Nieznani sprawcy przejmują konta inwestycyjne. "Kradzieży może być więcej"

Kilkanaście dni temu opisaliśmy historię użytkownika popularnej platformy inwestycyjnej, który stracił swoje środki w nie do końca jasnych okolicznościach. Pan Łukasz, twórca gier i inwestor hobbystyczny, stracił około 150 tysięcy złotych w wyniku przejęcia przez oszustów kontroli nad kontem w XTB. Podczas ataku nieznani sprawcy przeprowadzili tysiące transakcji na jego rachunku, wyprzedając wszystkie posiadane przez niego aktywa i dokonując licznych operacji na instrumentach o niskiej płynności.

Poszkodowany zauważył problem, gdy sprawdził stan konta w aplikacji mobilnej. - Patrzę, a tam 44 tys. zł. Pomyślałem, że to musi być jakaś usterka aplikacji - mówi w rozmowie z Marcinem Podlackim, inwestorem i blogerem.

Po sprawdzeniu konta na komputerze upewnił się, że o żadnej awarii aplikacji nie mogło być mowy. - Na moim koncie tego dnia zostały wykonane tysiące operacji - relacjonuje poszkodowany, pokazując wyciąg z rachunku liczący 100 stron.

Jak relacjonuje poszkodowany, przez pięć lat systematycznie odkładał pieniądze na platformie XTB, kupując głównie akcje spółek z branży gier, którą dobrze znał. - Nigdy z XTB nie wyprowadziłem ani jednej złotówki - wyjaśnia. Przed atakiem wartość jego inwestycji wynosiła około 200 tysięcy złotych. Stracił więc ok. 150 tys. zł.

Okazuje się, że nie on jeden padł ofiarą podobnego ataku. "Chciałbym przestrzec przed włamaniem na konto, które miało miejsce w moim przypadku. Po powrocie z urlopu przeczytałem artykuł o jednym z użytkowników, który miał wyczyszczone konto dziwnymi transakcjami. [...] Zalogowałem się. Ku mojemu zdziwieniu [odkryłem, że - red.] na koncie zostało 8000 zł z dużo większej kwoty" - relacjonuje na platformie X jeden z użytkowników serwisu XTB.

"Szybko wszedłem w historię operacji i ku mojemu zdziwieniu było tam mnóstwo operacji z kompletnie mi obcych. Dodam, że inwestowałem tylko i wyłącznie na polskim GPW i tylko w akcje" - dodaje poszkodowany.

Podobna sytuacja dotknęła innego użytkownika serwisu. "Wchodzę na rachunek XTB, a tu zlecenia wchodzą same. Ktoś trzy minuty temu sprzedał wszystkie moje akcje i kupił akcje RDGT.US. Infolinia zatkana. Na czacie zablokowali mi rachunek. Włam" - napisał w mediach społecznościowych inny klient XTB.

Poszkodowani, których jak dotąd może być ok. kilkudziesięciu, podejrzewają działanie zorganizowanej grupy przestępczej, która systematycznie atakuje konta inwestycyjne. Całkowita skala problemu nie jest znana.

Piotr Konieczny, szef eksperckiego serwisu Niebezpiecznik.pl, w rozmowie z money.pl wskazuje na podobieństwa w historiach poszkodowanych. - Jak na razie wygląda na to, że mamy do czynienia z kolejnym atakiem przeprowadzonym niemal "jeden do jednego", jak w przypadku pana Łukasza - mówi.

Konieczny twierdzi, że może to być atak typu "credential stuffing". - Ten rodzaj ataku polega na wykorzystaniu par login-hasło pochodzących z wcześniejszych wycieków danych z innych serwisów. W przypadku XTB sytuacja jest szczególnie ryzykowna, ponieważ loginem jest adres e-mail użytkownika, co ułatwia atakującym przeprowadzenie zautomatyzowanych prób logowania - tłumaczy.

Zdaniem eksperta istnieje prawdopodobieństwo, że poszkodowani używali tego samego lub podobnego hasła w różnych serwisach, a jedno z nich wyciekło i znalazło się w bazie danych wykorzystywanej przez cyberprzestępców. - Warto pamiętać, że bez włączonego uwierzytelniania dwuskładnikowego, samo poznanie hasła wystarczyło do przejęcia pełnej kontroli nad kontem inwestycyjnym - zwraca uwagę Konieczny.

Adam Haertle, założyciel branżowego portalu Zaufana Trzecia Strona, również zauważa podobieństwa w atakach. - Z reguły przestępcy, gdy uda im się opracować nową technikę kradzieży środków z konta ofiary, nie poprzestają na jednym włamaniu. Starają się zmaksymalizować swoje zyski i okraść tyle ofiar, ile zdążą, zanim metoda zostanie wykryta i zastopowana. Możliwe zatem, że ofiar podobnych kradzieży może być więcej, jednak jeszcze nie wszystkie o tym wiedzą - wskazał w rozmowie z money.pl.

Chociaż "credential stuffing" wydaje się najbardziej prawdopodobnym scenariuszem, eksperci wskazują również inne potencjalne metody, które mogły zostać wykorzystane w opisywanym na początku tekstu ataku.

Infekcja urządzenia złośliwym oprogramowaniem typu infostealer mogła umożliwić przechwycenie tokenu aktywnej sesji użytkownika. W takiej sytuacji nawet unikalne hasło nie stanowiłoby wystarczającej ochrony, chyba że każda operacja wymagałaby dodatkowego potwierdzenia kodem autoryzacyjnym.

Mniej prawdopodobne, ale również możliwe scenariusze obejmują wykorzystanie luki w zabezpieczeniach samej platformy XTB lub udział nieuczciwego pracownika brokera (tzw. insider threat). Te wektory ataku zostawiają jednak charakterystyczne ślady, które powinny zostać wykryte podczas dochodzenia prowadzonego przez organy ścigania. Obecnie nie ma podstaw ani poszlak wskazujących na takie scenariusze.

Atak na użytkowników XTB jest przeprowadzany według przemyślanego scenariusza. Pierwszym krokiem jest wyłączenie wszystkich powiadomień na koncie ofiary. Dzięki temu, kiedy zaczynają działać na koncie, ofiara nie dostaje żadnych powiadomień.

Środki ofiar wykorzystywane są do transakcji, na których cyberprzestępcy zarabiają - inwestowanie w konkretne narzędzia dowodzą, że atakujący mają odpowiednią wiedzę. Ofiary realnie też tracą, bo środki "zużyte" do inwestycji są w zasadzie nie do odzyskania.

Biuro prasowe XTB w odpowiedzi na prośbę o komentarz potwierdza, że problem istnieje. Przedstawiciele firmy podkreślają, że zazwyczaj złodzieje przejmujący konto wykorzystują dane do logowania (adres mailowy oraz hasło) pozyskane bezpośrednio z komputera użytkownika. "Sprawdzają, czy te same dane umożliwiają logowanie się również do innych kont. Jest to skuteczna metoda, kiedy klienci używają tych samych haseł w wielu serwisach i dodatkowo nie posiadają zabezpieczeń w postaci 2FA" - wyjaśnia XTB.

"Jesteśmy w stanie ostrzec klientów o potencjalnym zagrożeniu i powiadomić o konieczności zmiany hasła. Niestety, część klientów ignoruje te powiadomienia, wobec czego w tym tygodniu rozpoczęliśmy automatyczne włączanie 2FA klientom w Polsce" - czytamy w przesłanym nam komentarzu.

Dwuskładnikowe uwierzytelnianie (2FA) to metoda zabezpieczania kont, która wymaga podania dwóch różnych form potwierdzenia tożsamości podczas logowania. Eksperci ds. cyberbezpieczeństwa podkreślają, że wdrożenie 2FA może zmniejszyć ryzyko nieautoryzowanego dostępu do kont nawet o 99 proc., skutecznie blokując większość prób wyłudzeń danych.

Robert Kędzierski, dziennikarz money.pl