PKO Bank Polski wystosował komunikat w odpowiedzi na opisaną historię o kradzieży za pomocą internetowego systemu transakcyjnego iPKO.

Dnia 3 czerwca 2015 roku opisaliśmy historię, której treść nadesłał nam na skrzynkę kontaktową czytelnik. Znaleźć ją można w odrębnym artykule, który traktuje o kradzieży z wykorzystaniem internetowego konta transakcji bankowych – iPKO.

W związku z opublikowanym materiałem, którego treść oparliśmy na relacji samego poszkodowanego, otrzymaliśmy odpowiedź od przedstawicieli banku. Przekazujemy oficjalne informacje, powiązane z opisywanym zdarzeniem.

W wiadomości e-mail otrzymaliśmy m.in. poniższe wyjaśnienie:

Opisana kradzież nie polegała na złamaniu zabezpieczeń serwisu iPKO, ale na wyłudzeniu danych od Klienta – prawdopodobnie za pośrednictwem wirusa na jego komputerze ( Klient sam podał wszystkie dane potrzebne do logowania). Zabezpieczenia naszego serwisu internetowego nie zostały więc złamane, dlatego nie można pisać o „włamaniu do serwisu iPKO” – raczej o wyłudzenie danych (przy pomocy złośliwego oprogramowania), które umożliwiło przestępcy zalogowanie się do serwisu i przelanie pieniędzy na konto w innym banku.

Ciężko w tym momencie jednoznacznie określić jak działał włamywacz – czy wydobył hasło poprzez phishing, dowolną inną metodą, czy jednak złamał zabezpieczenia iPKO, jednak pozostaje wierzyć oficjalnym informacjom. Ponadto, bank informuje, że adres https://www.ipko.pl/nowe prowadzi do serwisu PKO Banku Polskiego – nie twierdziliśmy, że jest inaczej, a poprzedni tekst wskazywał jedynie na inny, zbliżony adres, który pojawił się w historii przeglądarki obok poprawnego. Przekazano nam również inne poprawne odnośniki do stron transakcyjnych: https://www.ipko.pl/, https://www.ipkobiznes.pl/kbi, https://inteligo.pl/secure, których obecności w pasku adresu nie należy się obawiać.

Przedstawiciel banku zwrócił także uwagę na to, że bank nie „umywa rąk” od całej historii, reklamacja została przyjęta i jest rozpatrywana, choć nieznane są jeszcze żadne konkretne decyzje w tej sprawie.

Otrzymaliśmy również informację o tym, że PKO stara się prowadzić politykę informacyjną w sprawie zagrożeń i wyczula swoich klientów na różnego rodzaju próby wyłudzeń haseł czy loginów. Ze strony Bezprawnik.pl również alarmujemy i przestrzegamy przed przekazywaniem swoich danych dostępowych. Oto fragment wiadomości od przedstawiciela banku, zawierający istotne porady praktyczne, z którymi polecamy się zapoznać:

Zawsze ostrzegamy Klientów, aby pod żadnym pozorem nie odpowiadali na podejrzane wiadomości i nie udostępniali nikomu swoich danych osobowych, loginu i haseł do konta, kodów jednorazowych, danych dotyczących karty płatniczej – PIN-u i kodu CVV. Radzimy też, aby logując się do serwisu transakcyjnego, zawsze upewnić się, czy połączenie jest szyfrowane, sprawdzając, czy adres strony w oknie przeglądarki rozpoczyna się od https:// oraz czy na pasku u dołu lub u góry ekranu (w zależności od wykorzystywanej przeglądarki) pojawia się ikona z zamkniętą kłódką – jej obecność potwierdza, że strona jest zabezpieczona certyfikatem bezpieczeństwa, a połączenie jest szyfrowane. Po kliknięciu na kłódkę należy sprawdzić poprawność oraz aktualność certyfikatu. Należy zwrócić uwagę, że tylko połączenie poprawnego adresu oraz poprawnej treści certyfikatu gwarantuje, że strona jest legalna i można się na niej bezpiecznie logować.
(…)
Jeżeli niestety Klient podał jakiekolwiek dane na stronie internetowej przypominającej nasz serwis, powinien niezwłocznie skontaktować się z naszym konsultantem pod jednym z numerów: 801 307 307, 800 121 121 (numer dla dzwoniących w kraju) lub +48 81 535 60 60, +48 81 535 67 89 (numer dla dzwoniących w kraju, z zagranicy i z telefonów komórkowych). Reklamacje są w takich przypadkach rozpatrywane indywidualnie.

Uprzejmie dziękujemy PKO BP za zainteresowanie się sprawą. Obecnie czekamy na dalszą odpowiedź od naszego czytelnika, który zweryfikuje postęp rozpatrywania reklamacji. Postaramy się na bieżąco informować o wszelkich wydarzeniach, które mogą pomóc czytelnikom w zapobieganiu potencjalnych kradzieży.