Gotówka wyparowała, winnego nie ma

Hakerzy okradli konto, odzyskanie pieniędzy może być trudne

Godzinę, w wyjątkowych sytuacjach dwie od kradzieży pieniędzy z konta bank może jeszcze próbować unieważnić przelew zrealizowany przez hakera. Ale cyberprzestępcy i na to znaleźli sposób. Najnowsze wirusy komputerowe blokują informacje o transakcji, a zainfekowany komputer pokazuje, że stan rachunku wcale się nie zmienił. Dlatego i bankowcy, i specjaliści od bezpieczeństwa w sieci apelują o wzmożoną ostrożność.

Jedna z warszawskich firm straciła pod koniec października ponad 50 tys. zł. Jej pracownica robiła przelew pensji w systemie bankowości internetowej Pekao. Po kilku godzinach system odrzucił część płatności z paczki, a jako powód podał brak środków na koncie. Przed transakcją księgowa upewniała się, że pieniądze są na rachunku, zaczęła więc sprawdzać, co się stało. W zasadzie wszystko się zgadzało. Dopiero następnego dnia po sprawdzeniu wyciągu z konta stwierdziła, że jest tam odnotowany przelew, który nie był przez firmę ani wprowadzony, ani autoryzowany.

Policyjne śledztwo

Firma skontaktowała się ze swoim opiekunem w banku i prosiła o zablokowanie przelewu, bo saldo wskazywało, że choć minął dzień od transakcji, pieniądze wciąż są na rachunku. Bank jednak ustalił, że gotówka zniknęła z konta już w dniu nieautoryzowanego przez firmę przelewu.

„To było sprzeczne i z widocznym saldem, i z ustawą o przeciwdziałaniu praniu brudnych pieniędzy oraz zapobieganiu terroryzmowi” – napisał właściciel rachunku w reklamacji złożonej w banku. Żądał też zwrotu na konto firmy skradzionej kwoty.

Sprawą zajęła się policja. – Gromadzimy materiały – usłyszeliśmy od jednego z oficerów z komendy na warszawskiej Pradze-Południe, bo tam trafiło zawiadomienie.

Z danych Komendy Głównej Policji wynika, że w tym roku (od stycznia do października) wszczęto 1074 postępowania dotyczące phishingu (wyłudzanie danych w celu kradzieży pieniędzy z rachunku bankowego). Dla porównania, w tym samym okresie 2014 r. takich przypadków było 767. Na szczęście większość zgłoszonych spraw dotyczy prób wyłudzenia (faktyczne straty to ok. 20 tys. zł, z tym że wiele postępowań jest w toku).

Policja zatrzymała 19 sprawców takich przestępstw, głównie w Katowicach, Gdańsku i we Wrocławiu.

Wirusy często modyfikowane

Bank rozpatruje reklamację złożoną przez okradzioną firmę. Zwykle trwa to od 30 do 90 dni. Wszystko zależy od stopnia skomplikowania sprawy. Pekao SA nie chce odnosić się do tej konkretnej historii. Ale jak tłumaczy Tomasz Bogusławski z biura prasowego banku, najprawdopodobniej doszło do ataku hakerskiego. – Cyberprzestępcy, wykorzystując brak ostrożności bądź wiedzy klienta, atakują jego komputer w celu uzyskania dostępu do pieniędzy – tłumaczy bankowiec. Podkreśla, że tak jak chronimy portfel z gotówką, tak samo powinniśmy chronić komputer na którym logujemy się do bankowości internetowej. Tomasz Bogusławski podkreśla, że bank regularnie informuje klientów o najróżniejszych metodach ataków cyberprzestępców, publikuje biuletyny dotyczące bezpieczeństwa.

– Zdajemy sobie sprawę, że przestępcy próbują podszyć się pod bank i w ten sposób zdobyć od klientów ich dane do logowania. Dlatego informujemy, że bank nigdy nie prosi o zalogowanie się do rachunku poprzez przesłany mejlem link, nie prosi również o podanie pełnego hasła do serwisu internetowego – podkreśla bankowiec.

Ostrzega, że każda taka wiadomość jest próbą zdobycia danych do logowania i autoryzacji transakcji, co umożliwia przejęcie kontroli nad kontem klienta.

Można iść do sądu

Jak zauważa przedstawiciel Pekao, najnowsze wirusy komputerowe potrafią nawet zamaskować fakt wykonania operacji, więc klient może się nie zorientować, że ktoś wykonał przelew, bo saldo na rachunku nie ulega zmianie.

Zgodnie z ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu bank ma obowiązek rejestrować transakcje powyżej 15 tys. euro, ale rejestracja transakcji nie oznacza braku zgody na wypłatę. – Rejestracja polega na spisaniu danych uczestników transakcji – tłumaczy Tomasz Bogusławski. Okradziona firma straciła mniej niż 15 tys. euro.

Czy odzyska pieniądze? Bank nie odpowiada na to pytanie. – Reklamacje są rozpatrywane indywidualnie, a decyzja o uznaniu bądź odrzuceniu skargi klienta jest podejmowana po skrupulatnej i wielostopniowej analizie – mówi Tomasz Bogusławski.

Klient może dochodzić swoich racji na drodze sądowej, ale będzie musiał udowodnić, że do kradzieży doszło nie z jego winy, lecz z winy banku. Na przykład opisywana firma zarzuca Pekao, że skoro bank ostrzega, by nie potwierdzać swoich danych (np. numeru telefonu) podczas logowania do systemu, to znaczy, że ma świadomość niedostatecznych zabezpieczeń systemu. Bank z kolei twierdzi, że to tylko dodatkowe zabezpieczenie. Jeśli policja złapie hakerów, którzy okradli konto, firma będzie mogła domagać się od nich zwrotu gotówki. Tyle że w ręce wymiaru sprawiedliwości trafiają najczęściej „słupy”, które są pionkami w przestępczej machinie.

Informacje o zagrożeniach w bankowości internetowej: www.zbp.pl, www.cert.pl, www.niebezpiecznik.pl, www.zaufanatrzeciastrona.pl

Jak zwiększyć bezpieczeństwo

1. Używaj wyłącznie legalnego i aktualnego oprogramowania

2. Stosuj systemy antywirusowe i zapory (tzw. firewall)

3. Chroń i nikomu nie udostępniaj loginu oraz hasła do bankowości internetowej czy mobilnej; często zmieniaj hasła

4. Odchodząc od komputera, zablokuj go lub się wyloguj

5. Weryfikuj, co podpisujesz, sprawdzaj numer rachunku, na który przelewasz pieniądze

6. Uważnie czytaj komunikaty dotyczące bezpieczeństwa

7. Nie instaluj niezaufanego oprogramowania na komputerze, smartfonie czy innym urządzeniu mobilnym

8. Nie ufaj nadawcy wiadomości e-mail, sprawdź, od kogo wiadomość ta pochodzi; oszuści mogą się podszywać pod instytucję zaufania publicznego (np. bank) albo inną firmę, np. operatora telefonii komórkowej

9. Nie podawaj loginu, hasła czy kodu do autoryzacji operacji osobom trzecim

10. Nie zostawiaj urządzeń do autoryzacji w komputerze

11. Nie działaj rutynowo, weryfikuj wszystkie dane

Źródło: Pekao SA

Kilka zasad redukujących zagrożenie ze strony hakerów

1. Do operacji bankowych należy używać tylko odpowiednio zabezpieczonego komputera czy urządzenia mobilnego

2. Z „bezpiecznego” komputera najlepiej logować się tylko do systemu banku

3. Regularnie (np. minimum dwa razy w tygodniu) skanować komputer oprogramowaniem antywirusowym

4. Firmy powinny stosować autoryzację transakcji „na dwie ręce” (dwuosobowy schemat akceptacji z dwóch różnych komputerów)

5. Warto uszczelnić wewnętrzne procedury kontroli

Źródło Pekao SA