Polskie rachunki bankowe są coraz odważniej wykorzystywane przez międzynarodowych cyberprzestępców. KNF zdaje się nie widzieć problemu. Główny Inspektor Informacji Finansowej nie potrafi określić jego skali. Prokuratura zaś twierdzi, że… nie ma interesu w tym, żeby ścigać sprawców. Jeśli tak ma wyglądać walka z cyberprzestępczością, to sukcesu nie wróżę
Jednym z dobrze znanych sposobów na okradanie klientów banków – najczęściej firm – jest wysłanie e-mailem oszukańczej wiadomości o zmianie numeru rachunku do zapłaty kolejnych należności. Jeśli e-mail jest dobrze spreparowany, to ofiara może się nabrać i wysłać pieniądze do przestępców, zamiast do swojego kontrahenta.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Oczywiście: to nie jest takie proste. Do większych „skoków” przestępcy przygotowują się przez kilka miesięcy. Monitorują zwyczaje ofiary, uczą się stylu komunikowania, czasem szpiegują skrzynkę e-mail i czekają na odpowiedni moment—finalizację dużej transakcji. W kluczowym momencie wysyłają wiadomość o zmienionym sposobie płatności.
Pozwólcie, że opowiem Wam historię. Wysłuchałem ją od prawników specjalizujących się w tropieniu przestępstw finansowych. Ludzie ci chcą pozostać w cieniu. Historia jest prawdziwa i znana polskiemu wymiarowi sprawiedliwości.
Brytyjski żeglarz okradziony na 5 mln zł przez piratów z Karaibów. Po drodze… polski bank
W czerwcu 2015 r. pewien 60-letni brytyjski żeglarz postanowił kupić nieruchomość na Karaibach, gdzie chciał spędzić jesień swojego życia. W momencie finalizowania tej transakcji, przestępcy przejęli konto e-mail pełnomocnika ofiary i wysłali z jego adresu wskazówki dotyczące płatności. Kwotę 1,3 miliona dolarów (prawie 5 milionów złotych) Brytyjczyk miał przelać na rachunek bankowy w Polsce.
Żeglarz nie był jednak naiwny, poprosił o wyjaśnienia: dlaczego ma przelać pieniądze na rachunek bankowy w Polsce, skoro kancelaria prawna mająca pełnomocnictwo do zapłacenia pieniędzy w jego imieniu jest na Karaibach, a strony transakcji nie są związane z Polską. W odpowiedzi uzyskał szczegółowe wyjaśnienia, które uznał za wiarygodne (zapewne wciśnięto mu kit, że Polska to taki raj podatkowy, przez który warto przepuścić pieniądze, żeby zarobić lub nie stracić). I wysłał pieniądze. No dobra, jednak był naiwny.
Pieniądze trafiły ze szwajcarskiego banku do Polski, do Banku Pekao, a następnie (już kontrolowane przez przestępców) — do Chin. A tam oczywiście rozpłynęły się na wielu rachunkach bankowych. Chińskie banki, pomimo żądań wielu instytucji, nie udzieliły odpowiedzi. Brytyjczyk jednak nie machnął ręką na swoje 1,3 mln dolarów, tylko postanowił przeprowadzić własne śledztwo.
Zaangażowani zostali prawnicy i specjaliści w wielu krajach, w tym również w Polsce. Szybko okazało się, że każdy etap przestępstwa został dokładnie zaplanowany oraz że nie był jedyną ofiarą tego procederu, a wybór polskiego banku nie był przypadkowy.
Działania prawników Brytyjczyka osiągnęły pierwszy skutek w lipcu 2015 r., gdy w warszawskiej Prokuraturze Okręgowej wszczęte zostało śledztwo w tej sprawie. Sprawy szły jednak jak po grudzie. Prokuratura miała problem nawet z tym, żeby ustalić faktycznego właściciela rachunku w polskim banku, przez które przepłynęły pieniądze ze szwajcarskiego banku do Chin. Faktycznego, bo Brytyjczyk żył przecież w przekonaniu, że wysyła pieniądze do swoich pełnomocników od zakupu nieruchomości.
Rumuńska prostytutka hurtem zakłada rachunki, a polski podatnik „nie ma interesu”
Okazało się, że rachunek należał do obywatelki rumuńskiej. Jak się później okazało, kobieta ta była prostytutką, którą w Londynie zwerbował Nigeryjczyk. Przyleciała do Warszawy tylko na kilka dni w jednym tylko celu — aby otworzyć jak najwięcej rachunków bankowych. Polskie służby oczywiście poszukiwały rumuńskiej prostytutki — najpierw szukano jej pod fikcyjnym adresem w Warszawie, potem pod londyńskim adresem pokrzywdzonego, aż w końcu, po piętnastu miesiącach, wydano za nią Europejski Nakaz Aresztowania. W końcu ją ujęto.
W tzw. międzyczasie, decyzją prokuratury, śledztwo powierzono komendzie rejonowej na warszawskim Mokotowie. Cyberprzestępczość o skali międzynarodowej trafiła więc do zwykłej dochodzeniówki. Może ktoś doszedł do wniosku, że „nie ma takiego miasta jak Londyn. Jest Lądek, Lądek Zdrój”.
Nie oglądając się na polską prokuraturę, Brytyjczyk – wspólnie ze służbami policyjnymi z Wielkiej Brytanii i Hiszpanii – ustalił, że padł ofiarą zorganizowanej grupy przestępczej. Tak samo, jak kilkadziesiąt innych osób, które straciły co najmniej 65 milionów euro. Rozumiejąc, że żadna ze służb policyjnych w pojedynkę nie rozwiąże tej sprawy, podjął się pośredniczenia pomiędzy nimi.
Pozyskiwał i przekazywał dowody tam, gdzie było to potrzebne i konieczne — w legalny sposób pozyskiwał dane od operatorów telekomunikacyjnych i przekazywał do właściwych instytucji. Dzięki temu np. policja brytyjska zwróciła się do polskiej o ustalenie kolejnych ofiar i sposobu wykorzystania kilkudziesięciu rachunków bankowych, co do których dokumenty znaleziono podczas wielu przeszukań na terenie Wielkiej Brytanii.
Polska policja ze względów prawnych nie mogła tych danych przekazać, a prokuratura nie dopełniła formalności – Brytyjczycy, pomimo że materiały były przygotowane i tylko czekały na wysyłkę, nie mogli ich przekazać Polakom.
Ta niemoc miała chyba dość proste uzasadnienie. Prokuratura w jednym z pism stwierdziła, że polski podatnik nie ma interesu w tym, żeby płacić za tego rodzaju śledztwo. Wszystko jest „zagraniczne”: ofiary, sprawcy, miejsce działania sprawcy. „Polskie” są tylko rachunki bankowe, które wykorzystano do transferu pieniędzy. Śledztwo w Polsce zostało umorzone, ale – po odwołaniu Brytyjczyka – sąd nakazał je wznowić.
Włam na skrzynkę e-mail, zmiana numeru konta do płatności dużej faktury i…
Ofiarą podobnego oszustwa został też pan Robert. 6 grudnia zeszłego roku złodzieje podszyli się pod adres e-mailowy kontrahenta firmy pana Roberta. Podszywanie się trwało przez kilka dni. W trakcie wymiany korespondencji oszust wykazał dużą znajomość realiów występujących w firmie pana Roberta, co uśpiło jego czujność:
„Po wymianie kilku e-maili, dotyczących szczegółów kolejnej transakcji wraz z anonsowanymi wcześniej informacjami o zmianie numeru konta, otrzymaliśmy podrobioną fakturę, dokładnie taką, jaką zwykle otrzymujemy od naszego dostawcy, zawierającą nowy numer konta. Byliśmy pewni, że rozmawiamy z osobą dotychczas posługującą się danym adresem mailowym. Zrealizowałem przelew, a o tym, że transakcja z dostawcą nie została sfinalizowana dowiedzieliśmy się po 10 dniach, wskutek telefonicznej rozmowy z przedstawicielem kontrahenta, pytającego jakie są powody opóźnienia naszej płatności”
– opowiada pan Robert. Straty: ćwierć miliona złotych. Pikanterii sprawie dodaje fakt, iż po bezpośrednim kontakcie z brytyjskim bankiem, do którego pan Robert przelał pieniądze, okazało się, że numer konta, na który miały trafić pieniądze, w ogóle… nie istnieje, zarówno w rejestrze egzystujących, jak i zamkniętych kont. Grubo, nie powiem.
„Żeby móc przeanalizować zaistniałą problematykę i wyciągnąć zapobiegawcze na przyszłość wnioski, trzeba by było zainteresować i skoordynować działania służb w kilku krajach zbierając wszelkie informacje w centralnym punkcie. Niestety nie posiadamy, ani takiej mocy, ani też wiedzy, jakie służby mogłyby się tego podjąć, dlatego też podjęliśmy kroki w celu poinformowania wielu instytucji o zaistniałym zdarzeniu”
– mówi pan Robert. Powiadomił on polski bank realizujący przelew w Polsce, brytyjski bank, do którego finalnie trafiły pieniądze, firmę ze Szwajcarii, której narzędziem informatycznym złodzieje posłużyli się do sfałszowania faktury, prokuraturę w Łodzi. I liczy, że współpraca wszystkich wymienionych podmiotów pozwoli mu odzyskać choćby część pieniędzy.
Polskie banki nie dbają o nazwy kontrahentów na przelewach
Oszustwo, którego ofiarą padł brytyjski żeglarz, obnażyło słabe punkty naszego systemu bankowego. Aby oszustwo tego typu doszło do skutku, potrzebny jest rachunek bankowy. Czy przestępcy wykorzystują losowo wybrane banki? Raczej nie. Według ustaleń naszego żeglarza, w tej samej placówce banku w centrum Warszawy, zostało założonych wiele rachunków bankowych wykorzystanych do oszukańczego procederu.
Oszuści wykorzystują fakt, że polskie banki nie dbają o nazwy na przelewach. Sprawdzają wyłącznie czy zgadza się numer rachunku. Jeżeli nazwa odbiorcy przelewu nie zgadza się z nazwą posiadacza rachunku, bank i tak zaksięguje przelew. Oszuści, przejąwszy kontrolę nad e-mailem pełnomocnika brytyjskiego żeglarza, mogli więc poprosić go, by wysłał przelew wpisując w nazwie beneficjenta prawdziwą nazwę kancelarii, która go obsługuje.
Brytyjczyk, wysyłając pieniądze, myślał, że wysyła je na rachunek, którego właścicielem jest jego kancelaria prawnicza, a tymczasem posiadaczem rachunku w Polsce była ryumuńska prostytutka. Gdyby bank w Polsce zwracał uwagę nie tylko na numer rachunku, ale też na dane właściciela, może by zapytał nadawcę – Brytyjczyka – czy na pewno się nie pomylił, wysyłając 1,3 mln dolarów w inne miejsce, niż widnieje w nazwie beneficjenta przelewu.
Przestępcy wybierają banki, w których systemy antyfraudowe nie zatrzymują dużych przelewów. Jeśli rachunek, który bardzo długo jest martwy, nagle zostaje wykorzystany do wielkiego przelewu, to jest to operacja nietypowa. System antyfraudowy powinien taką operację „oflagować” i poddać dodatkowej kontroli.
Wiemy doskonale, że tak się nie dzieje. To właśnie dlatego przestępcy, którzy wyłudzą nasze loginy i hasła do kont bankowych oraz potrafią przejąć SMS-y autoryzacyjne w naszych smartfonach, beztrosko „zrzucają” pieniądze ze wszystkich lokat, kont oszczędnościowych, wykorzystują debety, ściągają pieniądze z kart kredytowych, a później – jednym, szybkim przelewem – kradną ofierze oszczędności całego życia. Czy takie ruchy na koncie nie powinny wzbudzić czujności banku? Czy nie powinien zadzwonić do klienta i zapytać czy rzeczywiście wyprowadza z konta wszystkie pieniądze?
Właśnie brakiem tej czujności i błędów w działaniu systemów antyfraudowych padamy ofiarą. I to również było jedną z przyczyn udanego transferu pieniędzy ze Szwajcarii przez Polskę do Chin.
W tym konkretnym przypadku w banku nie zapaliła się czerwona lampka, gdy z rachunku Rumunki w ciągu dwóch dni zlecono pięć przelewów do Chin. Kiedy w końcu bank ofiary poinformował o oszukańczym charakterze przelewu oraz zażądał jego zablokowania i zwrotu — bank odpowiedział, że pieniędzy na rachunku już nie ma. Po pewnym czasie wysłał informację do chińskich banków, by wstrzymały wypłaty pieniędzy z kont, ale oczywiście też było już za późno.
Banki w takich przypadkach zwykle argumentują, że nie mogły zweryfikować nazwy beneficjenta i wykryć nieprawidłowości, ponieważ:
>>> systemy bankowe księgują przelewy tylko i wyłącznie w oparciu o numery rachunku i działa tak każdy bank w Polsce
>>> żaden bank nie weryfikuje wprowadzanych przez klienta danych przed wykonaniem przelewu (nie sprawdza się zgodności danych odbiorcy z danymi posiadacza rachunku)
>>> ze względu na automatyzację żaden z pracowników nie ogląda danych przelewów przez ich wysłaniem
>>> ludzie często wpisują inną nazwę odbiorcy niż ta, którą zna bank, blokowanie każdego takiego przelewu wywołałoby ogromne zamieszanie i niezadowolenie klientów, w skrajnym przypadku mogłoby dojść do paraliżu systemu płatniczego
>>> żadne przepisy nie nakładają na bank obowiązku weryfikacji innych danych niż tylko numer rachunku
GIIF zrobi czarną robotę za banki?
Pozostaje liczyć, że prokuratura jednak zdecyduje się połączyć kropki i szybciej działać, by łapać przestępców, którzy od lat wykorzystują ułomności polskich banków. Że Narodowy Bank Polski zainteresuje się tym, dlaczego niektóre banki wybierane są jako pośrednicy w złodziejskich przelewach międzynarodowych częściej niż inne? Może Komisja Nadzoru Finansowego będzie w stanie wymusić na bankach wdrożenie odpowiednich procedur, które pozwolą przeciwdziałać wykorzystywaniu ich do popełniania cyberprzestępstw? Może banki w końcu zaczną sprawdzać nazwy na przelewach?
Duże wyzwanie czeka też Generalnego Inspektora Informacji Finansowej, do którego banki od lipca br. będą miały obowiązek raportować dwie nazwy z przelewów przychodzących: nazwę zamierzonego odbiorcy oraz nazwę posiadacza rachunku. Może GIIF będzie w stanie wyłapać niezgodności nazw na przelewach, skoro banki tego nie potrafią?
Nie można powiedzieć, że w tej sprawie nic się nie dzieje, o nie. Można co najwyżej ponarzekać na niezbyt duży autorytet, jakim cieszy się w bankach KNF. W 2012 r., w piśmie do banków, nadzór wskazywał, że…
„Aktualnie obowiązujące regulacje prawne nie zawierają wyrażonego dobitnie obowiązku weryfikacyjnego w przypadku niezgodności danych dotyczących rachunku bankowego dłużnika lub wierzyciela z nazwą tegoż (…) nie powinna jednak budzić wątpliwości oczywistość takiej weryfikacji, nie można bowiem wykluczyć, iż brak dołożenia należytej staranności w jednoznacznej identyfikacji rachunku bankowego dłużnika/wierzyciela implikować będzie zarzutem niedołożenia należytej staranności lub nienależytego wykonania umowy.”
W 2017 roku wystosowane zostało kolejne pismo do sektora bankowego, w którym jednoznacznie wyrażone zostały oczekiwania nadzorcy:
„Urząd Komisji Nadzoru Finansowego pragnie zwrócić uwagę na fakt znaczącego wykorzystywania rachunków prowadzonych w bankach na terytorium Polski do oszustw BEC, a zgodnie z informacjami posiadanymi przez UKNF, rachunki bankowe w bankach działających na terytorium Polski są miejscem, do którego również trafiają środki pochodzące z tego typu przestępstw, aby następnie zostać przekazane dalej.”
W odpowiedzi na to drugie pismo Związek Banków Polskich uprzejmie, acz stanowczo przypomniał KNF-owi, że…
>>> w świetle obowiązujących przepisów prawa, brak jest podstaw do nakładania na bank dodatkowego obowiązku weryfikacji zgodności oznaczenia beneficjenta przelewu z numerem rachunku bankowego wskazanym przez płatnika składającego dyspozycję,
>>> nie ma niestety podstaw w obowiązujących przepisach prawa implementujących prawo unijne do interpretacji przepisów Ustawy o usługach płatniczych w kierunku sugerowanym przez KNF.
I to by było na tyle. Cała nadzieja w tym, że GIIF będzie w stanie zrobić od lipca to, czego banki nie chciały, nie musiały i nie potrafiły zrobić od lat.
Ilustracja tytułowa: Pixabay
