Były pracownik działu IT dużej polskiej firmy opisuje jak hakerzy włamują się na konta bankowe Polaków przez publiczne wifi i jakie dwa ustawienia w telefonie zamykają tę lukę bezpieczeństwa natychmiast

Warszawska kawiarnia, godzina 17:20. Przy oknie siedzi chłopak w bluzie z kapturem, przed nim latte, MacBook i telefon. Co chwilę zerka na ekran, jakby czekał na przelew. Przy sąsiednim stoliku para po pięćdziesiątce loguje się do banku, żeby „na szybko” opłacić rachunki. Hasło wpisywane w pośpiechu, publiczne wifi, standardowa zgoda na regulamin sieci. Wszystko wygląda zwyczajnie, spokojnie, rutynowo.

Pięć minut później na koncie tej pary pojawia się nieautoryzowany przelew. W tle nie słychać żadnego alarmu, tylko spieniacz mleka.

Były pracownik działu IT dużej polskiej firmy siedzi dziś po drugiej stronie tej historii. I opowiada, jak łatwo jest to zrobić – i jak dwa banalne ustawienia w telefonie potrafią uciąć ten numer w sekundę.

„Myślałem, że to film sensacyjny, a to była moja praca”

– Na początku miałem wrażenie, że trafiłem do filmu – mówi Marek, dziś freelancer, wcześniej administrator w dziale IT sporej korporacji z Warszawy. Przez kilka lat dostawał zgłoszenia, które wyglądały jak scenariusz thrillera: znikające oszczędności, puste konta firmowe, wyczyszczone limity kart.

W większości przypadków schemat był nudnie prosty. Publiczne wifi w galerii, na dworcu, w kawiarni. Logowanie do banku, czasem do maila. Chwila nieuwagi, kilka klików. I ktoś zupełnie obcy dostaje coś, co nigdy nie powinno wyjść poza nasz ekran.

Marek dodaje tylko jedno zdanie, które zostaje w głowie: *„To nie są superhakerzy. To rzemieślnicy, którzy wykorzystują nasze lenistwo”.*

Wszyscy znamy ten moment, kiedy siadasz w pociągu, włączasz wifi „PKP-free” czy inne darmowe i od razu odpalasz banking, bo wypadałoby wreszcie zapłacić za przedszkole albo ratę kredytu. Szybko, między jedną stacją a drugą.

Marek opowiada o sprawie, która przelała czarę. Młode małżeństwo, małe dziecko, kredyt na mieszkanie. Oboje pracują w IT, więc uważali się za „w miarę ogarniętych”. Na lotnisku w Gdańsku korzystali z darmowej sieci „Airport_Free_Wifi”. Nazwa wyglądała legitnie. Tyle że ktoś utworzył bliźniaczą sieć z bardzo podobną nazwą, którą telefon chętnie „zapamiętał”.

Po starcie samolotu przyszło powiadomienie: wypływ kilkudziesięciu tysięcy z konta. Nie kliknęli w żadnego linka, nie podali kodu przez telefon. Zrobili tylko jedno: zaufali publicznej sieci i starym ustawieniom swojego telefonu.

Logika ataku jest wstydliwie prosta. Telefon, który ma włączone automatyczne łączenie z sieciami wifi, szuka w tle czegoś „znajomego”. Hakerzy tworzą punkty dostępowe o takich samych lub bardzo podobnych nazwach jak popularne sieci – zresztą często silniejszy sygnał sprawia, że telefon „przeskakuje” na fałszywą.

Gdy już jesteś podpięty, można zrobić z twoim ruchem sieciowym naprawdę sporo. Od klasycznego podsłuchiwania nieszyfrowanych połączeń, przez wstrzykiwanie fałszywych stron logowania banku, po bardziej zaawansowane ataki typu „man-in-the-middle”. Nie musisz nic „kliknąć w dziwny link”, wystarczy, że twoja przeglądarka wykona żądanie, a ktoś je po drodze obejrzy i przerobi.

Powiedzmy sobie szczerze: nikt nie analizuje w podróży kłódek w adresie strony, certyfikatów SSL i drobnych różnic w domenie. Klikamy, bo chcemy „to tylko szybko załatwić”. I właśnie na to liczą.

Dwa ustawienia w telefonie, które ucinają zabawę

Marek powtarza wszystkim znajomym dwie rzeczy. Pierwsza: wyłącz automatyczne łączenie z otwartymi sieciami wifi. Druga: włącz uwierzytelnianie wieloskładnikowe w banku, oparte na oddzielnej aplikacji lub fizycznym potwierdzeniu, nie tylko na SMS-ie.

Brzmi banalnie, ale w praktyce drastycznie zmniejsza powierzchnię ataku. Gdy telefon przestaje sam „łapać” losowe sieci, haker musi cię aktywnie skusić – choćby fałszywą stroną logowania. A kiedy logowanie do banku wymaga dodatkowego potwierdzenia w aplikacji, nawet przechwycenie hasła czy sesji robi się dla niego dużo mniej opłacalne.

To trochę tak, jakby zamknąć drzwi na klucz i jeszcze założyć łańcuch. Da się wejść? Zawsze się da. Tylko po co się męczyć, skoro obok ktoś zostawił drzwi uchylone.

Druga rzecz, o której mało kto myśli: telefony lubią „pamiętać” sieci. Raz podłączysz się w galerii „Free_Mall_Wifi” i potem, gdy ktoś postawi podobną sieć w zupełnie innym miejscu, twoje urządzenie uzna ją za znajomą. Samo słowo „free” w nazwie powinno podnosić ci ciśnienie bardziej niż promocja na loty.

Marek przyznaje, że nawet w świecie IT ludzie mają problem z konsekwencją. Resetują hasła, instalują antywirusa, ale zostawiają stary, wygodny nawyk: „Niech telefon sam łączy się z tym, co złapie”. A hakerzy uwielbiają nasze skróty.

Patrząc szerzej, największy błąd to przekonanie, że skoro ktoś „nie jest milionerem”, to nie ma po co go atakować. Kradzież 1500 zł z konta zwykłej osoby to wciąż łatwy, szybki zysk. Dla ciebie to może być rata, czesne, czynsz. Dla nich – kolejny rzemieślniczy „strzał”.

„Najciekawsze było to, że w wielu incydentach mogliśmy dojść do konkretnego momentu: ktoś podłączył się do darmowego wifi w kawiarni czy pociągu. I często ta sama osoba nigdy nie włączyła uwierzytelniania w aplikacji bankowej, bo 'nie miała czasu się tym bawić’. Dwa kliknięcia wcześniej, trzy dni nerwów później.” – opowiada Marek.

• Wyłącz automatyczne łączenie z otwartymi sieciami – w ustawieniach wifi odznacz opcję „łącz automatycznie” przy publicznych sieciach.
• Włącz **uwierzytelnianie wieloskładnikowe** w banku – najlepiej oparte na aplikacji, nie tylko na SMS-ach.
• Korzystaj z danych komórkowych do bankowości – publiczne wifi zostaw na scrollowanie social mediów.
• Aktualizuj system i aplikacje – łatki bezpieczeństwa zamykają stare, dobrze znane dziury.
• Sprawdzaj nazwy sieci – drobna literówka w „Airport_Free_Wifi” może kosztować cię oszczędności.

Bez paranoi, ale z okiem otwartym szerzej

Z jednej strony łatwo wpaść w paranoję: nie łączyć się do niczego, nic nie klikać, najlepiej wyłączyć telefon i przerzucić się na gotówkę. Z drugiej – codzienność jest jaka jest. Kawiarnie, co-workingi, szybkie przelewy w taksówce, bilety kupowane na peronie w ostatniej chwili. Mobilne banki nie są fanaberią, tylko narzędziem do przeżycia miesiąca.

Gdzieś pomiędzy tymi skrajnościami jest zdrowy środek. Dwie minuty poświęcone na ustawienia telefonu potrafią sprawić, że nadal żyjesz wygodnie, ale nie grasz w ruletkę za każdy razem, gdy widzisz hasło „Free Wifi”. Nikt nie oczekuje, że będziesz adminem sieci we własnej kieszeni. Wystarczy, że zamkniesz te najbardziej oczywiste drzwi.

Może największa zmiana dzieje się nie w technologii, ale w głowie. Gdy następnym razem usiądziesz w kawiarni, na lotnisku czy w pociągu, możesz zadać sobie jedno proste pytanie: „Czy zaoszczędzone 50 MB transferu komórkowego są warte mojego konta?”. Odpowiedź zwykle przychodzi szybciej niż kawa.

FAQ:

• Pytanie 1 Czy samo korzystanie z publicznego wifi oznacza, że ktoś włamie mi się na konto?
  Nie, ale ryzyko rośnie. Samo podłączenie nie jest równoznaczne z atakiem, lecz tworzy idealne warunki, by ktoś przechwycił twoje dane logowania lub sesję.
• Pytanie 2 Czy bank zwróci mi pieniądze po takim włamaniu?
  Zależy od konkretnej sytuacji i regulaminu. Jeżeli bank uzna, że zaniedbałeś podstawowe zasady bezpieczeństwa, może próbować ograniczyć swoją odpowiedzialność.
• Pytanie 3 Czy VPN całkowicie mnie ochroni w publicznej sieci?
  VPN znacząco utrudnia przechwycenie twojego ruchu, ale nie jest magiczną tarczą. Jeśli wpiszesz dane na fałszywej stronie, sam je oddasz, niezależnie od tunelu VPN.
• Pytanie 4 Czy dane komórkowe są bezpieczniejsze niż wifi?
  W typowych warunkach tak. Sieci komórkowe są trudniejsze do podszycia się niż proste, otwarte punkty wifi i nie opierają się na publicznych routerach w kawiarni.
• Pytanie 5 Co z hasłem do wifi w restauracji – czy to już bezpieczna sieć?
  Hasło nie czyni sieci automatycznie bezpieczną. Wciąż korzystasz z infrastruktury, nad którą nie masz kontroli. Do przeglądania stron – w porządku. Do banku i przelewów – lepiej użyć danych komórkowych.