Złodzieje naszych pieniędzy zauważyli, że banki często rezygnują z wysyłania nam wyciągów papierowych i przeszły na elektroniczne. Nie musimy zaglądać do skrzynki z listami, a w zamian za to co miesiąc dostajemy e-mailem listę operacji i saldo rachunku. Zresztą robią tak nie tylko banki – w telekomach e-faktura jest już standardem i dziś już ktoś, kto zażyczyłby sobie wysyłania faktury papierowej, byłby karany nawet 10-złotowym „domiarem” do rachunku.

Kłopot polega na tym, że istnienie e-faktury to genialny pomysł dla przestępców, by mieć pretekst do wpuszczania nam na komputery złośliwych robaków, które podpatrują nasze loginy i hasła. Wpuszczenie takiego robaka jeszcze nie oznacza, że ktoś może nam ukraść pieniądze, ale. nie da się ukryć, że zły człowiek jest wówczas już w połowie drogi (druga połowa to poznanie naszego numeru telefonu i również wpuszczenie nań wirusa, który przechwyci SMS-a autoryzacyjnego).

Do tej pory e-przestępcy, by wyłudzić nasze dane, wysyłali nam e-maile „z banku”, w których informowali, że „ze względów bezpieczeństwa trzeba potwierdzić login, hasło i numer telefonu”. Większość z nas jest już odporna na tę ściemę i wie, że bank nigdy o nic nie prosi przez internet. A już na pewno o podanie loginu i hasła.

Prosić nie prosi, ale… wysyła e-wyciągi. Złodzieje więc coraz częściej podszywają się pod tę korespondencję i też wysyłają nam coś, co przypomina wyciąg. Sprawa jest o tyle poważna, że o ile zwykły spam klienci ignorują, o tyle wyciąg z banku ściągną na komputer, choćby po to, żeby sprawdzić, czy nie ma w historii rachunku jakichś podejrzanych transakcji. Terminy na złożenie ewentualnej reklamacji wyznacza się przecież właśnie od momentu dostarczenia klientowi wyciągu. Nieodebranie wyciągu może mieć z tego powodu niekorzystne konsekwencje.

Ostatnio klienci mBanku dostawali podejrzane wiadomości z załącznikiem do złudzenia przypominającym wyciąg z karty kredytowej. Wiadomość miała tytuł „mBank – elektroniczne zestawienie operacji na karcie kredytowej”. Co prawda, załącznik był już dziwny, bo był to plik z rozszerzeniem zip (czyli spakowana grupa plików, a nie żaden wyciąg), ale ten i ów klient mógł się nabrać. Rozpakowując plik zip trafiało się do pliku z rozszerzeniem exe, którego kliknięcie otwierało wirusa.

Oczywiście: kto jest podejrzliwy i nie otwiera bezmyślnie wszystkich załączników do e-maili, na pewno rozpozna próbę wprowadzenia złodziejskiego oprogramowania na swój komputer. Ale reszta tylko sprawdzi adres, z którego przesyłka przyszła (mBankowy), przeczyta list załączony do e-maila (taki jak zwykle) i wpuści sobie na dysk wirusa, który przekaże złodziejom loginy i hasła. Jakie jest na to lekarstwo? Cóż, prawdopodobnie takie, by klient sam logował się do banku i ściągał sobie wyciąg.

Ale ten medal ma dwie strony. Taki comiesięczny wyciąg z konta jest impulsem, żeby zainteresować się tym, czy pieniądze są na swoim miejscu. Mało kto pamięta, żeby co miesiąc wejść do e-bankowości tylko po to, by ściągnąć sobie wyciąg. Jeśli zapomnę tego uczynić, to może mi przepaść termin na złożenie reklamacji, gdyby coś się nie zgadzało. Jeśli mam konta w kilku bankach, to zarządzanie e-wyciągami staje się jeszcze bardziej kłopotliwe.

Jest i kwestia prawna: są produkty bankowe, w których bank ma obowiązek dostarczyć zestawienie transakcji. Jeśli nie ma to być forma papierowa lub elektroniczna, tylko np. umieszczenie wyciągu w systemie transakcyjnym, to pojawia się pytanie: czy można mówić o tym, że dokument został dostarczony, i to w takiej formie, która uniemożliwia bankowi nanoszenie na ów dokument zmian? Bank wysyłałby klientowi e-maila z informacją, że w serwisie transakcyjnym czeka wyciąg. Ale czy przestępcy nie zaczną produkować podobnych e-maili, ubogaconych o link do strony, na której miał być wyciąg, a jest wirus?

Tak naprawdę jedynym twardym antidotum mogłoby być całkowite zaprzestanie wysyłania jakichkolwiek e-maili do klienta przez banki.

Źródło: wyborcza.biz