24 sierpnia 2021

Klikasz w podesłany przez nieznajomego link i… tracisz wszystkie pieniądze z konta. Banki spychają z siebie 100% odpowiedzialności. Czy to fair?

Klikasz w podesłany przez nieznajomego link i… tracisz wszystkie pieniądze z konta. Banki spychają z siebie 100% odpowiedzialności. Czy to fair?

Pani Olga straciła kilkadziesiąt tysięcy złotych po tym, jak w lutym tego roku przyszło jej do głowy skorzystać z portalu ogłoszeniowego OLX. Pani Bogumiła kliknęła w podesłany SMS-em link i z jej konta zniknęło prawie 60 000 zł – oszczędności całego życia. A banki? Podobno nic podejrzanego nie zauważyły i nie poczuwają się ani do współodpowiedzialności, ani do partycypacji w ponoszeniu konsekwencji takich nieszczęść. A może czas już skończyć z podejściem, według którego bank jest tylko „notariuszem transakcji” i nie odpowiada w żadnym stopniu za kradzież pieniędzy z konta?

To się w głowie nie mieści, jak banki odsuwają od siebie współodpowiedzialność za straty klientów okradzionych przez internet. Najpierw zachęcały klientów do zdalnego bankowania oraz dały im do ręki bankowość elektroniczną i mobilną, ale gdy źli ludzie zaczęli masowo wykorzystywać luki w tym systemie – bankowcy odwrócili się na pięcie i mówią, że to nie ich wina.

Zobacz również:

Oczywiście przeważnie to nieostrożność klientów prowadzi do wyprowadzania pieniędzy z ich kont, ale złodzieje wykorzystują przecież narzędzia, które wymyśliły banki. I korzystają z tego, że banki nie potrafią odpowiednio szybko zareagować na podejrzane transakcje. A przecież banki widzą, co się dzieje z pieniędzmi ich klientów.

Czytam ostatnio sporo opowieści okradzionych klientów oraz odpowiedzi bankowców na ich reklamacje. I zadaję sobie pytanie, czy to rzeczywiście klient jest w 100% odpowiedzialny za to, że ktoś włamał mu się na konto? Czy bank nie mógłby temu zapobiec, gdyby nie ograniczał się tylko do sprawdzania czy loginy i hasła się zgadzają?

Pani Olga: chciała sprzedać suszarkę na OLX, a straciła wszystkie pieniądze

Pani Olga straciła kilkadziesiąt tysięcy złotych po tym, jak w lutym tego roku przyszło jej do głowy skorzystać z portalu ogłoszeniowego OLX. Sprzedawała suszarko-lokówkę, a gdy znalazł się nabywca, przesłał jej przez WhatsApp’a link z prośbą o potwierdzenie zamówienia. Kupujący oczywiście nic nie chciał nic kupić, zaś link był przekierowaniem na fałszywą stronę mBanku, na której nieświadoma niczego pani Olga wpisała wszystkie dane swojej karty debetowej. I na dokładkę jeszcze nazwisko panieńskie matki.

„Potem przyszedł komunikat z mBanku, że moje urządzenie zostało poprawnie dodane. Nie musiałam nic akceptować. Transkacja na OLX nie doszła do skutku, a ja zapomniałam o temacie. Kilka dni później zobaczyłam komunikat z banku, że przelałam pieniądze z karty kredytowej. Natychmiast zadzwoniłam na infolinię mBanku i zablokowałam wszystko, co mogłam, ale już było za późno. Złodzieje przenieśli w nocy wszystkie pieniądze z oszczędności na konto główne i stamtąd przelewali je na jakieś inne konto w mBanku. Łącznie wyprowadzili 29 600 zł. Zlecili także transakcje z karty kredytowej na 20 000 zł. Żadna z powyższych transakcji nie wymagała akceptacji przeze mnie”

– pisze pani Olga. mBank dwukrotnie odrzucił reklamacje pani Olgi, stwierdzając, iż podała przestępcom login i hasło do bankowości elektronicznej, co trzeba potraktować jako rażące niedbalstwo.

„Sęk w tym, że nie podawałam na tej złodziejskiej stronie loginu i hasła do bankowości internetowej. Zastanawia mnie też, że systemów bezpieczeństwa w banku nie zaalarmowało to, że do konta podłączono dodatkowe urządzenie, a dwa dni później, w środku nocy, wyprowadzono wszystkie pieniądze z konta i z karty kredytowej”

– skarży się czytelniczka. Jak to możliwe, że poniosła tak wielkie straty, skoro – jak twierdzi – nie ujawniła złodziejom najważniejszych informacji o koncie, a jedynie dane karty?

Cóż, najprawdopodobniej login i hasło do rachunku złodzieje poznali w tzw. międzyczasie. Żeby móc skutecznie zaatakować panią Olgę, musieli mieć jej numer telefonu (być może podała go na OLX), nazwę banku, w którym ma konto (być może to wynikło z rozmowy na portalu ogłoszeniowym) oraz właśnie login i hasło do bankowości internetowej. Bez tych informacji nie zdołaliby się zalogować na konto klientki i sparować go z nowym urządzeniem.

Do tego sparowania potrzeba z kolei numeru PESEL, nazwiska panieńskiego matki i niektórych danych karty płatniczej. Dwie ostatnie rzeczy pani Olga sama podała po kliknięciu w fałszywy link. Numer PESEL też nie jest trudny do ustalenia, podajemy go w różnych miejscach. Jedyną zagadką jest sposób, w który złodzieje pozyskali login i hasło do konta. Ale że je w jakiś sposób pozyskali – jest oczywiste. I w ten sposób kradzież pieniędzy z konta stała się możliwa.

Kradzież pieniędzy z konta: klientka była naiwna, ale czy bank nie mógł nic zrobić?

Klientka zdecydowanie była zbyt naiwna – do „potwierdzania transakcji” na portalu aukcyjnym (po co, do cholery, cokolwiek tu potwierdzać?) podała dane, których nikomu się nie podaje. Kliknęła w podesłany przez obcą osobę link, w który klikać nie powinna. Prawdopodobnie dała też sobie ukraść dane logowania do konta albo co najmniej włamać na e-mail (skąd złodzieje mogli je pozyskać).

Ale czy bank jest całkiem niewinny? Moim zdaniem nie można tak powiedzieć. Każdy rachunek, na którym dzieje się coś niestandardowego, powinien być pod obserwacją. Za każdym razem, gdy następują rzeczy takie, jak „zrzucanie” oszczędności na konto główne, „opróżnianie” karty kredytowej, przyłączanie do konta nowych urządzeń – bank powinien brać pod uwagę ryzyko fraudu. Nie oznacza to za każdym razem, że nastąpi kradzież pieniędzy z konta, ale są to okoliczności zwiększające ryzyko.

Złodzieje ukradli pieniądze przez kliknięcie w link. Co odpowiada bank?
Złodzieje ukradli pieniądze przez kliknięcie w link. Co odpowiada bank?

W tym przypadku przestępcy byli bardzo czujni. Między przypisaniem nowego urządzenia do konta, a złodziejskimi transakcjami odczekali dwa dni, co mogło uśpić czujność banku (o ile jakakolwiek czujność tam była). A samych transakcji dokonywali nocą, by znieść ryzyko, że ktoś z banku zadzwoni do klientki i zapyta, czy rzeczywiście wyprowadza ze swojego rachunku wysokie kwoty.

Ale mimo wszystko można było jakoś spróbować zareagować, choćby „zawieszając” transakcje na jedną sesję systemu elixir, by mieć czas na kontakt z klientką za dnia. Zwłaszcza że w bankowych systemach informatycznych musieli widzieć, że ktoś loguje się do konta z innego miejsca niż zwykle (inny numer IP komputera).

Wiem, że to w bankach duży dylemat, bo klienci nie lubią być inwigilowani i wypytywani o transakcje – a w 99% takie sygnały są błędne – jednak co z ochroną pozostałych klientów przed złodziejami?

Pani Bogumiła kliknęła w link i… straciła oszczędności życia. „Nic nie autoryzowałam!”

W tym przypadku złodzieje sporo zrobili, żeby w banku nikt się nie zorientował, ale w drugim przypadku, który ostatnio do mnie trafił, bank – gdyby prawidłowo zadziałały systemy antyfraudowe – mógłby uratować klientkę. Oto krótki opis historii pani Bogumiły – córki sołtysa z wsi pod Warszawą. Relacjonuje sprawę jej sąsiad, który jest czytelnikiem „Subiektywnie o Finansach”.

„Kobieta otrzymała sms o rzekomym nadejściu paczki od kuriera. W SMS-ie zalecano kliknięcie w link. Po kliknięciu uruchomiła się aplikacja, która zhakowała telefon kobiety. Przestępcy przejęli bankowe kody autoryzacyjne, które zamiast na telefon kobiety przychodziły na ich telefon. Przy pomocy tych kodów w ciągu dwóch godzin 12 lutego przestępcy przelali z jej konta w banku na własne konta 69 000 zł. Pani Bogumiła pracuje w fabryce chipsów w Grodzisku, pieniądze, które jej zniknęły, zgromadziła przez 25 lat pracy. Zgłosiła sprawę na policję i wystąpiła do banku Santander, gdzie ma konto, z reklamacją o zwrot pieniędzy. Otrzymała odpowiedź, że reklamacja została odrzucona, a bank zażądał od niej dodatkowo kary za przedwczesne zlikwidowanie lokat. Część pieniędzy znajdowała się na depozytach terminowych”.

Z odpowiedzi banku na reklamację wynika, że w tym przypadku również klientka Santandera podała wystarczająco dużo informacji – lub je jej ukradziono – by złodzieje mogli zalogować się na jej konto i dopisać do niego nowe urządzenie, którym autoryzowali przelewy.

Złodzieje ukradli pieniądze przez kliknięcie w link. Co odpowiada bank?
Kliknięcie w link i kradzież pieniędzy z konta. Bank się nie poczuwa do współodpowiedzialności

Drugi scenariusz jest taki, że smartfon klientki stał się czymś w stylu „zombie” i złodzieje wyświetlali na nim komunikaty, które spowodowały, że pani Bogumiła nie wiedziała, że autoryzuje przekierowanie SMS-ów autoryzacyjnych na inny numer telefonu.

„W całej tej historii poraża mnie najbardziej postawa banku, który całkowicie pozostawia klienta samemu sobie i liczy na to, że klient nie będzie miał pieniędzy na pozew przeciwko bankowi (nie mówiąc o tym, że proces trwa lata). A zgodnie z prawem to bank ponosi odpowiedzialność za włamania internetowe. Przeczytałem, że są w tej sprawie nawet orzeczenia Sądu Najwyższego”

– pisze sąsiad okradzionej pani Bogumiły. Sprawa jest na etapie wezwania przedsądowego do zwrotu pieniędzy, skierowanego przez adwokata klientki do banku. Część uzasadnienia wklejam poniżej:

Kradzież pieniądze z konta. Wezwanie przedsądowe do banku o zwrot
Kradzież pieniądze z konta. Wezwanie przedsądowe do banku o zwrot

Tu są dwie sprawy. Po pierwsze: kto odpowiada za transakcję, jeśli została autoryzowana, ale klient twierdzi, że to nie on ją autoryzował? Można powiedzieć, że banku nie musi obchodzić, kto autoryzował przelew. Ale można też przeprowadzić śledztwo poszlakowe i udowodnić, że z wysokim prawdopodobieństwem nie był to klient.

Kradzież pieniędzy z konta. Dlaczego bank ma odpowiadać za to, że klient klika, gdzie nie trzeba?

Zapytacie, dlaczego bank ma odpowiadać za to, że klienci klikają w jakieś podesłane im linki i podają tam dane, których nie powinni podawać. No tak, to się nie powinno dziać i część odpowiedzialności oczywiście spada na klientów.

Tym niemniej, jak już wspominałem, jeśli bankowcy dali tym klientom do łapek narzędzia, które umożliwiają włam na konto, to powinni objąć tych klientów specjalną ochroną. W tym przypadku ktoś zmienił urządzenie, na które przychodzą SMS-y, zalogował się (prawdopodobnie) do konta z nowego urządzenia, zlikwidował lokaty i wykonał duży przelew.

Taki zestaw wydarzeń powinien spowodować, że system antyfraudowy się uaktywni i zostaną w banku wszczęte procedury sprawdzające, czy to rzeczywiście klientka chce wyprowadzić z banku 59 000 zł.

Podział odpowiedzialności powinien być mniej więcej pół na pół. Klient był nieostrożny, a bank nie potrafił zareagować na nietypową transakcję. I pewnie do takich rozstrzygnięć by dochodziło, gdyby sądy nie były sparaliżowane. Gdyby w ciągu kilku miesięcy można było – przeprowadzając „proces poszlakowy” – uzyskać prawomocny wyrok choćby częściowo pozostawiający winę przy banku, bankowcy nie zachowywaliby się tak jak dziś.

„Klient kliknął w link i stracił oszczędności życia? To nie nasz problem”. Nie Wasz? A czyj, do jasnej cholery? To wy oferujecie bankowość internetową i mobilną oraz pozwalacie na błyskawiczne przelewanie pieniędzy na podstawie zdalnych zleceń. A więc dajecie ludziom do ręki narzędzia, które umożliwiają kradzież pieniędzy z konta, jednocześnie zachęcając do ich używania…

—————–

Najnowszy podcast „Finansowe sensacje tygodnia”: posłuchaj!

W tym odcinku podcastu „Finansowe sensacje tygodnia” przyglądamy się aż czterem sensacjom. Najważniejsza z nich to nasze sensacyjne podwyżki wynagrodzeń. Czy rzeczywiście jest tak, jak mówi premier, że nie musimy bać się inflacji, bo wszyscy więcej zarabiamy? Kto naprawdę może liczyć na podwyżki większe od inflacji, a kto nie? Poza tym sensacyjne wyniki badań o Polakach, którzy nie wierzą, że ktoś ich może okraść z danych, sensacyjne afery z deweloperami, którzy oddają nam mieszkania z wadami oraz sensacyjne wejście nowej platformy streamingowej na polski rynek – robi się już ciasno od tych wszystkich abonamentów. Zapraszam do posłuchania pod tym linkiem oraz na Spotify, Apple Podcast, Google Podcast i na kilku innych platformach.

———

SKORZYSTAJ Z NAJLEPSZYCH BANKOWYCH OKAZJI:

Obawiasz się inflacji? Sprawdź też „Okazjomat Samcikowy” – aktualizowane na bieżąco rankingi lokat, kont oszczędnościowych, a także zestawienie dostępnych dziś okazji bankowych (czyli 200 zł za konto, 300 zł za kartę…). I zacznij zarabiać:

>>> Ranking najwyżej oprocentowanych depozytów

>>> Ranking kont oszczędnościowych. Gdzie zanieść pieniądze?

>>> Przegląd aktualnych promocji w bankach. Kto zapłaci ci kilka stówek?

———

SPRAWDŹ INWESTYCJE ZE ZNAKIEM JAKOŚCI SAMCIKA:

>>> Oszczędzaj na emeryturę i dostań 400 zł „samcikowej” premii. Chcesz dostać 200 zł premii za zainwestowanie 2000 zł albo 400 zł premii za zainwestowanie z myślą o dodatkowej emeryturze 4000 zł? Kliknij ten link albo ten link oraz wpisz kod promocyjny msamcik2021.

>>> Zainwestuj ze mną w fundusze z całego świata bez prowizji. Chcesz wygodnie – przez internet – oraz bez żadnych opłat lokować pieniądze w funduszach inwestycyjnych z całego świata? Skorzystaj z platformy F-Trust rekomendowanej przez „Subiektywnie o Finansach”. Kupuję tam fundusze. Inwestowanie bez opłat dystrybucyjnych po wpisaniu kodu promocyjnego ULTSMA. w tym poradniku najważniejsze rady, w co teraz inwestować.

>>> Zainwestuj w ETF-y z całego świata. Proste inwestowanie w ETF-y u robodoradcy możliwe jest dzięki platformie Finax, w której ja również trzymam kawałek oszczędności. Dzięki temu linkowi zainwestujesz tam pieniądze łatwo i wygodnie.

>>> Wypróbuj fundusze od najsłynniejszych firm zarządzających na świecie. Może warto trzymać pewną część swoich oszczędności pod zarządzaniem ludzi, którzy mogą o sobie powiedzieć: „osobiście znam Warrena Buffeta”? Fidelity, Schroeders, AllianceBernstein – fundusze tych legendarnych firm dostępne są dla klientów mBanku. Zachęcam do sprawdzenia na tej stronie.

———

ZAINWESTUJ CZĘŚĆ SWOICH OSZCZĘDNOŚCI Z ROBOTEM INVESTO

Na świecie ludzie, którzy nie mają ogromnych oszczędności i nie znają się na inwestowaniu, coraz częściej korzystają z robodoradców. Jak działa taki automat pomagający w inwestowaniu pieniędzy? Zapraszam do przeczytania tutaj. Jak dzięki niemu ludzie na Zachodzie inwestują pieniądze? Przeczytaj tutaj. W Polsce usługi robodoradztwa oferuje od niedawna swoim klientom ING Bank. Można z nich skorzystać, zakładając Investo za pomocą serwisu internetowego albo aplikacji mobilnej (ZAPRASZAM DO KLIKNIĘCIA W TEN LINK I POZNANIA SZCZEGÓŁÓW).

Wkrótce opiszę swoje prywatne doświadczenia z Investo po zainwestowaniu tam własnych oszczędności. Już teraz zapraszam natomiast do obejrzenia klipu wideo, w którym opowiadam, z czym to sie je (dosłownie!). A także do posłuchania podcastu, w którym rozmawiam z ekspertem od robodoradców. Więcej na temat działania Investo oraz pobieranych od klientów opłat napisałem tutaj.

———

zdjęcie tytułowe: Jefferson Santos/Unsplash

Subscribe
Powiadom o
101 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Zenont
23 dni temu

Gdyby istniała odpowiedzialność banków za nieostrożność klientów, to pojawiłaby się nowa kategoria oszustw. Niewiele potrzeba do upozorowania takiego zdarzenia i domagania się odszkodowania.
I to nie jest wina bankowości ani nowoczesności. Taka nieostrożna osoba 20 lat temu wpuściłaby do domu kominiarza.

Pan Krzysztof
23 dni temu
Reply to  Zenont

„Taka nieostrożna osoba 20 lat temu wpuściłaby do domu kominiarza.”
Gdyby to była zaniedbywana żona, to dochodzi jeszcze ryzyko ciąży albo chociaż rozwodu 😁

Last edited 23 dni temu by Pan Krzysztof
Darek M. W.
23 dni temu

Dane do logowania przecież sama podała na fałszywej stronie mBanku podesłanej przez oszustów.

stef
23 dni temu

W przypadku pani Olgi:
1. jedynie podejrzenia banku powinny wzbudzić transakcje w nocy. Natomiast Pani zawiodła na wszystkich frontach.
PS
Raz jest mowa o karcie debetowej a zaraz o kredytowej?

PS 2 Systemy autyfraudowe nie działają, ale jak przelewam 10 000 do innego banku to propozycja lokaty na korzystnych warunkach zawsze się wyświetla czyli jakiś monitoring jest. W innym banku „nietypowy” przelew jest blokowany do rana i dzwoni konsultant.

PS 3 Ciekawe jak jest ilość zmienianych/dodawanych w banku urządzeń mobilnych miesięcznie? Czy to nie powinien być alarm w Banku? Może powinno być to tylko możliwe w oddziale?

Adam
23 dni temu

Zacznijmy od tego że bank odpowiada za transakcje które nie był autoryzowane przez klienta. Nie jest istotne czy posłużono się poprawnym hasłem/kodem/itd, ważny jest fakt że klient nie autoryzował tej transakcji.

BdB
23 dni temu
Reply to  Adam

Kto powiedział, że nie były autoryzowane? Poza oświadczeniem klienta nie ma żadnego dowodu na to, że on tego nie autoryzował. Co więcej, w logach bank ma czarno na białym, że on się zalogował swoim loginem i hasłem, zautoryzował logowanie, a później operację z użyciem tej metody autoryzacji, jaką przewiduje umowa.

Radek
23 dni temu
Reply to  BdB

Co więcej, w logach bank ma czarno na białym, że logowanie nastąpiło z innego adresu IP niż zazwyczaj, z innego urządzenia i całkiem możliwe że z innej przeglądarki.

Krzychu
13 dni temu
Reply to  Radek

Z systemami bankowymi jest jak z unijnymi skrzynkami pocztowymi – niby spełniają wszelkie narzucone wymogi, a listy można pęsetą wyciągnąć.

Jacek
13 dni temu
Reply to  Krzychu

I dlatego lepsze wydaje się skrzynki amerykańskie… no wiecie, te z chorągiewkami.

kjonca
2 godzin temu
Reply to  Radek

jeśli masz neozdradę, to IP zmienia Ci się co 24h – więc co to niby za dowód? UserAgent i inne nagłówki można sobie ustawić jakie sie chce. (Mało to razy „zmieniałem” swojego firefoksa w IE 🙂 )

BdB
23 dni temu

Klikbajt. Tytuł powinien brzmieć: „ Klikasz w podesłany przez nieznajomego link, nie patrzysz co autoryzujesz i… tracisz wszystkie pieniądze z konta…”.

Innymi słowy: „Dajesz złodziejowi klucze od mieszkania i dziwisz się, że cię okradł”.

Za każdym razem dochodzi do autoryzacji i to podwójnej: SCA przy logowaniu, a następnie przy zlecaniu przelewu czy dodaniu odbiorcy.

Last edited 23 dni temu by BdB
Darek
23 dni temu

Prawdopodobnie na podstawie danych, które podała ta Pani, zainstalowali na swoim telefonie aplikację mBanku. Do tego nie potrzeba loginu i hasła ale właśnie danych typu: nazwisko panieńskie matki, Pesel. Po poprawnym dodaniu urządzenia żadne loginy, hasła i numery telefonu nie są potrzebne do autoryzacji transakcji tylko nadany przez nich w aplikacji PIN.

BdB
23 dni temu
Reply to  Darek

Trzeba mieć telefon (nie numer) i odebrać połączenie przychodzące. Czyli albo przejęli jej numer (SIM swap), albo ustawiła przekierowanie rozmów na ich numer (na nowszych wersjach Androida nawet złośliwa apka w tle tego nie zrobi).

Radek
23 dni temu
Reply to  BdB

W przypadku SIM swap ciężko mówić o winie i odpowiedzialności ofiary. A ponieważ bank stworzył system w którym polega się na numerze telefonu mimo znanej technice ataku powinien wziąć odpowiedzialność na klatę.

gosc
23 dni temu
Reply to  Maciej Samcik

Klienci z kolei odpowiadają za to, że zaczęli korzystać z kodów sms. Nikt ich do tego nie zmuszał. Mieli i nadal mają wybór – mogą korzystać z bezpiecznej, tradycyjnej bankowości.

„Tym niemniej, jak już wspominałem, jeśli bankowcy dali tym klientom do łapek narzędzia, które umożliwiają włam na konto, to powinni objąć tych klientów specjalną ochroną.”

To samo dotyczy powyższego. To, że ktoś coś daje lub wciska nie oznacza, że trzeba to wziąć. Najlepszy sposób aby powiedzieć bankom, że jakieś rozwiązanie nie jest dostatecznie bezpieczne to z niego nie korzystać.

gosc
22 dni temu
Reply to  Maciej Samcik

Pani Olga i Pani Bogumiła zaoszczędziłyby dużo pieniędzy, czasu i nerwów gdyby korzystały z tradycyjnej bankowości.
Czy klienci właściwie wyceniają ryzyko, które ponoszą korzystając z bankowości mobilnej i internetowej? 
Czy ich decyzje są racjonalne?

Przemo
22 dni temu
Reply to  Maciej Samcik

I tu się pojawia pytanie np. czemu nie skorzystają z Google Authenticatora?
To taki prawie token sprzętowy.

Jacek
20 dni temu
Reply to  Maciej Samcik

(…)ale banki ich już nie oferują.(…)
Zaraz się zaczną gadki o wciskaniu kredytów frankowych…

Sosna
21 dni temu
Reply to  Maciej Samcik

W przypadku SIM swap bank powinien brać na klatę całą odpowiedzialność, a w związku ze stratami procesować się z firmą telekomunikacyjną (niech sąd rozstrzygnie co do stopnia odpowiedzialności firm).
I tyle.

Kropka
23 dni temu

Nie wiem jak bardzo to poprawia bezpieczeństwo ale może warto mieć 2 konta bankowe w różnych bankach? Jedno do transakcji rutynowych a drugie do oszczędzania. Na pierwszym trzymać tylko trochę pieniędzy.

Znam nawet osoby, które mają kupiony tani tablet który służy tylko do bankowości online. Nie instalują na nim programów, nie przeglądają internetu, nie ma tam poczty.

gosc
23 dni temu
Reply to  Kropka

To bardzo poprawia bezpieczeństwo jeśli do drugiego banku nie masz dostępu przez internet i telefon.

Osobny komputer, tylko do bankowości online znacząco ogranicza ryzyko. Można rozważyć Chrome OS, który można postawić na starym laptopie – ma bardzo małe wymagania i jest dużo bezpieczniejszy od Windowsa. Takie rozwiązanie jest bardzo wskazane dla firm.

Jacek
20 dni temu
Reply to  gosc

(…)Można rozważyć Chrome OS, który można postawić na starym laptopie – ma bardzo małe wymagania i jest dużo bezpieczniejszy od Windowsa(…)
A dlaczego wogóle nie pójść w OS oparty na mikrojądrze takich jak np. GNU Hurd?

Bartosz
23 dni temu

Systemy bezpieczeństwa banków to jedna wielka pomyłka. Dwa lata temu duży polski bank zablokował moją kartę płatniczą, gdy próbowałem zapłacić za zakupy online w hiszpańskim Carrefourze. Było to już po koniec kilkutygodniowego pobytu w Hiszpanii, gdy aktywnie korzystałem z karty poza Polską. Infolinia dała radę odblokować kartę i w końcu mogłem zapłacić za zakupy. Rok później sytuacja powtórzyła się. Po kilku tygodniach pobytu w Hiszpanii, gdy często używałem karty do płatności w sklepach fizycznych i sklepach online, bank uznał, że internetowy sklep Carrefour jest bardzo podejrzany. Znów musiałem porozmawiać z infolinią o odrzuconej płatności. Dla odmiany: bankowi nie przeszkadzało, że… Czytaj więcej »

gosc
23 dni temu
Reply to  Bartosz

Banki mają systemy do monitorowania nietypowych transakcji. Czasami te systemy się mylą – transakcje dokonane przez właściciela konta/karty wyskakują jako podejrzane i są blokowane.
To, że klienci reagują na takie sytuacje negatywnie (zamiast docenić, że bank dba o ich bezpieczeństwo) powoduje, że czasami banki nie ustawiają tych systemów w optymalny sposób – za wszelką cenę starają się uniknąć błędów.

Radek
23 dni temu
Reply to  Maciej Samcik

A jak zrozumieć brak wsparcia dla kluczy czy tokenów sprzętowych? Nawet jako opcji?

gosc
23 dni temu
Reply to  Radek

Klucze bezpieczeństwa U2F nie nadają się do bankowości ponieważ nie ma żadnego mechanizmu, który umożliwia potwierdzenie kwoty przelewu oraz konta odbiorcy.

Tokeny sprzętowe – w grę wchodzą tylko tokeny typu challenge-response. Banki ich nie oferują z powodu poniższego:
Tokeny challenge-response:

  • bardzo bezpieczne
  • niewygodne
  • drogie (w porównaniu z innymi metodami)

Oczekiwania klientów:

  • ma być bardzo wygodnie
  • tanio
  • bezpieczeństwo nie jest takie istotne

Banki

  • nacisk na cele krótkoterminowe – trzeba sprzedać jak najwięcej kont i mieć jak najniższe koszty aby teraz dostać premię; to, że klienci stracą pieniądze i będą reklamacje i sprawy sądowe nie jest takie istotne
kjonca
2 godzin temu
Reply to  gosc

„Klucze bezpieczeństwa U2F nie nadają się do bankowości ponieważ nie ma żadnego mechanizmu, który umożliwia potwierdzenie kwoty przelewu oraz konta odbiorcy.”
Ale znakomicie utrudniają wcześniejsze zalogowanie się na fałszywej stronie i choćby dlatego twierdzenie, że się „nie nadają” jest bzdurne.

Jacek
20 dni temu
Reply to  Radek

Jak komuś zależy na sprzętach tego typu może iść w kryptowaluty… tylko proszę nie tworzyć teorii spiskowych jak przy kredytach frankowych.

Sosna
21 dni temu
Reply to  Maciej Samcik

Przelewami? Na wysokie kwoty? Zwłaszcza w nietypowych okolicznościach? A niechby, jest to uzasadnione.

Mnie BNP Paribas zablokował konto po zalogowaniu się (w celu sprawdzenia stanu finansów – zabójcza kwota ok. 300 zł) i wylogowaniu się.
Dlaczego? Bo zalogowałam się z innego adresu IP (wi-fi) niż zwykle, będąc 130 km od miejsca zamieszkania, w rodzinnej miejscowości (bank zna miejscowość urodzenia).
Tak, przed blokadą był telefon od osoby podającej się za pracownika banku, proszącej o wrażliwe informacje, oczywiście odmówiłam podania.

Bartosz
21 dni temu
Reply to  gosc

Rozumiem, że systemy się mylą. Ale systemy mogłyby się też uczyć i nie popełniać dwa razy tego samego błędu 😉 Byłoby też miło, gdyby informowały klienta o blokowaniu karty. Tylko raz dostałem SMS-a z informacją o zablokowaniu karty i prośbą o kontakt z bankiem. W innych sytuacjach spotykałem się po prostu z odrzuceniem transakcji.

BdB
23 dni temu

Aby sparować aplikację, trzeba odebrać połączenie przychodzące z mBanku, podać tonowo żądaną cyfrę i wpisać w niej kod podany przez lektora. Jak więc sparowali aplikację nie mając jej telefonu w ręku?

SIM swap by to wyjaśniał, ale on nie wchodzi w grę w tym przypadku skoro telefon nadal działał.

gosc
23 dni temu

Problemem tego świata jest epidemia. Jest to epidemia unikania odpowiedzialności we wszystkich sferach życia. Dotyczy ona również banków i ich klientów. W przypadku Pani Olgi wybór tradycyjnej bankowości i tradycyjnego sposobu zawierania transakcji byłby dużo tańszy oraz kosztowałby mniej czasu i nerwów. Jej tłumaczenia świadczą, że nie ma żadnej wiedzy na temat zagrożeń, bezpiecznego korzystania z bankowości internetowej i że nie stosowała żadnych zabezpieczeń udostępnianych przez banki. Dodatkowo pani Olga świadomie lub nieświadomie nie przyznaje się do błędów, które popełniła. Klientom polecam: Kto od pół roku atakuje Polaków na OLX? https://niebezpiecznik.pl/post/olx-scam-karta-platnicza/ Co czuje ofiara oszustwa na OLX? https://niebezpiecznik.pl/post/co-czuje-ofiara-oszustwa-na-olx/ NIEAUTORYZOWANE TRANSAKCJE… Czytaj więcej »

Piotr
23 dni temu

Żeby było śmieszniej, to skoro mowa o mbanku – jest to jedyny bank w którym fizycznie nie wyślemy przelewu z konta do momentu sesji elixir. Jeśli oszuści nie wykonali przelewów ekspresowych, to do 8 rano klientka mogła je sama anulować, gdyby zalogowała się do banku i zobaczyła, że coś jest nie tak w historii operacji. Osobiście nieco to irytuje, bo nie można wygenerować potwierdzenia, ale jak widać jest to jakiś margines bezpieczeństwa.

gosc
23 dni temu
Reply to  Piotr

Nie zauważyłeś poniższego fragmentu:
„Złodzieje przenieśli w nocy wszystkie pieniądze z oszczędności na konto główne i stamtąd przelewali je na jakieś inne konto w mBanku.”
To standard, że przestępcy mają konto założone na fałszywe dane lub na słupa w tym samym banku, w którym jest konto klienta, którego chcą okraść. Z tego konta można wypłacić pieniądz kartą i/lub blikiem albo przelać dalej. Przelewy natychmiastowe są powszechnie wykorzystywane – to są często zawodowcy, którzy dokładnie wiedzą jak ominąć zabezpieczenia banku.

Stef
23 dni temu
Reply to  Piotr

Wykonali je na inne konto w mBanku a te przelewy wychodzą w czasie rzeczywistym.

Kropka
23 dni temu

W mBanku chyba warto włączyć powiadomienia SMSowe. Co prawda nie są bezpłatne ale może lepiej zapłacić te kilka złotych na miesiąc by przychodziły powiadomienia o każdym logowaniu i ruchu na koncie.

Radek
23 dni temu
Reply to  Kropka

Co to da gdy śpisz? 🙂

Hieronim
23 dni temu

Jak widać, banki przyjęły bardzo przychylną sobie wersję PSD2. Ciekawe, a nadzór już był łaskaw to zauważyć, czy przyjrzy się sprawie za 5-10 lat?

Lesko
23 dni temu

Niektórym ludziom ciężko pomóc. Od czasu do czasu odwiedzam rodziców i włączam ich laptopa. Na pulpicie powinna być u nich tylko jedna ikonka do przeglądarki. Ale co jakiś czas dosłownie mi ręce opadają jak otwieram laptopa a tam na pulpicie są 2-3 nowe ikonki jakiś śmieciowych programów. Odpowiedź rodziców zawsze jest ta sama tzn. „samo się zrobiło, ja nic nie wiem, tak już było, niczego nie ruszałem”. Tacy ludzie po prostu jak wyskoczy jakieś okienko to klikają co popadnie byleby tylko je zamknąć. Moim zdaniem banki powinny wypożyczać technologicznie nieuzdolnionym osobom specjalne laptopy lub tablety tylko z możliwością robienia bankowości… Czytaj więcej »

gosc
23 dni temu
Reply to  Lesko

Banki nie mają tu nic do rzeczy. Takie osoby powinny korzystać tylko z tradycyjnej bankowości.

Radek
23 dni temu
Reply to  gosc

W tych palcówkach zamykanych przez banki co to nie maja tu nic do rzeczy?

Sosna
21 dni temu
Reply to  Lesko

Wypożyczać sprzęt? A wiesz, ile to kosztuje? I kto za to zapłaci?
IMHO lepsze by już było przeprowadzanie przy otwieraniu konta jakiegoś egzaminu z rozpoznawania zagrożeń. I na podstawie tego wyniku decyzja: albo otwieramy tej osobie konto internetowe bez zastrzeżeń, albo z dodatkowym płatnym ubezpieczeniem od fraudów, albo wcale i kierujemy do oferty stacjonarnej.

Jarek
23 dni temu

Jeśli chodzi o sprzedawanie na OLX, to z mojego doświadczenia oszuści nigdy nie korzystają z wewnętrznego systemu wiadomości OLX, a 100% osób, które pisały do mnie na WhatsApp to byli właśnie złodzieje.

Tomasz
23 dni temu
Reply to  Jarek

Dokładnie, z moją żoną też przez WhatsApp się kontaktowali.

Ralf
23 dni temu

Panie Maćku, człowiek z takim doświadczeniem i tak „ślizgać” się po temacie? A gdzie opowieść o tym że klienci chcą teraz, już, natychmiast i najlepiej za darmo? BLIK, DOT Pay, przelewy na telefon, karty wirtualne, Apple Pay’e i inne udogodnienia. O oszustwie „na OLX” sam OLX i banki trąbią od roku! Podobnie z dopłatami do paczek i energii. Wysyłają mail’e, widomości w bankowości mobilnej, zamieszczają komunikaty. I co ? I nic. A może zamieści Pan jako przykład SMS’a z banku z jasna informacja przesłaną na telefon klienta o tym że właśnie dodał urządzenie mobilne czy zerwał lokatę? Bo jakoś tego… Czytaj więcej »

BdB
23 dni temu
Reply to  Ralf

Dokładnie. To jest zwykły phishing taki jak 20 lat temu. Tylko nie przez mail, a sms.

Tomasz
23 dni temu

Moja żona prawie straciłaby ok. 2 tys pln. Sprzedawała coś na OLX za ok. 10 pln. Od razu dodam, że kompletnie nie wiedziała, jakie są zasady potwierdzeń zamówień, przelewów czy transakcji kartowych na OLX. No i wydawało się jej, że jak poda numer karty (w jej mniemaniu nie osobie, której sprzedawała, tylko platformie OLX), to na kartę otrzyma kasę ze sprzedaży. Kliknęła w jakiś link, coś pouzupełniała. No i przyszedł jej sms z zatwierdzeniem transakcji na karcie, no i ją zatwierdziła (przynajmniej próbowała), ale się nie udało, bo bank odrzucił transakcję. Więc zrezygnowała. Potem zadzwoniła do banku, czego transakcja się… Czytaj więcej »

Przemo
23 dni temu

Tak czysto technicznie to IP nic nie znaczy. Przeważnie jest zmienne (Orange światłowód, neostrada czy wszelkiej maści routery mobilne). Lokalizacja w takich sytuacjach bywa podawana dość pociesznie, ostatnio podobno bylem w Mrągowie (Plus), Orange światłowód zwykle umieszcza mnie w Katowicach lub gdzieś blisko. A ja mam do Katowic ponad stówkę.
Każdy router samoczynnie się od czasu do czasu restartuje i IP się zmienia. Tak co kilka dni.

Krzychu
13 dni temu
Reply to  Przemo

A identyfikator komputera/urządzenia? To jest dopiero śmiech na sali – zamiast wygenerować jakiś unikatowy token to bank autoryzuje urządzenie po nazwie przeglądarki – np: Windows Firefox 91. To jest dopiero komedia. I jakoś nigdzie nie widzę burzy z tego powodu.

Marcin staly czytelnik
23 dni temu

Mnie bardzo zasmucil inny fakt. Zgromadzic 60 czy 69 tys pln jako dorobek zycia przez 25 lat? To naprawde smutne, ze takie kwoty w Polsce ludzie odkladaja przez taki dlugi okres, ale domyslam sie, ze to przez niskie zarobki. Czytalem niedawno, ze przecietny Amerykanin ma po 20 latach pracy odlozone na emeryture ponad 80 tys dolarow. Tu po 25 latach mamy ile? 17 000 USD? chyba cos kolo tego. Nie ma sie co dziwic, ze na emeryturze wielu ledwo wiąże koniec z koncem.

BdB
23 dni temu

Porównaj jeszcze koszty życia, rachunki itd. Dopiero wtedy wysokość oszczędności netto.

Marcin staly czytelnik
23 dni temu
Reply to  BdB

No tak, ale 60 k pln to na ile starczy zycia?2-3 lata? I to chyba bardzo skromnie. U mnie to nawet poduszka na 12 miesiecy nie jest…

Andrzej
23 dni temu

A do kogo należy konto, na które przelano pieniądze?

BdB
23 dni temu
Reply to  Andrzej

Do słupa.

gosc
23 dni temu
Reply to  Andrzej

Prawdopodobnie do kogoś kto ubiegał się o pracę i w procesie „rekrutacji” przesłał kopię swojego dowodu osobistego lub do bezdomnego, który zgodził się zostać słupem.
Przestępca, który okradł Panią Olgę nie musiał organizować założenia tego konto. Takie konto z loginami, hasłami i kartami można kupić w darknecie.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!