Banco processa cliente vítima de cibercriminosos

O banco PlainsCapital vai processar um cliente vítima de um roubo no valor de 800 mil dólares, perpetrado por cibercriminosos, num caso capaz de abrir um precedente sobre a responsabilidade dos clientes na protecção das suas contas online.

dinheiroO incidente foi noticiado pelo blogger Brian Krebss esta semana e envolve o banco sedeado em Lubbock, PlainsCapital e o seu cliente Hillary Machinery Inc. of Plano.
Em Novembro, atacantes desconhecidos baseados na Roménia e Itália iniciaram uma série de transferências não autorizadas das contas da Hillary, depauperando-a em 801, 495 dólares. Perto de 600 mil foram recuperados mais tarde pela PlainsCapital.

A Hillary pediu que o banco pagasse o resto do dinheiro roubado. Numa carta à instituição em Dezembro, a Hillary argumentou que o roubo aconteceu porque o PlainsCapital falhou na implementação de medidas de segurança adequadas.

O banco decidiu logo processar o cliente pedindo ao tribunal para certificar que os procedimentos de segurança seguidos no caso da Hillary “foram comercialmente razoáveis”. Na sua queixa, o banco assinalou que desenvolveu todos os esforços para recuperar o dinheiro roubado.

O banco contesta a sua culpabilização argumentando que as ordens de transferência foram colocadas com credenciais válidas, pertencentes à Hillary Machinery. “O PlainsCapital aceitou as ordens de transferência de boa fé”, e por isso não quebrou nenhum dos seus compromissos com a Hillary, disse o banco.

A queixa em si não é muito vulgar por não exigir nada específico da Hillary. Embora tudo o que pede ao tribunal é que certifique os seus sistemas são razoavelmente seguros.
Troy Owen, o vice-presidente da Hillary para o marketing, contestou os argumentos do banco. Owen insistiu que a falha do banco na implementação de uma autenticação forte e medidas de detecção de fraudes que possibilitou o crime.

“O banco está a fazer o que os advogados lhes estão a dizer para fazer: negar tudo”, diz Owen. “Eles obviamente não se podem expor e dizer agora que os seus sistemas são inseguros, e por isso estão a acossar-nos e tentar assustar-nos com um processo,” diz Owen. Este argumenta que a Hillary não tinha a mais pequena ideia sobre como ou quando as suas credenciais de banca online foram violadas por criminosos.
Embora as transferências tivessem sido iniciadas usando credenciais de login válidas,
houve vários detalhes que deveriam ter alertado as autoridades bancárias para a existência de problemas, disse Owen. A maior bandeira vermelha devia ter sido o facto de o dinheiro estar a ser transferido para destinos estrangeiros, operações nunca antes realizadas com a conta da Hillary, revelou Owen.

O facto de dezenas de transferências terem sido feitas num período de dois a três dias, muitas envolvendo somas diferentes do habitual na Hilary, deveria ter sido outra pista de actividade fraudulenta, disse. Algumas das transferências envolviam somas superiores a cem mil dólares, enquanto outras eram tão pequenas quanto 2,5 dólares. Cada uma das transferências era realizada também para uma conta diferente, prática muito invulgar, na empresa. As transferências típicas da Hillary envolvem o mesmo conjunto de contas, diz. De acordo com Owen, a operação dos ladrões foi facilitada pelas medidas fracas de autenticação, empregues pelo banco.
Além dos nomes de utilizador e palavras-chave, a outra autenticação exigida pelo banco era que os utilizadores registassem os sistemas usados para transacções bancárias online. Contudo essa medida era claramente insuficiente porque neste caso, os cibercriminosos podiam entrar na conta de Hillary usando sistemas baseados na Roménia e Itáliam, explicou.
Um relatório disponibilizado pelo banco mostra que este recebeu dois pedidos de registo de computadores em nome da empresa um pouco antes dos ataques. Embora os pedidos parecessem ter vindo da Hillary, os computadores de onde foram mandados tinham endereços IP baseados em Itália e na Roménia, revelou.

“Eles nunca desafiaram quem quer que se autenticasse com um computador diferente. Nunca houve uma bandeira vermelha”, disse Owen. Embora o PlainsCapital tenha argumentado que o registo do computador representa uma segunda forma de autenticação, os roubos mostram que as medida não é suficientemente forte, considera o executivo da empresa. ” Estão a tentar levar o tribunal a dizer que os sistemas deles são seguros. O seu relatório é a prova de que não é”, defende Owen.
Um porta-voz do PlainsCapital, diz que o banco não quer fazer quaisquer comentários, além, das declarações já prestadas no processo. “O PlainsCapital acredita que o processo fala por si mesmo,” diz Foleter. O banco pretende sustentar que a instituição não foi vítima de uma ciber-ataque.
O caso é muito invulgar porque pela primeira vez um banco lança um processo contra um cliente vítima de um roubo. Noutros casos, são companhias a processar os seus bancos por falharem na implementação de medidas de segurança.
A Hillary ainda está a tentar decidir quais serão os seus próximos passos, mas de acordo com o seu advogado, Patrick Madden, a empresa vai apresentar uma resposta defendendo ter sido a falha do banco no controlo das suas medidas de segurança.




Deixe um comentário

O seu email não será publicado