[Karty] Re: e-napad w Pekao SA

Piotr J. Ochwal karty@listy.icm.edu.pl
Sat, 19 Jun 2004 20:23:09 +0200 

Kto wykradł dane kart płatniczych Banku Pekao?
Andrzej Stec, Maciej Samcik 18-06-2004, ostatnia aktualizacja
17-06-2004 20:47 

Bank Pekao podejrzewa, że nieautoryzowane transakcje na koszt blisko
stu klientów VIP to dzieło zorganizowanej grupy przestępczej

Jak się dowiedzieliśmy, w czwartek bank oficjalnie zawiadomił policję
o podejrzeniu popełnienia przestępstwa. Według szefów Pekao podejrzane
transakcje zawarto na rachunki blisko 100 klientów. - Żaden z naszych
klientów nie został poszkodowany. Ewentualne ryzyko bierze na siebie
bank - zapewnia rzecznik Pekao Robert Moreń.

Problemy drugiego co do wielkości banku detalicznego w Polsce zaczęły
się w sobotę. Jak ujawniliśmy przed dwoma dniami, ktoś zdobył numery
złotych kart Mastercard należących do tzw. VIP-ów, czyli "kluczowych"
klientów Pekao. Przestępca skorzystał z danych, robiąc w sobotę liczne
zakupy.

Pekao wciąż nie ujawnia wartości przestępczych transakcji. Rzecznik
banku ogranicza się do ogólnikowych wyjaśnień: - System poinformował
nas o podejrzanych transakcjach. Na wszelki wypadek natychmiast
zablokowaliśmy wszystkie złote karty Mastercard naszych klientów,
łącznie kilkanaście tysięcy. To pozwoliło nam udaremnić niektóre
transakcje.

[ hehe - ciekawe, co na to VIP-y, które np. na drugim końcu świata
chciały zapłacić w restauracji - chyba usłyszały "VIPier*.*ać" ;-) ]

Wiesław Federowicz, dyr. MasterCard w Polsce, odmówił nam komentarza.

Z naszych informacji wynika jednak, że niektórych klientów poproszono
o zniszczenie kart. To może oznaczać, że urzędnicy Pekao nie mają na
razie pewności, które dane klientów i w jaki sposób zdobyli oszuści.
Według naszych rozmówców są dwie możliwości: oszuści sami wygenerowali
numery kart z pomocą odpowiednich systemów informatycznych lub też
dane po prostu "wyciekły" z banku.

To jedna z najpoważniejszych takich spraw ujawnionych w Polsce.
Ostatnio opisywaliśmy kilka prób wyłudzania podobnych informacji
(numerów kart, ich kodów PIN), ale w każdym przypadku oszuści
próbowali uzyskać dane bezpośrednio od klienta, a nie od banku. Np.
klienci Citibanku Handlowego kilka miesięcy temu otrzymywali e-mailem
prośbę o zalogowanie się na internetowej stronie, do złudzenia
przypominającej prawdziwą witrynę banku, i podawania numerów kart. W
podobny sposób próbowano okradać klientów internetowego Inteligo.
Żaden z banków nie przyznał się do jakichkolwiek strat z tego tytułu.