Wyprowadzili z jej konta kilkadziesiąt tysięcy złotych. Bank odrzucił reklamację. "Dałam się zmanipulować"

- Miałam się za osobę świadomą wszystkich zagrożeń, wykształconą, doświadczoną. A dałam się zmanipulować. Nie rozumiem jednak, dlaczego mój bank mnie zawiódł. Zdarza się przecież, że człowiek ma gorsze momenty. Wtedy pomóc powinna sztuczna inteligencja, systemy bezpieczeństwa banku - mówi w rozmowie z Gazeta.pl kobieta, której cyberprzestępcy ukradli z konta kilkadziesiąt tysięcy złotych. Wykorzystali dwie groźne metody.

Bankowość online stała się elementem naszej codzienności. Nic dziwnego - za pomocą zaledwie kilku kliknięć można przelewać środki, płacić rachunki i zarządzać swoimi finansami z dowolnego miejsca na świecie. Jednak ta wygoda sprawia, że jesteśmy narażeni na ataki cyberprzestępców, którzy ciągle znajdują nowe sposoby na uzyskanie dostępu do naszych kont.

Przestępcy często w bardzo przekonujący sposób podają się za technika, pracownika firmy, banku. Wszystko po to, by podstępnie nakłaniać ofiary do udzielenia im dostępu do komputera. Może się to odbywać za pośrednictwem zwykłych telefonicznych ale i wiadomości e-mail, które wydają się wystarczająco przekonujące.

Oszukana na spoofing i pulpit zdalny. Brzmi niegroźnie, ale kto się nabierze, straci wszystko

Przekonała się o tym czytelniczka Gazeta.pl, która opisała swoją historię. Wszystko zaczęło się od zwykłego telefonu. Kobieta była przekonana, że dzwoni bank, bo to numer banku, w którym kobieta faktycznie ma konto. W ataku straciła kilkadziesiąt tysięcy złotych. Złodziej wyczyścił konta, kartę kredytową.

Około 9 rano zadzwonił do mnie mężczyzna podający się za pracownika banku. Rozmowa zaczęła się tak, jak każda inna z tym bankiem. Po przeprowadzeniu ankiety bezpieczeństwa spytał, czy w ciągu ostatnich 15 minut robiłam przelew na kwotę 500 zł. Zaprzeczyłam. Mężczyzna dopytywał, czy do konta ma dostęp ktoś inny. Wyjaśniłam, że pieniądze przelewać może mój mąż, ale i on tego nie zrobił

- relacjonuje czytelniczka Gazeta.pl.

- Mężczyzna oświadczył, że doszło do włamania na moje konto i konieczne jest jego zabezpieczenie. Nie uwierzyłam mu. Powiedziałam wyraźnie, że nie mam pewności, z kim rozmawiam - stwierdziła kobieta. Oznajmiła też, że to ona zadzwoni do banku.

Nim jednak wybrała numer, telefon znów zadzwonił. Głos w słuchawce przekonywał, by sprawdzić numer telefonu na stronie banku. - Ten numer się zgadzał. To nie wystarczyło jednak, aby ofiara uwierzyła, że na pewno rozmawia z pracownikiem banku, zadała jeszcze kilka pytań, aby zweryfikować rozmówcę, czy na pewno rozmawia z zaufaną osobą. Po wszystkich odpowiedziach zgodnych z oczekiwaniami była po prostu przekonana, że rozmawiam z bankiem.

Głos w słuchawce uspokajał kobietę. Zapewniał, że podejmuje dobrą decyzję, bo włamań jest dużo. Miał bardzo dużo informacji na mój temat. - Powiedział również, że widzi w systemie, że mam konta w innych bankach. Trochę zdziwiła mnie ta informacja, skąd ma takie dane, ale w dzisiejszych czasach zbieranych jest tak dużo informacji o klientach, że potraktowałam to jako kolejny wiarygodny aspekt, że rozmawiam z właściwą osobą - oznajmia poszkodowana.

Kolejnym krokiem ataku było skłonienie ofiary, by zainstalowała aplikację służącą do sterowania telefonem. Zupełnie legalne i popularne, ale często wykorzystywane przez przestępców. Dziś już wie, że pod żadnym pozorem nie wolno tego robić. Jakakolwiek prośba tego typu daje nam całkowitą pewność, że rozmawiamy z przestępcą. Rozmówczyni Gazeta.pl zrozumiała to jednak zbyt późno.

 Ja podawałam szczegóły, a ten mężczyzna wyprowadzał pieniądze z mojego konta. Nie dostawałam żadnych wiadomości SMS z banku - żali się kobieta. Dopiero po zakończeniu rozmowy zalogowałam się na swoje konto. Zobaczyłam przelew na kwotę 26 tys. zł. Tytułem zakupu samochodu. Natychmiast zadzwoniłam do banku, próbowałam zatrzymać przelew, ale był to szybki przelew. Nie udało się

- przyznaje.

Po rozpaczy przyszedł gniew. Kobieta nie mogła bowiem zrozumieć, dlaczego bank nie pozwolił obronić się przed przestępcami. Ci uderzyli ponownie. Tuż po wyprowadzeniu środków z jednego banku, natychmiast zadzwonił ktoś podający się za pracownika drugiego. W drugim wypadku to bank zareagował i dokonał automatycznej blokady konta.

Dziś rozumiem, co oznacza "być zmanipulowanym". Byłam po prostu w stu procentach pewna, że to ktoś z banku - znał moje finanse, znał moje dane, przeprowadził weryfikację. Wykazałam się czujnością, a i tak dałam się zmanipulować. Nie rozumiem jednak , dlaczego mój bank mnie zawiódł. Zdarza się przecież, że człowiek ma gorsze momenty. Wtedy pomóc powinna sztuczna inteligencja, systemy bezpieczeństwa banku

- skarży się.

Druzgocąca odpowiedź banku. "Autoryzacja przelewów prawidłowa"

Gniew pojawił się również, gdy bank odpowiedział na reklamację. "Przelewy zostały wykonane zgodnie z zachowaniem zasad bezpieczeństwa. Były uwierzytelnione" - czytamy w piśmie przesłanym do poszkodowanej. Bank podkreśla, że nie doszło do włamania, a do podania prawidłowych danych logowania - nazwy użytkownika i hasła. A także do prawidłowego autoryzowania za pośrednictwem komunikatu push wyświetlanego na urządzeniu kobiety.

Bank jasno pisze też, że poszkodowana może się jeszcze odwołać, ale o zwrot pieniędzy będzie musiała walczyć na drodze sądowej.

Spoofing, czyli podszywanie się pod numer telefonu. Dla przestępców to dziecinnie proste

Jak jednak możliwe, że ofiary są przekonane, że rozmawiają z bankiem? Przestępcy wykorzystują dość prostą sztuczkę. Sami dzwonią do ofiar. A te widzą na ekranie smartfonu, że dzwoni bank - bo numer telefonu się zgadza. Jeśli jest zapisany w książce telefonicznej jako "Mój bank", to właśnie tak się wyświetli. Jak to jednak możliwe? Przestępcy korzystają z techniki, która nosi nazwę spoofing.

Ta technika sprawia, że dochodzi do zmiany numeru telefonu wyświetlanego w identyfikatorze rozmówcy odbiorcy. Można to zrobić za pomocą specjalistycznego oprogramowania lub usług, które pozwalają użytkownikom wprowadzić dowolny numer telefonu jako identyfikator rozmówcy. Można też skorzystać z usług pośrednika czy operatora zarejestrowanego w kraju, gdzie rynek nie jest uregulowany na tyle dobrze, by tego typu nieprawidłowości skutecznie ścigać. Oszuści używają też technologii VoIP (Voice over Internet Protocol) i tzw. bramek telefonicznych. Dzięki tym rozwiązaniom podszywają się np. pod oficjalną infolinię banku, telewizji kablowej czy dostawcy gazu bądź energii elektrycznej.

Co z pożyczkami zaciągniętymi "przez hakera"

W przypadku utraty pieniędzy na skutek tego typu działalności cyberprzestępców mamy do czynienia z dwoma ważnymi zagadnieniami. To, czy bank uzna reklamację i odda nam środki, które na koncie były, to jedna kwestia. Do rozstrzygnięcia pozostaje jeszcze kwestia kredytów czy pożyczek, które przestępcy, mając dostęp do konta bankowego, czasami zaciągają. Jedną z takich spraw opisał Niebezpeicznik.pl. Jak w przypadku naszej bohaterki chodzi o oszustwo "na zdalny pulpit". Przestępcy zdołali zawrzeć w imieniu poszkodowanej pożyczkę na blisko 100 tys. zł. Kwota do zwrotu była jeszcze większa - wynosiła bowiem ok. 170 tys. zł.

Sprawa trafiła na wokandę, ofiara ataku przestępców chciała unieważnienia umowy pożyczki. Sąd kobietę od konieczności spłacania tak potężnego długu uwolnił. Uznał, że "środki pieniężne, które wpłynęły na konto powódki, pochodziły z nieważnej umowy."

"Sprawcy oszustwa działali bowiem z góry powziętym zamiarem, by zawrzeć pożyczkę, a następnie wyprowadzić pochodzące z niej środki na konto zagraniczne lub, by dokonać transakcji przy użyciu karty. Tym samym nie tyle uszczuplili środki pieniężne wniesione przez powódkę na konto bankowe, ile wykorzystali jej konto jako konto "techniczne", by przeprowadzić przestępne działanie wyłudzenia środków pieniężnych od banku" - czytamy na stronach serwisu.

W przypadku pieniędzy, które mieliśmy już na koncie, sytuacja wygląda jednak inaczej. Sąd musi bowiem rozstrzygnąć, czy faktycznie doszło do autoryzacji i bank nie ponosi za nic odpowiedzialności. Jeden z takich przypadków opisał serwis prawo.pl. W omawianej sprawie ofiara została skłoniona do zainstalowania oprogramowania. Po tym jak - zdawało się - zalogowała się na oficjalną stronę banku. Przestępcy zlecili kilkanaście przelewów, a z konta zniknęło ok. 200 tys. zł. Ofiara twierdziła, że transakcji nie autoryzowała, bank odmówił jednak zwrotu pieniędzy.

Sprawa trafiła do sądu. Ten nie dopatrzył się po stronie powoda "rażącego niedbalstwa". Stwierdził, że skoro ofiara nie autoryzowała płatności, pieniądze musi oddać bank. Warto jednak podkreślić, że każda sprawa rozpatrywana jest indywidualnie i "rażące niedbalstwo" to pojęcie dość pojemne.

Przestępcy przekonują, że są pracownikami banku przez telefon i nie tylko. Uważaj na zdalny pulpit

Groźny jest nie tylko spoofing. Jedną z często wykorzystywanych metod są aplikacje do zdalnego zarządzania pulpitem - narzędzia całkowicie legalne, które pozwalają cyberprzestępcom przejąć kontrolę nad komputerem lub telefonem i zrobić coś znacznie gorszego, niż wykraść poufne informacje. Manipulacja może sprawić, że przestępca przejmie oszczędności naszego życia.

Jak to możliwe? Aplikacje do zarządzania pulpitem zdalnym to narzędzia, które umożliwiają użytkownikom dostęp do komputera i jego kontrolę z innej lokalizacji. Są one powszechnie używane przez specjalistów IT do zapewniania wsparcia technicznego lub rozwiązywania problemów na urządzeniach zdalnych. Używają ich też zwykłe firmy - po to, by komputera nie trzeba było za każdym razem odsyłać do działu informatyków.  Aplikacje te działają poprzez ustanowienie połączenia między dwoma komputerami - tym, który ma być kontrolowany (klient) i tym, który kontroluje (serwer). Po nawiązaniu połączenia użytkownik może uzyskać dostęp do plików, uruchamiać programy i wykonywać inne funkcje tak, jakby siedział przed zdalnym komputerem. Ma nad nim pełną kontrolę. A to - o czym świadczą setki doniesień - może doprowadzić do utraty pieniędzy.

Przestępcy przekonują, że muszą np. zalogować się na specjalne konto inwestycyjne, albo otworzyć specjalny rachunek. I na oczach ofiary, wykorzystując podane przez nią dane, logują się do banku. I nim ta zdąży się zorientować - przesyłają środki na konto własne, a nie inwestycyjne. Znacznie rzadszą metodą cyberprzestępców jest uzyskanie nieautoryzowanego dostępu do komputera lub sieci ofiary z wykorzystaniem luki w oprogramowaniu zdalnego pulpitu. Częściej jest możliwe stosowanie ataków phishingowych czyli zmuszenie ofiary, by podała login i hasło do zdalnego zarządzania maszyną. Przestępcy mogą wówczas zainstalować złośliwe oprogramowanie, które umożliwia im monitorowanie uderzeń klawiszy, kradzież poufnych informacji, takich jak dane kont bankowych, a nawet przelewanie pieniędzy z kont ofiar bez ich wiedzy.

Jak się bronić?

Zabezpieczenie przed spoofingiem jest w zasadzie jedno. Zdrowy rozsądek. Żadna technologia nie uchroni nas bowiem przed tym, że wierzymy, iż faktycznie dzwoni ktoś z banku. W przypadku przejmowania kontroli nad komputerem zdrowy rozsądek również jest najlepszym doradcą. Żadna firma inwestycyjna w ten sposób nie działa. By uchronić się przed przejęciem danych logowania - na przykład do zarządzania komputerem online, niezbędne jest to, co, o czym eksperci od cyberbezpieczeństwa mówią od zawsze. Silne i unikalne hasło. Stosowane do wszystkich swoich internetowych kont - w tym bankowych. Oznacza to, że należy unikać haseł, które są łatwe do odgadnięcia lub często stosowane.

Innym skutecznym sposobem ochrony jest włączenie dwuskładnikowego uwierzytelniania na swoich kontach. Stanowi to dodatkową warstwę zabezpieczeń. Ta dodatkowa zapora albo da nam chwilę czasu na otrzeźwienie, albo wręcz zniechęci do ataku. Ważne jest również, aby wszystkie programy na komputerze i smartfonie były aktualizowane. Łatki najczęściej dotyczą kwestii bezpieczeństwa, nie funkcjonalności.

Z tych samych względów należy zachować ostrożność, otwierając wiadomości e-mail lub klikając linki z nieznanych źródeł. Oszustwa typu phishing często mają na celu nakłonienie użytkownika do podania poufnych informacji, takich jak dane logowania, a na pierwszy rzut oka wyglądają niewinnie. Podejmując te proste kroki, można znacznie zmniejszyć ryzyko. To człowiek zawsze będzie jednak najsłabszym ogniwem.     

Więcej o: