Oszuści sfałszowali w Photoshopie skan dowodu osobistego pana Krzysztofa, jakimś cudem zmienili w banku jego dane indektyfikacyjne i numer telefonu do weryfikacji, a potem wzięli sobie kredyt gotówkowy online, jak gdyby nigdy nic. I trzy pożyczki. Jak do tego doszło? Zawiódł człowiek, czy procedury? Jak bank mógł do tego dopuścić? I co zrobić, by nie podzielić losu pana Krzysztofa?
Coraz mniej rzeczy mnie dziwi i przeraża. Ale ta historia mrozi krew w żyłach i sprawia, że włosy stają dęba. Niejedna osoba po lekturze popędzi sprawdzić w BIK historię zapytań kredytowych, albo zastrzeże PESEL. Przesadzam? No to poczytajcie.
- Black Friday? Boże Narodzenie? Wyprzedaże? Będziesz robić zakupy w zagranicznym sklepie internetowym lub na zagranicznej platformie e-commerce. Nie daj się złapać w tę pułapkę [POWERED BY CINKCIARZ.PL]
- Prawdy i mity o pompach ciepła. Czy to ogrzewanie może być tanie? [POWERED BY YORK]
- Banki zarabiają miliardy, ale… czasem też się dzielą. Oto kilka momentów w życiu klienta, w których może dostać od banku prezent [POWERED BY PAYBACK]
Praca w Dubaju, a kredyt w Polsce. Tylko kto go wziął?
Odezwał się do nas pan Krzysztof, który w Polsce pojawia się dość rzadko. Od 15 lat pracuje na zagranicznych kontraktach w różnych zakątkach świata, od Dubaju po Brazylię. Mimo, że nad Wisłą nie jest częstym gościem, to stara się rzetelnie sprawować piecze nad swoimi finansami, ma konta w kilku bankach, głównie walutowe. Akurat w ostatnie wakacje wziął trzytygodniowy urlop i przyleciał do Polski.
Kiedy miał chwilę oddechu, zalogował się do bankowości elektronicznej BNP Paribas sprawdzić stan swojego konta. Zajrzał i zdębiał, bo zobaczył, że w systemie wisi zobowiązanie – kredyt gotówkowy w kwocie 11.939 zł. „Gotówki nam nie brakuje, bywa, że stan konta jest sześciocyfrowy, ale pro forma zapytałem żony, czy to nie ona. Oczywiście odpowiedziała, że nie” – opowiada czytelnik. Nie zastanawiał się długo, lecz wykonał pilny telefon do banku.
„Jak to się stało, że mam u państwa kredyt, skoro nie ja go zaciągałem? Ba, nawet nie było mnie wtedy w Polsce, na co mam pieczątki w paszporcie” – zapytał pan Krzysztof. Pani na infolinii nie dała zbić się z tropu tym tekstem o pieczątkach i wyjaśniła, że zobowiązanie zostało zaciągnięte online, po czym przeczytała adres e-mail i numer telefonu kredytobiorcy.
Konsultantka nie zdążyła doczytać ostatniej cyfry numeru telefonu, a pan Krzysztof poczuł, jak po czole spływają mu krople zimnego potu. Powiedział tylko spokojnie: „To nie jest mój adres poczty elektronicznej. To nie jest mój numer telefonu. To nie są dane, które podałem podczas otwierania konta w państwa banku”.
Ponad 50 prób wyłudzenia kredytu. Ale jak oszuści zmienili dane na koncie?
W tym momencie pan Krzysztof zdał sobie sprawę, że kaliber sprawy, w którą został uwikłany jest duży (ale nie wiedział jeszcze jak duży) i że na kontynuowanie rozmowy przez telefon szkoda czasu. Popędził więc do placówki banku.
Wizyta na niewiele się zdała. „Kto wziął kredyt? Kiedy? Osobiście, czy online? Jaki jest numer umowy kredytowej?” – pan Krzysztof strzelał pytaniami, jednak pozostały one na tym etapie bez odpowiedzi. „Jeśli padł pan ofiarą oszusta, proszę iść najpierw na policję” – usłyszał. Zanim więc pan Krzysztof odwiedził najbliższy posterunek, zamówił „Raport BIK” na swój temat. I dopiero w tym momencie zrozumiał swoje beznadziejne położenie.
Okazało się, że od 29 lipca na jego osobę było ponad 50 zapytań w BIK od różnych banków i firm pożyczkowych. Na zdjęciu przedstawiamy szokujący fragment kopii policyjnego potwierdzenia o wszczęciu dochodzenia w sprawie wykorzystania danych i niekorzystnego rozporządzenia mieniem. W czterech przypadkach nastąpiło wyłudzenie: BNP Paribas (11.939 zł), Incredit (1500 zł), Wonga.pl (2500 zł), Wandoo (1500 zł).
Czytaj też: Pytanie o skanowanie, czyli gdy bank chce podwoić krycie, ale nie dogonił zmieniającego się świata
Nasz czytelnik pozbierał myśli i skontaktował się z firmami, które dały się wmanewrować w wyłudzenie kredytu. Okazało się, że kredyty były udzielane między 1., a 9. sierpnia, wszystkie przez internet na podstawie fałszywego adresu e-mail, fałszywego numeru telefonu, a przede wszystkim sfałszowanego dowodu osobistego. „Złodzieje posługiwali się dowodem o numerach C… a mój zaczyna się od A…. Nikt go nie skradł, nikt go nie skopiował, ktoś zrobił sobie mój nowy dowód!” – grzmi czytelnik.
Wyłudzenie pieniędzy w firmie pożyczkowej – jako dla nowego klienta, gdy z faktami zgadzało się tylko imię i nazwisko oraz adres kredytobiorcy – nie byłoby możliwe, gdyby ktoś w banku nie zmienił danych kontaktowych klienta. Co ciekawe, do tej pory bank nie miał w swoich systemach skanu dowodu osobistego pana Krzysztofa, miał tylko skan jego paszportu. Tymczasem „na okoliczność” oszustwa w systemie banku pojawiły się „ponadprogramowe” i fałszywe dane na temat numeru i serii jego dowodu osobistego. A także fałszywy numer telefonu do kontaktu z klientem.
Pan Krzysztof usłyszał w banku, że prawdopodobnie dane dowodu osobistego nadpisały się, gdy złodzieje złożyli przez stronę banku wniosek kredytowy i przesłali skan dokumentu. Pan Krzysztof z kolei podejrzewa, że wystarczył do tego jego numer PESEL i przedstawiona na infolinii historyjka o zgubionym dowodzie i konieczności nadpisania nowego w systemach banku. A to z kolei prawdopodobnie pozwoliło złodziejowi uwiarygodnić się w firmach pożyczkowych.
To prawdopodobna teoria, bo panu Krzysztofowi też udało się usunąć nieprawdziwe dane przez telefon, mimo, że początkowo odsyłano go do placówki. Jak to się stało, że ktoś obcy był w stanie zidentyfikować się przez infolinię jako pan Krzysztof? Musiał znać jakieś hasła. To niejedyna zagadka. W przypadku kredytu zaciągniętego bezpośrednio w BNP Paribas pieniądze zostały przelane od razu z ROR-u pana Krszysztofa na konto zewnętrzne.
Jak to możliwe? Nie wiadomo. Może złodzieje zlecili przelew online (udało im się przecież wpisać do systemów banku również fałszywy numer telefonu kontaktowego, a więc mogli przechwycić SMS autoryzacyjny)? A może ustawili zewnętrzny numer konta docelowego podczas zaciągania kredytu?
Tajemnice zaciągniętych pożyczek. Jakie informacje mieli złodzieje?
Rzecz działa się w wakacje, czyli przed wprowadzeniem dyrektywy PSD2, która m.in. zwiększa bezpieczeństwo klientów banków. Od 14 września inaczej logujemy się do bankowości elektronicznej, dodatkowo musimy autoryzować transakcje internetowe, a płacąc w sklepie co jakiś czas musimy podać PIN karty, nawet przy płatnościach do 50 zł. Ale w tym przypadku nawet PSD2 by nie pomogła. Clou oszustwa był fakt, że złodziejom udało się zmienić dane klienta w systemie banku. Teoretycznie można to zrobić tylko w placówce. W praktyce dało się też przez telefon, zapewne konsultant zgodził się na to „w drodze wyjątku”.
W tym kontekście na jedyne w miarę bezpieczne narzędzie weryfikacyjne wyrasta aplikacja-token do jednorazowego zatwierdzania transakcji. Czyli tzw. mobilna autoryzacja (pisaliśmy o niej więcej tutaj). Jest to już opcja do wyboru w niektórych bankach i polega na tym, że zamiast SMS-em autoryzacyjnym wszelkie transakcje zatwierdza się wchodząc do aplikacji mobilnej banku. Złodziejowi, by dobrać się do pieniędzy, nie wystarczy mieć lub zmienić numer telefonu, na który bank wysyłałby SMS-y. Musiałby mieć w ręku fizycznie smartfona klienta „przypiętego” do aplikacji mobilnej.
W tym przypadku na pewno wiemy, że nastąpiła zmiana danych kontaktowych w banku na fałszywe (numer dowodu osobistego, numer telefonu). Niewykluczone, że SMS-y autoryzacyjne bank zaczął wysyłać do złodziei, a oni mogli przekierować pożyczkę uzyskaną z banku na zewnętrzne konto. Niewykluczone też, że w imieniu pana Krzysztofa wysyłali też do firm pożyczkowych przelewy weryfikacyjne (firmy pożyczkowe proszą nowych klientów o skan dowodu i przelew z banku, który zawierać będzie te same dane, które są w dowodzie).
Ale to już wymagałoby nie tylko zmiany danych kontaktowych via infolinia (czyli wykorzystanie luki w systemie), ale też posiadania loginu i hasła do konta pana Krzysztofa. Czy i to miało miejsce – nie wiemy. Co na to bank? Nic konkretnego nie mówi.
„Kradzież tożsamości i podszywanie się pod inną osobę to realne zagrożenie, z którym spotykamy się coraz częściej. Jako Bank każdego dnia dążymy do zwiększania poziomu bezpieczeństwa, jak również propagowania wiedzy na ten temat. Jednocześnie zapewniamy, że Bank m. in. poprzez przeprowadzane audyty dba o to, aby bezpieczeństwo bankowości internetowej stało zawsze na wysokim poziomie. Bankowość elektroniczna jest regularnie audytowana przez zewnętrzne, niezależne organizacje”
Kredyt na zdjęcie dowodu osobistego? Ryzykowne!
Szczęście w nieszczęściu pana Krzysztofa polega na tym, że oszuści posłużyli się całkowicie fałszywymi dokumentami, przez co łatwiej było odkręcić sprawę. Wszystkie firmy w zasadzie bez większych problemów usunęły z BIK-u nieprawdziwe wpisy na temat sytuacji kredytowej naszego czytelnika, choć trwało to ponad miesiąc. Bank BNP obiecał, że rat nie będzie ściągał. Potem co prawda próbował to czynić, ale wystarczyło oschłe upomnienie pana Krzysztofa, aby przestał.
Czytaj też: Coraz więcej pieniędzy na zasieki i… coraz więcej kradzieży. Przegrywamy walkę z cyberprzestępcami?
Pozostają jednak dwa pytania. Po pierwsze: jak to możliwe, że w Polsce wciąż tak łatwo jest sfałszować dowód tożsamości? Skoro wnioski pożyczkowe i kredytowy były składane online, to oznacza to, że oszuści wysyłali do pożyczkodawców skany dowodu. Mieli zatem ułatwione zadanie, bo nie musieli wyrabiać fałszywego plastiku, tylko podretuszowali dowolny dowód w Photoshopie. To przerażające i oznacza, że w tej chwili ktoś może szykować próbę wyłudzenia chwilówki praktycznie każdego z nas. Wystarczy wiedza gdzie mieszkamy, kilka danych osobowych, chociażby PESEL, żeby dopełnić brakujące dane tymi wykreowanymi.
Pan Krzysztof nie ma podejrzeń, kto to mógł być, ale sprawcy wpisali w dowód jeden z jego poprzednich adresów zameldowania, taki sprzed 12 lat. Może więc to ktoś, kto miał wiedzę, że czytelnik rzadko bywa w Polsce, albo ktoś kto miał dostęp do baz danych? Takich przestępstw rzadko dokonują ludzie z przypadku, często to ktoś, kto upatrzył sobie ofiarę, a nawet ją może znać.
Drugie pytanie to kwestie bezpieczeństwa w instytucjach finansowych. Jeśli z taką łatwością, zapewne z ciągu kilkunastu minut można wyłudzić chwilówkę na dowód z Photoshopa, to coś tu jest nie „halo” i systemy weryfikacyjne leżą. A może nie tak całkiem leżą? Z drugiej strony próba wyłudzenia okazała się skuteczna jedynie w czterech przypadkach na ponad 50, czyli w pozostałych instytucjach bezpieczniki mogły zadziałać (choć nie wiemy jaki był powód odrzucenia wniosków o kredyt). W bankach oraz w BIK działają platformy antyfraudowe, które być może ograniczyły skalę nieszczęścia. Ale te cztery przypadki wyłudzenia to i tak o cztery za dużo.
Czy jest skuteczna obrona przed wyłudzeniem kredytu?
Jak się bronić przed próbami wyłudzenia kredytu? Zwykle opisywaliśmy historię, w której wyłudzacze kradli tożsamość naszych czytelników. Wykorzystywali prawdziwy dowód, prawdziwe dane. Wystarczyłoby więc zastrzec dowód w międzybankowej bazie-systemie zastrzegania dokumentów tożsamści MIG-DZ. Ten przypadek jest inny, bo tożsamość została, przynajmniej częściowo, stworzona na nowo: imię i nazwisko bez zmian, prawdziwy numer PESEL, ale zmyślony nowy numer dowodu osobistego i telefon.
Żeby nie być na łasce oszustów możemy skorzystać z alertów Biura Informacji Kredytowej. Jeśli jakaś instytucja będzie chciała nas sprawdzić na liście dłużników przed udzieleniem kredytu, dostaniemy alertowe powiadomienie SMS. Jeśli to my, możemy je zignorować, ale jeśli jesteśmy na urlopie, a nasz telefon bombardowany jest SMS-ami o tym, że kolejne banki sprawdzają naszą wiarygodność, to możemy być pewni, że ktoś właśnie próbuje wyłudzić na nasze dane kredyt.
Co zrobić z taką wiedzą? Skontaktować się z instytucjami i po dokładniej weryfikacji tożsamości upewnić się, czy już nie mamy na głowie nowego zobowiązania.
Druga opcja to wyłączenie możliwości zaciągania kredytów – tzw. zastrzeżenie kredytowe pozwala jednym kliknięciem „zamrozić” udzielenie kredytu. Zastrzeżenie jest widoczne dla wszystkich instytucji, które przystąpiły do systemu Zastrzeżenia Kredytowego, w momencie, gdy sprawdzają naszą historię kredytową. Opcję tę klient może w dowolnym momencie wyłączyć – np. gdy będzie starał się o jakiś kredyt. A potem, już po uzyskaniu finansowania, znowu włączyć. Tyle, że w systemie zastrzeżeń kredytowych jest dziś tylko kilka banków i kilka firm pożyczkowych.
Trzecia rzecz to włączenie mobilnej autoryzacji transakcji. Jeśli do zrobienia przelewu lub zmiany danych w systemach banku potrzebny jest login, hasło i telefon klienta, to sytuacja złodzieja jest trudniejsza (nie wyklucza to wyłudzenia pożyczki w zewnętrznej firmie, ale mocno utrudnia proceder). Oczywiście: jeśli w banku da się „oszukać system” wprowadzając zmiany w danych klienta również via infolinia, to zostaje już tylko monitorowanie sytuacji Alertami BIK. I zmiana banku.
źródło zdjęcia: PixaBay
