Włamania na konta XTB i kradzież środków – jak do tego doszło?

3 dni temu

W ostatnich dniach sieć obiegły informacje o włamaniach na konta klientów XTB. Użytkownicy zgłaszali nieautoryzowane transakcje oraz kradzież środków z rachunków inwestycyjnych. Zdarzenia te wywołały szeroką dyskusję na temat skuteczności zabezpieczeń stosowanych przez brokera oraz odpowiedzialności za utracone środki.

Na czym polegała kradzież środków?

Obecnie brak jest oficjalnego stanowiska w sprawie, dlatego można jedynie opierać się na najbardziej prawdopodobnych scenariuszach. Wydaje się, iż osoby, którym włamano się na konta, padły ofiarą wycieku, odgadnięcia lub zhakowania haseł dostępowych do rachunków, a jednocześnie nie korzystały z dwuskładnikowego uwierzytelniania (2FA). W takiej sytuacji, posiadając hasło i numer konta, przestępcy mogli bez większych przeszkód zalogować się na rachunek ofiary.

Dwuskładnikowe uwierzytelnianie (2FA) jest dostępne w XTB od końca sierpnia 2024 roku.

Warto jednak zaznaczyć, iż wypłata środków z rachunku inwestycyjnego jest możliwa wyłącznie na konto bankowe lub kartę należące do właściciela rachunku. To oznacza, iż bezpośrednia kradzież poprzez wypłatę środków na rachunek przestępcy jest bardzo utrudniona.

Najbardziej prawdopodobny mechanizm działania polegał więc na dokonywaniu przeciwstawnych transakcji (tzw. hedge) na tych samych instrumentach, ale na różnych rachunkach. Oszuści mogli otwierać pozycje o przeciwnych kierunkach na koncie ofiary i na własnym koncie, powtarzając ten proceder do momentu, aż saldo rachunku ofiary zostało wyzerowane, a zysk pojawił się na koncie przestępcy.

Jeśli sprawcy byli dobrze zorganizowani, prawdopodobnie wykorzystywali do tego celu kilka różnych kont brokerskich w różnych instytucjach na świecie. W takim przypadku, zwłaszcza przy transakcjach CFD, szanse na wykrycie sprawców są minimalne. o ile jednak wszystkie transakcje odbywały się w ramach XTB, istnieje możliwość porównania transakcji na koncie ofiary z innymi, zawieranymi w tym samym czasie, co może pomóc w zawężeniu kręgu podejrzanych.

Czy proces kompensacyjny ma zastosowanie w tej sytuacji?

Kluczowe pytanie dotyczy tego, czy klienci XTB mogą liczyć na zwrot środków w ramach programów kompensacyjnych w przypadku włamania na konto i kradzieży środków przez cyberprzestępców. Odpowiedź nie jest jednoznaczna:

  • Programy kompensacyjne (np. ICF, FSCS) chronią środki klientów na wypadek upadłości brokera, a nie bezpośrednio w przypadku kradzieży z konta wynikającej z cyberataku lub błędu po stronie użytkownika.
  • W przypadku nieautoryzowanych transakcji klient powinien jak najszybciej zgłosić incydent do XTB. Broker przeprowadza własne postępowanie wyjaśniające, a ewentualny zwrot środków zależy od wyników tego postępowania oraz od tego, czy klient dochował należytej staranności w zakresie ochrony swoich danych (np. nie udostępniał loginu i hasła osobom trzecim, korzystał z 2FA etc.).
  • Jeśli środki zostały utracone w wyniku rażącego niedbalstwa lub świadomego udostępnienia danych, klient może nie otrzymać zwrotu. Programy kompensacyjne nie obejmują przypadków, gdy środki zostały skradzione z konta w wyniku działań cyberprzestępców, a nie upadłości brokera.

Perspektywa klientów

  • Zgłaszane przypadki: Klienci informowali o utracie środków mimo stosowania standardowych zabezpieczeń. Część z nich twierdzi, iż nie otrzymała wystarczającej pomocy lub jasnej informacji o procedurze reklamacyjnej.
  • Obawy o bezpieczeństwo: Użytkownicy wskazują na potrzebę wprowadzenia obowiązkowego uwierzytelniania dwuskładnikowego (2FA) dla wszystkich kont, a nie tylko jako opcji dodatkowej.

Stanowisko XTB i stosowane zabezpieczenia

XTB podkreśla, iż stosuje zaawansowane środki bezpieczeństwa, takie jak szyfrowanie SSL, monitorowanie nietypowych aktywności, autoryzacja dostępu oraz możliwość włączenia 2FA. Firma regularnie ostrzega przed phishingiem i klonowaniem stron (informujemy o tym także na naszej stronie w dziale Lista Ostrzeżeń), apelując o ostrożność i nieudostępnianie danych logowania.

W odpowiedzi na rosnące zagrożenia XTB wdraża kolejne rozwiązania mające zwiększyć bezpieczeństwo klientów. Od 14 lipca klienci mogą korzystać z nowej metody dwuskładnikowego uwierzytelniania – TOTP (Time-based One-Time Password). Pozwala ona generować jednorazowe kody w popularnych aplikacjach takich jak Google Authenticator, Microsoft Authenticator czy Apple Passwords, co stanowi istotne uzupełnienie dotychczas stosowanych kodów SMS. Rozszerzenie dostępnych metod 2FA to kolejny krok w kierunku podniesienia poziomu ochrony środków inwestorów oraz ograniczenia ryzyka nieautoryzowanego dostępu do rachunków.

Stanowisko XTB oraz zaprezentowane dane pokazują, iż problem cyberzagrożeń dotyczy całego rynku finansowego i nie jest wyłącznie kwestią jednej instytucji (zresztą o podobnych przypadkach włamań słyszało się już i dekadę temu). Spółka podkreśla, iż liczba incydentów bezpieczeństwa w Polsce dynamicznie rośnie, a metody stosowane przez cyberprzestępców są coraz bardziej zaawansowane. W związku z tym XTB nie tylko stale udoskonala swoje zabezpieczenia technologiczne, ale również prowadzi działania edukacyjne skierowane do klientów, zachęcając do zachowania ostrożności i korzystania z oficjalnych procedur reklamacyjnych w przypadku jakichkolwiek wątpliwości.

Warto dodać, iż spółka weryfikuje wszystkie zgłaszane przypadki indywidualnie, nie komentując publicznie szczegółów dotyczących poszczególnych klientów czy operacji na ich rachunkach. Takie podejście ma na celu ochronę prywatności użytkowników oraz zapewnienie rzetelnego wyjaśnienia każdej sytuacji zgodnie z obowiązującymi przepisami i wewnętrznymi procedurami.

Tabela: Zastosowanie programu kompensacyjnego w przypadku cyberataku

Sytuacja Czy program kompensacyjny działa? Wyjaśnienie
Upadłość brokera Tak Klient otrzymuje zwrot środków do określonego limitu
Kradzież środków z konta przez cyberatak Nie Zwrot zależy od wyniku postępowania reklamacyjnego i okoliczności incydentu
Utrata środków przez zaniedbanie klienta Nie Klient ponosi pełną odpowiedzialność

Jak włączyć 2FA w XTB?

2FA można uruchomić z poziomu aplikacji mobilnej oraz platformy webowej.

  • W celu uruchomienia 2FA w aplikacji mobilnej, kliknij w ikonę profilu w lewym górnym rogu -> Ustawienia -> Uwierzytelnianie dwuskładnikowe.
  • W celu uruchomienia 2FA na platformie webowej, kliknij w trzy kreski w prawym górnym rogu -> Ustawienia -> Uwierzytelnianie dwuskładnikowe.

Podsumowanie

Ostatnia afera z włamaniami na konta XTB (wpis na Wykop.pl) unaoczniła, jak istotne są zarówno zaawansowane zabezpieczenia po stronie brokera, jak i ostrożność użytkowników. Programy kompensacyjne nie obejmują przypadków kradzieży środków przez cyberprzestępców – najważniejsze jest szybkie zgłaszanie incydentów i kooperacja z działem bezpieczeństwa XTB. W najbliższych miesiącach firma wdroży obowiązkowe 2FA, co powinno istotnie podnieść poziom ochrony środków klientów.

Jak chronić swoje środki i dostęp do rachunku

Aby skutecznie chronić swoje środki i dane na platformach inwestycyjnych, warto stosować się do poniższych zasad:

  1. Silne i unikalne hasła
    Twórz hasła składające się z minimum 12 znaków, zawierające wielkie i małe litery, cyfry oraz znaki specjalne. Nie używaj tego samego hasła do różnych serwisów. Regularnie zmieniaj hasło do konta inwestycyjnego.

  2. Aktywuj dwuskładnikowe uwierzytelnianie (2FA)
    Włącz 2FA (np. SMS lub aplikacja typu Authenticator) i korzystaj z niego przy każdym logowaniu oraz operacjach wrażliwych. Nie udostępniaj nikomu kodów jednorazowych.

  3. Chroń dane logowania
    Nigdy nie podawaj loginu i hasła osobom trzecim, choćby jeżeli podają się za pracowników brokera. Nie zapisuj haseł w przeglądarce ani na komputerze w formie niezaszyfrowanej.

  4. Uważaj na phishing i fałszywe strony
    Zawsze sprawdzaj adres strony logowania – korzystaj wyłącznie z oficjalnej witryny brokera. Nie klikaj w podejrzane linki otrzymane e-mailem, SMS-em czy przez komunikatory.

  5. Aktualizuj oprogramowanie
    Regularnie aktualizuj system operacyjny, przeglądarkę i aplikacje, z których korzystasz do obsługi rachunku. Korzystaj z aktualnego systemu antywirusowego.

  6. Monitoruj swoje konto
    Regularnie sprawdzaj historię operacji na rachunku. W przypadku wykrycia nieautoryzowanych działań natychmiast zgłaszaj je do brokera.

  7. Zachowaj ostrożność w sieci
    Nie korzystaj z publicznych, niezabezpieczonych sieci Wi-Fi do logowania na konto inwestycyjne. Wylogowuj się z konta po zakończeniu sesji.

  8. Korzystaj z oficjalnych kanałów kontaktu
    W razie wątpliwości lub podejrzenia oszustwa kontaktuj się wyłącznie przez oficjalne kanały brokera. Nie przekazuj poufnych informacji przez media społecznościowe czy nieznane numery telefonów.

Stosowanie powyższych zasad znacząco ogranicza ryzyko utraty środków i dostępu do rachunku przez osoby niepowołane.

Idź do oryginalnego materiału
  1. Strona główna
  2. Giełda
  3. Włamania na konta XTB i kradzież środków – jak do tego doszło?

Polecane

Gdzie obejrzeć finał Wimbledonu? Stream online z Anisimova - Świątek

Gdzie obejrzeć finał Wimbledonu? Stream online z Anisimova -...

1 godzina temu
Świątek była trzy gemy od wygrania finału. "To się w głowie nie mieści"

Świątek była trzy gemy od wygrania finału. "To się w głowie ...

1 godzina temu
Turniej w Łodzi wkroczył w decydującą fazę. Polak zagra o finał

Turniej w Łodzi wkroczył w decydującą fazę. Polak zagra o fi...

4 godzin temu
Nowy finał, nowe wyzwanie. Jannik Sinner zapomniał o Paryżu

Nowy finał, nowe wyzwanie. Jannik Sinner zapomniał o Paryżu

5 godzin temu
Pracowity dzień Polek w Kozerkach. Sukces zdolnej 16-latki

Pracowity dzień Polek w Kozerkach. Sukces zdolnej 16-latki

6 godzin temu
Donald Tusk wypalił po awansie Świątek do finału Wimbledonu. Hit!

Donald Tusk wypalił po awansie Świątek do finału Wimbledonu....

6 godzin temu
Djoković nagle wypalił o końcu kariery po Wimbledonie. "To mnie uderza"

Djoković nagle wypalił o końcu kariery po Wimbledonie. "To m...

7 godzin temu
Novak Djoković zaniepokojony. "Ciało nie chce mnie słuchać"

Novak Djoković zaniepokojony. "Ciało nie chce mnie słuchać"

7 godzin temu
Djoković przegrał w półfinale Wimbledonu. Po meczu niepokojące słowa, w tle koniec kariery

Djoković przegrał w półfinale Wimbledonu. Po meczu niepokoją...

7 godzin temu