Oszustwa polegające na skłonieniu klienta banku, by sam przelał pieniądze złodziejowi, myśląc że opłaca jakąś fakturę kontrahentowi – to nowa plaga i źródło dochodów międzynarodowych grup przestępczych. Kto wie czy nie groźniejsze, niż wyłudzanie naszych danych za pomocą phishingu, czy wykradanie pieniędzy dzięki skopiowaniu danych z kart płatniczych. Mamy dane ile wynoszą straty klientów banków z powodu oszustw tego typu. Okazuje się, że to setki milionów złotych
Ostatnio ofiarą tego typu przestępstwa padł LOT. Państwowy przewoźnik wysłał złodziejom kilka milionów złotych. Pracownicy myśleli, że po prostu regulują kolejną ratę leasingową za samoloty. Więcej przeczytasz w tym artykule.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Złodzieje atakują w podstępny sposób. Typują klienta, który od czasu do czasu wysyła przelewy o wysokiej wartości. Włamują się do jego skrzynki e-mail, inwigilują przez jakiś czas, a gdy nadchodzi termin wysokokwotowej transakcji – wysyłają e-mail informujący o zmienionym rachunku bankowym do wpłaty. Często się to udaje.
Ofiary nabierają się na ten prosty trik, nie podejrzewając oszustwa. Przecież w danych przelewu zmienia się tylko numer rachunku, a nie nazwa beneficjenta, jego adres i inne dane. „Bank sprawdza zgodność danych przelewu przed zaksięgowaniem pieniędzy” – myślą. Nic bardziej błędnego. Pisaliśmy o tym w artykułach:
Według danych FBI, w przypadku tego typu przestępstw (zwanych po angielsku Business E-mail Compromise), przestępcy czytają wiadomości ofiar przez wiele tygodni. Średnio przez ponad 200 dni pozostają niewykryci. FBI podaje też, że wartość strat amerykańskich obywateli podwaja się co roku. Oszustwa typu BEC są niekwestionowanym liderem wśród najbardziej zyskownych cyberprzestępstw na świecie.
Wiemy ile wynoszą straty w wyniku oszustw „na przelew”. Gigantyczna kasa!
Od pewnego czasu usiłowaliśmy – wspólnie z MoneyPenny, naszą pragnącą zachować anonimowość (aczkolwiek znaną w środowisku finansowych „bezpieczników”) ekspertką od cyberprzestępczości bankowej – ocenić skalę tego niebezpiecznego zjawiska. Niespodziewanie okazało się, że w Polsce najlepszym źródłem o oszustwach przelewowych nie są służby specjalne, ani Komisja Nadzoru Finansowego ani nawet Generalny Inspektor Informacji Finansowej tylko… Narodowy Bank Polski.
Z danych, do których udało nam się dotrzeć wynika, że przez pięć ostatnich lat polskie ofiary oszukańczych przelewów straciły… co najmniej 260 milionów złotych! To prawie o 90 milionów więcej, niż w wyniku oszukańczych transakcji kartami płatniczymi.
Z danych, które wycisnęliśmy z NBP wynika, że jeden oszukańczy przelew kosztuje ofiarę średnio 56 razy więcej, niż oszukańcza transakcja kartą. Ofiar złodziejskich transakcji kartowych jest jednak 35 razy więcej, więc to nimi bankowcy przejmują się bardziej.
Pamiętajmy, że w statystykach oszukańczych przelewów są tylko te transakcje, co do których klienci zgłosili pretensje do swoich banków, ponieważ dane dotyczą oszustw popełnionych na szkodę posiadaczy rachunków bankowych w Polsce. Nie znamy rzeczywistej skali oszustw, w których pieniądze były przyjęte na rachunki bankowe w Polsce, choć ofiarami są osoby z zagranicy.
Trzy rzeczy, które ułatwiają życie przestępcom
Już w 2016 r. amerykański odpowiednik polskiego GIIF (Generalny Inspektor Informacji Finansowej) wskazywał, że w oszustwach BEC jednym z najważniejszych elementów jest numer rachunku bankowego i bank beneficjenta (odbierającego przelew). I to właśnie banki przyjmujące oszukańczy przelew mogą pokrzyżować plany cyberprzestępców.
Dlaczego to bank beneficjenta jest arcyważny? Bez założenia fałszywego rachunku bankowego nie da się popełnić oszustwa przelewowego. Rachunki „na słupa” są zakładane w takich bankach, które chętnie przyjmują nowych klientów bez zadawania zbędnych pytań. I które nie kwestionują niezgodności nazwy odbiorcy na przelewach.
„Z punktu widzenia przestępców najlepiej jest, gdy bank nie zachowuje środków bezpieczeństwa finansowego — pieniądze nie tylko są księgowane na rachunku oszusta, ale również bank nie zadaje pytań o źródło ich pochodzenia. I nie utrudnia ich wyprowadzenia do kieszeni przestępców”
– mówi MoneyPenny. Banki w Polsce nie są odporne na tego rodzaju oszustwa. W 2016 r. Amerykański Departament Stanu nazwał Polskę coraz ważniejszym wzrastającym międzynarodowym centrum finansowym w… praniu pieniędzy pochodzących z wyłudzeń typu BEC. Bank może powstrzymać przestępstwo „przelewowe” na wiele sposobów (wystarczy, żeby wykonał chociaż jedną z poniższych czynności):
1. sprawdzać nazwy odbiorów na przelewach — jeśli bank sprawdzi nazwę na przelewie, odkryje niezgodność nazw i może taki przelew np. wstrzymać do czasu uzyskania od banku-zleceniodawcy wyjaśnień,
2. monitorować wpływy na rachunki klientów — jeśli bank zauważyłby w porę, że setki tysięcy dolarów, a czasami nawet i większe kwoty, wpływają na nowo-założony rachunek, na którym wcześniej nie było pieniędzy, bank mógłby zwrócić się o wyjaśnienie źródła pochodzenia środków i uznać, że pochodzą one z przestępstwa,
3. monitorować transakcje wychodzące — jeśli bank odkryłby, że dopiero co zaksięgowane znaczne pieniądze od razu są wypłacane z rachunku (albo w gotówce, albo przelewem), mógłby nie dopuścić do wykorzystania swojej działalności do prania pieniędzy oraz – przede wszystkim — ograniczyć wysokość szkody ofiary.
Polska mekką światowej przestępczości „przelewowej”?
Polskie banki są beztroskie, a tymczasem przestępstwa „przelewowe” to dziś jedna z najszybciej rosnących „gałęzi” cyberprzestępczości. Tym trudniejszej do ścigania, że często prowadzonej przez międzynarodowe grupy – okrada się np. firmę lub człowieka w Europie Zachodniej, pieniądze transferuje przez bank w Europie Środkowej, a finalnym odbiorcą jest centrala grupy przestępczej w Azji. Czytamy o tym m.in. w raportach NBP:
„Transgraniczny schemat oszustw ma najprawdopodobniej na celu utrudnienie organom ścigania zlokalizowania przestępców oraz powoduje konieczność podejmowania współpracy z zagranicznymi organami ścigania, co może dodatkowo komplikować i wydłużać prowadzenie postepowań”
Przedstawiciele GIIF mówią nam, że ze względu na docierające do niego informacje zewnętrzne przekazał do KNF i prokuratury informacje w kwestiach dotyczących wykorzystania rachunków bankowych założonych w Polsce do dokonania oszustw typu BEC. A w konsekwencji KNF zwrócił uwagę bankom na fakt znaczącego wykorzystywania rachunków prowadzonych w bankach na terytorium Polski do takich oszustw. Kiedyś wpadły mi w ręce akta jednej z umorzonych spraw. Warszawski sąd, nakazując prokuraturze prowadzenie śledztwa, napisał:
„Oszustwo, którego ofiarą padł [pokrzywdzony], obnażyło słabe punkty polskiego systemu bankowego na tle standardów unijnych. Rezygnacja ze ścigania jego sprawców stanowi niebezpieczny komunikat dla przestępców, że w Polsce nie tylko można szybko założyć konto bankowe i wykorzystać je w celach niezgodnych z prawem, ale też – że nie należy spodziewać się w związku z tym żadnych negatywnych konsekwencji prawnych”
Jak tłumaczą się polskie banki? Że przelewów jest… za dużo, żeby ich pilnować
Bankowcy mają swoje argumenty. Wymówka numer jeden to „standard rynkowy”. Żaden bank na świecie nie sprawdza nazw na przelewach, bo sparaliżowałoby to system bankowy. Na jeden przypadek udaremnionej kradzieży przypadłoby kilkadziesiąt „fałszywych alarmów”, które powodowałyby, że pieniądze docierałyby do beneficjentów z opóźnieniem. A to pogorszyłoby komfort korzystania z banków.
„Banki są w błędzie. Holendrzy – którzy jako jedni z pierwszych w Europie zaczęli walczyć z tego rodzaju przestępczością – udowodnili, że samo tylko sprawdzanie nazw beneficjentów przelewów w ciągu sześciu miesięcy wyeliminowało 70% strat z oszustw „przelewowych”. I nie sparaliżowało to ich systemu bankowego”
– komentuje MoneyPenny. Wymówka numer dwa: procedujemy za dużo przelewów (2,5 miliarda rocznie), żeby sprawdzać nazwę na każdym przelewie. Bla, bla, bla. Transakcji kartą (3,8 miliarda rocznie) jest znacznie więcej, mimo tego banki chętniej je monitorują, niezależnie od wartości takiej transakcji. Moja ekspertka policzyła:
„Jeśli jeden komputer pracujący bez wytchnienia wykonywałbu jedno porównanie nazwy na jednym przelewie na sekundę i w każdym banku (600 w Polsce) postawiono by tylko jeden taki komputer, sprawdzenie wszystkich przelewów zajęłoby 54 dni (albo 5 godzin dziennie, bez sobót, niedziel i świąt). To wcale nie tak długo!”
Średnia strata z oszustwa przelewowego według Amerykanów to ok. 64.000 dolarów (w 2018 roku). W Polsce trochę mniej, średnia z ostatnich pięciu lat to ok. 20.000 zł (moja pomocniczka wyciągnęła te dane z GIIF).
„Gdyby banki w Polsce przyjęły „amerykański” próg 64.000 dolarów, czyli ok. 250.000 złotych i sprawdzałyby transakcje powyżej tej kwoty, codziennie musiałyby sprawdzać co najwyżej 25.000 przelewów”
– komentuje MoneyPenny. I pyta: a gdybyśmy porównywali nazwy beneficjentów choćby tylko na przelewach „zagranicznych”? Według danych posiadanych przez GIIF, w 2017 r. z zagranicy dotarło do Polski ok. 720.000 przelewów powyżej 15.000 euro, to jest ok. 3.000 dziennie. Przelewów powyżej 250.000 złotych było ok. 880, czyli średnio niewiele ponad jeden przelew na bank dziennie. I to, według naszych banków, jest „za dużo”, żeby sprawdzić nazwy na przelewach przychodzących z zagranicy. MoneyPenny ironizuje:
„Jeżeli na propozycję: „sprawdzajcie nazwy na „dużych” przelewach przychodzących” (niekoniecznie „wysokokwotowych”), bank mówi „to niemożliwe, mamy za dużo przelewów, nasze systemy zostaną sparaliżowane”, to znaczy, że porównanie nazw dla średnio 5 przelewów na godzinę (zakładając, że banków mamy 600 i systemy pracują tylko w dni powszednie przez 8 godzin) jest w stanie doprowadzić do paraliżu polskiego systemu bankowego”
Polskie banki i pranie pieniędzy: jak dzieci we mgle?
Pozostaje więc zadanie ważnego pytania o stan polskiego systemu przeciwdziałania praniu pieniędzy. Kontrolerzy Najwyższej Izby Kontroli w 2011 r., po kontroli w GIIF, stwierdzili wiele milionów raportów o transakcjach zawierających dane niekompletne lub zawierających błędy. I napisali:
„Zaniechania te niosą ryzyko osłabienia prewencyjnej funkcji GIIF i mogą prowadzić do nieszczelności systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu”.
Pełny raport jest pod tym linkiem. Bankową bezradność zaczęły też kwestionować ofiary oszustw „przelewowych”. Są to bardzo często obywatele innych krajów, którzy po raz pierwszy z polskim systemem bankowym zetknęli się, kiedy dokonywali przelewu, a potem okazało się, że wytransferowali pieniądze na konto „słupa” w polskim banku.
Coraz częściej zagraniczne ofiary składają pozwy. Wskazują w nich, że polskie banki, przez swoje rażące niedbalstwo, przyczyniają się do oszustw „przelewowych” i utraty pieniędzy.
W takich sprawach polskie sądy cywilne zwykle powołują biegłych, którzy mają ocenić czy bank dołożył, czy jednak nie dołożył należytej staranności i ocenić w jakim stopniu przyczynił się do powstania oraz pogłębienia szkody. Zazwyczaj są to biegli z zakresu informatyki, którzy mają marne wyobrażenie o praniu pieniędzy, a jeszcze mniejsze o praniu pieniędzy z cyberprzestępczości
„Kwestia wiedzy i jakości pracy polskich biegłych od dziesięcioleci jest poważnym problemem naszego systemu wymiaru sprawiedliwości. Biegłym może zostać praktycznie każdy. Organ powołujący eksperta nie zawsze wnika w wiedzę, umiejętności i praktyczne doświadczenie biegłego”
– komentuje prof. Ewa Gruza, polska prawniczka i kryminalistyk (w latach 2005-11 była członkiem Trybunału Stanu). Pokrzywdzeni często startują z przegranej pozycji. Banki w Polsce nie przejmują się — można się pod nie podszywać (zerknij na artykuł o DMARC), można je wykorzystywać do oszukańczych przelewów (bo każdemu otworzą rachunek i nie sprawdzają nazw na przelewach), i prać pieniądze.
Pokrzywdzonym nie pomogą policja i prokuratura (bo to nie jest w interesie polskiego podatnika, a w dodatku przestępcy złośliwie działają transgranicznie). Przez lata nie był w stanie pomóc im GIIF, ani KNF Kto pomoże ofiarom oszustw przelewowych?
zdjęcie tytułowe: Pixabay.com/Geralt
