Rynek

Jak w banku

Bankowość elektroniczna: uważaj jak przelewasz

Kradzieże z kont obsługiwanych internetowo to od pewnego czasu nowa i bardzo intratna forma zarabiania przez przestępców. Kradzieże z kont obsługiwanych internetowo to od pewnego czasu nowa i bardzo intratna forma zarabiania przez przestępców. Mirosław Gryń / Polityka
Reklama bankowa zachęca: „Potrzebujesz gotówki? Sięgnij po najlepsze dla ciebie rozwiązanie”. Sięgnęli złodzieje.
W zetknięciu z wysoko zaawansowanym technologicznie hakerem tzw. zwykły klient nie ma wielu szans.Mirosław Gryń/Polityka W zetknięciu z wysoko zaawansowanym technologicznie hakerem tzw. zwykły klient nie ma wielu szans.

5 czerwca współwłaściciel niewielkiej firmy z Krakowa włączył laptopa i zajrzał na firmowe konto w Citibanku. Zaskoczony zobaczył, że w ciągu ostatnich godzin z konta dokonano siedmiu przelewów na rzecz spółki Dialcom24. W sumie wyprowadzono ok. 60 tys. zł. Od razu powiadomił bank, Dialcom24 i zgłosił kradzież policji.

9 czerwca o godz. 8 rano dziennikarka z Warszawy dostała esemesa z Citibanku o zmianie salda na jej koncie oszczędnościowym. Zajrzała i zobaczyła, że z jej konta zniknęło 86 tys. zł oszczędności. Ktoś dokonał dziewięciu przelewów na konto Dialcom24. Zawiadomiła bank, Dialcom24 i zgłosiła kradzież policji.

24 czerwca biznesmen ze Zgierza zauważył, że z konta firmy w Citibanku dokonano 11 przelewów, każdy na identyczną kwotę 998 zł i 54 gr. Uszczuplono też konto walutowe na ok. 1100 euro. Odbiorcą i tu był Dialcom24. Biznesmen zawiadomił bank, Dialcom24 i policję.

To tylko trzy przypadki z dłuższej listy bliźniaczych napadów na konta klientów Citibanku dokonanych w ostatnim czasie.

Okradzionych klientów Citibanku łączył jeden szczegół: korzystali kiedyś (jak wielu Polaków) z usług Dialcom24, obsługującej aplikację przelewy24. Pieniądze ze wszystkich tych okradzionych kont trafiły właśnie na rachunek Dialcom24, również prowadzony w Citibanku.

Ta poznańska firma jest pośrednikiem transferującym pieniądze między różnymi podmiotami. Klientami takich „integratorów płatności” (są nimi także m.in. popularne PayU, e-Card czy Polcard), bo tak się je w żargonie bankowym nazywa, są np. sklepy internetowe. Zasady działania integratorów są proste: sklep i integrator zawierają ze sobą umowę i integrują (stąd nazwa) swoje witryny i systemy tak, że po dokonaniu zakupu klient może szybko i łatwo dokończyć transakcję. Z witryny sklepu przechodzi na stronę wybranego integratora, stamtąd do swojego banku i po zalogowaniu się na swoje konto widzi już wypełniony przelew (z numerem rachunku odbiorcy i kwotą do zapłaty włącznie). Integratory z podpisaną z bankiem dodatkowo umową na współpracę (ich lista jest zwykle na stronie banku) wymagają dla lepszego bezpieczeństwa transakcji dodatkowego zautoryzowania transakcji poprzez jednorazowy kod. Po tym wszystkim klient jest automatycznie wylogowywany ze swojego konta i znów jest na stronie sklepu, gdzie czeka na niego potwierdzenie dokonania wpłaty.

Jaka z tego korzyść? Otóż klient wpłaca należność za zakupy na konto integratora, a ten (mając konta w wielu bankach) przesyła sprzedawcy pieniądze ze swojego konta prowadzonego w tym samym banku, z którego korzysta sklep. Wszystko po to, by prawie natychmiast pieniądze trafiły do sprzedawcy, bez czekania na realizację przelewu do sesji transakcji międzybankowych Eliksir. Ma to usprawnić i przyspieszyć internetowe zakupy.

Okradzeni klienci złożyli w banku reklamację, domagając się zwrotu pieniędzy z operacji, których nie przeprowadzili. Przedsiębiorca ze Zgierza zdziwił się jednak, gdy bank poinformował go, że konto Dialcom24 od kilku lat figurowało na utworzonej przez niego samego liście zaufanych odbiorców – przelewy z własnego konta na rzecz odbiorców z listy nie wymagają dodatkowych autoryzacji, żadnych jednorazowych kodów. Również pozostali twierdzą, że nie mieli pojęcia, że na ich zaufanej liście znajduje się akurat Dialcom24.

Wszyscy dostali od banku pisma kończące się identyczną konkluzją: „Z przykrością informujemy, iż nie możemy pozytywnie rozpatrzeć Pani/Pana reklamacji”. Bank doszedł do wniosku, że w komputerach klientów doszło do „zainstalowania złośliwego oprogramowania”, wskutek czego „przestępcy przejęli kontrolę nad komputerem klienta”, który nie zadbał o ochronę „nazwy użytkownika oraz hasła bankowości internetowej”. Dlatego „bank uznaje, że klient autoryzował transakcję”.

Dyrektywa w sprawie usług płatniczych Parlamentu Europejskiego z 2007 r. (2007/64/WE) przewiduje – i tak jest u nas stosowana – w zasadzie pełną i bezwzględną odpowiedzialność banku tylko za nieautoryzowane płatności dokonane skradzioną kartą już po zgłoszeniu bankowi kradzieży. Zaś przed zgłoszeniem klient ponosi odpowiedzialność do wysokości 150 euro.

W praktyce ustalanie, kto ponosi odpowiedzialność za kradzież pieniędzy z konta, nie jest już takie proste. – Użytkownik bankowości elektronicznej będzie odpowiadał za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeśli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków – tłumaczy bankowe zasady Piotr Balcerzak, członek Prezydium Rady Bankowości Elektronicznej Związku Banków Polskich. Takim obowiązkiem jest choćby korzystanie z karty czy konta internetowego zgodnie z umową ramową. A umowa mówi m.in. o obowiązku przestrzegania zasad bezpieczeństwa. Czyli np. posiadania aktualnego oprogramowania antywirusowego. Normalnie nikt z banku nie pyta nas, czy je mamy, ale takie pytanie zadają w banku w pierwszej kolejności po zgłoszeniu kradzieży i reklamacji. Wystarczy, że klient go nie ma albo dawno nie skanował komputera w poszukiwaniu wirusów, a bank może uznać, że nie dopełnił umowy, i reklamację odrzucić.

Pytany, gdzie zatem przebiega granica między tym, za co banki biorą odpowiedzialność, a za co już nie, Piotr Balcerzak odpowiada: banki ostrzegają, monitorują transakcje zlecane przez klientów, mogą blokować podejrzane transakcje, ale ta ochrona nie może ingerować w sprzęt informatyczny klienta, z którego są zlecane transakcje płatnicze. – To klient decyduje, jakim sprzętem się posługuje i np. jakie serwisy internetowe odwiedza – mówi. – Otwierając wiadomość mailową z niewiadomego źródła, zawierającą treść, która ma nas wprowadzić w stan niepokoju, bo dostaliśmy wezwanie do zapłaty, fakturę za przedmiot, którego nie kupiliśmy, klienci często otwierają załączony plik (rzekomo zawierający szczegóły transakcji) lub link i w ten sposób infekują swoje komputery złośliwym oprogramowaniem, które może pobrać loginy i hasła do bankowości internetowej lub podmienić dane transakcji „w locie” – tłumaczy.

Sposobów „podejścia” klienta, by zdradził swoje hasło, jest masa i ciągle pojawiają się ich mutacje. Głównie stosowana jest sfałszowana strona internetowa oraz… socjotechnika. Jeden z takich klasycznych ataków opisała w internecie sama jego ofiara niewierząca do końca w to, co się stało. Po zalogowaniu się na swoje konto ofiara zobaczyła komunikat. „Treść brzmiała mniej więcej tak (cytuję z pamięci): »Z każdym dniem staramy się poprawiać jakość świadczonych dla państwa usług, w celu autoryzacji wprowadzonych zmian dla państwa bezpieczeństwa prosimy o dokonanie fikcyjnego przelewu autoryzacyjnego«. I ikonka »AUTORYZUJ«. Autoryzowałem. Wyskoczyło okno przelewu, wszystkie dane były niezgodne, tzn.: Przelew wykonywał Jan Kowalski, adres, stan konta (inny niż rzeczywisty) i kwota do przelewu – 977 zł. Wszystko wyglądało identycznie jak oryginalna strona banku. TO WSZYSTKO POTWIERDZAŁO LUB »MIAŁO MNIE PRZEKONAĆ«, ŻE PRZELEW TEN RZECZYWIŚCIE JEST FIKCYJNY. W tym momencie otrzymałem esemesa z kodem do potwierdzenia przelewu. Wpisałem kod i w tym momencie ukazała się standardowa strona banku. Mój główny rachunek został pomniejszony o tę właśnie kwotę 977 zł”. Jednak zamiast współczucia dostał ostrą reprymendę, że dał się tak głupio nabrać.

Bankowcy dodają, że nie ma rekomendacji KNF nakazującej zwrot pieniędzy i każda reklamacja rozpatrywana jest indywidualnie. Dla banku sprawa jest zwykle prosta: jak wpisano prawidłowy login i hasło, to transakcja jest autoryzowana.

Tyle tylko, że w opisywanych przypadkach żaden policjant nie widział na oczy komputerów okradzionych klientów ani ich nie zbadał. Tymczasem oni sami zarzekają się, że przy pomocy informatyków sprawdzili swój sprzęt i na żadnym z ich komputerów nie znaleziono złośliwego oprogramowania. Oczywiście cała trójka twierdzi też, że nikomu nie przekazała danych umożliwiających dostęp do swojego konta. Oszukani klienci czują się całkowicie bezradni.

W międzyczasie firma Dialcom24 z własnej inicjatywy powiadomiła dziennikarkę, że udało się odzyskać 40 tys. z sumy 86 tys. zł ukradzionych z jej konta. Odesłano część pieniędzy. Jak to zrobiono, komu wydarto pieniądze i dlaczego nie wszystkie, o tym już firma nie wspomina. Dialcom24 wyjaśnia tylko, że każda informacja o obsługiwanych przez tę firmę płatnikach i odbiorcach płatności jest objęta tajemnicą zawodową, z której zwolnienie następuje wyłącznie na postanowienie sądu lub prokuratora. W tej sytuacji schwytanie złodzieja pieniędzy z kont bankowych wydaje się skazane na porażkę, bo zanim prokurator wyda decyzję o blokadzie środków pochodzących z przestępstwa, złodziej zatrze wszelkie ślady.

Złodzieje coraz chętniej starają się wykorzystywać funkcje integratorów. Pokazali swoje możliwości, gdy dwa lata temu okradli nawet takiego integratora. Według opisu portalu antyhakerskiego „Zaufana Trzecia Strona” złodzieje najpierw „podsłuchali” login i hasło jego konta, poobserwowali historię przelewów i dokonali zakupów internetowych na kwotę około 35 tys. zł w sklepach, w których płatności obsługiwał integrator. Korzystając z tego, że integrator posiadał w banku dwa rachunki, przelali, nie potrzebując autoryzacji, pieniądze z jednego rachunku na drugi, nadając przelewowi tytuł podobny do wcześniejszych transakcji na tym rachunku. Wpłaty zostały zaksięgowane, system wysłał potwierdzenia do sprzedawców, sprzedawcy wysłali towar klientom i otrzymali swoje środki od integratora. Problem odkryła prawie natychmiast bieżąca kontrola sald, ale integrator nie mógł długo dojść do tego, jak dokonano oszustwa. Podejrzewano nawet pracownika w oddziale banku, ale wątpliwości rozwiał włamywacz, który odesłał pieniądze i przesłał firmie opis przeprowadzonego oszustwa.

Dialcom24 mógł być wykorzystany i przy tych ostatnich kradzieżach, bowiem prawdopodobnie, jak wynika ze wstępnych analiz, wprowadzenia przynajmniej w jednym przypadku Dialcomu na listę zaufanych mogli dokonać sami hakerzy.

W sprawie ataku hakerskiego z wykorzystaniem konta Dialcom24 pojawiła się niedawno szansa na zwrot. Citibank zdecydował się skierować do prokuratury Warszawa-Wola zawiadomienie o przestępstwie, co daje szansę na wyjaśnienie sprawy, choćby poprzez połączenie wszystkich kradzieży w jednym śledztwie. 16 lipca, po wstępnej analizie, prokuratura postanowiła wszcząć dochodzenie. – Uznaliśmy, że proces wyłudzeń wymaga dogłębnego zbadania. Tym bardziej że doszło do nich z wykorzystaniem integratora płatności, z którym Bank nie ma umowy o współpracę. Taką szansę daje między innymi prokuratorskie śledztwo, łącznie z przesłuchaniem w tej sprawie poszkodowanych, pracowników banku oraz przeciwników integratora płatności – mówi Dorota Szostek-Rustecka, rzeczniczka Citi Handlowy.

Kradzieże z kont obsługiwanych internetowo to od pewnego czasu nowa i bardzo intratna forma zarabiania przez przestępców. W większości pozostają całkowicie bezkarni. Bankowi fachowcy od bezpieczeństwa lubią powtarzać, że najsłabszy w tym systemie jest człowiek. Że ma wiedzieć, pilnować się, rozpoznawać nowe metody złodziei, sprawdzać, czy taki lub inny integrator ma współpracę z bankiem czy nie, wybierać sprawdzone i znane firmy, nie nadawać statusu zaufanego odbiorcy itp., itd. Tylko w zetknięciu z wysoko zaawansowanym technologicznie hakerem tzw. zwykły klient nie ma wielu szans. W internecie dogonić złodziei jest wyjątkowo trudno. Jedyna szansa to współpraca wszystkich poszkodowanych.

Współpraca: Norbert Frątczak

Polityka 33.2015 (3022) z dnia 11.08.2015; Rynek; s. 43
Oryginalny tytuł tekstu: "Jak w banku"
Więcej na ten temat
Reklama

Codzienny newsletter „Polityki”. Tylko ważne tematy

Na podany adres wysłaliśmy wiadomość potwierdzającą.
By dokończyć proces sprawdź swoją skrzynkę pocztową i kliknij zawarty w niej link.

Informacja o RODO

Polityka RODO

  • Informujemy, że administratorem danych osobowych jest Polityka Sp. z o.o. SKA z siedzibą w Warszawie 02-309, przy ul. Słupeckiej 6. Przetwarzamy Twoje dane w celu wysyłki newslettera (podstawa przetwarzania danych to konieczność przetwarzania danych w celu realizacji umowy).
  • Twoje dane będą przetwarzane do chwili ew. rezygnacji z otrzymywania newslettera, a po tym czasie mogą być przetwarzane przez okres przedawnienia ewentualnych roszczeń.
  • Podanie przez Ciebie danych jest dobrowolne, ale konieczne do tego, żeby zamówić nasz newsletter.
  • Masz prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia swoich danych oraz wniesienia skargi do organu nadzorczego.

Czytaj także

Żyjmy Lepiej

Dziesięć tysięcy kroków

Chodźmy chodzić, maszerować z kijami i biegać. Plan minimum to dziesięć tysięcy kroków dziennie. Można też zwiększyć obroty, ale trzeba to robić z głową.

Marcin Piątek
28.07.2020
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną