11 lipca 2017

Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny nas lepiej chronić?

Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny nas lepiej chronić?

Ostatnio zgłosiło się do mnie kilkoro klientów banku BZ WBK, których złodzieje internetowi ogołocili z pieniędzy. Jedną z klientek, starszą panią – głównie o niej będzie ta historia – obrobiono na prawie 20.000 zł. Niestety, bank odmówił pokrycia strat tłumacząc, że klientka nie dochowała zasad ostrożności (o losie pozostałych ofiar wiem niewiele, zakładam, że im bank też nie chce oddać pieniędzy). Zawsze w takich przypadkach się zżymam, bo to naprawdę nie jest tak, że klient zawsze jest frajerem, a bank nie ma sobie nic do zarzucenia. Bank był zobowiązany chronić pieniądze

Złodzieje internetowi są coraz sprytniejsi i trudno sobie wyobrazić, by klienci mogli sami, bez pomocy banku, się przed nimi chronić. Poza tym część klientów to osoby starsze, mniej obyte z nowymi technologiami. Banki wypchnęły je wysokimi prowizjami do internetu i powiedziały „a teraz radźcie sobie sami”. Bankowcy zarabiają dziesiątki i stki milionów złotych na tym, że ci klienci obsługują się sami. Jeśli wydarzy się nieszczęście, to mówią, że za nic nie odpowiadają. Czy rzeczywiście tak powinno być? Prześledźmy to na przykładzie historii starszej pani, która straciła niewielkie oszczędności całego życia, a bank pokazał jej środkowy palec.

Zobacz również:

Czytaj też: Okradzeni klienci wywalczyli od banków pieniądze w sądzie!

SMS z banku bramą do kradzieży pieniędzy

Niestety, jak to często bywa, klientka sama przyczyniła się do nieszczęścia. Ma bowiem niedobry nawyk poszukiwania wszelkich stron przez wyszukiwarkę Google. Któregoś dnia, chcąc zrobić przelew, jak zwykle wpisała do wyszukiwarki nazwę banku BZ WBK, kliknęła pierwszy link, który się wyświetlił, zalogowała się, wykonała przelew, autoryzowała go i… w ten sposób straciła wszystkie pieniądze. Co się stało?

Link – choć wyświetlał się w wyszukiwarce na pierwszym miejscu – nie prowadził do prawdziwej strony banku, lecz do strony bardzo dobrze podrobionej przez złodziei. Wpisane na niej login i hasło trafiały do złodziei, którzy logowali się od razu na „prawdziwą” stronę BZ WBK i dopisali się jako odbiorca przelewów zdefiniowanych (które można wysyłać bez autoryzacji). Oczywiście: taka operacja wymagała potwierdzenia jednorazowym kodem SMS, który bank wysłał do prawowitej właścicielki rachunku. A ona, nie przeczytawszy dokładnie SMS-a, zatwierdziła dopisanie złodziei. SMS przyszedł wtedy, gdy ona na podrobionej stronie zlecała przelew, więc była przekonana, że to tej transakcji dotyczy autoryzacja. Niestety, dotyczyła dopisania złodziei do odbiorców zaufanych.

Czytaj też: Wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy czujesz się najbezpieczniej. Jak się przed nim obronić?

Powiecie być może: pani sama otworzyła drzwi do domu i dziwi się, że ją okradli. W dużej części będziecie mieli rację. To podstawowe zasady bezpieczeństwa bankowości internetowej: nie logujemy się do banku klikając w żadne linki (zawsze sami wpisujemy adres banku, literka po literce) i uważnie czytamy SMS-y autoryzacyjne. Ale mówimy o starszej pani, która komputer obsługuje w stopniu podstawowym i miała prawo tych zasad po prostu nie znać. Bank kazał jej płacić za każdy przelew zlecany w oddziale po 10 zł, więc z konieczności korzysta z internetu. Ale nikt z banku nie szkolił jej z bezpiecznego bankowania przez internet. Musiała nauczyć się tego sama.

Kłopoty z SMS-ami autoryzacyjnymi mają nawet ci, którzy uważnie je czytają, a co dopiero starsze osoby, korzystające często z telefonów z małymi ekranami. Ostatnio modny jest złodziejski trik, który polega na tym, że po zalogowaniu się na nasze konto (i w tym samym czasie, gdy my jesteśmy na fałszywej stronie) złodzieje zlecają dopisanie siebie jako odbiorców przelewów zdefiniowanych, a nam pokazują na ekranie fałszywy komunikat o „zmianie formatu konta”, które trzeba na nowo określić jako „odbiorca zdefiniowany”. Na nasz numer telefonu przychodzi SMS z hasłem autoryzującym transakcję, którego treść jest bardzo podobna do komunikatu na stronie („zatwierdzenie odbiorcy zdefiniowanego”).

Czytaj też: Ten wirus wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi? Jak się przed nim bronić?

Klient wyrobiony czy nie: banki potraktują go tak samo

Nie mam wątpliwości, że osoby z grupy wiekowej 60+ będą coraz częściej celami cyberprzestępców. Najczęściej popełniają błędy, które bywają tragiczne w skutkach. Można stracić w ciągu kilku minut wszystkie oszczędności życia, a w banku powiedzą, że za to nie odpowiadają. Uważam, że bankowcy powinni brać pod uwagę – oceniając swoją odpowiedzialność za utracone przez klientów pieniądze – wiek klienta i jego technologiczne zaawansowanie. To jasne, że pani, która straciła 20.000 zł z konta w BZ WBK, przyczyniła się do kradzieży. Ale dlaczego bank dopuścił do istnienia przez pewien czas fałszywych stron? Dlaczego nie zainteresował się ponadprzeciętnie dużymi przelewami wypływającymi z konta klientki?

„Próbując zalogować się na Państwa stronę chciałam wyszukać jej adres w najpopularniejszej na świecie wyszukiwarce Google. Pierwsza strona jaka się wyświetliła, jak się okazało po wstępnych wnioskach policji, była fałszerską stroną złodziei, która była wierną kopią Państwa strony internetowej. Powierzając środki renomowanemu bankowi ufam że wykażecie się Państwo większą kompetencją w ochronie moich pieniędzy. Złodziej posługuje się Państwa logotypami i innymi wartościami niematerialnymi i prawnymi będąc wyżej w wynikach wyszukiwania od Państwa firmy”

– żali się w reklamacji klientka. Sądzę, że banki powinny dojrzeć do tego, żeby inaczej podchodzić do kwestii bezpieczeństwa osób mniej obeznanych z nowymi technologiami. Łatwo przekierować wszystkich do bankowości internetowej i mobilnej, oszczędzać dzięki temu dziesiątki milionów złotych rocznie i mówić klientom żeby radzili sobie sami. Ale niektórzy z nich nie poradzą sobie sami, bo nie mają odpowiednio rozwiniętych cyfrowych kompetencji. I banki nie powinny zamykać na to oczu.

„Bank dokłada wszelkich starań, aby w odpowiedni sposób chronić pieniądze klientów. Monitorujemy sieć, współpracujemy w ramach różnych organizacji, aby zwiększać bezpieczeństwo naszych klientów. Przede wszystkim, w żadnym razie nie dopuszczamy istnienia stron podszywających się pod bank. Każdorazowo w takich sytuacjach podejmujemy kroki do zablokowania fałszywych stron. Systematycznie informujemy klientów o istniejących w sieci zagrożeniach, przestrzegamy, instruujemy, przypominamy o podstawowych zasadach bezpieczeństwa”

– napisała mi Monika Nowakowska z BZ WBK. To brzmi pięknie, ale nie wydaje mi się, by starsza pani miała aż takiego pecha, by trafić na fałszywą stronę banku akurat w tych pięciu sekundach między jej pojawieniem się w sieci, a zlikwidowaniem zagrożenia przez bank. Sądzę, że to „okienko”, w którym pieniądze mniej wyrobionych technologicznie klientów były zagrożone, było dłuższe.

„Bezpieczeństwo zależy także od klientów, a przestrzeganie podstawowych zasad bezpieczeństwa jest po prostu kluczowe. Zdarzają się sytuacje, gdy klient wprowadza kod z smsKodu do transakcji, której nie realizował. To niestety otwiera drogę przestępcom. W sytuacji niestosowania się do wymaganych zasad bezpieczeństwa, bank nie ma podstaw do wypłaty rekompensaty finansowej klientom, którzy zostali ofiarami ataków, wynikających z własnego zaniedbania”

– pisze przedstawicielka BZ WBK. Uważam, że traktowanie wszystkich klientów – tych rozwiniętych cyfrowo i tych mniej – to błąd. I to zarówno w sytuacji, gdy jest już „po herbacie”, jak i wcześniej. Być może klientom należałoby proponować możliwość dodatkowego potwierdzania (np. przez telefon) większych operacji.

Czytaj też: Cztery pytania o płacenie smartfonem. Czy to bezpieczne?

Czytaj też: Top 5 sposobów cyberzłodziei. Na który z nich się nabierzesz?

Subscribe
Powiadom o
86 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Rumun
6 lat temu

„dlaczego bank dopuścił do istnienia przez pewien czas fałszywych stron?”
Autor chyba nie wie jak działa internet!

Szkoda tej Pani, ale moim zdaniem Bank ma rację i nie może odpowiadać za brak wiedzy / umiejętności klientów.
A gdyby wychodzącej Pani z oddziału ktoś wyrwał torebkę z pieniędzmi, to Bank również miałby oddać poszkodowanej skradzioną kasę???

Bank odda kasę, a później podwyższy odpowiedzialnym klientom ceny, bo musi rachunek się zgadzać.
W końcu nikt nie będzie dbał o cyfrowe bankowanie, bo będzie wiedział, że i tak Bank odda kasę gdy obrabują cyfrowi przestępcy.

pajacyk_123
6 lat temu
Reply to  Rumun

Ja czekam, kiedy Pani uderzy do google’a o oddanie tej kasy, w końcu to z ich reklamy dała się naciąć na fałszywkę.

A tak na poważnie – może banki powinny podsuwać do podpisu oświadczenia jak w przypadku MiFID? Że klient został poinformowany o ryzyku korzystania z bankowośći internetowej, i w przypadku własniej wtopy może sobie pomarzyć o rekompensacie strat wynikających m.in. z nieuważnego czytania sms’ów autoryzacyjnych.

Fabian
6 lat temu

Lepiej chyba mieć adres strony logowania zapisany w zakładkach przeglądarki. Wtedy odpada możliwość wybrania fałszywej strony.

pajacyk_123
6 lat temu
Reply to  Fabian

Dobrze jest mieć osobną, dedykowaną przeglądarkę, wywalić z niej wszystkie CA za wyjątkiem tych, z których korzystają nasze banki, wtedy przeglądarka będzie na nas krzyczeć, gdy spróbujemy wejść na stronę która ma certyfikat SSL wydany przez jakieś szemrane CA. A jeśli strona nie ma zielonej kłódki – tym bardziej się nie logujemy.

A jeśli dorzucić do tego dedykowanego laptopa i uważne czytanie sms’ów, prawdopodobieństwo, że ktoś nam coś ukradnie jest praktycznie pomijalne.

Lolca
6 lat temu

Fałszywa strona banku była wyżej pozycjonowana niż prawdziwa? Trudno mi w to uwierzyć. Widziałam stan komputerów niektórych internetowych laików w mojej rodzinie. Ilość „przydatnych wtyczek i dodatków” przeglądarek zainstalowanych np. przy okazji instalacji darmowego antywirusa bywa porażająca. Pani mogła nie tylko nie rozpoznać fałszywej strony banku, mogło zacząć się od podmienionej strony wyszukiwarki Googla. Oczywiście to tylko gdybanie, bo nie znamy szczegółów. Nie jestem przekonana, że „mniej obeznani” użytkownicy bankowości internetowej powinni mieć taryfę ulgową w tego typu przypadkach. Zaraz by się okazało, że połowa Polaków cierpi na demencję starczą – oni nic nie wiedzą i za nic nie odpowiadają.… Czytaj więcej »

pajacyk_123
6 lat temu
Reply to  Lolca

Fałszywa strona była pierwszym wynikiem bo…była reklamą via google (kolejny przykład na to, czemu warto mieć uBlocka/AdBlocka) te zawsze pojawiają się na szczycie strony. Kiedyś były dla przeciętnego człowieka bardziej rozpoznawalne ale ostatnimi czasy ci mniej ogarcięci nie odróżnią wyniku wyszukiwania od reklamy kontekstowej :/

Bert
6 lat temu
Reply to  Lolca

Sądzę że komputer tej pani miał jakiegoś adona do przeglądarki, który modyfikował wyniki wyszukiwania.

pajacyk_123
6 lat temu

Powiecie być może: pani sama otworzyła drzwi do domu i dziwi się, że ją okradli.

Nie, tak nie powiemy.
Powiemy za to, że sama otworzyła drzwi i dziwi się, że nikt w porę ich za nią nie zamknął, choć jest osobą co do której nie zostało orzeczone ubezwłasnowolnienie, więc co do zasady powinna być odpowiedzialna za to co robi.

Sam nie wiem, może powinien istnieć obowiązek (odpłatnego) ubezpieczenia od podobnych sytuacji w momencie zakładania konta? Z możliwośćią rezygnacji po podpisaniu oświadczenia, że w przypadku własnoręczego autoryzowania lipnej transakcji nie będziemy wnosić żadnych roszczeń do banku?

luke
6 lat temu

W jukej kolega ma zainstalowany antywirus, który bank przekazał. Nieważne co się stało, w przypadku braku tego antywirusa odpowiada klient, a gdy jest zainstalowany to odpowiada bank. Proste rozwiązanie.

Mua
6 lat temu
Reply to  luke

@luke, ale antywirus nie chroni przed fałszywymi stronami. Poza tym, czy bank odpowiada za skutki infekcji, które przepuści polecany przez nich program?

Luke
6 lat temu
Reply to  Mua

Mua – tam nie wchodzą w szczegóły – bank dba o bezpieczeństwo i już. Może to cały pakiet. Jest zainstalowany to klient jest chroniony – koniec kropka

Anna
6 lat temu

Odpowiedzialność banku, potwierdzają to sądy. Trzeba iść się do łódzkiego prawnika, który się w tym spoecjalizuje.

olo1234
6 lat temu

Witam,
@ Fabian: podobno wirus może podmienić zakładki;
@ Pajacyk_123: warto tak pisać żeby przede wszystkim starsze osoby skorzystały (CA = certyfikat wystawiony przez zaufaną organizację).
@ autor: Przydał by się poradnik jak to wszystko zainstalować i skonfigurować.

Czytajcie SMS’sy z banku!!!

pajacyk_123
6 lat temu
Reply to  olo1234

No to jak już ma być łopatologicznie, to się rozwinę 🙂 W firefoxie: Menu->Preferencje->Zaawansowane->Certyfikaty. Jeśli mamy konto np. w BZWBK, trzeba wejśc na ich stronę i podejrzeć kto wystawił certyfikat – w tym przypadku Unizeto Technologies S.A. Następnie wywalić wszystkie certyfikaty poza Unizeto. Oczywiśćie pod warunkiem, że Firefox będzie naszą dedykowaną do bankowośći przeglądarką i żadnych innych stron nie będziemy w niej odwiedzać. W innych przeglądarkach powinno być w miarę analogicznie. W ten sposób wchodząc na stronę banku zawsze upewniamy się czy mamy zieloną kłódkę, jeśli jest – wszystko powinno być ok, nawet jeśli ktoś wykupi podobną domenę, mała jest… Czytaj więcej »

Zaciekawiony
6 lat temu

Może nieuważnie przeczytałem, ale skąd złodzieje mieli numer telefonu starszej pani? Niektóre banki pokazują go w systemie transakcyjnym, po co? Niektóre tylko sygnalizują, pokazując tylko parę wybranych cyfr.

Zaciekawiony
6 lat temu

„Można stracić w ciągu kilku minut wszystkie oszczędności życia” – to już winna nie tylko za niska świadomość komputerowa. Najprostsza intuicja mówi, żeby nie trzymać wszystkiego w jednym miejscu.

Xacaca
6 lat temu

W USA nie mają Z tym problemu tylko w Pl. Jak bank nie ma nic do tego?!! Starsze osoby powinny mieć w ofercie z góry ubezpieczenie od kradzieży z kk i konta do sumy 50 tys zł. Po drugie ile to lat temu, kilka jak same banki cały hype był nakręcany i wbijany ludziom do głowy, internet to przyszłość,bankowość internetowa jest w 100% bezpieczna, łatwa i bezproblemową. Nie potrzeba placówek to strata czasu. Gdyby bank jako instytucja zaufania publicznego chociaż poczuwał się etycznie to byłby duży plus. Widać musi być kolejny raz zmienione prawo, pisać listy i petycję do Biernackiego… Czytaj więcej »

[…] Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy bank powinien za to zapłacić? […]

[…] Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić? […]

[…] Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku […]

Mikołaj
6 lat temu

Jedyna rada: zmienić bank. PKO BP, na wiosnę 2017 roku, kiedy to w niewyjaśnionych do dziś okolicznościach cyberprzestępcy przechwycili dane mojej karty płatniczej i dokonali zakupu w Australii na zupełnie niewielką kwotę ( 70 zł), natychmiast skontaktował się ze mną, pytając, czy inicjowałem taką (niecodzienną ze względu na kontynent) transakcję. W ten sposób dowiedziałem się, że ktoś ma dostęp do mojej karty i mogłem ją niezwłocznie zablokować. Bank transakcję – oczywiście – anulował; pieniądze wróciły na konto…Od tego momentu polecam wszystkim kupującym przez internet usługi iPKO BP.

Nerkofil
6 lat temu

OD LAT POSTULUJE, żeby przelew zaufany można było zdefiniować wyłącznie w banku, bezplatnie.
Jeśli banki nie wprowadziły tak prostej zasady bezpieczeństwa, to duży błąd w zabezpieczeniu PIENIĘDZY KLIENTA!

Pamiętamy, „Vabank”, scena z prezesem banku i gorącym mu rewolwerem panem „Kowalskim”? I ostatnie sekundy sceny, reakcja prezesa… Zachowanie banków nie zmieniło się od 80 lat!

[…] Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić? […]

artur
6 lat temu

Ale na fotce jest Ma Dalton, sprytna mamuśka rodzinki złodziejaszków z Lucky Lucka, a nie poszkodowana starsza pani 🙂

WONDERFUL Post.thanks for share..extra wait .. …

6 lat temu

Your home is valueble for me. Thanks!…

After I originally commented I clicked the -Notify me when new comments are added- checkbox and now each time a comment is added I get four emails with the identical comment. Is there any manner you possibly can take away me from that service? Thanks!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu