Ostatnio zgłosiło się do mnie kilkoro klientów banku BZ WBK, których złodzieje internetowi ogołocili z pieniędzy. Jedną z klientek, starszą panią – głównie o niej będzie ta historia – obrobiono na prawie 20.000 zł. Niestety, bank odmówił pokrycia strat tłumacząc, że klientka nie dochowała zasad ostrożności (o losie pozostałych ofiar wiem niewiele, zakładam, że im bank też nie chce oddać pieniędzy). Zawsze w takich przypadkach się zżymam, bo to naprawdę nie jest tak, że klient zawsze jest frajerem, a bank nie ma sobie nic do zarzucenia. Bank był zobowiązany chronić pieniądze
Złodzieje internetowi są coraz sprytniejsi i trudno sobie wyobrazić, by klienci mogli sami, bez pomocy banku, się przed nimi chronić. Poza tym część klientów to osoby starsze, mniej obyte z nowymi technologiami. Banki wypchnęły je wysokimi prowizjami do internetu i powiedziały „a teraz radźcie sobie sami”. Bankowcy zarabiają dziesiątki i stki milionów złotych na tym, że ci klienci obsługują się sami. Jeśli wydarzy się nieszczęście, to mówią, że za nic nie odpowiadają. Czy rzeczywiście tak powinno być? Prześledźmy to na przykładzie historii starszej pani, która straciła niewielkie oszczędności całego życia, a bank pokazał jej środkowy palec.
- Bezpieczna szkoła i bezpieczne dziecko w sieci, czyli czego nie robić, by nie „sprzedawać” swoich dzieci w internecie? [POWERED BY BNP PARIBAS]
- Wybory w USA: branża krypto wstrzymała oddech. W świecie finansów to ona ma najwięcej do ugrania. Po wyborach nowe otwarcie? [POWERED BY QUARK]
- Pieniądze w rodzinie, jak o nich rozmawiać, żeby nie było niemiło? Natalia Tur i Maciej Samcik [POWERED BY BNP PARIBAS / MISJA OSZCZĘDZANIE]
Czytaj też: Okradzeni klienci wywalczyli od banków pieniądze w sądzie!
SMS z banku bramą do kradzieży pieniędzy
Niestety, jak to często bywa, klientka sama przyczyniła się do nieszczęścia. Ma bowiem niedobry nawyk poszukiwania wszelkich stron przez wyszukiwarkę Google. Któregoś dnia, chcąc zrobić przelew, jak zwykle wpisała do wyszukiwarki nazwę banku BZ WBK, kliknęła pierwszy link, który się wyświetlił, zalogowała się, wykonała przelew, autoryzowała go i… w ten sposób straciła wszystkie pieniądze. Co się stało?
Link – choć wyświetlał się w wyszukiwarce na pierwszym miejscu – nie prowadził do prawdziwej strony banku, lecz do strony bardzo dobrze podrobionej przez złodziei. Wpisane na niej login i hasło trafiały do złodziei, którzy logowali się od razu na „prawdziwą” stronę BZ WBK i dopisali się jako odbiorca przelewów zdefiniowanych (które można wysyłać bez autoryzacji). Oczywiście: taka operacja wymagała potwierdzenia jednorazowym kodem SMS, który bank wysłał do prawowitej właścicielki rachunku. A ona, nie przeczytawszy dokładnie SMS-a, zatwierdziła dopisanie złodziei. SMS przyszedł wtedy, gdy ona na podrobionej stronie zlecała przelew, więc była przekonana, że to tej transakcji dotyczy autoryzacja. Niestety, dotyczyła dopisania złodziei do odbiorców zaufanych.
Czytaj też: Wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy czujesz się najbezpieczniej. Jak się przed nim obronić?
Powiecie być może: pani sama otworzyła drzwi do domu i dziwi się, że ją okradli. W dużej części będziecie mieli rację. To podstawowe zasady bezpieczeństwa bankowości internetowej: nie logujemy się do banku klikając w żadne linki (zawsze sami wpisujemy adres banku, literka po literce) i uważnie czytamy SMS-y autoryzacyjne. Ale mówimy o starszej pani, która komputer obsługuje w stopniu podstawowym i miała prawo tych zasad po prostu nie znać. Bank kazał jej płacić za każdy przelew zlecany w oddziale po 10 zł, więc z konieczności korzysta z internetu. Ale nikt z banku nie szkolił jej z bezpiecznego bankowania przez internet. Musiała nauczyć się tego sama.
Kłopoty z SMS-ami autoryzacyjnymi mają nawet ci, którzy uważnie je czytają, a co dopiero starsze osoby, korzystające często z telefonów z małymi ekranami. Ostatnio modny jest złodziejski trik, który polega na tym, że po zalogowaniu się na nasze konto (i w tym samym czasie, gdy my jesteśmy na fałszywej stronie) złodzieje zlecają dopisanie siebie jako odbiorców przelewów zdefiniowanych, a nam pokazują na ekranie fałszywy komunikat o „zmianie formatu konta”, które trzeba na nowo określić jako „odbiorca zdefiniowany”. Na nasz numer telefonu przychodzi SMS z hasłem autoryzującym transakcję, którego treść jest bardzo podobna do komunikatu na stronie („zatwierdzenie odbiorcy zdefiniowanego”).
Czytaj też: Ten wirus wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi? Jak się przed nim bronić?
Klient wyrobiony czy nie: banki potraktują go tak samo
Nie mam wątpliwości, że osoby z grupy wiekowej 60+ będą coraz częściej celami cyberprzestępców. Najczęściej popełniają błędy, które bywają tragiczne w skutkach. Można stracić w ciągu kilku minut wszystkie oszczędności życia, a w banku powiedzą, że za to nie odpowiadają. Uważam, że bankowcy powinni brać pod uwagę – oceniając swoją odpowiedzialność za utracone przez klientów pieniądze – wiek klienta i jego technologiczne zaawansowanie. To jasne, że pani, która straciła 20.000 zł z konta w BZ WBK, przyczyniła się do kradzieży. Ale dlaczego bank dopuścił do istnienia przez pewien czas fałszywych stron? Dlaczego nie zainteresował się ponadprzeciętnie dużymi przelewami wypływającymi z konta klientki?
„Próbując zalogować się na Państwa stronę chciałam wyszukać jej adres w najpopularniejszej na świecie wyszukiwarce Google. Pierwsza strona jaka się wyświetliła, jak się okazało po wstępnych wnioskach policji, była fałszerską stroną złodziei, która była wierną kopią Państwa strony internetowej. Powierzając środki renomowanemu bankowi ufam że wykażecie się Państwo większą kompetencją w ochronie moich pieniędzy. Złodziej posługuje się Państwa logotypami i innymi wartościami niematerialnymi i prawnymi będąc wyżej w wynikach wyszukiwania od Państwa firmy”
– żali się w reklamacji klientka. Sądzę, że banki powinny dojrzeć do tego, żeby inaczej podchodzić do kwestii bezpieczeństwa osób mniej obeznanych z nowymi technologiami. Łatwo przekierować wszystkich do bankowości internetowej i mobilnej, oszczędzać dzięki temu dziesiątki milionów złotych rocznie i mówić klientom żeby radzili sobie sami. Ale niektórzy z nich nie poradzą sobie sami, bo nie mają odpowiednio rozwiniętych cyfrowych kompetencji. I banki nie powinny zamykać na to oczu.
„Bank dokłada wszelkich starań, aby w odpowiedni sposób chronić pieniądze klientów. Monitorujemy sieć, współpracujemy w ramach różnych organizacji, aby zwiększać bezpieczeństwo naszych klientów. Przede wszystkim, w żadnym razie nie dopuszczamy istnienia stron podszywających się pod bank. Każdorazowo w takich sytuacjach podejmujemy kroki do zablokowania fałszywych stron. Systematycznie informujemy klientów o istniejących w sieci zagrożeniach, przestrzegamy, instruujemy, przypominamy o podstawowych zasadach bezpieczeństwa”
– napisała mi Monika Nowakowska z BZ WBK. To brzmi pięknie, ale nie wydaje mi się, by starsza pani miała aż takiego pecha, by trafić na fałszywą stronę banku akurat w tych pięciu sekundach między jej pojawieniem się w sieci, a zlikwidowaniem zagrożenia przez bank. Sądzę, że to „okienko”, w którym pieniądze mniej wyrobionych technologicznie klientów były zagrożone, było dłuższe.
„Bezpieczeństwo zależy także od klientów, a przestrzeganie podstawowych zasad bezpieczeństwa jest po prostu kluczowe. Zdarzają się sytuacje, gdy klient wprowadza kod z smsKodu do transakcji, której nie realizował. To niestety otwiera drogę przestępcom. W sytuacji niestosowania się do wymaganych zasad bezpieczeństwa, bank nie ma podstaw do wypłaty rekompensaty finansowej klientom, którzy zostali ofiarami ataków, wynikających z własnego zaniedbania”
– pisze przedstawicielka BZ WBK. Uważam, że traktowanie wszystkich klientów – tych rozwiniętych cyfrowo i tych mniej – to błąd. I to zarówno w sytuacji, gdy jest już „po herbacie”, jak i wcześniej. Być może klientom należałoby proponować możliwość dodatkowego potwierdzania (np. przez telefon) większych operacji.
Czytaj też: Cztery pytania o płacenie smartfonem. Czy to bezpieczne?
Czytaj też: Top 5 sposobów cyberzłodziei. Na który z nich się nabierzesz?