzione dane pozwalające zalogować się do sytemu wystarczały do realizacji przestępstwa. Obecnie potrzebny będzie też SMS autoryzujący transakcję lub zatwierdzenie operacji w aplikacji. Dlatego przestępcy wyłudzając dane do logowania starają się skłonić do zainstalowania aplikacji na telefonie komórkowym.
Posiadając dane pozwalające na zalogowanie w systemie banku w naszym imieniu (!) i zainstalowaną na telefonie aplikację przekazującą SMS'y można już wygenerować serię fraudowych przelewów na rachunki słupów (ciekawe, że zwykle osoby będące ich właścicielami są wcześniej proszone o założenie takiego rachunku przez kogoś z ich otoczenia, znajomego, etc.). Samą kradzież wykonuje się szybkimi przelewami (Sorbnet/Express Eliksir), by utrudnić wstrzymanie fraudu w jego trakcie przez zablokowanie środków w trakcie przelewu lub po przelaniu.
Popularnym schematem, pozwalającym ominąć wyłudzenie danych potrzebnych do logowania w systemie banku, jest obecnie modyfikacja danych wykonywanego przelewu podczas jego zlecenia wykonywana przez złośliwe oprogramowanie (zainstalowane nieświadomie wcześniej) poza wiedzą użytkownika (określane fachowo jako atak typu man-in-the-browser /ktoś w przeglądarce/).
Czyli: wprowadzamy przelew, a do systemu transakcyjnego za naszymi plecami podawane są inne dane. Oczywiście SMS, komunikat w aplikacji zawiera pewne informacje o wykonywanym przelewie i mamy szansę wykryć, próbę fraudu. Szansę, bo przecież nie jesteśmy zawsze w 100% skupieni i często nie sprawdzamy danych wykonywanego przelewu. W jednej ze spraw taki raz podstawiony w miejsce prawidłowego przelew fraudowy autoryzowały 3 osoby (kluczem kryptograficznym)!
Od momentu wykonania fraudowych przelewów zdarzenia już toczą się szybko. Pieniądze wytransferowane kilkoma, kilkunastoma przelewami (najczęściej Sorbnetem, Express eliksirem lub przez jakąś firmę pośredniczącą w szybkim przekazaniu pieniędzy!) trafiają na rachunki słupów i są wypłacone lub transferowane dalej.
Tu liczy się czas. Zwykle po 1-2 godzinach pieniądze są już nie możliwe do odzyskania.
Przestępstwa fraudowe nazywam czasem „statystycznymi”, bo polegają na poszukiwaniu w dużej populacji użytkowników komputerów ułamka procenta tych, którzy wskutek chwili nieuwagi umożliwią dokonanie przestępstwa.
Niestety nasza uwaga jest obecnie "szarpana" we wszystkie możliwe strony i właśnie jej chwilowy brak wykorzystywany jest przy fraudach. Dotarcie z wiedzą na temat tego typu przestępstw nie jest obecnie łatwe – zbyt wielu próbuje uzyskać choć cząstkę naszej uwagi.
Tekst ma charakter popularyzatorski, więc abstrahuje od wielu technicznych szczegółów - proszę nie czynić z tego zarzutu.
---
Zapraszam do lektury „Katalogu fraudów”, w którym opiszę część fraudowów znanych mi z praktyki eksperckiej, reprezentatywnych dla tej „branży”. [2021.09.18 - w opracowaniu]