Jeden z klientów XTB opisał w mediach społecznościowych atak hakerski, w wyniku którego stracił spore pieniądze. Tego samego dnia broker poinformował o wprowadzeniu nowych funkcji mających zwiększać bezpieczeństwo użytkowników platformy inwestycyjnej.
W niedzielę 6 lipca na portalu Wykop.pl pojawił się wpis opisujący przypadek jednego z klientów XTB, który (prawdopodobnie) w wyniku ataku hakerskiego stracił ok. 150 000 zł. Po włamaniu na konto, przestępca dokonał wielu stratnych transakcji, (prawdopodobnie) będąc ich beneficjentem po drugiej stronie, w wyniku czego doszło do utraty pieniędzy. Taki sposób został wybrany, ponieważ wypłata pieniędzy bezpośrednio na obcy, niezweryfikowany rachunek nie jest w XTB możliwe.
Klient XTB opisał w szczegółach całe zdarzenie, podając kilka kluczowych informacji (m.in. brak aktywacji uwierzytelniania dwuskładnikowego 2FA, logowanie się hakera z nieznanego IP) oraz opisując podjęte działania (reklamacja u brokera, zawiadomienie policji). Do opisu dołączone zostały sprawozdania z platformy tradingowej XTB. Wcześniejwpisy opisujące ten sam przypadek zostały opublikowane m.in. na grupie facebookowej Inwestomat oraz na portalu LinkedIn.
Do tej pory XTB nie odniosło się bezpośrednio do opisanego wyżej przypadku, a pytane przez nas biuro prasowe stwierdziło, że nie udziela informacji dotyczących sytuacji na kontach klientów. Jednocześnie w dniu, w którym w mediach społecznościowych zaroiło się od dyskusji na temat poziomu bezpieczeństwa klientów XTB, broker poinformował o wprowadzeniu nowych rozwiązań w tym obszarze.
– Kwestie związane z cyberbezpieczeństwem stanowią obecnie jedno z najważniejszych wyzwań dla fintechów na całym świecie. Dane CERT NASK wskazują, że tylko w 2024 r. w całym kraju zarejestrowano 103 449 unikalne incydenty bezpieczeństwa, co było wzrostem aż o 29% względem 2023 r. Dlatego polska platforma inwestycyjna nieustannie udoskonala zarówno wewnętrzne procedury, jak i wykorzystywane rozwiązania technologiczne – opisuje XTB w komunikacie prasowym z 7 lipca.
W tym kontekście warto przypomnieć, że uwierzytelnianie dwuskładnikowe w XTB zostało uruchomione dopiero latem 2024 r. (w formie SMS). Więcej na ten temat pisaliśmy w artykule XTB wprowadza 2FA. Nareszcie.
XTB poprawia 2FA
Jak dziś poinformowało XTB, od poniedziałku 14 lipca, klienci będą mogli korzystać z nowej metody - TOTP (Time-based One-Time Password). Polega ona na generowaniu jednorazowych kodów w popularnych aplikacjach, takich jak Google Authenticator, Microsoft Authenticator czy Apple Passwords.
– Bezpieczeństwo środków klientów XTB jest dla nas najwyższym priorytetem. Dlatego podjęliśmy działania w trzech obszarach: dalsze ulepszanie i rozwój metod uwierzytelniania dwuskładnikowego, obligatoryjne zabezpieczanie kont klientów przez 2FA oraz aktywną komunikację i edukację z zakresu bezpieczeństwa. Zdajemy sobie sprawę, że oszustwa internetowe stanowią realne zagrożenie, dlatego udostępniamy inwestorom narzędzia ochrony oraz aktywnie angażujemy się w działania edukacyjne związane z cyberbezpieczeństwem – mówi cytowany w komunikacie Adam Dubiel, Chief Product & Technology Officer w XTB.
Z informacji przekazanych przez samego brokera wynika, że tylko nieco ponad 10% klientów XTB korzysta z zabezpieczenia konta za pomocą 2FA. W obszarze tym zajdą zmiany, a XTB odejdzie od konieczności samodzielnego włączania zabezpieczeń.
– Dlatego w trosce o bezpieczeństwo inwestorów w drugiej połowie lipca rozpocznie się proces włączania uwierzytelnienia dwuskładnikowego dla obecnych klientów. Ponadto w IV kwartale 2025 każdy nowy klient będzie miał włączone 2FA już w momencie zakładania konta – informuje XTB.
Komentuje Michał Masłowski, wiceprezes Stowarzyszenia Inwestorów Indywidualnych
Instytucje finansowe i klienci muszą wspólnie odpierać ataki hakerów
O bezpieczeństwie na rynku finansowym trzeba rozmawiać zawsze. Z reguły jednak rozmawia się o tym wtedy, gdy akurat gdzieś komuś wyciekną hasła do rachunku i inwestor straci przez to pieniądze. Wtedy oczywiście jest często już za późno.
W dzisiejszych czasach atakowani są wszyscy i wszędzie. Nigdy w historii użytkownicy internetu nie byli atakowani na taką skalę. I oczywiście należy założyć, że powszechność tego zjawiska będzie w przyszłości tylko rosła. Mało tego, nie musisz mieć eksponowanego stanowiska publicznego, żeby być celem ataku. Hakuje się wszystko, od znanych serwisów po urządzenia końcowe nieświadomych użytkowników. A to żeby kopać na urządzeniach kryptowaluty, by włamać się do jakiegoś serwisu itp. I pal licho jak akurat wycieknie Twoje hasło do TikToka, gorzej gdy taki haker dobierze się do Twojego rachunku maklerskiego, gdzie będziesz miał zgromadzone oszczędności życia.
Więc takie „drobiazgi” jak 2FA (MFA) – podwójne uwierzytelnienie za pomocą, czy to haseł SMS-owych (to nie jest najlepsza metoda), czy to haseł jednorazowych z aplikacji typu Google Authenticator to wręcz obowiązek w przypadku logowania się do wszelkich rachunków, gdzie posiadamy nawet drobne kwoty. Nie posiadanie takich zabezpieczeń jest tylko proszeniem się o problemy.
Mam takie wrażenie, że inwestorzy bardzo często zbyt dużo czasu poświęcają na wybór między dwoma ETF-ami, z których jeden ma opłatę za zarządzanie 0,05%, a drugi 0,07%. Nie mówię, żeby tego nie robić. Ale najpierw zadbajmy o to, żeby pieniądze przeznaczone na te inwestycje były bezpieczne. Bez tego ani rusz. To tak jak zapięcie pasów bezpieczeństwa tuż po zajęciu miejsca w samochodzie. Tak samo powinniśmy myśleć o naszych pieniądzach.
To tyle „obowiązków” po stronie użytkowników. Takiego samego podejścia oczekuję od instytucji finansowych, dla których bezpieczeństwo ich klientów powinno najwyższym celem. Każdy bank, każde biuro maklerskie, czy robo-doradca powinien mieć wdrożone absolutnie najwyższe standardy i najnowsze rozwiązania technologiczne z zakresu cyberbezpieczeństwa.
Nie ukrywam także, że oczekiwałbym również bardzo proklienckiego podejścia w przypadku, gdy taki inwestor zostanie ofiarą ataku, jego hasło gdzieś wycieknie, a na jego rachunku zaczną się dziać bardzo niepokojące rzeczy. Nieśmiało zasugeruję: może jakiś alert dla klienta, że na jego rachunku zaczęły się dziać bardzo nietypowe transakcje, które nie odpowiadają jego dotychczasowemu profilowi inwestycyjnemu? Może telefon do takiego klienta?
Takie procedury z pewnością ułatwiłyby potem rozwiązywanie wszelkich niezwykle problematycznych spraw. W końcu chodzi o nasze ciężko zarobione pieniądze. Na rynku finansowym jest wystarczająco dużo ryzyk rynkowych, na pozostałe, takie jak ryzyko ataku hakerskiego nie ma się co bez sensu wystawiać.
Cyberbezpieczeństwo – jak nie dać się okraść na rynku finansowym?
Tematowi cyberbezpieczeństwa poświęcony był jeden z wykładów na ForFin 2024. Na ten istotny dla wszystkich oszczędzających i inwestujących temat mówił Tomasz Chomicki dyrektor ds. rozwoju biznesu Samsung Electronics Polska.
