You are currently viewing Spoofing i pożyczka „na jeden klik”-dlaczego banki powinny spłacać pożyczone przestępcom pieniądze.

Spoofing i pożyczka „na jeden klik”-dlaczego banki powinny spłacać pożyczone przestępcom pieniądze.

W praktyce zawodowej adwokata coraz częściej spotykam się z przypadkami zgłaszania się klientów banków, którzy zostali oszukani metodą „na telefon z banku”. Metoda ta często przyjmuje formę prawie doskonałą, gdyż klient otrzymujący połączenie telefoniczne – faktycznie na wyświetlaczu swojego telefonu widzi numer telefonu banku albo wręcz nazwę konkretnego banku. Technika ta ma określenie spoofing i jest najpewniej możliwa dzięki zaniechaniom operatorów telefonicznych i niedoskonałości w protokołach sieci telefonii komórkowej[1].
 
Oczywiście technika podszycia się pod infolinię banku nie jest wystarczająca do wypłaty środków z konta bankowego klienta, który odbiera połączenie telefoniczne od oszustów. Przestępcy wykorzystują dodatkowo własne umiejętności psychologiczne, retoryczne, a także doświadczenie, które nabywają wraz z nawiązaniem każdej rozmowy telefonicznej. Nawiązując połączenie telefoniczne przestępcy często zaskakują ofiarę sformułowaniem, iż dzwonią:
„Z departamentu bezpieczeństwa banku, który wykrył, iż na rachunku bankowym klienta próbowano dokonać niezatwierdzonych transakcji wypłaty środków i zmiany hasła”.
 
Każdy przeciętny człowiek byłby zaskoczony takim telefonem oraz bardzo zaniepokojony, tym bardziej, jeśliby odebrał taki telefon w pracy czy podczas robienia zakupów – co dodatkowo rozprasza ofiarę i uniemożliwia jej skupienie się na rozmowie telefonicznej (występuje presja czasu i miejsca). Przestępcy właśnie na to liczą.
 
Dzięki umiejętności odpowiednio prowadzonej rozmowy przestępcy najczęściej nakłaniają wówczas klienta banku do niezwłocznej instalacji na swoim telefonie komórkowym określonej aplikacji[2], bądź przesyłają klientowi link do spreparowanej strony internetowej, która imituje stronę internetową banku[3].
 
Dzięki powyższym zabiegom przestępcy uzyskują dostęp do loginu i hasła do bankowości internetowej ofiary, a z tą chwilą klient najczęściej traci dostęp do konta bankowego, a w konsekwencji swoje pieniądze.
Zachodzi pytanie – dlaczego metoda ta, która jest znana, która opiera się na różnych niedoskonałościach (w tym operatorów sieci komórkowej, banków, ale i samych klientów) – nie została wyeliminowana przez banki, które mają ogromne możliwości finansowe, techniczne i logistyczne, a także wiedzę na temat tych metod, które są skutecznie wykorzystywane przez przestępców. Banki mogłyby bowiem wyeliminować tę metodę poprzez zastosowanie lepszych zabezpieczeń, które ochroniłyby klientów. Brak działań banków w tym zakresie, w mojej ocenie, przyczynia się w sposób zasadniczy do skuteczności tej metody kradzieży pieniędzy – co jest niedopuszczalne.
 
Z mojego doświadczenia zawodowego wynika, iż przykładowy schemat działania przestępców wygląda w sposób następujący:
  1. Klient banku instaluje na telefonie komórkowym aplikację poleconą przez przestępców albo uruchamia przesłany link do spreparowanej strony internetowej banku. Konsekwencją powyższego jest to, że przestępcy widzą login i hasło do bankowości internetowej, które wpisuje niczego nieświadomy klient banku.
  2. Po zalogowaniu się (albo dokonanej próbie) przez klienta do bankowości internetowej przestępcy dokonują zmiany hasła do bankowości internetowej, a zatwierdzenie tej zmiany jest dokonywane hasłem do logowania, bądź odbywa się poprzez zatwierdzenie osobnym hasłem, bądź zatwierdzenie odbywa się poprzez metody biometryczne. Konsekwencją powyższego jest co do zasady poznanie przez przestępców hasła zatwierdzającego transakcje w banku, następnie zmiana hasła do bankowości internetowej, a w dalszej kolejności (najczęściej) utrata przez klienta banku kontroli nad kontem w bankowości internetowej.
  3. W dalszej kolejności przestępcy wywołują kolejne dyspozycje na rachunku bankowym klienta, takie jak:
  • Dokonują zmiany dziennych limitów wypłaty środków z rachunku bankowego,
  • Dokonują różnych transakcji na kontach powiązanych – przekazując np. środki z konta oszczędnościowego na rachunek bieżący, do którego przestępcy uzyskali dostęp,
  • Dokonują zaciągnięcia pożyczki „na jeden klik”, po czym pożyczka w ciągu kilku minut jest dostępna na rachunku bieżącym, do którego przestępcy uzyskali dostęp i nad którym przejęli kontrolę,
  • Wywołują określone transakcje, np. BLIK-iem, a pieniądze są wybierane w czasie rzeczywistym przez wspólnika, który znajduje się w dowolnym miejscu w Polsce, przy upatrzonym wcześniej bankomacie (zazwyczaj z dala od kamer i ludzi),
  • Wywołują dyspozycję płatności kartą np. na rachunek bankowy w Revolut lub w innym systemie oferującym natychmiastowe i przede wszystkim globalne usługi finansowe (chodzi o instytucję znajdującą się poza polską jurysdykcją).
Konsekwencją wyżej wskazanych czynności jest zaciągnięcie na rachunku bankowym klienta pożyczki w kwocie, która jest oferowana przez dużą część banków „na jeden klik”, a także wypłacenie wszystkich środków z rachunku bankowego klienta banku. Czynności te mogą trwać krócej niż 15 minut od chwili zmiany hasła.
 
Należy zauważyć, że dokonanie wyżej wskazanych czynności mogłoby być niemożliwe, gdyby banki wprowadziły dodatkowe zabezpieczenia, które by chroniły klientów banków, którzy w danej chwili stali się podatni na oszustwo. Część z banków w Polsce jednak tego nie robi. Banki powinny tymczasem eliminować słabości swoich klientów, które wynikają nie z ich złej woli, a z tego, że zostali wytypowani przez sprytnych oszustów, którzy wykorzystują te słabości ze względu na istniejące luki w systemach, za które klienci nie odpowiadają. W mojej ocenie luki systemowe przyczyniają się do tego, że przestępstwo oszustwa metodą „na telefon z banku” – jest tak powszechne oraz dzieje się każdego dnia, o czym banki wiedzą. Odpowiedzialność za tego typu zdarzenia powinna obciążać przede wszystkim banki, które dysponują wiedzą na temat używanych technik, a mimo to nie wprowadzają odpowiednich zabezpieczeń – wystawiając tym samym swoich klientów na wspomniane podatności.
W świetle powyższych realiów, z którymi mierzą się codziennie oszukani klienci, zdecydowałem się, działając w interesie publicznym, złożyć w dniu 23.05.2022 r. petycję do Komisji Nadzoru Finansowego, Prezesa Urzędu Ochrony Konkurencji i Konsumentów oraz do Rzecznika Praw Obywatelskich – w sprawie podjęcia czynności zmierzających do zmiany istniejących przepisów i rekomendacji, a także zwiększenia zaangażowania tych organów w działalność edukacyjną klientów banków, które przyczyniłyby się do wyeliminowania albo znacznego ograniczenia występowania tego typu przestępstw.
 
W petycji szczegółowo przedstawiłem propozycje rozwiązania ww. problemów, które de facto sprowadzają się do:
  • Zwiększenia przez banki nacisku na edukację klientów banków co do zagrożeń, w tym zapewnienia klientom banków realnej możliwości zapoznania się z wytycznymi co do tego, jak unikać niebezpieczeństw. Realne możliwości oznaczają konieczność wywołania interakcji klienta z bankiem, np. poprzez konieczność zapoznania się z odpowiednim komunikatem – przed zalogowaniem się do systemu bankowości internetowej. W erze cyfrowej, która jest związana z nadmiarem informacji cyfrowych, większość z nas nie zapoznaje się ze wszystkimi informacjami, którymi jesteśmy bombardowani, co jednak nie oznacza lekceważącego stosunku do tych informacji, czy braku odpowiedzialności – a wynika to z natury ludzkiej, a także tego, że człowiek ma ograniczone możliwości przetworzenia informacji i nie jest w stanie podjąć wszystkich danych, które otrzymuje. Skoro tak jest, należy przyjąć ten fakt do wiadomości a metody dostosować do zastanej rzeczywistości. Należy przy tym zauważyć, że odmowa udostępnienia usługi, choć kłopotliwa przez moment (do czasu zapoznania się z komunikatem), realnie wpłynie jednak na bezpieczeństwo środków pieniężnych, które mogą być rozdysponowane poprzez Internet.
  • Wprowadzenia realnych zabezpieczeń rachunków bankowych, które by wyeliminowały dokonywanie przez przestępców szeregu dyspozycji na tych rachunkach, które zostały przez nich przejęte. Moje propozycje sprowadzają się do szerszego stosowania weryfikacji telefonicznej przez konsultantów bankowych lub za pomocą automatów (voicebot-ów), których zadaniem byłoby weryfikowanie tożsamości zlecającego określoną dyspozycję bankową (o podwyższonym ryzyku) oraz intencji tegoż zlecającego. Przykładowa weryfikacja mogłaby występować na przykład w sytuacji:
  • zmiany hasła do bankowości internetowej i następnie zmiany limitów na koncie bankowym (istotna korelacja),
  • wywołania dyspozycji przelewu środków (lub wypłaty) po uprzedniej zmianie hasła (lub limitów) w bankowości internetowej,
  • wywołania dyspozycji zaciągnięcia pożyczki „na jeden klik” – szczególnie w sytuacji, gdy wielkość pożyczki jest maksymalna i nietypowa (niezaokrąglona), co może właśnie wskazywać na działania przestępców – po pierwsze dlatego, że chcą ukraść jak najwięcej; po drugiej dlatego, że chcą działać jak najszybciej; po trzecie dlatego, że większość ludzi upraszcza i kategoryzuje wiedzę i fakty, które mają przyswoić (zwłaszcza na lata, jak to jest przy spłacie pożyczki), a zatem z pewnością łatwiej jest zapamiętać klientowi „okrągłą wysokość pożyczki”, aniżeli niezaokrągloną, a skoro dyspozycja jest na „niezaokrągloną” kwotę pożyczki, jak np. 19.138,74 zł – system bankowy winien wywoływać wewnętrzny alert, jako dyspozycję o możliwym pochodzeniu „nie od klienta banku”.
  • Zwiększania znaczenia geolokalizacji w bankowości internetowej. W mojej ocenie szereg przestępstw tego typu nie byłoby możliwe do dokonania, gdyby systemy bankowe automatycznie (i zawsze) dokonywały porównania geolokalizacji urządzenia (miejsca), z którego wywołano określoną transakcję bankową (np. kliknięto w zlecenie przelewu) – względem miejsca położenia urządzenia, które posłużyło do zatwierdzenia tej transakcji. W większości przypadków będzie to miejsce tożsame, przy czym takie nie będzie, jeśli przestępca bierze w nim aktywny udział, gdyż z zasady tego przestępstwa – przestępca jest w innym miejscu niż ofiara, a w takiej sytuacji system bankowy dokonałby blokady transakcji, a klient zostałby najpewniej ochroniony, nawet w przypadku przejęcia hasła przez przestępcę.
Wobec złożonej petycji – niniejszy artykuł będzie aktualizowany wraz z otrzymaniem stanowisk od ww. organów. Z ogromnym zainteresowaniem oczekiwać będę stanowisk tychże organów.
 
Na koniec pragnę zwrócić Twoją uwagę na rzecz bardzo ważną:
Jeśli stałaś/stałeś się ofiarą przestępstwa oszustwa metodą „na telefon z banku” i Twoje konto bankowe zostało „wyczyszczone” poprzez nieautoryzowane transakcje płatnicze – zgodnie z art. 46 ust. 1 ustawy o usługach płatniczych (t. j. Dz. U. z 2021 r. poz. 1907) przysługuje Ci prawo żądania od banku zwrotu kwoty równoważnej wartości nieautoryzowanych transakcji płatniczych.
W powyższej sytuacji bank powinien zwrócić Ci środki niezwłocznie, nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji, którą został obciążony Twój rachunek bankowy lub po dniu otrzymania stosownego zgłoszenia (tj. po dniu, w którym bank dowiedział się od Ciebie o nieautoryzowanej transakcji).
 
Pamiętaj jednak, że odpowiadasz za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadziłaś/doprowadziłeś do nich umyślnie lub nastąpiły one wskutek rażącego niedbalstwa zasad, na które umówiłaś/umówiłeś się z bankiem (w umowie rachunku bankowego, w zaakceptowanych regulaminach).
 
Zgłaszając zatem reklamację do banku, która dotyczy nieautoryzowanych transakcji – uważaj na to co mówisz. Bank wykorzysta każde Twoje słowo, które przekażesz w procesie reklamacji.
Miej na uwadze, że powszechną praktyką banków względem klientów, którzy stali się ofiarą przestępstwa „na telefon z banku” – jest odmowa uznania reklamacji klienta w powołaniu się na to, iż do transakcji w istocie doszło wskutek rażącego niedbalstwa zasad bezpieczeństwa po stronie klienta. Bank przerzuci na Ciebie odpowiedzialność, jeśli tylko znajdzie punkt zaczepienia, nawet jeśli jest on wątpliwy. W kontekście powyższego zachodzi pytanie – czy wspomniane niedoświadczenie (czy wręcz rażące niedbalstwo) po stronie klienta zwalnia bank z zachowania takiej samej staranności i ostrożności przy realizacji dyspozycji na koncie bankowym klienta? Nie!
Pamiętaj – jeśli padłaś/padłeś ofiarą oszustwa „na telefon z banku”, w szczególności, gdy straciłaś/straciłeś pieniądze ze swojego rachunku bankowego, w tym także, jeżeli przestępcy zaciągnęli na Twoim rachunku bankowym pożyczkę „na jeden klik” – skorzystaj niezwłocznie z konsultacji prawnej online. Pamiętaj, że niuanse odnoszące się do zabezpieczeń bankowych – w mojej ocenie mają ogromne znaczenie w tego typu sprawach i mogą one przesądzić (choć nie muszą) o tym czy odzyskasz swoje pieniądze, a jeśli tak, to od kogo.
 
Miło mi, że dotarłaś/dotarłeś do tego miejsca. Jeśli uważasz, że Twoi bliscy i znajomi powinni zapoznać się z tym artykułem – udostępnij go im oraz zachęć do polubienia mojej strony na FacebookuLinkedin. Wkrótce znajdziesz tu więcej ciekawych i praktycznych artykułów prawniczych.
 
Pozdrawiam
adw. Sebastian Chorąży
 
 
Przypisy: 
[1] Takie stanowisko prezentują specjaliści np. https://niebezpiecznik.pl/post/spoofing-rozmow-telefonicznych/ (dostęp: 24.05.2022 r.) 
[2] Najczęściej jest to aplikacja do zdalnego sterowania telefonem albo aplikacja, która przechwytuje wystukiwane znaki na telefonie komórkowym ofiary, czyli de facto przechwytuje login i hasło do bankowości internetowej. 
[3] Dzięki spreparowanej stronie internetowej, która w bardzo dobry sposób imituje stronę internetową prawdziwego banku – ofiara dokonuje próby „zalogowania się” do bankowości internetowej, co oczywiście się nie udaje. Jednocześnie wpisany login i hasło są widoczne dla przestępców – co natychmiastowo wykorzystują do zalogowania się na prawdziwej stronie internetowej banku.
Aktualizacja artykułu – 3.06.2022 r.
 
Pierwszy sukces petycji! W dniu dzisiejszym otrzymałem pismo z Biura Rzecznika Praw Obywatelskich, w którym napisano, że: (…) w związku z treścią Pańskiej petycji Rzecznik, działając w ramach swojego konstytucyjnego mandatu, postanowił podjąć z urzędu do zbadania sprawę organów państwa zmierzających do przeciwdziałania phishingowi”. Pełna treść zanonimizowanego pisma dostępna poniżej:
 
Cieszy mnie to, że Rzecznik Praw Obywatelskich przyjrzy się tej istotnej sprawie, która w mojej ocenie wpływa na prawa i wolności obywatelskie – jak prawo do ochrony własności czy równego traktowania.
 
Pragnę jednocześnie zauważyć, że Komisja Nadzoru Finansowego pracuje nad odpowiedzią na petycję, która została już zamieszczona na stronie internetowej organu.
 
Z kolei Urząd Ochrony Konkurencji i Konsumentów na dzień dzisiejszy nadal nie zamieścił petycji na swojej stronie internetowej. Ufam jednak, że ostateczne działania podjęte przez ten urząd przyczynią się w sposób zasadniczy do wzmocnienia praw nas wszystkich – klientów banków.
 
Pozdrawiam
adw. Sebastian Chorąży
Aktualizacja artykułu – 26.11.2022 r.
 
Jakiś czas temu otrzymałem odpowiedź na petycję z Komisji Nadzoru Finansowego. Niemniej dopiero dzisiaj znalazłem czas, żeby się podzielić z Wami jej treścią. Poniżej załączam zanonimizowaną całość odpowiedzi na petycję. W treści dokumentu zastosowałem trzy kolory, które oznaczają ważne, wg. mnie, treści. Na zielono – oznaczyłem kwestie ważne, które podzielam lub doceniam. Na żółto zaznaczyłem elementy, które można interpretować inaczej niż KNF, czyli są to kwestie dyskusyjne. W jednym akapicie zastosowałem także oznaczenie czerwone, z którym nie sposób się zgodzić. Zachęcam jednak do zapoznania sią z całością dokumentu i wyciągnięcia z niego własnych wniosków.
 
W tym miejscu pragnę zauważyć, że z odpowiedzi KNF wynika, że problem spoofingu jest znany państwowym organom. Organy te pracują również intensywnie nad jego wyeliminowaniem – co należy pochwalić.
 
Jednocześnie ciągle uważam, że niektóre banki nie robią wystarczająco dużo, żeby temu problemowi zapobiec – tu i teraz, w ramach obecnie obowiązującego porządku prawnego, który także ich do tego zobowiązuje. Dlatego nie zgadzam się z tym, co oznaczyłem w piśmie KNF na czerwono, że: „Działania w zakresie zwiększania świadomości cyberzagrożeń wśród klientów rynku finansowego są podejmowane także przez same banki w związku z wymaganiami stawianymi bankom przez KNF w 'Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach’ a w szczególności w rekomendacji 16. 8”. Należy bowiem zauważyć, że w tej rekomendacji KNF, która pochodzi ze stycznia 2013 r. wynika, że: „Bank świadczący usługi z wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów.”. Zachodzi zatem pytanie – skoro jest tak dobrze i banki wprowadzają rekomendacje KNF – to dlaczego ciągle dochodzi do oszustw metodą spoofingu? Na marginesie pozostaje już tylko zauważyć, że metoda ta nie była albo była rzadko stosowana w 2013 r., kiedy to powstała ww. rekomendacja KNF dla banków. Innymi słowy – wydaje się, że rekomendacja ta nie jest wystarczająco precyzyjna w odniesieniu do współczesnych realiów technologicznych, które są dostępne zarówno dla banków, klientów, jak i oszustów. To zaś w mojej ocenie oznacza, że banki nie tylko „powinny posiada攄muszą posiadać” odpowiednie zabezpieczenia, które uchronią klientów banków przed utratą ich pieniędzy. Zmiana punktu ciężkości na zobowiązanie banków do posiadania takich zabezpieczeń – wydaje się być celowa. KNF powinna dostrzec to zagadnienie.
 
Cieszę się jednocześnie ze stanowiska KNF, w którym wskazano: Jednocześnie podkreślenia wymaga, iż otrzymana korespondencja potraktowana zostanie jako zgłoszenie o dostrzeżonych nieprawidłowościach i poddane ono zostanie także stosownej analizie pod kątem ww. celów oraz kompetencji Komisji Nadzoru Finansowego”. Wyrażam nadzieję, że KNF jeszcze bardziej zwiększy działalność edukacyjną – także wśród banków – która przyczyni się do jeszcze lepszego zabezpieczenia interesów polskich klientów banków.
 
Całość odpowiedzi KNF na moją petycję znajduje się tutaj: Odpowiedź KNF na petycję.
W tym miejscu chciałbym również wyrazić rozczarowanie tym, iż mimo upływu 6 miesięcy od złożenia petycji – Prezes Urzędu Ochrony Konkurencji i Konsumentów do dnia dzisiejszego nie tylko nie zamieścił treści petycji na swojej stronie internetowej, ale także jej nie rozpatrzył. Trudno zrozumieć z czego wynika takie podejście organu, w szczególności, że petycja została złożona w interesie publicznym, a problem poruszony w petycji może dotknąć każdego klienta banku, który używa bankowości internetowej.
 
Pozdrawiam
adw. Sebastian Chorąży