22:20
22/11/2012

Wczoraj niektórzy klienci ING przeżyli ciężkie chwile. Po zalogowaniu się na swoje konto bankowe zobaczyli komunikat o mylnie zaksięgowanym na ich rachunku przelewie oraz prośbę od pracownika banku o zwrot tej kwoty…

Przerażona mama

Jak napisał nam jeden z czytelników:

Rano zadzwoniła do mnie przerażona mama. Nie jest zbyt świadomym użytkownikiem Internetu, ale o wirusach, trojanach i phishingu słyszała. Po zalogowaniu się do ING BankOnLine ujrzała wiadomość kierowaną do X, że źle zaksięgowano przelew od Y i Z i ma wysłać 600 zł na podany numer konta. Według jej relacji, w wiadomości były pełne dane Y oraz Z wraz z ich numerami kont. Natychmiast się wylogowała i wyłączyła komputer.

Kolejny czytelnik podesłał dokładną treść komunikatu, jaki wyświetlał się klientom ING po zalogowaniu do konta (usunęliśmy z niego dane osobowe):

ING BANK ŚLĄSKI S.A.
Departament Obsługi Rozliczeń
Wydział Reklamacji Płatności Krajowych i Zagranicznych
inspektor do spraw operacyjnych
Katowice, 21.11.2012 r.

XXXXXXXXX ROBERT
BEŁDAN X/X
02-695 WARSZAWA

Dotyczy: prośba o zwrot kwoty 600,00 zł (Zgłoszenie KIR nr 401665)

Szanowny Panie
W związku z otrzymaną reklamacją zgłoszoną przez Bank nadawcy, dotyczącą płatności przesłanej błędnie na Pana rachunek nr: 431050XXXXXXXX85 w dniu 24.10.2012 r. w kwocie 600,00 zł tytułem: ?Czynsz za pażdziernik. Dominika WXXXXXX Makro.? proszę w imieniu nadawcy o zwrot powyższej kwoty.

Zwrotu środków w wysokości 600,00 zł proszę dokonać na rachunek Zleceniodawcy nr 361750XXXXXXXXX05 podając w tytule ?zwrot błędnej płatności z dnia 24.10.2012 r.?.

Proszę o powiadomienie ING Banku Śląskiego S.A. o sposobie rozwiązania sprawy. W korespondencji proszę powołać się na nr KIR.

Przepraszam za niedogodności związane z wyjaśnieniem sprawy.
Z poważaniem,
Michał XXXXXX

Ci bardziej świadomi klienci od razu zaczęli podejrzewać, że właśnie stali się ofiarą złośliwego oprogramowania. W minionych tygodniach banki masowo ostrzegały przecież o trojanie Citadel, który po zalogowaniu na konto wyświetlał podobny komunikat o błędnie zaksiegowanym przelewie i prosił o zwrot pieniędzy. (O szczegółach ataku pisaliśmy tutaj).

Nasi czytelnicy, będący jedocześnie klientami ING, zaczęli więc sprawdzać swoje saldo, ale w historii przelewów nie było żadnej błędnie zaksięgowanej transakcji do której odnosił się komunikat… To trochę ich zaskoczyło, gdyż trojan Citadel potrafi podrobić historię transakcji i powiększyć konto o kwotę “mylnego” przelewu, uwiarygadniając tymsamym oszustwo. Skanowanie programami antywirusowymi też nie wykazywało żadnych śladów infekcji…

Błąd pracownika ING

Koniec końców okazało się, że komunikat był prawdziwy (tj. rzeczywiście pochodził od ING) ale błędny — nie dotyczył on wszystkich klientów, mimo że sporej grupie (wszystkim?) został pokazany. (Czyżby w CMS-ie ktoś nie zawęził widoczności do jednego ID klienta?)

Pod wieczór na kontach klientów ING wyświetał już następującą wiadomość i przeprosiny:

Szanowny Kliencie
Uprzejmie informujemy, iż w dniu dzisiejszym wysłany został z naszego Banku błędny komunikat z prośbą zwrotu kwoty 600.00 zł.
Prosimy o zignorowanie powyższej wiadomości i niewykonywanie takiego przelewu. Przepraszam za niedogodności związane z wyjaśnieniem sprawy.
Z poważaniem
ING Bank Śląski
Departament Obsługi Rozliczeń

A na Facebooku pojawiła się wypowiedź banku:

ING błędnie zaksięgowany przelew

ING i wyjaśnienia dot. komunikatu o błędnie zaksięgowanym przelewie

Wnioski

To niegroźne potknięcie ING tylko pokazuje, jak wiarygodne są stosowane przez trojana Citadel metody socjotechniczne. Jak widać, banki rzeczywiście czasem ten sposób proszą o zwrot mylnie zaksięgowanej kwoty! (Może lepiej telefonicznie?)

Z drugiej strony, podejrzliwe reakcje klientów (przekazywanie wiadomości tego typu do Niebezpiecznika, lub do banku, ale innym kanałem komunikacji, np. Facebook) pokazują, że klienci nie są naiwni — wręcz przeciwnie — są świadomi zasad sposobów wyłudzeń wykorzystywanych przez oszustów bankowości elektronicznej. To dobrze.

P.S. Ciekawe ilu klientów ING zwróciło 600 PLN? A ilu męczyło swój system antywirusami… :-)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

44 komentarzy

Dodaj komentarz
  1. To nie citadel jest wiarygodny tylko ing niewiarygodny.
    Ciekawe co bank zrobiłby w sytuacji w której ktoś nie oddał tych pieniędzy.
    Niewielu ludzi wie, że bank ma obowiązek sprawdzać, czy numer konta odpowiada podanym danym(patrzaj wyrok SN z 19.03.2004, sygnatura IV CK 158/03)! Wyrok dotyczy osoby zlecającej przelew, ciekawe co dzieje się po drugiej stronie… Na prawie bankowym to się nie znam, ale ciekawe zagadnienie.

    • Pamiętam że kiedyś czytałem wywiad z jednym z ważniaków z banku, stwierdził on że niemożliwa jest taka weryfikacja, i że to spowolni przelewy. Nie skomentował on jednak tego że w Szwajcarii taki model działa od lat.

    • z tym sprawdzaniem przez bank danych to już raczej nieaktualne odkąd mamy ustawę o usługach płatniczych – ważny jest tylko nr rachunku i na nic innego bank nie patrzy

    • @Stanislaw: a faktycznie:) Kolejny przykład obniżania standardów przy okazji wdrażania unijnych standardów:) A i umowę ramową zdefiniowali:D

    • “Ciekawe co bank zrobiłby w sytuacji w której ktoś nie oddał tych pieniędzy.”

      Cały szkopuł w tym, że to Twoim “psim” obowiązkiem jest te pieniądze zwrócić. Inaczej przyjdzie beknąć za bezpodstawne wzbogacenie… czy jakoś tak.

    • Bezpodstawne wzbogacenie nie oznacza żadnego “beknięcia”. Po pierwsze najpierw musisz dostać wezwanie do zapłaty wraz z uzasadnieniem, a po drugie możesz ponieść jedynie odpowiedzialność cywilnoprawną. Zresztą jest kilka przepisów szczególnych w całości wyłączających odpowiedzialność za bezpodstawne wzbogacenie.
      Takiego komunikatu żaden sąd nie uznałby za wezwanie.

    • Ciekawe…
      Mieszkam w nl i tutaj jeśli nazwa rachunku odbiorcy nie odpowiada numerowi rachunku jaki jest przypisany do tego konta, to transakcja zostanie zawieszona do momentu skontaktowania się z bankiem. Znam to z doświadczenia z czasów kiedy jeszcze wynajmowałem mieszkanie, jak zdarzyło mi się podać niewłaściwe nazwisko w przelewie za opłatę.
      Jest to odrobinę upierdliwe, ale z drugiej strony blokuje możliwość wstrzyknięcia innego rachunku niż ten “jedyny właściwy”.

      Pozdrawiam.

  2. Jeżeli takie konto nie istanioało, jak napisało ING to przelew zwrotny nie mógł być zrealizowany, bo to system sprawdza od ręki, poprzez sumy kontrolne w numerze konta (2 pierwsze cyfry). Zatem nikt nie pozbył się 600 zł.

    • Gdzie ING napisał, że “konto nie istniało”?

    • ujemny, matura tuż tuż a czytanie ze zrozumieniem jeszcze nie opanowane?

    • Sage, ale fajnie, co?

  3. Jak już jesteśmy w tematach bankowych. Piotrze czy mógłbyś się odnieść do poniższej kwestii ? Ostatnio otwierałem nowe konto bankowe i oczywiście przysłali mi kartę (MasterCard Debit z paypass). I tak sobie czytam tą ulotkę co zawsze dołączana jest do karty, i co każdy użytkownik powinien o niej wiedzieć:

    “Ze względu na zastosowane zabezpieczenia nie jest możliwe omyłkowe zdublowanie transakcji ani skopiowanie danych karty pozwalających na dokonanie płatności.”

    Rozumiem że już nie musze obawiać się skrimmerów i swobodnie moge pakować karte w dzikie przystawki. A może to bank robi wybieg i ma zamiar zwalać całą odpowiedzalność za transakcje kartą na klienta zasłaniając się super-hiper technologiami pisanymi przez indyjskich programistów. Wszak nie możliwe jest podrobienie…

    Ominęło mnie coś w tej kwestii ?

    • Takie dzialanie nazywa się marketing ;-)
      Skrimmerów sie nie bój, zwróć za to uwagę na skimmerów.
      Po za tym masz słowo klucz – omyłkowe, nie da sie zaliczyć do tego złodzieji, chodzi o to żeby uspokoić, ze przy przełożeni do terminala na 30sek. nie skasuje ci z konta 2 razy.

    • w regulaminie zapisane jest na pewno coś zupełnie odwrotnego :)

    • A może skrimersów? Ja bym tam się bał :D Uciekaj bo nic z Ciebie nie zostanie :D

    • Na niebezpieczniku wielokrotnie pisano o zabezpieczeniach paypassów. Jest nawet aplikacja androidowa umożliwiająca przechwycenie kodu jednorazowego do transakcji. Można skopiować sobie z karty dowolną ilość kodów, ale trzeba je realizować po kolei (inaczej blokada karty). Takie są te hyper-zabezpieczenia.
      Jak dostanę taką kartę, to chyba spróbuję ją hardware’owo zhackować – przerwać drucik antenki i wlutować płaski przycisk (taka blaszka) (wiem, że niby własność banku, ale c’mon). Zastanawia mnie, dlaczego VISA/Master Card takiego prostego zabezpieczenia nie stosują.

    • Człowiek palnął literówkę, wszyscy się śmieją ale i tak wiedzą o co chodzi ;)

    • >skrimmerów Screamerów? Wyobrażam to sobie: pani Zosia wypłaca pieniądze z bankomatu, naciska przycisk z kwotą i nagle BLEEEEEEEEEE :D

    • No, właśnie, Kuba mnie naprowadził, że pewnie odnoszą się do skopiowania przez rfid/nfc/PayPass, a nie kopiowania high coercivity magnetic stripe, czy broń boże czipa emv

    • @gimbassador Ja zastosowałem dziurkacz biurowy. Działa wyśmienicie. Wyłączył na stałe funkcje paypass. A z montowaniem przycisków miałbyś niewielki problem. To wszystko (druty anteny) jest cholernie cieniutkie.

    • Też zastosowałem dziurkacz, tylko jedna kwestia mnie dręczy. Czy po włożeniu tego wyciętego kółka na swoje miejsce paypass z powrotem stanie się aktywny? Czy ktoś już próbował?

  4. Ja bym dodal jeszcze teorie spiskowa ze ktos nieautoryzowany uzyskal dostep do systemow ING lub tez pracownik ktory zamierzal emigrowac, wyslal informacje do wszystkich aby przelali na jego(slupa) konto po 600 zl :-)
    “W brzydkich czasach zyjemy, w brzydkich”

  5. Jak już poprawiasz innych, to “poza” nie “po za”.

  6. jeżeli wszystkim się pokazało to niech tylko 5% klientów wpłaci …. ciekawe czy ktokolwiek zgłosi wyłudzenie …. ciekawe czy oddadzą … może pracownik chciał sobie dorobić (w końcu skoro z innego konta były dane a ludzie i tak wysyłali to błąd jest użytkownika) … ciekawe czy pracownik zapłaci podatek od darowizny …. gorsze niż amber gold

    • Myślę, że komornik w sprawie skarbowej to jakiś stwór z innej planety w porównaniu z oszustwem czy wyłudzeniem.

  7. Mnie zastanawia tylko jedno – jeśli w wyniku błędu zaksięgowano na czyimś koncie tego typu wpłatę, to czy bank nie może tego wyksięgować i samemu ją przelać? A jeśli nie może, to przyjęty akurat tutaj sposób komunikacji wydaje się absurdalny. Bo Kir powiedział, podanie jakiegoś numeru i tyle… na tej podstawie ktoś ma przelać kilkaset złotych (a przecież w innym przypadku mogło być to więcej)? Chyba jakiś żart.

    • Z tego co wiem jest jakiś paragraf mówiący o tym, że bank nie może wyksięgować przelewu. Oczywiście od strony technicznej może, ale do zcasu kiedy się nie wyda :-) Dlatego też pojawia się komunikat z “prośbą” o zwrot kasy.

      Choć w praktyce wymuszenie takiego zwrotu nie powinno być trudne. Wystarczy podejrzenie nielegalności źródła wpłaconej kasy, zarzuty o paserstwo itp. Do tego bym dorzucił info że pieniądze mogą pochodzić z handlu żywym towarem, transakcji pedofili lub mają powiązania z terrorystami islamskimi i dręczycielami kotów. I każdemu rura zmięknie.

    • Też mnie właśnie to zastanawia, dlaczego bank sam by nie mógł takiej pomyłki odwrócić, tylko prosiłby o to klienta?

      Czyżby nie wystarczyło kilka “updatów” bazy danych (temu, co źle zaksięgowano – odjąć, a do właściwego klienta dodać tę kwotę), np.:
      UPDATE `clients` SET `saldo`=`saldo`-KWOTA WHERE `id`=NR_KLIENTA_1
      UPDATE `clients` SET `saldo`=`saldo`+KWOTA WHERE `id`=NR_KLIENTA_2

    • Raz, co jeśli klienci są z innych banków? A dwa, to przestępstwo.

    • @Andron: Jest taki stary paragraf o “bezpodstawnym wzbogaceniu”… mogą poszczuć opornego klienta skarbówką a to gorsze niż wyrok z mafii ;-)

    • Marek .. prawo zabrania takiego UPDATE. Ew nieuprawnione wzbogacenie sie sugerowane w komunikatach nie bylby bledem technicznym tylko zwyczajnym przelewem. Tego nie mozna ot tak skorygowac.

    • i dodam iz @PK ma tu racje.

    • Droga Krajowa Izbo Rozliczeniowa, w związku z reklamacją, uprzejmie proszę o SELECT’a z bazy przelewów z dnia X. :D

    • Z pieniędzmi nienależnie otrzymanymi jest tak, że jeśli znalazły się w wyniku pomyłki banku to banki cofają to bez pytania o naszą zgodę (na przykłąd wysłał ktoś na konto X a trafiło na nasze Y). Jeśli te pieniądze wysłał Kowalski i walną się w numerze konta i podał akurat nasze to mamy je Kowalskiemu zwrócić. Wtedy właśnie bank nas zawiadamia, że został źle wysłany przelew i tamten gościu prosi o zwrot pieniędzy. Wtedy (po upewnienu się, że takie coś zaszło), mamy obowiązek odesłać te pieniądze i są na to paragrafy jeśli nie odeślemy.

    • hm no ok… tak podejrzewałem. szkoda tylko, że w obliczu dużej skali ataków zeus’ów i mutacji bank zadecydował zastosować komunikat jakby żywcem wyjęty z opisów działania trojana. I tak właśnie osłabia się skuteczność stosowanych wcześniej akcji informacyjnych. “Pamiętaj, bank nigdy nie będzie prosił Cię o…”. A tu guzik prawda – właśnie w taki sposób zadzialali.

  8. Piramidalny absurd. Po pierwsze numery kont są w jakiś sposób zabezpieczone (nie wiem, czy nie algorytmem Luhna), więc szansa, że ktoś się pomyli przy przelewie i wyśle go do kogoś innego jest bardzo, bardzo mała. Po drugie, jak bank może żądać zwrotów z kont? W ten sposób mógłbym kupować coś przez Internet, potem mówić bankowi, że się pomyliłem, a ten straszyłby sprzedawcę i kazał oddawać pieniądze. Wreszcie kanał komunikacji – komunikat łudząco podobny do tego, który wyświetla trojan, o którym dodatkowo trąbi się ostatnio w mediach.
    To jest bank, czy cyrk?

    • Takie transfery powinien załatwiać komornik czy inna władza wykonawcza, a nie komunikacik w systemie bankowym. Ja bym bardziej podejrzewał, że oni się penetrują testowo.

  9. Co jak co ale tytuł wpisu nadaje się do faktu, zabrakło tylko “grozy”.

  10. To samo było jakiś czas temu w Alior Sync. Ludzie dostawali nie swoją korespondencję.

  11. %s/tymsamym/tym samym/g BTW, ostatni komentarz na fejsbukowym screenie – LOL you mad bro? :D

  12. “Jak widać, banki rzeczywiście czasem ten sposób proszą o zwrot mylnie zaksięgowanej kwoty! ” Brakuje literki “w” przed wyrazem “ten”.

  13. Brawa dla ING! Pomijając fakt, że komunikat pokazywał się wszystkim zamiast jednego użytkownika, jakim ignorantem trzeba być żeby takie informacje podawać na stronie płatności on-line. Pracownik ING powinien przynajmniej zadzwonić do klienta i poprosić o to, żeby ten zgłosił się do najbliższej placówki banku w celu wyjaśnienia sprawy (zakładając, że nie zadzwoniłby przez pomyłkę do wszystkich). Phishing jest możliwy tylko dlatego, że takie praktyki nie są tępione!

  14. Mhm… A co myślicie o tym, że to było zrobione specjalnie? Treść wygląda prawie identycznie jak z wirusa. Myślę, że to był test ile osób zrobi przelew, a ile osób to zgłosi – dlatego konto do przelewu nie działało. Wiadomość została wysłana do wszystkich czy do określonej ilości osób?

  15. […] zdarzały się także innym bankom. ING kilka miesięcy temu przeraziło swoich klientów, kiedy przez pomyłkę rozesłało komunikat nakazujący zwrot mylnie zaksięgowanego przelewu …do większej liczby osób, zamiast tylko do jednego z klientów (co zresztą pięknie […]

Odpowiadasz na komentarz kot

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: