Sezon na bank- Paweł Pietkun

Największe banki w Polsce publikują przed sezonem alarmistyczne ostrzeżenia przed korzystaniem z podejrzanych aplikacji, które pozwalają okradać klientów. Najczęściej z pieniędzy, choć zdarzają spektakularne kradzieże tożsamości.

Napady na banki zdarzały się nie tylko w Polsce najczęściej wówczas, kiedy sprzyjała pogoda. Z powodów zrozumiałych – złodziejom łatwiej było przygotować się do samego napadu i sprawniej zorganizować ucieczkę przez stróżami prawa. Wyjątek w Polsce stanowił tu głośny napad z 1964 roku na placówkę Narodowego Banku Polskiego przy ul. Jasnej w Warszawie, który wydarzył się tuż przed świętami Bożego Narodzenia, w dniu w którym do banku trafił utarg z przedświątecznych zakupów Domów Towarowych Centrum. Sprawców tego napadu oficjalnie nigdy nie wykryto, choć podejrzenie padło na wysokich rangą funkcjonariuszy Milicji Obywatelskiej i SB.

Bandyci napadający na bank często starali się – oprócz oczywistej chęci zrabowania jak największej ilości gotówki – zostawić po sobie ślad albo przeprowadzić napad w taki sposób, aby przejść do legend miejskich.

Kiedy we wrześniu 1971 roku złodzieje – także niewykryci – okradli londyński oddział Lloyds Bank na rogu Baker Street i Marylebone Road, zrobili to niemal dokładnie w sposób opisany niemal pół wieku wcześniej przez Arthura Conan Doyle’a w jednym z opowiadań o Sherlocku Holmesie. Scotland Yard, który przez przypadek dowiedział się o planowanym włamaniu, mimo że był właśnie weekend, starannie sprawdzał wszystkie banki w centrum Londynu. A podczas policyjnych inspekcji złodzieje w najlepsze wynosili skrytki z kosztownościami i oszczędnościami bogatych Brytyjczyków. W jaki sposób? Dostali się do skarbca podkopem zrobionym z pobliskiego sklepu – takim samym, jaki zrobili bohaterowie powieści Conan Doyle’a. Skarbiec był z zewnątrz zamknięty, więc funkcjonariusze Scotland Yardu zachowywali się tak jak ci, których opisywał autor opowiadań o Holmesie. Symbolika lokalizacji była tym ciekawsza, że oddział Lloyds Banku znajdował się przy Baker Street, kilkaset metrów od domniemanego biura Holmesa. Przed zakończeniem akcji złodzieje napisali więc na wewnętrznej ścianie sejfu „Może Sherlock Holmes spróbuje to rozwiązać...”. I doczekali się licznych opowieści londyńskiej ulicy, których do dzisiaj można wysłuchiwać od starych bywalców pubów w okolicach Baker Street.

Znak czasów

Obecnie napady na banki straciły swój romantyzm, bo czarne charaktery planujące skok na bank nie rozpoznają okolicy banku ani nie przygotowują się do skoku przez miesiące, skupując broń palną czy robiąc wielotygodniowe podkopy pod placówką bankową. Przestępcom nie zależy już na sławie – pozostają anonimowi, kryjąc się za monitorami komputerów i przygotowują specjalne oprogramowanie, które oszuka i banki, i klientów, pozwalając na bezkarne wypłacanie z kont pieniędzy, których nigdy tam nie było.

Oto kilka dni temu największy polski detalista, bank PKO BP wydaje komunikat ostrzegający przed taką właśnie aplikacją, o której wiadomo już, że istnieje i że pozawala skutecznie na wykradanie z kont wirtualnych pieniędzy. Jak uprzedza bank, złośliwy program podszywa się pod wtyczkę Adobe Flash (oprogramowanie pozwalające na komunikowanie się klienta banku z serwerami banku za pomocą telefonów komórkowych) i przechwytuje dane dostępowe do serwisów bankowości elektronicznej. Może też przejmować kontrolę nad niektórymi funkcjami urządzenia, oczywiście tymi umożliwiającymi wyprowadzenia pieniędzy z konta ofiary, czyli wysłaniem i odczytem SMS-ów oraz wykonywaniem połączeń telefonicznych. Może ono też kierować do fałszywych stron bankowych, na których próbuje wyłudzić dane niezbędne do logowania oraz autoryzacji transakcji.

– Wszelkie odstępstwa od wyglądu strony logowania czy aplikacji w stosunku do normy powinny zapalić nam lampki alarmowe. Najlepiej powstrzymać się wtedy od logowania i sprawdzić urządzenie programem antywirusowym – przestrzega bank.

I dalej: – Autoryzując transakcję za pomocą kodów SMS, należy dokładnie sprawdzić treść wiadomości. Może się zdarzyć, że w przypadku zainfekowania urządzenia ktoś podmienił nam numer konta i kwotę przelewu. W razie jakichkolwiek wątpliwości najlepiej przerwać wykonywane operacje i zadzwonić do banku.

Podobnie należy zrobić, jeżeli zdarzy się nam podać swoje dane do logowania na stronie łudząco podobnej do strony naszego banku. W przypadku podania jakichkolwiek danych na stronie internetowej przypominającej serwis iPKO prosimy – skontaktuj się telefonicznie z konsultantem.

Z podobnym problemem zmaga się przedstawiający się, jako najnowocześniejszy polski bank internetowy, mBank. Na początku czerwca nieznany haker poinformował, że wykradł dane stu tysięcy klientów tego banku. I opublikował 1000 przykładowych rekordów. Bank… potwierdził.

Wirtualna kradzież, realne straty

– Otrzymaliśmy informację, że w sieci zostały opublikowane dane 1000 osób i podmiotów powiązanych z bazą klientów mBanku. Były to podstawowe dane osobowe, które nie pozwalają na realizowanie transakcji bankowych w żadnym kanale dostępu. Część tego typu informacji widnieje w ogólnodostępnych spisach firm i instytucji. Podjęliśmy działania prewencyjne, które pozwolą zabezpieczyć naszych klientów przed potencjalnymi zagrożeniami – przyznał mBank.

– Informację, że ktoś opublikował wybrane dane osobowe powiązane z bazą naszych klientów, otrzymaliśmy 4 czerwca. Natychmiast zaczęliśmy je weryfikować. Okazało się, że dostępne w sieci dane dotyczyły 1000 osób lub podmiotów. Obejmowały one imię i nazwisko lub nazwę firmy, adres pocztowy oraz numer rachunku bankowego. Tego typu dane przekazywane są standardowo między klientami banków w trakcie realizacji przelewów – widać je w danych nadawcy. Część tych danych widnieje również w ogólnodostępnych spisach firm i instytucji.

Bank zapewnia, że jakiekolwiek sygnały dotyczące naruszenia bezpieczeństwa danych traktuje niezwykle poważnie.

– Po weryfikacji listy dostępnej w sieci podjęliśmy skuteczne działania, by ją zablokować – mówią bankowcy.

– Wszystkich obecnych klientów z tej listy objęliśmy dodatkową ochroną. Oznacza to, że ich operacje są monitorowane i weryfikowane w sposób ponadstandardowy. Klienci z tej grupy otrzymali od nas maila z informacją na temat tego zdarzenia. W wiadomości przekazaliśmy również najważniejsze zasady bezpieczeństwa. Zdarzenie zgłosiliśmy Urzędowi Ochrony Danych Osobowych. Sprawę przekażemy również organom ścigania, ponieważ istnieje podejrzenie popełnienia przestępstwa. Naszych klientów bardzo przepraszamy i zapewniamy, że sprawę traktujemy jako priorytetową pod każdym względem. Aktualnie badamy ją pod kątem potencjalnych źródeł ujawnienia. Bezpieczeństwo naszych klientów i ich danych jest dla mBanku sprawą najwyższej wagi.

Czas na twoją kartę?

Nadchodzące lato może się dla klientów banków okazać wyjątkowo niebezpieczne. Podobnych do wymienionych prób włamań, kradzieży pieniędzy i tożsamości było w ostatnich miesiącach bardzo dużo. Niektóre dane zostały wystawione na sprzedaż w znajdujących się poza Polską serwisach zajmujących się handlem danymi osobowymi. Po ile? Po niewiele, bo 3 złote za rekord – w przypadku bazy danych zawierających dane klientów różnych banków w Polsce. Oczywiście kupujący musi zapłacić za pakiet danych, czyli kupić nie mniej niż 1000 takich rekordów. To wciąż niewiele, biorąc pod uwagę, jaka jest stopa zwrotu z podobnej nielegalnej transakcji.

Choć kradzieże z użyciem komputera mogą zepsuć wakacje i doprowadzić klientów do rozpaczy, są największym problemem przede wszystkim dla samych banków. Docelowo to one ponoszą odpowiedzialność za środki swoich klientów, nawet wtedy, kiedy ci wykażą się niefrasobliwością.

W styczniu tego roku Sąd Najwyższy uznał, że bank PKO BP powinien oddać ukradzione klientce 60 tys. zł, ponieważ bank nie udowodnił klientce niedbalstwa, w związku z którym z jej konta owe 60 tys. zł w tajemniczy sposób zniknęło. Śledztwo w sprawie tej kradzieży pozwoliło ustalić, że klientka padła ofiarą zorganizowanej grupy przestępczej, która zajmowała się kradzieżą pieniędzy z kont bankowych i transferowaniem tych środków na Ukrainę.

„W niniejszej sprawie nie ma podstaw do przyjęcia, że powódka naruszyła obowiązek korzystania z instrumentu płatniczego (…) Do utraty pieniędzy z rachunku bankowego powódki nie doszło bowiem w okolicznościach opisanych w przytoczonych przepisach, ale wskutek popełnienia przestępstwa przez nieustaloną osobę trzecią, która skorzystała z niewłaściwego zabezpieczenia przez Bank świadczenia usługi CUI” – uzasadniał niekorzystny dla banku wyrok Sąd Najwyższy.

– „Dostawca jest obowiązany udowodnić inne okoliczności wskazujące na autoryzację transakcji płatniczej przez płatnika albo okoliczności wskazujące na fakt, że płatnik umyślnie doprowadził do nieautoryzowanej transakcji płatniczej albo umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42.”.

Warto jednak pamiętać, że w innych sprawach sądy często trzymały stronę banków, uznając, że np. klient został okradziony, bo miał zbyt prosty PIN do karty lub do tego PIN-u miały dostęp osoby trzecie.

Związek Banków Polskich także uważa, że wina za kradzieże z wykorzystaniem bankowości internetowej leży przede wszystkim po stronie klientów. Dlaczego? – Ponad 70 proc. Polaków, korzystających z bankowości internetowej nie zmieniło hasła w ciągu ostatniego roku – wynika z badań Komisji Europejskiej. Jednocześnie, jedynie 13 proc. Polaków podjęło konkretne działania, by zwiększyć swój poziom bezpieczeństwa w sieci – informują eksperci ZBP.

Strzeżcie się bankowcy

A spektakularne napady na banki? Takie też zdarzają się zza komputerowych monitorów. Białe kołnierzyki do dzisiaj śmieją się z cybernapadu na Bank Centralny Bangladeszu, który dwa lata temu wskutek ataku hakerów stracił 80 mln dolarów. Straciłby wszystko, ale hakerzy źle przepisali jedną literę. Konto BCB znajduje się w nowojorskim Banku Rezerwy Federalnej, który szczyci się, że ma najlepiej zabezpieczony system bankowy świata. Pieniądze skradzione z konta Banku Centralnego Bangladeszu trafiły na drugi koniec świata. Przypuszcza się, że ok. 80 mln dolarów dotarło na Filipiny, a potem transzami do różnych miejsc na świecie, m.in. do Hongkongu. Odbiorcą transferu 20 mln dolarów była jedna z organizacji pozarządowych na Sri Lance. Literówka w nazwie tej organizacji i niezwykle duża suma wzbudziły podejrzenia.

 

Oszustwo wyszło na jaw. Transakcję zablokowano, podobnie jak i kolejne fałszywe zlecenie płatności, tym razem na kwotę… ponad 850 mln dolarów.

 

Zamach w Smoleńsku a sądy i instytucje państwa
Przywrócić sądy Polakom – skrót diagnozy- Stanisław Możejko
Kryzys polityczny w Brazylii
Groźby śmierci wobec prezydenta Dudy

Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej.

Dowiedz się więcej