"Dopoldne, okoli pol desete ure, so me iz klicnega centra NLB obvestili, da se na mojem bančnem računu in računu moje mame, katerega pooblaščenka sem, dogajajo velike transakcije. Hkrati so mi predlagali, da mi takoj blokirajo osebni račun. Ker sem bila od banke oddaljena le dve minuti, nekako pa nisem zaupala sogovornici na drugi strani, sem jo prosila, da ostane z menoj na zvezi, dokler ne pridem do banke. V dravograjski poslovalnici NLB je potem sogovornica po telefonu bančni uslužbenki pojasnila, kaj se je dogajalo z najinimi bančnimi računi," svojo zgodbo začne Darja Lesnik iz Dravograda. Za številne transakcije velikih zneskov, po nekaj tisoč evrov, skupaj pa za skoraj 74 tisočakov, je šlo v tisti nesrečni noči. Najprej za nekaj internih transakcij z varčevalnega računa na osebni račun in najprej na slovenski račun neke fizične osebe ter na britanski račun digitalne menjalnice Eurlita UAB. Kako je lahko izpuhtel denar z varčevalnih računov, zakaj tako velikih transakcij ni omejil dnevni limit, zakaj ni bilo samodejne blokade računa, pa tudi to, zakaj banka zdaj zavrača zahtevek komitentke, iščemo odgovore s pomočjo oškodovanke.
"Nikoli nisem na nobeno spletno stran vpisala kode spletne banke in gesla za vstop vanjo"
Darja Lesnik in njena mati sta o dogajanju takoj obvestili tudi policijsko postajo v Dravogradu, policisti so za forenzični pregled prevzeli tudi mobilni telefon Lesnikove. "Tu pa so nastale težave. Ko sem telefon želela popolnoma izključiti, se to nikakor ni dalo, ni bilo mogoče vnesti kode za odklepanje telefona, skratka, telefon se ni zaklenil, zato smo le znova vključili letalski način in telefon v zaprti kuverti poslali v pregled," razlaga sogovornica. Dodaja še, da ima telefon ves čas pri sebi, odklepa ga s kodo, ki jo pozna le ona, pa tudi, da nikdar ne klika na sumljive spletne povezave v sporočili ali mejlih, "tudi nikoli nisem na nobeno spletno stran vpisala kode spletne banke in gesla za vstop vanjo".
Je bila kriva zlonamerna aplikacija?
Forenzični pregled telefona - danes so sicer natanko štirje meseci od vdora, na rezultate preiskave pa še čakajo - še ni uradno zaključen, a glede na način zlorabe je najverjetneje, da je bila na telefonu nameščena sicer v trgovini Google Play uradno dosegljiva aplikacija Phone Cleaner - File Explorer.
Napadalcu so seveda zlasti zanimivi podatki za prijavo v bančne aplikacije. Zlonamerna aplikacija čaka, da uporabnik odpre legitimno bančno aplikacijo in mu v tistem trenutku prikaže lažen vstopni obrazec, ki prekriva legitimno bančno aplikacijo in uporabnika zavede v vpis uporabniškega imena in gesla na lažni strani za krajo podatkov. Na tak način lahko napadalec vstopi v mobilno banko. In to počne ponoči, da so transakcije do jutra, ko bi bile opažene, že opravljene. Z nadzorom nad sporočili SMS pa lahko v primeru dvojne avtentikacije dostopa tudi do šestmestne varnostne kode za odobritev transakcij, morebitno sporočilo o opravljeni transakciji pa lahko tudi izbriše, s čimer izginejo sledi o dogajanju na bančnem računu. Vsaj dokler uporabnik ne odpre mobilne banke ali ga o tem ne obvestijo iz banke.
Zakaj ni dnevnega limita, kakšna je vloga varčevalnega računa ...
Darja Lesnik se seveda sprašuje, zakaj so odpovedali vsi varnostni mehanizmi, zakaj ni v NLB Kliku dnevnega limita, zakaj tako velike transakcije niso bile takoj blokirane, kakšna je vloga varčevalnega računa, če lahko denar z njega takoj izgine v neki kriptomenjalnici ... V NLB na naša vprašanja odgovarjajo, da je NLB Klik imel več nivojev limitov za plačila, tudi dnevnega. "Nova digitalna banka Klik, ki je bila predstavljena lani poleti, uporablja druge varnostne mehanizme. Pri načrtovanju sprememb smo upoštevali pretekle načine zlorab, prav tako pa smo upoštevali tudi uporabo limitov pri strankah. Ugotovili smo, da lahko limiti dajejo tudi lažen občutek varnosti, še posebej, če niso neustrezno nastavljeni," odgovarjajo. In, zanimivo, dodajajo: "Možnost nastavitve limitov v Kliku trenutno ni mogoča, to funkcionalnost pa načrtujemo v kratkem."
"Napadalcu so zlasti zanimivi podatki za prijavo v bančne aplikacije"
Na vprašanje, kako NLB preprečuje nočne vdore v telefone uporabnikov mobilnih bank in ali spremljajo morebitne sumljive transakcije 24 ur ali zgolj podnevi, pa odgovarjajo: "Sumljive transakcije spremljamo 24 ur na dan, vse dni v letu, pravila za identifikacijo sumljivih transakcij pa se redno spremlja in spreminja glede na zaznane poskuse zlorab." Glede vloge varčevalnega računa pa, da ta komitentom omogoča, da z denarjem "prosto razpolagajo že sedem dni po tem, ko ga položijo na račun". Vloga varčevalnega računa se po njihovem ne spreminja, saj da je namenjen temu, da je privarčevani denar uporabniku dostopen v vsakem trenutku za izredne in nenačrtovane situacije.
Iskali so specialista za spremljanje sumljivih transakcij
Je pa zanimivo, da so v NLB sredi marca, poldrugi mesec po zlorabi mobilne banke Darje Lesnik, dodatno zavarovali plačilne kartice z dodatnim potrjevanjem nakupov višjih zneskov, sredi aprila so preko portalov za delo iskali specialista za spremljanje sumljivih transakcij. V zadnjem času so uvedli tudi prejem sporočila SMS za vsako transakcijo in obvestila za vsako transakcijo, opravljeno v mobilni denarnici NLB Pay. Uvedli pa so tudi varnostno sporočilo SMS za potrjevanje transakcij.
Tudi s pomočjo odvetnika se je Darja Lesnik obrnila na NLB, od katere želi z naslova opravljenih transakcij, ki jih ni odobrila, povračilo izgubljenega denarja, a odgovor je bil negativen. V NLB odgovarjajo, da odškodninski zahtevek zavračajo, saj da se nanaša na plačilne naloge, ki so bili izvedeni z njenega in materinega osebnega računa. "Vse plačilne naloge je banka izvršila na osnovi zahtev, ki so bile podane preko NLB Klika Darje Lesnik," odvračajo, za transakcije med osebnimi in varčevalnimi računi ter računi, kjer je pooblaščena, pa pojasnjujejo, da so nakazila mogoča vse dni v letu, 24 ur na dan, saj gre za račune pri isti banki. "Vse transakcije imajo takojšnji učinek na računu bremenitve in na računu odobritve," dodajajo.
Plačila na britanski račun pa so bila izvedena kot takojšnja plačila (instant payment), ki so prav tako na voljo 24 ur na dan in vse dni v letu in pri katerih prejemnik plačila denar prejme v nekaj sekundah po odreditvi s strani plačnika. Zato v NLB odgovarjajo, da so v vlogi izvajalca plačilnega prometa le izvedli nakazila v skladu s prejetimi plačilnimi navodili.
Napredek v zgodbi, ki naj bo v poduk vsem uporabnikom pametnih mobilnih telefonov, še posebej, če imajo nameščeno tudi mobilno banko, bi sicer lahko predstavljal razplet mediacije med Darjo Lesnik in NLB, vendar pa ta še ni znan. Zgodbo zato spremljamo naprej.