16 lipca 2019

Dzięki temu trikowi złodzieje ukradli nam co najmniej 260 mln zł. A banki nie palą się do walki. Bo „przelewów jest za dużo”. To liczymy!

Oszustwa polegające na skłonieniu klienta banku, by sam przelał pieniądze złodziejowi, myśląc że opłaca jakąś fakturę kontrahentowi – to nowa plaga i źródło dochodów międzynarodowych grup przestępczych. Kto wie czy nie groźniejsze, niż wyłudzanie naszych danych za pomocą phishingu, czy wykradanie pieniędzy dzięki skopiowaniu danych z kart płatniczych. Mamy dane ile wynoszą straty klientów banków z powodu oszustw tego typu. Okazuje się, że to setki milionów złotych

Ostatnio ofiarą tego typu przestępstwa padł LOT. Państwowy przewoźnik wysłał złodziejom kilka milionów złotych. Pracownicy myśleli, że po prostu regulują kolejną ratę leasingową za samoloty. Więcej przeczytasz w tym artykule.

Złodzieje atakują w podstępny sposób. Typują klienta, który od czasu do czasu wysyła przelewy o wysokiej wartości. Włamują się do jego skrzynki e-mail, inwigilują przez jakiś czas, a gdy nadchodzi termin wysokokwotowej transakcji – wysyłają e-mail informujący o zmienionym rachunku bankowym do wpłaty. Często się to udaje.

Ofiary nabierają się na ten prosty trik, nie podejrzewając oszustwa. Przecież w danych przelewu zmienia się tylko numer rachunku, a nie nazwa beneficjenta, jego adres i inne dane. „Bank sprawdza zgodność danych przelewu przed zaksięgowaniem pieniędzy” – myślą. Nic bardziej błędnego. Pisaliśmy o tym w artykułach:

>>> „Polskie banki z lenistwa ułatwiają przestępcom okradanie klientów? Mówią, że nie mogą sprawdzić nic poza numerem konta. Ale wreszcie nadchodzą zmiany!”

>>> „To najbardziej rentowny sposób okradania klientów banków. Do złodziei płyną miliony. GIIF upomina bankowców, że powinni się bardziej starać”

Według danych FBI, w przypadku tego typu przestępstw (zwanych po angielsku Business E-mail Compromise), przestępcy czytają wiadomości ofiar przez wiele tygodni. Średnio przez ponad 200 dni pozostają niewykryci. FBI podaje też, że wartość strat amerykańskich obywateli podwaja się co roku. Oszustwa typu BEC są niekwestionowanym liderem wśród najbardziej zyskownych cyberprzestępstw na świecie.

Wiemy ile wynoszą straty w wyniku oszustw „na przelew”. Gigantyczna kasa!

Od pewnego czasu usiłowaliśmy – wspólnie z MoneyPenny, naszą pragnącą zachować anonimowość (aczkolwiek znaną w środowisku finansowych „bezpieczników”) ekspertką od cyberprzestępczości bankowej – ocenić skalę tego niebezpiecznego zjawiska. Niespodziewanie okazało się, że w Polsce najlepszym źródłem o oszustwach przelewowych nie są służby specjalne, ani Komisja Nadzoru Finansowego ani nawet Generalny Inspektor Informacji Finansowej tylko… Narodowy Bank Polski.

Z danych, do których udało nam się dotrzeć wynika, że przez pięć ostatnich lat polskie ofiary oszukańczych przelewów straciły… co najmniej 260 milionów złotych! To prawie o 90 milionów więcej, niż w wyniku oszukańczych transakcji kartami płatniczymi.

Z danych, które wycisnęliśmy z NBP wynika, że jeden oszukańczy przelew kosztuje ofiarę średnio 56 razy więcej, niż oszukańcza transakcja kartą. Ofiar złodziejskich transakcji kartowych jest jednak 35 razy więcej, więc to nimi bankowcy przejmują się bardziej.

Pamiętajmy, że w statystykach oszukańczych przelewów są tylko te transakcje, co do których klienci zgłosili pretensje do swoich banków, ponieważ dane dotyczą oszustw popełnionych na szkodę posiadaczy rachunków bankowych w Polsce. Nie znamy rzeczywistej skali oszustw, w których pieniądze były przyjęte na rachunki bankowe w Polsce, choć ofiarami są osoby z zagranicy.

Trzy rzeczy, które ułatwiają życie przestępcom

Już w 2016 r. amerykański odpowiednik polskiego GIIF (Generalny Inspektor Informacji Finansowej) wskazywał, że w oszustwach BEC jednym z najważniejszych elementów jest numer rachunku bankowego i bank beneficjenta (odbierającego przelew). I to właśnie banki przyjmujące oszukańczy przelew mogą pokrzyżować plany cyberprzestępców.

Dlaczego to bank beneficjenta jest arcyważny? Bez założenia fałszywego rachunku bankowego nie da się popełnić oszustwa przelewowego. Rachunki „na słupa” są zakładane w takich bankach, które chętnie przyjmują nowych klientów bez zadawania zbędnych pytań. I które nie kwestionują niezgodności nazwy odbiorcy na przelewach.

„Z punktu widzenia przestępców najlepiej jest, gdy bank nie zachowuje środków bezpieczeństwa finansowego — pieniądze nie tylko są księgowane na rachunku oszusta, ale również bank nie zadaje pytań o źródło ich pochodzenia. I nie utrudnia ich wyprowadzenia do kieszeni przestępców”

– mówi MoneyPenny. Banki w Polsce nie są odporne na tego rodzaju oszustwa. W 2016 r. Amerykański Departament Stanu nazwał Polskę coraz ważniejszym wzrastającym międzynarodowym centrum finansowym w… praniu pieniędzy pochodzących z wyłudzeń typu BEC. Bank może powstrzymać przestępstwo „przelewowe” na wiele sposobów (wystarczy, żeby wykonał chociaż jedną z poniższych czynności):

1. sprawdzać nazwy odbiorów na przelewach — jeśli bank sprawdzi nazwę na przelewie, odkryje niezgodność nazw i może taki przelew np. wstrzymać do czasu uzyskania od banku-zleceniodawcy wyjaśnień,

2. monitorować wpływy na rachunki klientów — jeśli bank zauważyłby w porę, że setki tysięcy dolarów, a czasami nawet i większe kwoty, wpływają na nowo-założony rachunek, na którym wcześniej nie było pieniędzy, bank mógłby zwrócić się o wyjaśnienie źródła pochodzenia środków i uznać, że pochodzą one z przestępstwa,

3. monitorować transakcje wychodzące — jeśli bank odkryłby, że dopiero co zaksięgowane znaczne pieniądze od razu są wypłacane z rachunku (albo w gotówce, albo przelewem), mógłby nie dopuścić do wykorzystania swojej działalności do prania pieniędzy oraz – przede wszystkim — ograniczyć wysokość szkody ofiary.

Polska mekką światowej przestępczości „przelewowej”?

Polskie banki są beztroskie, a tymczasem przestępstwa „przelewowe” to dziś jedna z najszybciej rosnących „gałęzi” cyberprzestępczości. Tym trudniejszej do ścigania, że często prowadzonej przez międzynarodowe grupy – okrada się np. firmę lub człowieka w Europie Zachodniej, pieniądze transferuje przez bank w Europie Środkowej, a finalnym odbiorcą jest centrala grupy przestępczej w Azji. Czytamy o tym m.in. w raportach NBP:

„Transgraniczny schemat oszustw ma najprawdopodobniej na celu utrudnienie organom ścigania zlokalizowania przestępców oraz powoduje konieczność podejmowania współpracy z zagranicznymi organami ścigania, co może dodatkowo komplikować i wydłużać prowadzenie postepowań”

Przedstawiciele GIIF mówią nam, że ze względu na docierające do niego informacje zewnętrzne przekazał do KNF i prokuratury informacje w kwestiach dotyczących wykorzystania rachunków bankowych założonych w Polsce do dokonania oszustw typu BEC. A w konsekwencji KNF zwrócił uwagę bankom na fakt znaczącego wykorzystywania rachunków prowadzonych w bankach na terytorium Polski do takich oszustw. Kiedyś wpadły mi w ręce akta jednej z umorzonych spraw. Warszawski sąd, nakazując prokuraturze prowadzenie śledztwa, napisał:

„Oszustwo, którego ofiarą padł [pokrzywdzony], obnażyło słabe punkty polskiego systemu bankowego na tle standardów unijnych. Rezygnacja ze ścigania jego sprawców stanowi niebezpieczny komunikat dla przestępców, że w Polsce nie tylko można szybko założyć konto bankowe i wykorzystać je w celach niezgodnych z prawem, ale też – że nie należy spodziewać się w związku z tym żadnych negatywnych konsekwencji prawnych”

Jak tłumaczą się polskie banki? Że przelewów jest… za dużo, żeby ich pilnować

Bankowcy mają swoje argumenty. Wymówka numer jeden to „standard rynkowy”. Żaden bank na świecie nie sprawdza nazw na przelewach, bo sparaliżowałoby to system bankowy. Na jeden przypadek udaremnionej kradzieży przypadłoby kilkadziesiąt „fałszywych alarmów”, które powodowałyby, że pieniądze docierałyby do beneficjentów z opóźnieniem. A to pogorszyłoby komfort korzystania z banków.

„Banki są w błędzie. Holendrzy – którzy jako jedni z pierwszych w Europie zaczęli walczyć z tego rodzaju przestępczością – udowodnili, że samo tylko sprawdzanie nazw beneficjentów przelewów w ciągu sześciu miesięcy wyeliminowało 70% strat z oszustw „przelewowych”. I nie sparaliżowało to ich systemu bankowego”

– komentuje MoneyPenny. Wymówka numer dwa: procedujemy za dużo przelewów (2,5 miliarda rocznie), żeby sprawdzać nazwę na każdym przelewie. Bla, bla, bla. Transakcji kartą (3,8 miliarda rocznie) jest znacznie więcej, mimo tego banki chętniej je monitorują, niezależnie od wartości takiej transakcji. Moja ekspertka policzyła:

„Jeśli jeden komputer pracujący bez wytchnienia wykonywałbu jedno porównanie nazwy na jednym przelewie na sekundę i w każdym banku (600 w Polsce) postawiono by tylko jeden taki komputer, sprawdzenie wszystkich przelewów zajęłoby 54 dni (albo 5 godzin dziennie, bez sobót, niedziel i świąt). To wcale nie tak długo!”

Średnia strata z oszustwa przelewowego według Amerykanów to ok. 64.000 dolarów (w 2018 roku). W Polsce trochę mniej, średnia z ostatnich pięciu lat to ok. 20.000 zł (moja pomocniczka wyciągnęła te dane z GIIF).

„Gdyby banki w Polsce przyjęły „amerykański” próg 64.000 dolarów, czyli ok. 250.000 złotych i sprawdzałyby transakcje powyżej tej kwoty, codziennie musiałyby sprawdzać co najwyżej 25.000 przelewów”

– komentuje MoneyPenny. I pyta: a gdybyśmy porównywali nazwy beneficjentów choćby tylko na przelewach „zagranicznych”? Według danych posiadanych przez GIIF, w 2017 r. z zagranicy dotarło do Polski ok. 720.000 przelewów powyżej 15.000 euro, to jest ok. 3.000 dziennie. Przelewów powyżej 250.000 złotych było ok. 880, czyli średnio niewiele ponad jeden przelew na bank dziennie. I to, według naszych banków, jest „za dużo”, żeby sprawdzić nazwy na przelewach przychodzących z zagranicy. MoneyPenny ironizuje:

„Jeżeli na propozycję: „sprawdzajcie nazwy na „dużych” przelewach przychodzących” (niekoniecznie „wysokokwotowych”), bank mówi „to niemożliwe, mamy za dużo przelewów, nasze systemy zostaną sparaliżowane”, to znaczy, że porównanie nazw dla średnio 5 przelewów na godzinę (zakładając, że banków mamy 600 i systemy pracują tylko w dni powszednie przez 8 godzin) jest w stanie doprowadzić do paraliżu polskiego systemu bankowego”

Polskie banki i pranie pieniędzy: jak dzieci we mgle?

Pozostaje więc zadanie ważnego pytania o stan polskiego systemu przeciwdziałania praniu pieniędzy. Kontrolerzy Najwyższej Izby Kontroli w 2011 r., po kontroli w GIIF, stwierdzili wiele milionów raportów o transakcjach zawierających dane niekompletne lub zawierających błędy. I napisali:

„Zaniechania te niosą ryzyko osłabienia prewencyjnej funkcji GIIF i mogą prowadzić do nieszczelności systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu”.

Pełny raport jest pod tym linkiem.  Bankową bezradność zaczęły też kwestionować ofiary oszustw „przelewowych”. Są to bardzo często obywatele innych krajów, którzy po raz pierwszy z polskim systemem bankowym zetknęli się, kiedy dokonywali przelewu, a potem okazało się, że wytransferowali pieniądze na konto „słupa” w polskim banku.

Coraz częściej zagraniczne ofiary składają pozwy. Wskazują w nich, że polskie banki, przez swoje rażące niedbalstwo, przyczyniają się do oszustw „przelewowych” i utraty pieniędzy.

W takich sprawach polskie sądy cywilne zwykle powołują biegłych, którzy mają ocenić czy bank dołożył, czy jednak nie dołożył należytej staranności i ocenić w jakim stopniu przyczynił się do powstania oraz pogłębienia szkody. Zazwyczaj są to biegli z zakresu informatyki, którzy mają marne wyobrażenie o praniu pieniędzy, a jeszcze mniejsze o praniu pieniędzy z cyberprzestępczości

„Kwestia wiedzy i jakości pracy polskich biegłych od dziesięcioleci jest poważnym problemem naszego systemu wymiaru sprawiedliwości. Biegłym może zostać praktycznie każdy. Organ powołujący eksperta nie zawsze wnika w wiedzę, umiejętności i praktyczne doświadczenie biegłego”

– komentuje prof. Ewa Gruza, polska prawniczka i kryminalistyk (w latach 2005-11 była członkiem Trybunału Stanu). Pokrzywdzeni często startują z przegranej pozycji. Banki w Polsce nie przejmują się — można się pod nie podszywać (zerknij na artykuł o DMARC), można je wykorzystywać do oszukańczych przelewów (bo każdemu otworzą rachunek i nie sprawdzają nazw na przelewach), i prać pieniądze.

Pokrzywdzonym nie pomogą policja i prokuratura (bo to nie jest w interesie polskiego podatnika, a w dodatku przestępcy złośliwie działają transgranicznie). Przez lata nie był w stanie pomóc im GIIF, ani KNF Kto pomoże ofiarom oszustw przelewowych?

zdjęcie tytułowe: Pixabay.com/Geralt

 

17
Dodaj komentarz

avatar
6 Comment threads
11 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread
11 Comment authors
PrzemoWiesiekParadoksAniaMichał Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Eff
Gość
Eff

Ewa Gruza to MoneyPenny?

Sosna
Gość
Sosna

Trzeba napisać jeszcze o jednym. Banki twierdzą, że sprawdzanie zgodności odbiorcy przelewu zadeklarowanego przez nadawcę z faktycznym właścicielem rachunku doprowadziłoby do paraliżu, bo każda literówka blokowałaby przelew (już nie mówiąc np. o dwuczłonowych nazwiskach, podwójnych imionach, nazwie firmy w rachunku jednoosobowej działalności gospodarczej, sposobu zapisu „sp. z o.o.”). Tymczasem od wielu lat istnieją informatyczne rozwiązania pozwalające na analizę PODOBIEŃSTWA tekstów. Jest niezmiernie mało prawdopodobne, żeby konto złodziei – zazwyczaj założone na słupa – miało „właściciela” o podobnej nazwie, jak osoba / firma, do której chcemy wysłać przelew. Wystarczy więc blokada przelewów w wypadku, gdy np. algorytm wskaże podobieństwo na poziomie… Czytaj więcej »

Michał
Gość
Michał

Na technikę wymyśli się inną technikę. Wystarczy, że robak podmieni w kodzie też nazwę odbiorcy na nazwisko słupa, a na ekranie wyświetli tę oczekiwaną przez ofiarę.

Clue to czytać komunikaty autoryzacyjne, a tego ludzie nie robią.

Sosna
Gość
Sosna

Mam na myśli wyłapywanie i tymczasowe blokowanie podejrzanych przelewów przez system banku, do którego przelew przychodzi.

Wiesiek
Gość
Wiesiek

Moznaby nadawać kontom beneficjentów nazwy, złożone z jednego ciągu znaków bez spacji.ninuzywac tych nazw zamiast nazw firm czy imion i nazwiska beneficjentPa. Proste?

Adam
Gość
Adam

Biegły z zakresu informatyki wie że sprawdzenie danych przelewu nie jest prostym zadaniem dla komputera.

Marek
Gość
Marek

„Żaden bank na świecie nie sprawdza nazw na przelewach, bo sparaliżowałoby to system bankowy.”
Nie jest to prawdą. Nasza firma współpracuje z firmami w różnych częściach świata. Przy przelewach międzynarodowych (nie SEPA a więc nie w euro a w różnych walutach) mieliśmy kilkukrotnie sytuację gdy banki pośredniczące bądź odbiorcy wstrzymywały przelew – czasem nawet na kilka tygodni – celem wyjaśnienia, ponieważ, przykładowo, w nazwie było „INT’L czy INT.” a my wpisaliśmy w nazwie odbiorcy „INTERNATIONAL” lub odwrotnie gdy pełna nazwa się nie mieściła.

Ania
Gość
Ania

A łyżka na to: Niemożliwe 🙂

Paweł
Gość
Paweł

Czylinco drugi bank pośredniczący zatrzymuje przelew i kilka tygodni w plecy za każdym razem 🙂

Michał
Gość
Michał

Bank pośredniczący nie zna danych właściciela konta docelowego, więc on wstrzymać nie mógł.

Ania
Gość
Ania

Czasami może, jeżeli w obie strony procesuje przelew (niestety, rzadko się to dzieje, głównie jeśli chodzi o sankcje). I „to chyba nie u nas”–raczej w USA (płatności dolarowe).

Paradoks
Gość
Paradoks

Szczerze mówiąc ci źli bankowcy mają tu trochę racji, szczególnie w temacie fałszywych alarmów. Bank, który zdecydowałby się na taki monitoring ze skutkiem „wstrzymywania przelewu do wyjaśnienia” ryzykowałby utratę klientów. Mnie w sumie też niepokoi trochę filozofia „utrudniajmy kilkudziesięciu ludziom życie, żeby – być może – ochronić Gapcia przed stratą”. Może aż paraliż to za duże słowo, ale jakość usług znacznie by się pogorszyła, a to też są straty – zapewne potencjalnie większe niż z tytułu wyłudzeń. A swoją drogą, nie jestem na czasie, dawno temu większe przelewy były czasem dodatkowo potwierdzane przez bank telefonicznie, to już nie działa?

Wiesiek
Gość
Wiesiek

W bankach francuskich trzeba poinformować agencje prowadząca rachunek o numerach IBAN potencjalnych beneficjentów, np droga pocztowa lub przez pocztę wewnętrzna.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss