To jest napad!

Chociaż banki czasem się przyznają do tego, że się do nich włamano - robią to jednak niechętnie. Wszak kto powierzy pieniądze bankowi, który (mówiąc delikatnie) jest nie do końca poprawnie zabezpieczony?...

Choć słyszy się jeszcze czasem o tradycyjnych napadach na bank, to jednak w dobie pieniądza elektronicznego palmę pierwszeństwa przejęły elektroniczne formy wyprowadzania z banków i instytucji pokrewnych pieniędzy. A mowa o naprawdę dużej kasie. W 2000 roku dwóch młodych rosyjskich hakerów oskarżono o próbę wyłudzenia od banku 800 tys. rubli (czyli wówczas 29 tys. dolarów). Zarejestrowali oni fikcyjną firmę, następnie wynegocjowali z bankiem przeprowadzenie transakcji przy pomocy elektronicznych kart kredytowych. Numery kart pochodziły z Sieci. Sprawę wykryto.

W 2001 roku aresztowano 4 osoby podejrzane o wyłudzenie przez Internet 3 mld 900 mln USD. W tej sprawie opis zdarzenia pochodzi od Commercial Crime Services (CCS - dział Międzynarodowej Izby Handlowej, zajmujący się przestępczością handlową). Złoczyńcy stworzyli w Sieci strony łudząco podobne do internetowych stron serwisu rozliczeniowego Euroclear France SA oraz serwisu finansowego Bloomberg LP i za ich pośrednictwem dokonywali wyłudzeń. Mam dylemat związany z zaprezentowaniem mechanizmu takich działań. Przy odrobinie inwencji każdy jest w stanie to zrobić jeśli wie co nieco o Internecie. To się dzieje nie tylko poza granicami Polski. W tym samym roku uczeń warszawskiego liceum umieścił w Sieci kopię strony banku PBK. Znajdował się na tej stronie formularz, który pozwalał gromadzić nastolatkowi dane o kartach kredytowych oszukanych Internautów. Na strony natrafiliśmy monitorując informacje o usługach finansowych dostępnych w Polsce (wówczas pracowałem w spółce zajmującej się marketingiem usług finansowych). Mając konkretne informacje policja działała naprawdę bardzo szybko. Z ustaleń policji powziętych w toku dochodzenia wynika, że nastolatek poznał co najmniej dwa numery kart płatniczych, za pomocą których następnie próbował dokonać zakupów. Za takie przestępstwa grozi kara do pięciu lat więzienia.

Inny przykład to próba wyłudzenia pieniędzy w zamian za nieujawnianie pewnych informacji. Znów Rosja i "szybka akcja" moskiewskiej policji, która w 2002 roku aresztowała dwudziestoletniego hakera. Jak wynikało z ustaleń - chłopak włamał się do komputera jednego z nowojorskich banków i starał się wymusić okup za nieujawnianie informacji o klientach. Generalnie z bankami nie ma żartów.

Chociaż banki czasem przyznają się do tego, że się do nich włamano - robią to jednak niechętnie. Wszak kto powierzy pieniądze bankowi, który (mówiąc delikatnie) jest nie do końca poprawnie zabezpieczony? W 2000 roku holenderska telewizja wyemitowała reportaż, w którym pokazano mechanizm działania dwóch dwudziestoletnich studentów. Włamali się do serwisu internetowego bankowego giganta ABN Amro i przelewali na swoje konta pieniądze innych klientów. Wówczas (jak donosi jeden z polskich dzienników) rzecznik banku przed kamerą przyznał niepewnym głosem, że "zabezpieczenie systemu rzeczywiście wymaga jeszcze trochę pracy". Dziennikarze dowiedzieli się o całej sprawie tylko dlatego, że "włamywacze" najpierw zgłosili dziurę bezpieczeństwa w banku i dopiero kiedy przez kilka tygodni nie otrzymali żadnej odpowiedzi, a dziura w zabezpieczeniach nadal "ziała" wielką próżnią, zanieśli materiał dziennikarzom.

W sierpniu 2002 roku, po fali włamań (m.in. na serwery Urzędu Zamówień Publicznych oraz serwer zielonogórskiego oddziału TPSA) i związanej z nimi fali doniesień prasowych Sebastian Łuczak, rzecznik prasowy Pekao SA, był zmuszony przyznać, że faktycznie dokonano włamania na jeden z serwerów jego banku. Pekao SA zapewniło, że na "pechowym" (jak to nazwano) serwerze nie było żadnych ważnych danych. Prasa zaś spekulowała, że to wcale nie znaczy, że wykradzenie poufnych danych jest niemożliwe. Eksperci telewizyjni zgodnie kiwali głowami, że w przypadku Pekao SA (i każdego innego banku) nie jest to możliwe bez współpracy kogoś z wewnątrz instytucji.

W marcu 2001 roku FBI ostrzegało przed hakerami z Europy Wschodniej. Włamywacze działali przez blisko rok. Celem ich ataków były sklepy internetowe i właśnie banki. W czasie swej działalności zdobyli ponad milion numerów kart kredytowych (Milion! Mówimy o milionie numerów kart kredytowych!). Po włamaniu proponowali ofierze odpłatna pomoc w zabezpieczeniu systemu... Zawsze coś dodatkowego może wpadnie do kieszeni...

Trudno sobie wyobrazić tradycyjne włamanie i wyniesienie z banku kilku milionów, (ba!) kilku miliardów dolarów. I chociaż coraz więcej użytkowników korzysta z elektronicznej bankowości - ja sceptycznie patrzę na transakcje elektroniczne i elektroniczną bankowość. Nie to że zniechęcam do korzystania z niej. Nie. Niech każdy robi to jednak na swoją odpowiedzialność. Ludzka naiwność to przyczyna większości włamań. I pewnie dlatego coraz rzadziej będzie można usłyszeć nerwowy głos zamaskowanego przestępcy: To jest napad! Wszystkie pieniądze do walizy w używanych banknotach! Tym bardziej, że statystyki nie kłamią. Amerykańskie banki w wyniku jednego napadu z bronią w ręku tracą średnio około 8 tys. dolarów, podczas gdy przeciętne oszustwo komputerowe to strata rzędu pół miliona.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>