Wyciek informacji z czterech banków. Ktoś chce sprzedać dane klientów?

Jak donosi portal Niebezpiecznik.pl, ogłoszenie w tej sprawie pojawiło na jednym z polskich forów w wirtualnej sieci Tor, będącej częścią internetu, ale oferującej większą prywatność użytkownikom, a de facto - niemal całkowitą anonimowość. Oferta sprzedaży danych klientów dotyczy czterech banków: ING, Credit Agricole, Idea Banku i mBanku. Według autora ogłoszenia, w sprzedawanej bazie danych są takie informacje jak imię i nazwisko właściciela konta, jego PESEL, adres zamieszkania czy numer telefonu. Za jeden rekord z bazy danych autor ogłoszenia życzy sobie 3 złotych.

Pytanie, na ile ta oferta jest prawdziwa. Niebezpiecznik.pl zwraca uwagę, że wśród wykradzionych informacji nie ma loginów i haseł do internetowych kont, więc nie jest jasne, czy za ich pomocą można uzyskać realny dostęp do rachunków bankowych.

Ekspert: oferta wiarygodna, stoi za nią ktoś związany z bankami

Ekspert z branży IT, dyrektor działu systemów bezpieczeństwa w Atende Software Przemysław Frasunek powiedział Naczelnej Redakcji Gospodarczej, że oferta wydaje się być wiarygodna i najpewniej wkrótce dojdzie do transakcji. Jego zdaniem dane z banków najprawdopodobniej wyniosła osoba w jakiś sposób z nimi związana - być może pracownik niższego szczebla lub osoba zatrudniona u pośrednika kredytowego, ewentualnie w firmie windykacyjnej. Potwierdzałby to na przykład stanowisko ING Banku Śląskiego:

REKLAMA

Przemysław Frasunek zwrócił uwagę, że takie sytuacje zdarzały się w Polsce w przeszłości, na przykład w przypadku firmy Orange. Ekspert dodał, że instytucjom i przedsiębiorstwom bardzo trudno jest się uchronić przed takimi sytuacjami. - Najsłabszym ogniwem zawsze jest pracownik. Rozwiązania techniczne nigdy nie dadzą stuprocentowej gwarancji bezpieczeństwa - podkreślił rozmówca Naczelnej Redakcji Gospodarczej. Jak dodał, taka sytuacja jest zawsze dużym problemem, zwłaszcza dla banków, zwłaszcza, że w grę wchodzi odpowiedzialność z tytułu naruszenia ustawy o ochronie danych osobowych.

Ataki na bankowość coraz częstsze

Ataki na bankowość, w tym bankowość online, w ostatnich latach stają się coraz częstsze. Cyberprzestępcy korzystają z różnych metod - szukają "dziur" w kodzie stron internetowych banków, próbują wykorzystać pracowników do wykradania danych czy wreszcie - atakują bezpośrednio klientów, na przykład za pomocą fałszywych maili, które mają udawać oficjalną korespondencję z banku. Często do listów załączony jest link do strony internetowej, łudząco przypominającą panel bankowy online. Jeśli nie sprawdzimy adresu w przeglądarce i podamy tam swój login i hasło, wówczas nasze dane trafią do hakera. Banki próbują się chronić przed tego typu atakami, stosując na przykład specjalne, jednorazowe tokeny przy logowaniu do panelu online. Jednak i takie zabezpieczenia nie zawsze działają.

Instytucje finansowe na celowniku polskich (i nie tylko) cyberprzestępców

Wycieki danych z banków w Polsce nie są żadną nowością. Na przykład w 2015 roku ktoś zagroził Plus Bankowi, że jeśli ten nie zapłaci 200 tysięcy złotych, to do sieci trafią dane jego klientów. Bank się nie ugiął, a hakerzy spełnili swoją groźbę i do sieci trafiły dokumenty z wrażliwymi informacjami. Plus Bank zapewniał wówczas, że pieniądze klientów są bezpieczne. Z wyciekem danych mieliśmy też do czynienia w przypadku mBanku, ale wówczas chodziło o tylko o adresy e-mail klientów, a powodem był przypadkowy błąd pracownika.

W ostatnim czasie głośno było o ataku hakerskim, którego ofiarą padł amerykanski potentat kredytowy Equifax. W ręce cyberprzestępców mogły wpaść dane osobiste blisko 150 milionów klientów firmy. Kilka dni temu firma poinformowała o wymianie kadry zarządzającej. A poszkodowani klienci już szykują pozwy, domagając się odszkodowań.

REKLAMA

Sprawę bada policja

O sprawie wycieku danych z polskich banków zawiadomiona została już policja. Pozostaje mieć nadzieję, że śledczy dotrą do osoby, która za niego odpowiada oraz autora oferty na forum, zanim dane klientów zostaną sprzedane lub trafią w niepowołane ręce.

NRG, niebezpiecznik.pl, BBC, Michał Dydliński