Przelewy internetowe ułatwiają nam życie. Dokonujemy płatności za ich pośrednictwem w sposób zupełnie bezproblemowy, ale czy bezpieczny?
Pomyłki się zdarzają
W dobie funkcjonalnych systemów transakcyjnych banków, kiedy większość klientów korzysta ze swoich rachunków osobistych przez Internet lub telefon, przelewy dokonywane są w prosty sposób. Wpisujemy numer konta odbiorcy i kwotę, jaką chcemy przelać na wskazany rachunek. System rozpoznaje bank odbiorcy i dokonuje przelewu nawet wówczas, gdy wpisane przez klienta dane osobowe odbiorcy przelewu nie są zgodne z tymi ukazanymi w systemie. Jest to poważny problem, bowiem pomyłka w numerze konta może spowodować, że przelejemy pieniądze do zupełnie innej osoby, o ile nie sprawdzimy wcześniej, czy wyświetlony bank jest zgodny z tym, do którego chcemy przelać pieniądze.
Wirus atakuje niespodziewanie
Innym, znacznie poważniejszym problemem, z którym banki i ich klienci zmagają się już od dłuższego czasu, są wirusy, które podmieniają skopiowany np. z faktury online numer konta bankowego odbiorcy i w momencie, gdy klient wkleja go do systemu transakcyjnego banku, dokonując przelewu, ma już zupełnie inny kształt. Obecnie klienci banków powinni mieć się na baczności przed wirusem Banapter, a wcześniej wirusem Zeus i wszelkimi jego mutacjami.
Wirus Banapter nie czyni żadnej szkody na komputerze, w którym się zagnieżdża. Wpuszczamy go do systemu w sposób niepostrzeżony, otwierając np. załącznik JPG lub PDF od nieznanego nadawcy. Głównym zadaniem Banaptera jest podmiana numeru rachunku bankowego skopiowanego przez klienta do schowka, a następnie wklejonego do formularza dokonywania przelewu. Wirus na bieżąco śledzi zawartość schowka, namierzając numery rachunków bankowych, bez względu na to, czy są one zapisane w postaci ciągu liczb, czy też ze spacjami.
Przed wirusem ostrzegają poszczególne banki, a także Związek Banków Polskich. Wirus Banapter stanowi realne zagrożenie dla klientów korzystających z bankowości internetowej za pomocą popularnych wyszukiwarek internetowych – Mozilla Firefox, Opera, czy Internet Explorer.
ZBP już 17 października 2013 roku wydał komunikat odnośnie wirusa Banapter:
„Zwracamy się do Państwa z prośbą o upewnianie się czy widoczny na ekranie przed zatwierdzeniem transakcji numer rachunku bankowego jest tym samym numerem, który skopiowali Państwo do Schowka.”
Przed zatwierdzeniem przelewu każdy właściciel rachunku bankowego powinien sprawdzić, czy wklejony przez niego numer konta bankowego odbiorcy jest tym samym, który widnieje na fakturze czy w innym dokumencie. Nie ma przy tym znaczenia dla wirusa Banapter czy numer konta został skopiowany myszką, czy za pośrednictwem kombinacji klawiszy – Ctrl+C oraz Ctrl+V.
Jeśli klient nie zauważy, że numer rachunku odbiorcy nie jest właściwy, przeleje z własnej woli środki pieniężne na rachunek przestępców.
Reklamacja niemożliwa
Brak kontroli numerów rachunków bankowych, na które przelewamy pieniądze w elektronicznym systemie transakcyjnym banków powoduje, że sam bank w późniejszym czasie może odmówić nam przyjęcia reklamacji. Nie ma bowiem podstaw ku temu, aby była ona rozpatrzona pozytywnie. Przelew jest dokonywany i zatwierdzany hasłem jednorazowym, przez co bank uznaje go za prawidłowy. W wielu przypadkach nie ma możliwości wycofania przelewu przed jego wykonaniem, ale już po skierowaniu do realizacji.
Banki zalecają, aby zachować ostrożność przy otwieraniu wiadomości elektronicznych od nieznanych nadawców, albo w ogóle zrezygnowanie z ich otwierania. Przy dokonywaniu zaś przelewów radzą, aby wpisywać numer konta albo ręcznie, a jeśli już używamy do tego opcji kopiuj i wklej, pamiętajmy o sprawdzeniu, czy dwie pierwsze i cztery ostatnie cyfry rachunku zgadzają się z numerem konta, na które rzeczywiście chcemy przelać środki finansowe.
Wirus Banapter to tylko jeden z wielu działających w ten sposób. CERT Polska informuje, że istnieją i inne, działające w podobny sposób wirusy, m.in. wirus Zeus czy Malware:
“CERT Polska był w stanie ustalić, iż zostało zainfekowanych ponad 3000 użytkowników. Malware był zdecydowanie skierowany do polskich użytkowników – numer konta bankowego, używanego do kradzieży środków, był w jednym z polskich banków”.
“Pomimo swojej prostoty jest to bardzo efektywny sposób oszukania użytkowników. Dlatego tak istotne jest sprawdzenie numeru rachunku na stronie, na której potwierdzamy wykonanie przelewu”.