Poważne włamanie do polskiego banku, skradzione dane i hasła klientów

Widzieliśmy dowody wskazujące, że polski bank padł ofiarą poważnego włamania, a złodziej kradł pieniądze, hasła i dane osobowe jego klientów. Niestety z kilku powodów nie możemy Wam powiedzieć, o który bank chodzi.

Otrzymane przez nasz serwis dowody wskazują, że tajemniczy włamywacz posiadał przez kilka tygodni pełen dostęp do głównego serwera WWW pewnego polskiego banku. Dzięki temu mógł dokonywać nieautoryzowanych przelewów, gromadzić dane osobowe klientów oraz zbierać informacje o ich kartach i historii rachunków. Włamywacz twierdzi, że okradł wiele kont na łączną kwotę około miliona złotych, a bank przez kilka tygodni nie zauważył włamania.

Od dwóch miesięcy, czyli od momentu, kiedy dowiedzieliśmy się, kto padł ofiarą włamania, współpracowaliśmy z poszkodowanym bankiem. Na prośbę banku spotkaliśmy się z jego przedstawicielami, dzieliliśmy się naszymi doświadczeniami i wiedzą o podobnych przypadkach ataków oraz polskim podziemiu internetowym a także przekazywaliśmy posiadane informacje na temat skali wycieku informacji. Po wielu dniach oczekiwania otrzymaliśmy oficjalne stanowisko banku, przesłaliśmy także do informacji banku treść artykułu, który zamierzaliśmy opublikować. Kilka godzin przed planowaną publikacją otrzymaliśmy wezwanie do zaniechania naruszenia dóbr osobistych od radcy prawnego reprezentującego bank. Po paru dniach dotarła do nas także anonimowa groźba sugerująca możliwość wydania zlecenia na autora artykułu w przypadku jego publikacji. Z powodów, które omawiamy szerzej w dalszej części artykułu, w publikacji tej nie zamieszczamy informacji o tym, jakiego banku dotyczy włamanie.

Prośba do Czytelników Prosimy o unikanie spekulacji na temat tego, który bank padł ofiarą włamania.

Włamywacz, chcąc uwiarygodnić swoją historię, pokazał nam pełne dane kilkuset kart płatniczych banku, dane osobowe tysiąca klientów, dziesięć tysięcy numerów telefonów komórkowych klientów banku, loginy i hasła ponad 150 klientów banku wraz z saldami ich rachunków (w większości powyżej 100 tysięcy złotych każde), kilkadziesiąt tysięcy pozycji z wyciągów z rachunków klientów, potwierdzenia przelewów setek tysięcy złotych rzekomo przez niego skradzionych oraz kopię bankowego serwera WWW wraz z częścią systemu bankowości elektronicznej. Pełną historię sprawy znajdziecie poniżej.

Według stanowiska banku próby ataków miały miejsce, zostały wykryte, a środki klientów były i są bezpieczne. Jednocześnie bank odmówił odpowiedzi na bardziej szczegółowe pytania, zasłaniając się przepisami i względami bezpieczeństwa.

Setka kart płatniczych na dobry początek

Dla nas historia rozpoczęła się 10 kwietnia 2015, kiedy to otrzymaliśmy pierwszą wiadomość od włamywacza z adresu email razor4@t.pl, a wraz z nią dane 100 numerów kart płatniczych oraz ich posiadaczy. Charakter danych wskazywał, że pochodzą z bazy konkretnego banku.

Naszą uwagę zwróciło kilka elementów listy. Po pierwsze wszystkie numery kart miały identyczny identyfikator IBAN, wskazujący na pochodzenie z polskiego banku (wszystko, co możemy o nim powiedzieć, to to, że jest to bank komercyjny, który nie znajduje się wśród 10 największych banków pod względem wartości aktywów). Po drugie nie wyglądały na wykradzione z sieci handlowej lub bankomatu. Klienci pochodzili z całej Polski, niektóre osoby dysponowały na liście dwoma kartami o różnych numerach, znaleźć można było także karty należące do osób o tym samym nazwisku, mieszkających pod tym samym adresem. Wszystko wskazywało na to, że dane pochodzą z systemów banku.

Korzystając z prywatnych kanałów skontaktowaliśmy się z bankiem, który potwierdził nieformalnie, że temat jest mu znany. Odpowiedzieliśmy zatem nadawcy wiadomości i czekaliśmy na dalszy rozwój wypadków. Trwała wymiana wiadomości z razorem4 oraz z bankiem, jednak od żadnej ze stron długo nie otrzymywaliśmy informacji pozwalających na lepsze zrozumienie sytuacji. Wiedzieliśmy jedynie, że razor4 chce otrzymać od banku okup za niepublikowanie danych.

Karty na stół

W ostatnich dniach otrzymaliśmy od razora4 kolejne dane wykradzione z banku oraz długi opis jego poczynań. Razor4 twierdzi, ze do serwerów banku dostał się pod koniec stycznia poprzez nieujawniony błąd wynikający z braku regularnych aktualizacji oprogramowania.

Według przekazanego nam przez włamywacza opisu zdarzeń po rozpoznaniu środowiska i przygotowaniu odpowiednich kont bankowych razor4 zacząć okradać klientów banku. W tym celu wstawił na stronie banku odwołanie do skryptu JS umieszczonego na swoim serwerze, dzięki któremu mógł modyfikować numery rachunków na które przekazywane były przelewy klientów banku i podstawiać tam przygotowane przez siebie konta. Razor4 zarejestrował specjalnie w tym celu domenę różniącą się od prawdziwego adresu banku tylko jedną literą.

Mieliśmy także możliwość zapoznać się ze stosowanym przez niego skryptem JS, którego zadaniem była automatyzacja ataku na klientów banku. Według naszej oceny skrypt wygląda jak najbardziej wiarygodnie.

Razor4 twierdzi, że w ciągu tygodnia ukradł kilkaset tysięcy złotych, w tym 16 lutego 2015 wykonał jeden przelew na prawie 180 tysięcy złotych od pewnego warszawskiego dilera samochodowego. Bank według włamywacza zrzucił problem na konie trojańskie na komputerach klientów. Faktycznie kilka dni później bank przypomniał klientom o bezpieczeństwie transakcji (choć podobne akcje informacyjne prowadziły w tym roku wszystkie banki).

Rzekome błędy w systemach banku

Według razora4 zmienił on wtedy metodę działania, ponieważ odkrył, jak twierdzi, poważny błąd w systemie autoryzacji przelewów. Według niego jeśli klient Kowalski skonfigurował odbiorcę zaufanego Iksińskiego to klient Nowakowski mógł przesłać przelew do Iksińskiego nie podając kodu SMS. W ten sposób, po dodaniu odbiorców zaufanych na kontrolowanym przez siebie rachunku, razor4 mógł wykonywać przelewy na zdefiniowane przez siebie konta odbiorców zaufanych z cudzych rachunków, nie autoryzując ich kodami SMS. W tym celu uruchomił na serwerze banku skrypt zapisujący loginy i hasła użytkowników i gdy trafił na konto pewnego hotelu w popularnej nadmorskiej miejscowości z saldem ok. 700 tysięcy złotych, przystąpił do ataku. Według jego historii pewnego poniedziałku w ciągu kilku godzin prawie opróżnił rachunek hotelu. Gdy właściciel rachunku zorientował się, że dzieje się coś niedobrego, zdążył zablokować część przelewów a bank w ciągu 2 dni naprawił błąd. Na dowód swoich twierdzeń razor4 przedstawił wyciąg z konta hotelu:

Razor4 sugeruje, że mimo stosowania hasła maskowalnego przez bank nie miał problemu z przechwyceniem cudzych haseł, ponieważ zbierał je w ciągu kilku logowań. Poza tym twierdzi, że bank umożliwiał w trakcie logowania wielokrotne losowanie miejsc hasła maskowalnego, które należało uzupełnić – umożliwiając atakującemu łatwiejsze trafienie w posiadane znaki. Istotnie mechanizm logowania do konta banku losuje za każdym podejściem inny zestaw znaków, zatem wystarczy próbować dostatecznie długo, by otrzymać ten sam zestaw, który został wcześniej przechwycony. Oprócz tego wśród dowodów włamania, z którymi mogliśmy się zapoznać, była ponad setka prawie lub całkowicie kompletnych haseł użytkowników banku.

Trzecim atakiem, który według swoich opowieści przeprowadził razor4, była próba wyprowadzenia około 3 milionów złotych. W tym celu najpierw użył kont z dwoma rachunkami, gdzie jeden był rzadko używany, do ich sklonowania w innych bankach (poprzez przelew o określonym tytule można założyć konto w innym banku). Następnie ustalił, że modyfikacja jednego z parametrów przekazywanych przez aplikację bankową pozwala na ominięcie wymagania autoryzacji przelewu kodem SMS. Do ataku wybrał rzadko używane konta z dużymi saldami i w nocy wygenerował wiele przelewów, jednak bank najwyraźniej zorientował się, że dzieje się coś niedobrego i zablokował wszystkim klientom dostęp do systemu transakcyjnego a następnie usunął intruza z systemu. Na te próby kradzieży nie mamy dowodów, jednak wydarzenia te znajdują częściowe potwierdzenie w wyrażanych przez klientów banku w serwisach społecznościowych pretensjach związanych z brakiem dostępu do serwisu transakcyjnego przez 2 dni.

Czwartym epizodem z historii opisywanej przez razora4 jest wykorzystanie posiadanych loginów i haseł klientów banku. Twierdzi, że dzięki nim mógł między innymi okraść konto jednej z firm zajmujących się szybkimi przelewami pomiędzy bankami oraz obsługą płatności internetowych, generując przelewy na jej konta wewnętrzne, założone specjalnie w tym celu. Według niego ukradł tą drogą jeszcze 30 tysięcy złotych. Poszkodowana firma potwierdziła nam fakt kradzieży środków z jej rachunku z winy banku.

Dowody na dostęp do serwera

Włamywacz na dowód posiadania dostępu do serwera WWW banku pokazał nam listing odpowiedniego katalogu serwera. Analiza listingu pozwala z dużym prawdopodobieństwem uznać, że razor4 faktycznie miał kontrolę nad serwerem WWW banku. Listing o rozmiarze prawie 5 megabajtów zawierał przede wszystkim spis wszystkich plików wielu instancji serwera aplikacyjnego Weblogic, których ścieżki, nazwy i poszczególne pliki w 100% pokrywają się z plikami udostępnionymi na stronach banku w serwisie bankowości elektronicznej we wszystkich dostępnych wersjach. Co więcej, w listingu plików znaleźć można także ślady wyglądające jak efekt działalności włamywacza. Mogą one oczywiście być celowo podłożone – ale listing wygląda bardzo wiarygodnie.

Wśród wielu plików możemy np. znaleźć taką perełkę:

-rw-r----- [xxx]/[xxx] 3905 2013-07-08 20:49 [xxx]/xxx/xxx/xxx/xxx.png -rw-r----- [xxx]/[xxx] 2359902208 2015-03-04 13:35 [xxx]/xxx/xxx/xxx/k.tar -rw-r----- [xxx]/[xxx] 676 2013-07-08 20:49 [xxx]/xxx/xxx/xxx/xxx.jpg

Serwer „xxxx” to instancja mobilna interfejsu bankowości elektronicznej. Tam, w katalogu pełnym grafik z roku 2013, znaleźć można było plik k.tar o rozmiarze ponad 2 gigabajtów, stworzony 4 marca 2015 o godzinie 13:35. Sam listing pochodzi najprawdopodobniej z tego samego dnia, z godziny 16. Plik k.tar wygląda jak archiwum obejmujące cały system plików, wystawione do pobrania na serwerze WWW banku. Oczywiście plik został już usunięty, jednak pozostałe ścieżki są ciągle aktualne.

Oprócz tego włamywacz pokazał nam także pliki konfiguracyjne serwera oraz kopię aplikacji bankowości elektronicznej. Potwierdza to, że włamywacz miał możliwość odczytu, tworzenia i modyfikowania plików na serwerze WWW banku obsługującym klientów.

Dodatkowo razor4 twierdzi, że udało mu się także wykraść dane części klientów banku. Aby to potwierdzić, pokazał nam ponad 25 tysięcy rekordów z historii transakcji różnych rachunków, dane tysiąca klientów takie jak imię, nazwisko, adres, numer telefonu i adres email a także dane około 600 różnych kart płatniczych, 10 tysięcy numerów telefonów należących podobno do klientów banku oraz grubo ponad setkę loginów i haseł do kont bankowych.

Wszystkie opisane powyżej wydarzenia są prawdopodobne z technicznego punktu widzenia. Przedstawiona przez włamywacza historia jest spójna i nie znaleźliśmy w niej żadnych sprzeczności lub istotnych luk. Część twierdzeń włamywacza potwierdzają także dowody z niezależnych źródeł (informacja poszkodowanej firmy, zarejestrowana fałszywa domena banku czy skargi klientów na niedostępność serwisu bankowości elektronicznej).

Reakcja banku

Po długim oczekiwaniu otrzymaliśmy stanowisko banku, którego obszerne fragmenty dotyczące meritum sprawy publikujemy poniżej. W naszej ocenie w oświadczeniu nie ma ani jednego zdania zaprzeczającego opisanym wyżej zdarzeniom – nie ma także ani jednego zdania, które by je wprost potwierdzało.

W pierwszym kwartale br., [tu nazwa banku] zidentyfikował próby ataków hackerskich. Dzięki systemom bezpieczeństwa oraz działaniom służb bezpieczeństwa Banku, ataki zostały wykryte, a co najważniejsze wszystkie środki pieniężne klientów Banku były i są w pełni bezpieczne. W związku z nielegalnymi działaniami przestępców, Bank zawiadomił i intensywnie współpracuje z właściwymi organami ścigania, w tym z odpowiednimi jednostkami Policji oraz Prokuraturą. […] W związku z przesłanymi pytaniami, skierowanymi do [tu nazwa banku], pragniemy wyjaśnić, że cała otrzymana korespondencja pochodzi od osoby, która zamierza zaatakować dobry wizerunek Banku w sposób nieuprawiony i niezgodny z obowiązującymi przepisami prawa. Wszelkie tego typu działania są i będą przez Bank zgłaszane do organów ścigania. W zakresie szczegółowych danych zawartych w przesłanej korespondencji, z uwagi na obowiązujące regulacje prawne oraz bezpieczeństwo działania Banku, [tu nazwa banku] nie jest upoważniony do udostępniania informacji lub udzielania publicznych komentarzy odnoszących się do funkcjonowania zabezpieczeń informatycznych stosowanych przez Bank lub danych dotyczących jego Klientów. Podkreślamy, że środki Klientów Banku są bezpieczne, systemy bankowe właściwie zabezpieczone.

Szczególnie ostatnie zdanie sugeruje, że jeśli doszło do kradzieży środków klientów banku, to straty zostały pokryte przez bank.

Wezwania i pogróżki

Tydzień temu, na 5 godzin przed zaplanowaną publikacją artykułu (wcześniej wielokrotnie na prośbę banku przekładaną) otrzymaliśmy wezwanie do zaniechania naruszenia dóbr osobistych zawierające następujący akapit:

[…]wzywam do odstąpienia od bezprawnego rozpowszechniania informacji dotyczących skutków prób ataków hakerskich na system teleinformatyczny Banku i zastosowanych w związku z tym przez bank środków bezpieczeństwa […]. Informacje te są oparte na niewiarygodnych źródłach i nie uwzględniają stanowiska Banku w opisywanej sprawie. Rozpowszechnienie rzeczonych informacji stanowić będzie działanie jawnie i oczywiście bezprawne, godzące w dobra osobiste (reputację) Banku i prowadzące do powstania po stronie Banku trudnej do powetowania szkody.

Z kolei w piątek około godziny 11 z adresu IP 37.147.97.33 przez nasz formularz kontaktowy dotarła taka wiadomość:

Czesc sloneczko, zaczne od tego, ze juz masz u nas na pienku, wiec zastanow sie dwa razy czy chcesz opublikowac artykul o wlamaniu do [tu nazwa banku], 20k to nie jest duzo, a glowa leci, chcesz sie w koncu doigrac? Pozdrawiam serdecznie

O tym, że planujemy publikację artykułu, wiedziało tylko wąskie, zaufane grono współpracowników redakcji, włamywacz oraz bank. Nie wiemy, kto był nadawcą wiadomości. Nad treścią wezwania można długo dyskutować a pogróżki uznać za gołosłowne, jednak każdy ma swój akceptowalny poziom ryzyka i w tym wypadku nasz został przekroczony. Jednocześnie uważamy, że klientom banku należy się informacja o tym niecodziennym incydencie – chociażby po to, by zmienili swoje hasła (i to nie tylko w banku) oraz przejrzeli wyciągi. Dodatkowo włamywacz grozi, że sprzeda lub upubliczni skradzione informacje – stąd nasza decyzja o opublikowaniu artykułu nawet w tak okrojonej formie.

Jestem klientem banku, co robić

Niestety nie możemy zawęzić bardziej grupy adresatów tej instrukcji – lecz wierzymy, że wszyscy na niej skorzystają bez względu na to, czy to właśnie ich bank padł ofiarą włamania. Zatem jeśli choć raz logowaliście się do interfejsu banku (zwykłego lub mobilnego) w tym roku i nie był to bank z grona tych największych, to po pierwsze zmieńcie natychmiast hasła do swoich kont bankowych. Jeśli tego samego hasła, co do banku, używaliście również do innych zasobów (poczta, inny bank itp.), tam również je zmieńcie – i od razu na inne niż to z banku.

Gdy już pozmieniacie hasła, sprawdźcie dokładnie historię wszystkich swoich transakcji ze wszystkich rachunków w 2015 roku. Jeśli znajdziecie w nich pozycje, których nie potraficie wyjaśnić, poproście o wyjaśnienie bank. Najbardziej podejrzane są dwie kategorie:

przelewy na nieznane Wam rachunki, na istotne kwoty,

przelewy z nietypowymi tytułami (np. „otwarcie rachunku”, „potwierdzenie założenia rachunku”) na kwoty 1 grosz, 1,01 złotych lub podobne.

Jeśli takie znajdziecie, to możliwe, że to nie infekcja Waszego komputera była ich przyczyną.

Obserwujcie również historię transakcji kartowych. Gdy znajdziecie podejrzane wpisy to pomyślcie, czy nie warto poprosić o zastrzeżenie starych i wydanie nowych kart płatniczych – pełne dane dotychczasowych mogą być w rękach włamywacza.

Gdy wykonaliście już wszystkie powyższe operacje, to nadal zalecamy daleko posuniętą ostrożność. Co prawda wygląda na to, że bank już usunął intruza ze swojej sieci, ale jeśli wyciekły Wasze dane osobowe i kontaktowe, to mogą ciągle znajdować się w rękach przestępców i być przedmiotem dalszej odsprzedaży. Mogą oni próbować je wykorzystać, by np. brać na Wasze dane pożyczki lub próbować wyłudzić od Was inne informacje za pomocą poczty elektronicznej lub drogą telefoniczną. Bądźcie czujni, sprawdzajcie regularnie swoje wyciągi, nie zaszkodzi także weryfikacja raportu BIK. Jeśli natraficie na coś niepokojącego, możecie także skontaktować się z nami – w miarę możliwości pomożemy.