Czasami są ludzie, którzy pytają mnie o jakąś złotą radę, która pozwoli im być bezpiecznymi w 100% w internecie, ale odpowiedź jest zawsze taka sama: „Nie ma takiej rady!”. Jednak ostatnio myślałem nad tym i ułożyłem 5 wskazówek, które prawdopodobnie pomogą odsiać jakieś 90% ataków i umieszczam je poniżej:
1. Nie ufaj nikomu i weryfikuj informacje.
2. Wyłącz emocje i włącz zdrowy rozsądek.
3. Nie udostępniaj nikomu świadomie swojego sprzętu. Ani zdalnie, ani bezpośrednio.
4. Nie udostępniaj nikomu danych do bankingu online, karty płatniczej, etc.
5. Czytaj niebezpiecznika, z3s, sekuraka, informatyka zakładowego. etc, i oglądaj na YT Piotra Koniecznego, Kacpra Szurka, Jakuba Mrugalskiego, Adama Heartle, etc.
Ktoś powie, że to oczywiste internetowe truizmy, ale bohaterka tego artykułu nie zastosowała się do żadnej z tych rad i padła ofiarą swojej naiwności i ciekawego cyberataku. Zapraszam do lektury.
Praca, zdalny pulpit i kredyty na 155 tys. zł
Historia dotyczy Pani Renaty – emerytki (jak się domyślam) z Zielonej Góry. Sprawa jest o tyle ciekawa, że przestępcy nie okradli Pani Renaty z oszczędności życia, tylko wzięli na nią dwa kredyty wartości 155 tys. zł, które wyparowały rzekomo po godzinie z jej konta i wylądowały gdzieś w irlandzkim banku. Jednak zacznijmy od początku.
Pani Renacie urodziła się wnuczka i chcąc być dobrą babcią postanowiła dorobić do emerytury, żeby móc uszczęśliwiać nowego członka rodziny. Poszukała w internecie i znalazła pracę. Złożyła aplikację i się dostała, ale był jeden warunek. Trzeba za pomocą karty płatniczej wpłacić „organizacji” 250 dolarów, co też Pani Renata uczyniła. „Organizacja” stwierdziła, że została jeszcze jedna formalność – identyfikacja tożsamości za pomocą bankingu online. Nowy „pracodawca” przekazał Pani Renacie mniej więcej takie instrukcje: „Pani zainstaluje ten program do zdalnego pulpitu, potem się zaloguje do banku. My sobie tam pogrzebiemy i sprawdzimy czy Pani to Pani. W międzyczasie doinstaluje Pani apkę na telefon i będzie git.”
Oczywiście powyższy tekst jest trochę uproszczony i prześmiewczy, ale kontekst został jak najbardziej zachowany. Co ciekawe Pani Renata bez cienia wątpliwości wykonała wszystkie polecenia „służbowe” od nowego „pracodawcy” i skończyło się tak, że jej „przełożony” wziął na nią dwa kredyty na ponad 155 tys. zł, które potem przelał do banku w Irlandii.
Atak na zdalny pulpit
Sam atak na „zdalny pulpit” jest stosunkowo nowym zjawiskiem w Polsce, bo dopiero głośno zaczęło się o nim robić w 2020 roku. Chociaż możemy znaleźć pojedyncze wzmianki już w roku 2019. Oczywiście mówiąc o ataku na „zdalny pulpit” nie mam na myśli ataku na RDP po porcie 3389, tylko zmanipulowanie ofiary cyber ataku tak, żeby zainstalowała programy typu AnyDesk, TeamViewer (znany tez jako QuickSupport), dzięki którym oszuści zdobędą zdalny dostęp do komputera poszkodowanego. Ja pierwszy raz spotkałem się z taką formą ataku ok. 2014 roku w UK, kiedy jeden z moich znajomych poprosił mnie o pomoc przy komputerze, zatem to nie jest specjalnie jakaś nowa forma ataku na świecie.
Dla ciekawych tematu bez języka angielskiego odsyłam do artykułu na polonijny serwis emito.net, który opisuje przypadek czytelnika z 2015 roku, który na szczęście okazał się odporny na brytyjski wariant, czyli „dir frend komputer sapport tim”.
Resztę ciekawych czytelników odsyłam na kanał Jim Browning na Youtube, który chyba najlepiej dokumentuje „remote dektop scams”.
Fakty…
Nie dlatego atak jest ciekawy, że został przeprowadzony przez „zdalny pulpit”. Jak pisałem wyżej znam ten przekręt od ok. 7 lat i czekałem na moment, w którym dotrze do Polski. Bardziej mnie ciekawi, w jaki sposób przestępcy wzięli dwa kredyty wartości 155 tys. zł brutto. Poprosiłem przez Twittera Bank Millenium o komentarz, ale mi nie odpowiedzieli. Jednak teraz skupmy się na tym, co wiemy.
Na podstawie wywiadu z Panią Renatą i filmu jaki opublikowała fundacja United for Freedom, która przeprowadzała „oblężenie” banku, możemy dowiedzieć się kilku faktów i zacznijmy od chronologii wydarzeń:
16 grudnia 2020 Pani Renata wpłaca „wpisowe” 250 dolarów na konto „nowego pracodawcy”.
31 grudnia 2020 wychodzą pieniądze z jej konta w postaci 130 tys zł netto. Jest to prawdopodobnie ten sam dzień, kiedy Pani Renata „weryfikowała się na rzecz nowego pracodawcy”, a ten wnioskował o kredyty.
24 marca 2021 Pani Renata przychodzi do placówki Banku Millenium z prawnikiem i członkami w/w stowarzyszenia. Kończy się zadymą, interwencją czterech radiowozów i wypisaniem kilku mandatów.
Co się działo między 31 grudnia 2020, a 24 marca 2021? Nie wiemy, chociaż możemy się domyślać, że w tym czasie Pani Renata dostawała monity dotyczące pożyczek, zgłosiła sprawę na policję i poprosiła UFF o pomoc.
Szybka decyzja
Teraz się pojawia pytanie. Czy bank mógł tak szybko wydać decyzję? Odpowiedź brzmi : Teoretycznie tak! Teoretycznie, ponieważ to co przeczytasz poniżej to tylko przypuszczenia, ale oparte na informacjach ze strony Millenium Banku.
Millenium Bank sam się chwali szybką decyzją.
Na tej samej stronie możemy znaleźć informacje, że jeśli jesteś klientem to wystarczy wniosek w Millenecie. Ewentualnie musisz dostarczyć jeden z wymaganych dokumentów. W przypadku emerytury (czyli jak u Pani Renaty) wystarczy wyciąg z banku, który udowodni stałe wpływy w postaci świadczenia emerytalnego. Siłą rzeczy Bank Millenium miał błyskawiczny dostęp do „wyciągu” z konta Pani Renaty, więc faktycznie mogło to znacznie przyśpieszyć decyzję.
Prócz comiesięcznej emerytury na pozytywną i błyskawiczną decyzję banku mogło mieć wpływ jeszcze kilka czynników:
– jak długo klient jest z bankiem
– czy brał wcześniej kredyty
– czy nie zalega bankowi
– ile ma oszczędności
– itd.
Zatem teoretycznie bank może wydać decyzję błyskawicznie. Tylko, żeby być pewnym jak to działa zapytałem osoby, która pracuje w innym banku, ale dokładnie w dziale z kredytami, jak to u nich działa w przypadku takich kwot jak 155 tys. zł. No i dostałem odpowiedź, że takie kwoty musi zawsze zatwierdzić „szef wszystkich szefów”. Oczywiście nie wchodziłem w szczegóły, bo tajemnica bankowa, ale jednak w tamtym banku na końcu jest decyzyjny człowiek, który udzieli kredytu lub nie. Czy tak samo jest w Millenium Banku? Czy człowiek „ręcznie przyklepał” te kredyty? Jeśli tak to czym się kierował? Jeszcze wrócimy do tych kwestii.
Błyskawiczny przelew
Tu pojawia się drugie pytanie: Czy przestępcy mogli przelać tak szybko pieniądze? Tu odpowiedź brzmi: Tak, jeśli skorzystali z TARGET2. Jak napisano na stronie samego Banku Millenium:
„TARGET2 to paneuropejski system rozliczeń w EUR w czasie rzeczywistym. System umożliwia przesłanie przelewów w średnim czasie wynoszącym ok. 15 minut do każdego banku, niekoniecznie europejskiego, który jest uczestnikiem systemu. W Banku Millennium każdy przelew w walucie EUR, w którym tryb wykonania został zaznaczony jako „expres” i w którym bank odbiorcy należy do TARGET2, jest automatycznie realizowany tym systemem
Jeśli dobrze rozumiem, to masz konto w złotówkach. Zlecasz przelew do zagranicznego banku i Twój bank robi przewalutowanie i odbiorca ma przelew w Euro już po 15 minutach. Oczywiście jeśli oba banki partycypują w TARGET2.
Rata większa niż wpływy
Sprawa z przelewem jest dosyć oczywista, ale jak to się stało, że bank dał komuś kredyty, których wspólna rata wyniosła więcej niż wpływy? Oczywiście powołuję się na słowa Pani Renaty o racie wysokości ok. 2100 zł i wpływach poniżej 2000 zł. Nie mam jak zweryfikować dochodów Pani Renaty, ale kalkulator pożyczek faktycznie wskazuje ponad 2100 zł przy pożyczce w kwocie 150 tys zł. Przy czym zaznaczam, że robiłem symulację dla jednej pożyczki, a nie dwóch jak w przypadku Pani Renaty.
Jeśli założymy, że faktycznie wpływy miesięczne są mniejsze niż rata (a bank nie wydał dementi), to jak do tego doszło? Przecież taki kredyt jest z góry skazany na niespłacanie. Bank sam strzelił sobie w stopę?
Teraz wracam do wątku z ludzkim nadzorem. Czy ten kredyt „przyklepał” ktoś ręcznie? Jeśli tak, to czemu to zrobił skoro jasno wynika, że osoba, która aplikowała, nie ma wystarczających wpływów na spłacanie raty? Ciężko odpowiedzieć na te pytania, ale wczoraj zadzwoniłem na infolinię i podałem się za klienta Banku Millenium, który chce wziąć 150 tys. zł kredytu, ale obawia się że nie ma wystarczających wpływów. Pani nie odpowiedziała mi jednoznacznie, ale zasugerowała, że jeśli nie będę miał złej historii kredytowej, to kredyt raczej dostanę…
Rozumiecie? Przychodzę i mówię, chcę kredyt, ale nie mam go z czego spłacać, bo za mało zarabiam. A bank: „Jak historia kredytowa jest w porzo, to raczej Panu damy!”
Oczywiście biorę sporą poprawkę, że pracownicy w bankowych helpdeskach gadają różne głupoty, ale sami przyznacie, że niezbyt dobrze świadczy to o banku jako takim.
Kara, zyski w dół vs pracownicy banku
Nie jest tajemnicą, że dla Banku Millenium zeszły rok nie był zbyt udany. Wysoka kara ponad 10 mln zł od UOKiK oraz spadek zysków netto z 560,73 mln w 2019 roku do 22,82 mln zł mógł wywołać większe ciśnienie menadżerów na szeregowych pracowników, żeby wypracowywali w tym roku większy zysk.
Także nie jest tajemnicą, że w Polsce za wszelkie bessy w firmie często płacą szeregowi pracownicy, a dyrekcji nawet włos z głowy nie spada. Prawdopodobnie jest tak też w Banku Millenium, a potwierdzają to historie opisywane przez byłych pracowników i pozwolę sobie tutaj dwie przytoczyć z serwisu gowork.pl (pisownia oryginalna):
Zrezygnowałam z pracy w Banku Millennium i czuję ogromną ulgę. Plany sprzedażowe nie do wyrobienia. Premie w wysokości 80zl i reakcja kierownika, że powinnam się cieszyć z takiej premii. Pracownik wyrabiający swoje plany i z bardzo dużą sprzedażą nie dostaje nic, tylko dlatego, że inni nie sprzedawali wystarczająco dobrze. Konkursy z nagrodami niespodzianka za największa sprzedaż np. kk i limitów. Okazuje się, ze nagroda, to 50zl brutto. Pracownik musi robić wszystko. Najlepiej żeby sprzedawał, obsługiwał klientów, dzwonił do klientów i wykonywał obowiązki kierownika. Nie polecam nikomu, chyba, ze ktoś ma nóż na gardle i musi podjąć jaką prace z desperacji. W Banku Millennium na pewno nikt Cię nie doceni, nawet jak będziesz wyrabiał co miesiąc plany na poziomie 150% i będziesz jednym z najlepszych pracowników. Będą jedynie obiecywać i mydlić oczy, a później i tak znajdą pretekst dlaczego nie dostaniesz podwyżki ani awansu.
Po 16 latach pracy w różnych bankach trafiłam do Millennium. Niestety jest to najgorszy pracodawca u jakiego przyszło mi pracować. Podstawa może nie jest tragiczna, ale trzeba liczyć się z tym, że w tym banku nie ma szans na premie. Nowi pracownicy otrzymują wyższe wynagrodzenie niż wieloletni. Pomimo wykonania planu, premie w tak śmiesznej wysokości, że aż wstyd pisać. Doradca traktowany jest jak najgorszy śmieć. Nie dbają o pracowników np brak papieru toaletowego czy ręczników. Mogłabym wymieniać godzinami. Socjalu również brak. Jednym słowem tragedia. Nie jest to tylko moje zdanie bo po roku pracy spośród 45 osób uczestniczących w szkoleniu wstępnym, zaledwie 9 zodecydowalo się przedłużyć umowy. Nie polecam, zastanowcie się 3 razy zanim pójdziecie tam do pracy.
Oba cytaty pochodzą z listopada 2020, a w tym okresie zarząd musiał wiedzieć, że raport za zeszły rok nie będzie optymistyczny.
Teraz ktoś może spytać w zasadzie co spadek zysków o 24000% w Banku Millenium i negatywne opinie byłych pracowników mają wspólnego ze sprawą Pani Renaty? Logicznie myśląc mogą mieć bardzo wiele, bo istnieje ryzyko, że słabe wyniki i ciśnienie kierownictwa na wyrabianie planu spowodowało, że ktoś uznał (mimo, że nie powinien) kredyt dla Pani Renaty. Pomyślcie. Musicie wyrobić plan na ten miesiąc, a tu nagle spada wam jeden i drugi wniosek o ogromny kredyt od emerytki, która nikomu nie zalega i ma stałe wpływy.
Tak jak pisałem wyżej, są to przypuszczenia, ale bardzo prawdopodobne. Nawet jeśli tak było to bank się nie przyzna do tego, więc mam nadzieję, że policja podczas śledztwa coś ustali.
Bank Millenium umie w bezpieczeństwo?
Tak. Zdarza się, że umie, bo sam byłem świadkiem, kiedy bliska mi osoba, która ma konto w Millenium robiła krajowy przelew na kwotę ok. 10 % kredytu Pani Renaty i bank zadzwonił z pytaniem, czy to faktycznie ta osoba. Czemu w tym przypadku nikt z banku nie zrobił tego przy przelewie międzynarodowym na kwotę, która w polskich warunkach jest spora? Myślę, że wpływ na to miała bezpośrednio data przelewu, czyli 31 grudnia. Pracownicy banków myślą wtedy o kreacjach na sylwestra i noworocznych postanowieniach, a nie o pieniądzach klienta. Oczywiście to są po raz kolejny moje dywagacje, ale sami przyznacie, że bardzo prawdopodobne.
Swoją drogą muszę przyznać, że Millenium Bank przestrzegał swoich klientów przed bardzo podobnym atakiem w zeszłym roku, który wykorzystywał zdalny pulpit, a dokładnie aplikację QuickSupport. Gdyby Pani Renata czytała ostrzeżenia i połączyła kropki, to nie byłaby dzisiaj bohaterką tego artykułu.
I tutaj kończy się „umienie w bezpieczeństwo” ze strony banku, bo jak pewnie klienci Millenium wiedzą, bank im wmawia, że hasło, które składa się z 8 cyfr jest bezpieczne. Nawet strona banku pokaże ci jak bezpieczne jest Twoje 8 cyfrowe hasło…
Zrobiłem sobie prosty eksperyment, żeby sprawdzić jak wartościowe są takie hasła i jedno wygenerowałem na stronie https://generator.blulink.pl/ i otrzymałem 01694680. Potem wrzuciłem sobie w Google do dwóch pierwszych serwisów sprawdzających siłę hasła i jeden pokazał mi 3 milisekundy do złamania hasła, a drugi 2. Oczywiście nie ma seryjnej akcji łamania haseł w Milenium Banku, po którejś próbie konto jest blokowane, ale wmawianie ludziom, że 8 znakowe hasło składające się wyłącznie z cyfr od 0-9 to jest bezpieczne to jawna kpina. Jeśli nawet nie przejdzie brute force, to profilowanie „figuranta” i odgadnięcie takiego hasła może się okazać skuteczne, bo ludzie wbrew „rekomendacjom banku” ukrywają pod hasłem np. daty urodzin swoich dzieci.
Zresztą Millenium Bank ma jakąś dziwną fascynację „numerkami” i preferuje PESEL jako identyfikator podczas logowania. Czemu to niebezpieczne? Po pierwsze PESEL nie jest jakąś super tajną informacją i czasem jest go bardzo łatwo pozyskać albo odgadnąć. Po drugie taka polityka sprowadza się do tego, że cyberprzestępcy wyłudzają od klientów Millenium cały PESEL symulując stronę z logowaniem. Tutaj przykładowa kampania.
Tym bardziej mnie dziwią takie praktyki, bo w dziale bezpieczeństwa w Millenium pracował np. Marek Bukowski, którego występy na temat bezpieczeństwa w bankach są moim zdaniem jednymi z najlepszych, jakie miałem przyjemność słuchać i oglądać. Pan Marek rozstał się z bankiem w 2019 roku, ale poniżej wrzucam jego prelekcje, żebyście zobaczyli, że tam na serio jest fachowa kadra od bezpieczeństwa, bo myślę, że prócz Pana Marka jest/był tam niejeden dobry specjalista. Znajomy bezpiecznik z innego banku powiedział mi, że w instytucjach finansowych liczy się zysk, a bezpieczeństwo jest gdzieś na drugim planie. Podejrzewam, że podobna praktyka jest w Millenium, co Pan Marek niejednokrotnie sugeruje w poniższej prezentacji:
Mój incydent bezpieczeństwa
Piszę ten artykuł trochę z perspektywy prywatnej, bo miałem to nieszczęście być klientem tego banku i miałem okazję obserwować z pierwszego rzędu jak bank reaguje na zgłoszenie klienta dotyczące bezpieczeństwa.
Na samym początku moją uwagę przykuły kocopoły Pani, u której wypełniałem wszystkie papiery potrzebne do założenia konta. Poprosiłem o wyłączenie płatności zbliżeniowych na karcie z pragmatycznego powodu, bo do takich transakcji używam NFC w telefonie. To przez dobre 20 minut słuchałem, jak to Bank Millenium jest w 100% bezpieczny, bo monitorują wszystkie akcje na moim koncie i reagują od razu… Każdy kto się interesuje odrobinę bezpieczeństwem wie, że nie ma systemów w 100% bezpiecznych. Zawsze jest jakieś ryzyko, co pokazuje dobitnie przykład Pani Renaty i inne sprawy opisane w internecie przez klientów Banku Millenium.
Jednak wracając do mnie i do incydentu. Pewnego weekendowego dnia oglądałem sobie film na telefonie, a moja aplikacja bankowa z Millenium wyświetliła powiadomienie , że właśnie został wygenerowany BLIK. Nic kompletnie nie robiłem, a mimo to aplikacja dała taką informację. Zalogowałem się na konto w aplikacji, żeby sprawdzić czy nie wyszły jakieś pieniądze i czy w ogóle mam dostęp. Żadnych dziwnych i podejrzanych płatności czy przelewów. Zmieniłem PIN do aplikacji i szedłem do komputera, żeby zmienić moje „super mocne” 8 cyfrowe hasło do bankingu online, po czym mój telefon zabrzęczał ponownie. I znowu aplikacja. Tym razem dała mi znać, że BLIK wygasł. Między komunikatami było koło 90-120 sekund różnicy. Ponownie wszedłem na aplikację i znowu nie było niczego, co sugerowało podejrzenie, że ktoś miał dostęp do mojego konta. W tym momencie widziałem tylko trzy możliwe powody: błąd apki, testy PUSHa na produkcji albo ktoś faktycznie przez chwilę miał dostęp do mojego konta/aplikacji i próbował coś robić z Blikiem.
W miedzyczasie jak odpalałem komputer, żeby zmienić hasło, to zadzwoniłem do helpdeska i opisałem sytuację. Na co Pani mi odpowiedziała, że wszystko jest porządku, bo właśnie tak działa Blik. Ciekawe od kiedy Bliki same się generują… Zero jakiejkolwiek refleksji na to, że to nie ja byłem powodem tego powiadomienia.
Stwierdziłem, że nie będę się denerwował, i wysłałem mejla przez Millenet mając naiwną nadzieję, że trafię na kogoś z minimalną ilością kompetencji. Opisałem dokładnie co się stało i dostałem odpowiedź, że to… ich taka akcja promocyjna.
Reasumując! Dostałem powiadomienie, że Blik sam się wygenerował. Co robi bank na moje zgłoszenie: „Tak działa Blik!” i „To nasza akcja promocyjna”. Dziś podejrzewam, że to był błąd apki albo bezmyślne testy powiadomień PUSH, ale nie zmienia to faktu, że człowiek od bezpieczeństwa skontaktował się ze mną dopiero po 4 dniach. 4 dni na załatwienie takiej bzdury, ale ty jako klient nie musisz o tym wiedzieć. Na szczęście już wtedy był rozpoczęty proces kasacji konta, a moje środki były już na innym koncie.
Wracając do Pani Renaty, to w większości przypadków to osoba oszukana jest współwinna. Oczywiście nie w wymiarze karnoprawnym, ale to osoba poszkodowana musi dać często zielone światło oszustowi i tak zrobiła Pani Renata bezrefleksyjnie udostępniając swój komputer i konto bankowe. Z drugiej jednak strony coś nie zadziałało w banku. Oczywiście możemy się domyślać co, ale analizując bank i jego procedury możemy wyciągnąć dosyć prawdopodobne wnioski. Czy kiedykolwiek Millenium odważy się i zdradzi co się stało? Nie sądzę. Jednak osobiście odradzam wam ten bank chociażby ze względów bezpieczeństwa i tego jak traktuje klientów. Wróćcie do linka do strony UOKiK i sprawdźcie za co bank Millenium dostał 10,5 mln złotych kary…