Cyberataki to prawdziwa plaga. Jak oszuści próbują nas oszukać? Co robią, że nawet rozsądny człowiek czasem daje się nabrać? Na przestrzeni dwóch ostatnich lat pani Anna trzy razy padała ofiarą cyberataku. Za każdym razem metoda była inna. Niestety dwa razy górą byli złodzieje. Oto historia naszej czytelniczki, którą opisujemy, żeby przestrzec was przed popełnieniem podobnych błędów. A do bankowców apelujemy: załatajcie dziury w zabezpieczeniach waszych systemów
„Ofiarą internetowych oszustów padają tylko naiwniacy, ja bym się nie dał wykiwać” – komentarze utrzymane mniej więcej w takim tonie często pojawiają się pod tekstami o internetowych oszustwach. Pani Anna też uważała się za osobę rozsądną. Nigdy by nie pomyślała, że może dać się oszukać. A jednak… Na przestrzeni ostatnich dwóch lat padła ofiarą ataku aż trzy razy. Straciła pieniądze.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Ostatni z ataków – skuteczny – nastąpił w sierpniu tego roku. Sytuacja nie jest jeszcze do końca rozstrzygnięta, bo nasza czytelniczka złożyła reklamację w banku i jeszcze czeka na cud, czyli zwrot pieniędzy. Ale sama przyznaje, że szanse na to, by bank uznał reklamację, są nikłe. Dlaczego postanowiła opowiedzieć swoją historię?
„Piszę z nadzieją, że może ta historia z mojego życia kogoś ustrzeże przed podobnymi przypadkami. Mam też nadzieję, że może podzielenie się tą traumą ukoi żal i ból. I po słowie tutaj poczuję spokój”.
Cyberatak numer 1. Metoda: na dobroć
Pierwszy raz pani Anna padła ofiarą oszusta w październiku 2019 r. Z jedną ze swoich sąsiadek miała „przelotne relacje”, ale – jak mówi – wypadło ją mieć na Facebooku wśród znajomych. Pewnego dnia sąsiadka poprosiła panią Annę o pożyczenie na jeden dzień 1000 zł. Sąsiadka zapewniała, że pieniądze zwróci następnego dnia z nawiązką.
„Zgodnie z prawdą napisałam, że, jasne, pomogę, ale mam tylko 720 zł. Jak ostatnia naiwna tłumaczyłam się, że nie jestem w stanie tych pieniędzy jej pożyczyć, bo sama byłam spłukana. Ale potem serce mi zmiękło. Jestem człowiekiem, który – jeśli może – to nigdy nie odmówi pomocy. Odmówiłam przyjęcia jakichkolwiek odsetek”.
Pani Anna co prawda zdziwiła się, że sąsiadka, z którą ma powierzchowne relacje, prosi akurat ją o pomoc. Ale ostatecznie się zgodziła. Jak miało dojść do przekazania pieniędzy? Sąsiadka poprosiła o podanie kodu BLIK, który umożliwił wypłatę gotówki z bankomatu. Jak się domyślacie, prośby o kod BLIK nie wysłała sąsiadka, a ktoś, kto włamał się jej na komunikator, facebookowy Messenger.
„Skończyłam z nieuregulowanymi płatnościami i wstrętem do siebie samej. Jak ja, jako matka, mogłam pożyczyć obcej kobiecie ostatnie pieniądze? W imię czego? Wstyd, wstyd i jeszcze raz wstyd. Tydzień przepłakanych nocy zapamiętam na zawsze”
– opowiada pani Anna. Sprawę oszustwa obie panie zgłosiły na policjię, ale pieniędzy nie udało się odzyskać. Nasza czytelniczka mówi, że ta sytuacja nauczyła jej jednego:
„Nie reaguje, gdy ktoś, z kim nie mam relacji, prosi o coś przez internet. A jeśli znów mocniej zabije mi serce, by pomóc, to dzwonię do konkretnej osoby i pytam, czy to ona pisze do mnie. Polecam. Ta lekcja kosztowała mnie dużo”.
Cyberatak numer 2. Metoda: na odcięcie od rozrywki
Do drugiego ataku doszło w marcu 2021 r. Pani Anna opisuje, jak przebiegał. Tym razem nie zaczęło się od komunikatu wysłanego przez media społecznościowe, lecz przez e-mail.
„Dostałam mail, że trzeba uaktualnić dane z karty płatniczej, ponieważ Netflix nie dostaje już ode mnie opłaty miesięcznej. Z racji wcześniejszych doświadczeń przeczytałam tego maila trzy razy. Zwróciłam uwagę, że zamiast „Netflix” było napisane „Netlix”. Zaniepokoiła mnie ta nietypowa treść, tym bardziej, że sprawdziłam terminy płatności i według moich informacji żadnych zaległości nie było”.
Pani Anna zadzwoniła na infolinię Netflixa i do banku, gdzie zgłosiła próbę wyłudzenia. Narobiła sobie tylko kłopotów, bo jednocześnie musiała zmienić sposób opłacenia subskrypcji – Netflix zażądał tego w ramach procedury bezpieczeństwa.
Tym razem udało się uniknąć straty. Pomogło skupienie, nieufność, spostrzegawczość i trzeźwość myślenia. Jeśli ktoś czyta uważnie to, co jest napisane na ekranie i podświadomie szuka pewnych nieprawidłowości i nieścisłości – zwykle wykryje próby phishingu. W skuteczności cyberataków na naszą czytelniczkę było więc 1:1.
Cyberatak numer 3. Metoda: na naiwność
Trzeci atak miał miejsce pod koniec sierpnia tego roku. W tle pojawia się znany serwis ogłoszeniowy OLX, który w ostatnim czasie wydaje się być rajem dla cyberprzestępców. Pani Anna mówi, że miała ciężki dzień w pracy (z jej relacji wynika, że pracuje w sklepie internetowym). Poprzedniego dnia doszło do awarii w firmie, dlatego robotę dwudniową trzeba było wykonać w jeden dzień. A że jej się nie przelewa, cieszyła się, że przynajmniej udało się sprzedać płaszcz.
Od jakiegoś czasu sprzedawała ciuchy na Vinted i nigdy nie miała z tym serwisem problemów. Tym razem klientka z Vinted poprosiła panią Annę, by transakcję przenieść na OLX, bo w tym serwisie jest tańsza wysyłka.
„Robiłam wszystko „na chybcika”, bo ogrom pracy w pracy trzeba było wykonać. Koniec miesiąca na zamknięcie planów sprzedażowych to dla handlowca świętość… Zgodziłam się, ale ta dziewczyna od płaszcza musiała mi pomagać i mówić krok po kroku, co mam zrobić, bo nie ogarniałam sprzedaży na OLX”.
Pani Anna w przerwie obiadowej wystawiła więc na OLX płaszcz i dwie kurtki i wróciła do pracy. Wyglądało na to, że panie dobiły targu. Kupująca zapytała, że dostawę można załatwić przez OLX. Nasza czytelniczka się zgodziła i dostała zrzut ekranu, z którego wynikało, że zamówienie zostało opłacone i czeka na potwierdzenie.
„Dostałam link od kupującego i instrukcję, że pod linkiem muszę wypełnić formularz, aby otrzymać pieniądze. Wszystko w pośpiechu, kliknęłam więc w link i pojawiła się opcja wyboru banku. Wybrałam swój, a następnie miałam się zalogować. Tak zrobiłam. Podałam hasło, login i nagle wyskoczył komunikat: ERROR”
W pierwszej chwili pani Anna pomyślała, że jest w magazynie (w piwnicy), to być może jest problem z zasięgiem internetu. Chwilę później odczytała SMS-y z ING Banku. I ją zmroziło.
„ING Bank Śląski. Aktywujesz aplikację Moje ING mobile na telefonie Xiaomi M2101K9AG. Upewnij się, że posiadasz ten telefon. Będzie on połączony z Twoim kontem. Jeśli to nie Ty aktywujesz aplikację, skontaktuj się z naszą infolinią.”
Pani Anna, klikając w link, przekazała oszustom login i hasło, a oszuści dodali do systemu swój telefon jako zaufany. Kiedy nasza czytelniczka zorientowała się, że właśnie padła ofiarą kradzieży, od raz zadzwoniła do banku. Zanim się połączyła, leciały cenne sekundy.
„Uwierzcie mi, gdy to piszę, zdaję sobie sprawę, że zgubił mnie pośpiech, schemat i mój zadaniowy charakter. Bank oczywiście musiał zweryfikować podczas rozmowy, że ja to ja. Nie zdążyliśmy. Oszuści za pomocą BLIKa i nowego telefonu jako zaufanego wypłacili 2000 zł. Zrobiło mi się słabo”.
Przeczytaj też: Kupujesz albo sprzedajesz na OLX? Możesz stracić wszystkie pieniądze ze swojego konta bankowego. Czy to z OLX jest coś nie tak, czy z nami?
Dlaczego bank nie zareagował?
Pani Anna przyznaje, że przy trzecim ataku zgubił ją pośpiech i nadzieja, że mogła dorobić na sprzedaży ciuchów. Może gdyby nie była wówczas w pracy, zachowałaby się bardziej trzeźwo. Wini przede wszystkim siebie, ale nie ukrywa, że zła jest też na bank.
„Pytałam pani z banku dlaczego bank nie zareagował, gdy dodawano jakiś numer jako zaufany. Dlaczego ja na mój numer nie dostałam żadnej możliwości potwierdzenia, że to ja dodaję numer do zaufanych. Jak tu trzymać pieniądze w banku, jeśli tak łatwo można paść ofiarą oszustów. Dziecinna naiwność, ktoś powie, ktoś inny pocieszy, że pośpiech, a ktoś inny nie zostawi suchej nitki na mnie, że mogłam tak mechanicznie, bez rozumu zareagować”.
Sprawa została zgłoszona na policji, pani Anna złożyła też reklamację w banku, ale – jak mówi – dookoła słyszy, że złodziei nie znajdą, pieniędzy nie zwrócą i że bank raczej odrzuci jej reklamację. I że powinna się cieszyć, że straciła tylko 2000 zł.
Podobnych historii jest niestety coraz więcej. Banki dały nam do ręki wygodne narzędzia – bankowość elektroniczną. Wygodnie, o każdej porze, z poziomu domowego fotela możemy zrobić przelew czy zakupy w sklepie internetowym. Za tę wygodę często płacimy czujnością.
Gdy sugeruje się bankowcom, by uszczelnili swoje systemy zabezpieczeń, zwykle słyszymy, że to nie spodoba się większości klientów. Będą wściekli, że muszą forsować dodatkowe zabezpieczenia i tracić czas, a liczba kradzieży to tylko kropla w morzu bezpiecznych transakcji. Tylko że ta kropla to dramaty tysięcy oszukanych klientów.
Przy pierwszym ataku panią Annę zgubiło „dobre serce”, przy drugim uchroniła czujność. Przy trzecim zgubne były pośpiech i naiwność. Myślę jednak, że bank – gdyby chciał – mógłby temu zapobiec. Dodanie kolejnego urządzenia jako zaufanego (przy braku dezaktywacji pierwszego) na kilometr śmierdzi próbą oszustwa.
Bank mógłby np. skontaktować się z klientem i zapytać, czy to faktycznie on coś zmienia. A jeśli to przerasta „moce przerobowe” bankowej infolinii, mógłby wprowadzić czasowy bufor, podczas którego od momentu dodania nowego urządzenia klient nie może dokonać niektórych operacji, np. przelewów czy zmiany limitów transakcyjnych. Nie wiem, jak długi powinien być ten bufor. W przypadku pani Anny, nawet godzina wystarczyłaby, żeby zareagować.
W tej sytuacji bank powinien wziąć na siebie częściową przynajmniej odpowiedzialność za dokonanie przestępstwa. Owszem, klientka podała login i hasło złodziejowi, ale do kradzieży nie musiałoby dojść, gdyby bank lepiej się zabezpieczał na takie sytuacje. Liczymy na to, że pani Anna odzyska część pieniędzy. Będziemy Was informowali o dalszym ciągu tej historii.
————-
Posłuchaj podcastu: Maćki subiektywnie o inflacji, Aion Banku i rządowej łapie na pre-paidach
W tym odcinku podcastu „Finansowe sensacje tygodnia” dwa Maćki (a wszystkie maćki to fajne chłopaki, jak powszechnie wiadomo) zastanawiają się nad tym, czy rzeczywiście nie da się już nic zrobić z rosnącą inflacją – i trzeba tylko siąść i płakać – oraz obchodzą pierwszą miesięcznicę wejścia na rynek Aion Banku. To sukces czy chaos? Porażka czy rewolucja? Zastanawiamy się też, czy pomysł, żeby rząd położył łapę na niewykorzystanych pieniądzach z naszych pre-paidów to jakiś znak. Zapraszamy do posłuchania tutaj oraz na dziewięciu popularnych platformach podcastowych (w tym Spotify, Google Podcast i Apple Podcast)!
Źródło zdjęcia tytułowego: Pixabay