Ta historia mrozi krew w żyłach. Ktoś ukradł naszej czytelniczce dane karty płatniczej, założył na jej dane osobowe konto w internetowym kasynie i „wyczyścił” kartę z pieniędzy. Czytelniczka przeprowadziła śledztwo: ustaliła skąd wyciekły dane karty, którzy pośrednicy procesowali złodziejskie transakcje, z pomocą jakiego e-maila założono konto w internetowym kasynie i klientem którego operatora telekomunikacyjnego są złodzieje. Przekazała wszystkie te dane organom ścigania, licząc na to, że wykonają ostatnią rzecz, która pozostała do zrobienia – po prostu „przyskrzynią” przestępców. Niestety, okazało się, że w Polsce i to jest za trudne
Nasza czytelniczka, pani Anna, w lipcu rezerwowała przez telefon pokój w hotelu. Podała dane z obu stron karty, a pracownik hotelu wysłał do banku prośbę o potwierdzenie zakupu. System rezerwacyjny odrzucił płatność, ponieważ jej karta miała zablokowane transakcje tego typu (MO/TO – Mobile Order/Telephone Order). To się zdarza, niektóre karty „w standardzie” mają zablokowane transakcje zdalne, przez internet lub przez telefon.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Hotel skontaktował się z panią Anną, poinformował o odrzuceniu płatności i poprosił o zapłacenie za pokój przelewem. Pani Anna niezwłocznie zleciła przelew, pieniądze wpłynęły na rachunek hotelu i wydawało się, że problem z kartą został rozwiązany. Niestety, pojawił się inny.
2000 zł znika z karty. Bo dane klientki wyciekły z hotelu?
Otóż kilka dni po wizycie w hotelu na karcie naszej czytelniczki pojawiły się dwie transakcje, których nie autoryzowała. Były to zakupy internetowe na stronie hipaywallet.com i opiewały na kwoty 234 euro i 186 euro (łącznie równowartość prawie 2000 zł).
Pani Anna niezwłocznie zgłosiła te transakcje na infolinii kartowej i zastrzegła kartę. Postanowiła też złożyć na policji doniesienie o popełnieniu przestępstwa przez nieznanych sprawców. Nota bene już po zastrzeżeniu przestępcy usiłowali przeprowadzić jeszcze jedną transakcję na 164 euro.
Skąd wyciekły dane karty? Podejrzenie padło oczywiście na hotel. Nie tylko ze względu na koincydencję czasową, ale też ze względu na to, że pani Anna nie korzystała z tej karty płatniczej zbyt często i jedynym miejscem, gdzie w tamtym czasie dokonywała płatności, była strona hotelu.
Dodatkowo, jak wyjaśnili naszej czytelniczce pracownicy obsługujący jej rezerwację, płatności dokonywane są tam w zasadzie ręcznie, czyli przez pracowników, którzy pobierają dane ze strony internetowej, wprowadzają je do terminala i po uzyskaniu zgody banku pobierają pieniądze z karty klienta. Taki pracownik ma dostęp do danych kart, o jakim każdy złodziej może tylko pomarzyć.
O co chodzi z rezerwacjami przez telefon? Szerzej pisał o tym portal Niebezpiecznik
Czytaj też: Jak nie dopuścić do wycieku danych z naszych komputerów i smartfonów? Stosuj te zasady
Pani Anna jak Sherlock Holmes. Po nitce do kłębka
Pani Anna postanowiła przeprowadzić prywatne śledztwo, by pomóc organom ścigania schwytać wyłudzaczy. Zwróciła się więc do belgijskiego hipaywallet.com z prośbą o szczegóły płatności. Pośrednikiem tej firmy w płatnościach była firma HiPay (tak, jak u nas pośrednictwem w płatnościach zajmują się np. PayU czy Przelewy24), ale i ona niewiele mogła powiedzieć, bo w tym przypadku przekazała pieniądze do drugiego dostawcy usług płatniczych, brytyjskiego FirstClear. A ten z kolei przeksięgował płatność na rzecz kasyna internetowego Unibet.com, zarejestrowanego na Malcie.
Żeby zagrać w kasynie, trzeba założyć tam konto. Żeby zapłacić czyjąś kartą (a właściwie jedynie z użyciem jej danych, wykradzionych prawowitemu posiadaczowi), to konto powinno być założone na te same dane, które widnieją na karcie (choćby po to, by kasyno nie powzięło podejrzeń, że ktoś gra nie swoimi pieniędzmi).
Reasumując: ktoś użył imienia i nazwiska pani Anny oraz jej karty płatniczej do założenia konta w kasynie internetowym i do zawarcia zakładów na 2000 zł. Pani Anna zgłosiła się więc do kasyna z prośbą o ujawnienie wszystkiego, co mu wiadomo o tym użytkowniku.
Jak wyjaśniło kasyno, nie można tam założyć konta bez załączenia skanu dokumentu stwierdzającego tożsamość. A więc złodziej pieniędzy pani Anny musiał mieć skan jej dowodu lub w wiarygodny sposób ten dokument podrobić. Z informacji uzyskanych od Unibet wynika, że „grany” był ten drugi scenariusz.
Oczywiście: większość danych na koncie Unibet było fałszywych (złodzieje posłużyli się przecież nie swoją tożsamością, lecz pani Anny), z jednym wszakże wyjątkiem. Otóż konto w kasynie internetowym przestępcy połączyli ze skrzynką poczty elektronicznej… na wp.pl, czyli na serwerach pocztowych drugiego największego portalu internetowego w kraju – Wirtualnej Polsce.
To już było coś: posiadacze skrzynek pocztowych (nawet jeśli ich adresy nie brzmią jak dane identyfikujące kogokolwiek, lecz np. fajna.laska@wp.pl) łączą się z serwerami pocztowymi z konkretnych urządzeń, które mają konkretne adresy i prowadzą do konkretnego miejsca na Ziemi. Pani Anna wykonała więc solidną robotę śledczą. Ale sama zatrzymać przestępców nie może, więc w końcu dopuściła do gry polską policję.
Więcej na temat ochrony tożsamości: znajdziesz na stronie cyklu edukacyjnego “Chroń swoje dane”. Zapraszam do jej odwiedzenia!
Nie przegap nowych tekstów z „Subiektywnie o finansach”, zapisz się na mój newsletter i bądźmy w kontakcie!
Przeczytaj też: Gdy bank prosi cię o wysłanie e-mailem skanu dowodu osobistego. Czy możesz zamazać niektóre dane?
Gliniarz i prokurator w akcji. Jednemu się chce, drugiemu nie
Nasza czytelniczka złożyła zawiadomienie o przestępstwie na policji, załączając rezultaty własnego śledztwa. Wydawało się, że nie dość, że uda się jej odzyskać pieniądze, to prokuratura do spółki z policją, przy niewielkim wysiłku ustali sprawcę i pociągnie go do odpowiedzialności, ogłaszając sukces i poprawiając wykrywalność przestępstw z wykorzystaniem kradzieży danych i tożsamości.
Zawiadomienie złożone zostało do Prokuratury Okręgowej w Gdańsku, ale ta przesłała je do Prokuratury Rejonowej Gdańsk-Śródmieście, która z kolei zdecydowała się powierzyć sprawę w całości do prowadzenia Komisariatowi Miejskiemu II w Gdańsku. Jeśli myślicie, że kradzieże tożsamości i pieniędzy są ważnym przestępstwem, to ta ścieżka „spychologii” nie pozostawia wątpliwości, że wymiar sprawiedliwości ma ważniejsze sprawy na głowie.
Policjant prowadzący sprawę był – jak „zeznaje” pani Anna – bardzo zaangażowany i sprawny – zdążył zlecić przesłuchanie osób obsługujących płatność naszej czytelniczki, zwrócić się do Wirtualnej Polski o szczegóły dotyczące skrzynki internetowej, a także do kasyna internetowego oraz operatorów płatności o wyjaśnienia. Ustalił też szczegóły dotyczące operacji na karcie pani Anny. Zrobił więc wszystko, co podpowiadał zdrowy rozsądek.
Niestety, pomimo przesłuchania obsługi hotelu, nie udało się ustalić, w jaki sposób dane karty płatniczej naszej czytelniczki dostały się w ręce przestępców. Zagraniczne firmy – Unibet, FirsClear i HiPay – nie odpowiedziały na pisma kierowane przez polskie organy ścigania. Pozostało więc liczyć na „polski ślad” – czyli Wirtualną Polskę.
Vectra: „Nasz klient? My go w ogóle nie znamy. Z przyczyn technicznych”
Okazało się, że właściciel skrzynki internetowej w Wirtualnej Polsce korzysta z internetu od Vectry. I Vectra oczywiście mogłaby go w ciągu pięciu minut zidentyfikować oraz podać na tacy organom ścigania. Brygada antyterrorystyczna była już niemal gotowa, by zrobić gagatkom „wjazd na chatę”, lecz sprawa gwałtownie zahamowała na ostatniej prostej, gdyż… Vectra odmówiła pomocy.
A dokładniej, odpowiedziała, że dane abonenta z przyczyn technicznych nie zachowały się. Jakie to przyczyny techniczne uniemożliwiają operatorowi ustalenie tożsamości ludzi podejrzanych o popełnienie przestępstwa? Nie wiadomo. Ale wydaje się, że cały świat przestępczy może z tej informacji wyciągnąć niezwykle cenną naukę – warto mieć internet w Vectrze. Choć pewnie nadal warto jest korzystać z darknetów, VPN-ów i innych zdobyczy techniki pozwalających surfować po sieci anonimowo.
Wobec powyższego, nasz dociekliwy policjant dostał polecenie z dbającej o statystyki prokuratury, aby umorzyć sprawę wobec niewykrycia sprawców (policyjna wykrywalność co prawda spada, ale prokuratorskie statystyki zamkniętych spraw rosną). Prokurator w ogóle nie zastanowił się dlaczego operator telekomunikacyjny odpowiedział tak, jak odpowiedział i w ogóle jak śmiał pokazać organom ścigania środkowy palec.
Czytaj też: Prawie okradłem znajomego z pieniędzy. Pomógł pracownik telekomu
Czytaj też: Skopiowali jego dowód, wyłudzili kopię karty SIM. Ukradli 1,1 mln zł z konta. Jak tego uniknąć
Prawie jak w państwie prawa
Sprawa jednak nie jest tak prosta, jak mogłoby się wydawać prokuratorowi. Najmniejszym problemem jest to, że ktoś ukradł pieniądze z karty naszej czytelniczki. Popełniono szereg przestępstw, którymi organy ścigania w ogóle się nie przejęły. Przestępcy:
>>> naruszyli tajemnicę korespondencji i pozyskali dane osobowe oraz dane karty płatniczej naszej czytelniczki.
>>> ukradli tożsamość naszej czytelniczki w celu założenia skrzynki e-mail na jej imię i nazwisko, a następnie konta w kasynie internetowym.
>>> żeby założyć konto w kasynie internetowym, przestępcy prawdopodobnie załączyli sfałszowany dokument tożsamości.
>>> kasyno to było wpisane na listę stron hazardowych– świadomie kierowało swoje usługi za pośrednictwem platform w języku polskim do osób na terytorium Polski, działając bez zezwolenia – strony kasyna Unibet.com znajdują się w Rejestrze domen służących do oferowania gier hazardowych niezgodnie z prawem (taki rejestr prowadzi Minister Finansów). Polscy operatorzy internetu mają obowiązek blokowania tych stron.
>>> przestępcy doładowali ukradzionymi pieniędzmi konta w serwisie hazardowym zakazanym w Polsce, chociaż instytucje finansowe nie mogą przekazywać pieniędzy do takich kasyn.
Prócz tej listy przestępstw i wykroczeń, na które prokurator ostatecznie machnął ręką, pojawiają się dwa pytania:
>>> jeżeli faktycznie wykorzystano ukradzione pieniądze do gry w kasynie, to czy mogło dojść w tym przypadku do prania pieniędzy?
>>> jeżeli operator Vectra nie był w stanie wskazać danych swojego własnego abonenta, to czy Vectra właściwie wypełnia swoje obowiązki, także zdefiniowane w dotyczących go ustawach?
Kto będzie następny? Może ty, a może ty
Na logikę ktoś powinien wytłumaczyć się z tego, że tak łatwo można było przeprowadzić cały oszukańczy schemat. Nasza czytelniczka ostatecznie odzyskała pieniądze, ponieważ zadziałał mechanizm chargeback, o którym wielokrotnie pisaliśmy. Niestety, pomimo udzielenia pomocy i cennych wskazówek udzielonych organom ścigania, nie udało się ustalić sprawców. A to oznacza, że sprawcy ci z pewnością wkrótce znów uderzą. Ofiarą może być każdy z Was, drodzy czytelnicy, obywatele państwa teoretycznego.
O ile wiem, nasza czytelniczka zamierza złożyć w prokuraturze zażalenie na decyzję o umorzeniu sprawy. Czy sąd nakaże prowadzić ją dalej? I czy ktokolwiek poniesie konsekwencje całego szeregu przestępstw dokonanych przy okazji kradzieży pieniędzy naszej czytelniczki?
Zdjęcie: Pixabay.com
