11 kwietnia 2025

Tajemnicze oszustwo z opóźnionym zapłonem. Pana Michała oszukali w styczniu, a pieniądze stracił w lutym. Jak to możliwe?

Tajemnicze oszustwo z opóźnionym zapłonem. Pana Michała oszukali w styczniu, a pieniądze stracił w lutym. Jak to możliwe?

Uważajcie na płatności mobilne. „Moje konto zostało opróżnione poprzez serię transakcji kartowych w walucie ZAR” – ostrzega czytelnik. Co więcej, po niedługim czasie okazało się, że oszustwo zaczęło się niemal dwa miesiące wcześniej. Jak to się stało? Pouczająca historia i apel o zmiany w zabezpieczeniach!

Zobacz również:

Napisał do nas pan Michał, który założył nastoletniej córce konto w Inteligo. Zwykle nie było na nim pieniędzy albo szybko znikały (wiadomo – nauka oszczędzania u dzieci idzie topornie), ale w lutym, z okazji wyjazdu na ferie, czytelnik wpłacił tam 450 zł. Kiedyś takie wyjazdowe kieszonkowe (na karnet, jedzenie, pamiątki itd.) wręczało się w gotówce, a teraz wystarczy zrobić przelew.

Płatności mobilne – pieniądze… wyparowały

Na początku, jak relacjonuje czytelnik, wszystko poszło dobrze. Jeszcze w drodze córka kupiła na stacji benzynowej jakieś drobiazgi za 18 zł. (Wspominałem coś o nauce oszczędzania? Ledwo wyjazd się zaczął, a już 4% budżetu „sruuu”). Problemy zaczęły się kilka godzin później. Oddajmy głos czytelnikowi.

„Kiedy córka dojechała na miejsce i próbowała zapłacić za karnet na wyciąg, okazało się, że na koncie nie ma pieniędzy. Roztrzęsiona zadzwoniła do mnie, przysyłając ze swojego telefonu screeny, z których wynikało, że jej konto zostało opróżnione poprzez serię transakcji kartowych w walucie ZAR. Sprawdziłem i jest to waluta Republiki Południowej Afryki”

– relacjonuje pan Michał, który natychmiast zadzwonił do banku, aby poinformować o trwającym oszustwie i ewentualnie uratować, co się da. Niestety okazało się, że… córka musi zgłosić sprawę osobiście, bo konsultantka w ogóle nie chciała rozmawiać o szczegółach konta, które nie należało do czytelnika (pomimo tego, że jest legalnym opiekunem nieletniego właściciela konta). A tak to wyglądało na screenach:

Dziwne transakcje
Dziwne transakcje

Nie mam pojęcia, czy na tym etapie była jeszcze szansa, aby jakoś wstrzymać te pieniądze, ale na pewno pracownikowi banku zabrakło doświadczenia. Jak dowiedziałem się w Biurze Prasowym PKO BP, „rodzic nieletniego klienta może zgłosić w banku niebezpieczne zdarzenie czy podejrzenie takiego zdarzenia”. To super, ale wypadałoby jeszcze przeszkolić pracowników.

Zawsze mnie też ciekawi, jakim cudem systemy antyfraudowe banków nie wyłapują aż tak oczywistych oszustw, ale za to potrafią zablokować zwykłą transakcję (np. taką). Czasem mam wrażenie, że te systemy patrzą tylko i wyłącznie na kwoty transakcji (oczywiście wiem, że tak nie jest – banki wykorzystują sztuczną inteligencję do błyskawicznej analizy transakcji finansowych pod kątem potencjalnego oszustwa). Jednak w opisywanej historii te systemy nie wyłapały sytuacji, w której 15-letni właściciel konta realizuje płatność na stacji paliw w Polsce, a godzinę później serię płatności „card present” Apple Pay w RPA.

Czytaj też: Pani Eugenia płaciła za usługi, których nie zamówiła. Bo ktoś się zalogował na jej konto i zmienił dane. Jak to możliwe? Wszystko „dla wygody” klientki

Przestępcy bywają bardzo cierpliwi

Wróćmy jednak do opisywanej historii. Ostatecznie córka czytelnika wysłała do banku informację o zdarzeniu i poprosiła o chargeback. W odpowiedzi bank odrzucił reklamację. Transakcje miały być zrealizowane przy użyciu płatności Apple Pay, a dodanie karty do urządzania miało być potwierdzone wcześniej poprawnym kodem weryfikacyjnym.

Później czytelnicy pisali jeszcze do Rzecznika Finansowego, a ten poprosił bank o kilka odpowiedzi w tej sprawie. Odpowiedzi przyszły, ale – jak to bywa z formalnymi odpowiedziami – niewiele z nich wynikało. Przykładowo na pytanie, czy wysokość, częstotliwość i charakter transakcji (waluta) nie wzbudziły wątpliwości Banku, bank odpowiedział, że… „nie wzbudziły”. No skoro nie wzbudziły, to nie wzbudziły. Po cóż drążyć temat?

Skąd w ogóle wzięło się całe zamieszanie? Okazało się, że 3 stycznia, a więc prawie dwa miesiące przed kradzieżą, karta córki czytelnika została podpięta do portfela Apple Pay. Pan Michał zwraca uwagę na słabe zabezpieczenie tej czynności:

„Zabezpieczenie procesu dodawania Apple Pay w PKO było bardzo słabe: wystarczało wpisać w telefon 6-cyfrowy kod przysłany przez bank w wiadomości SMS. Tak, zwykły SMS, którego banki – również PKO BP – nie stosują od dawna do zabezpieczenia swoich transakcji. Po dodaniu kodu bank informuje klienta, również przysyłając SMS-a. Jeżeli ktoś przechwyci lub po prostu usunie te dwie wiadomości, to po całej operacji nie pozostaje żaden ślad.”

Wygląda na to, że jacyś oszuści uzyskali dostęp do tego kodu. Następnie pewnie spróbowali wyzerować konto, a gdy to okazało się puste, to cierpliwie czekali. Zimowy wyjazd okazał się idealną okazją do działania.

Czytaj też: Czy bank może pobrać odsetki z tytułu nieudzielonego kredytu? Ten zagwarantował to sobie w regulaminie. Czytelnik alarmuje, ja sprawdzam

Płatności mobilne – czy wiesz, kto ma dane Twojej karty?

Teoretycznie ta historia nie jest niczym niezwykłym. Ot ktoś nie dopilnował procedur bezpieczeństwa i w jakiś sposób udostępnił oszustom kody z SMS-ów. W tym momencie nie jest istotne (i nie ma nawet jak tego zweryfikować), czy było to sparowanie telefonu, które opisałem w tym artykule czy jakiś inny sposób (złośliwa aplikacja, phishing, nonszalancja itp.). Jak stwierdził nasz czytelnik:

„Nie wiem, czy córka przekazała ten kod czy nie. Twierdzi, że nie, ale GenZ obsługuje telefony w sposób odruchowy.”

Czytelnik zwrócił mi uwagę na inny problem. Karta córki pana Michała została dodana do Apple Pay 3 stycznia, a więc prawie dwa miesiące przed kradzieżą. Następnie przestępcy po prostu czekali, aż na koncie pojawią się jakieś środki. Gdy tak się stało, to błyskawicznie wyczyścili je niemal do zera.

Nie mam pojęcia, skąd w ogóle dostali informacje o nowych środkach. Być może nadal mieli dostęp do wiadomości w telefonie i czekali na SMS z potwierdzeniem doładowania. Mogli też regularnie próbować zakładać jakąś blokadę środków na karcie i gdy w końcu się udało, to przystąpili do działania.

Problem jest taki, że córka pana Michała nie miała pojęcia o tym, że jej karta jest dodana do jakiegoś portfela płatniczego. W aplikacji mobilnej nie było żadnego śladu takiej usługi. Wróćmy jeszcze do relacji czytelnika:

„Jedyne potwierdzenie dodania Apple Pay to zwykły SMS. Bank mógł wysłać informację wewnętrzną pocztą do aplikacji IKO, mógł wysłać e-mail, mógł też oznaczyć w aplikacji kartę jako dostępną przez Apple Pay – nie zrobił tego, pozostawiając klienta w niewiedzy o istnieniu cyfrowej kopii karty.”

Może być więc tak, że w Polsce jest wiele osób, które kiedyś zostały oszukane, ale które jeszcze na tym nic nie straciły. Ot kiedyś ktoś dodał ich kartę do jakiegoś portfela i czeka cierpliwie, aż wpłyną jakieś środki.

Coś w tym jest. Mam karty różnych banków dodane do dwóch portfeli (Google Pay oraz Garmin Pay). W aplikacjach bankowych niemal nie udało mi się znaleźć o tym żadnej informacji. Niektóre banki pokazują Google Pay, ale tylko wtedy, gdy portfel jest na tym samym urządzeniu. Testowo dodałem kartę do innego telefonu i nic. Znalezienie informacji o dodaniu karty do Garmin Pay (w zegarku) graniczyło z cudem.

To oznacza, że nie mamy żadnej kontroli nad tym, w jakich portfelach elektronicznych są dodane nasze karty. Czysto teoretycznie jacyś ludzie mogą mieć dostęp do naszej karty. Jedynym zabezpieczeniem jest kod z SMS-a, który otrzymujemy podczas dodawania karty do urządzenia. Niektóre banki (o zgrozo nie wszystkie!) wysyłają jeszcze potwierdzenie w wiadomości e-mail.

Zapytałem o to w biurze prasowym PKO BP, bo akurat o tym banku jest ta historia. Nie wykluczam jednak kontynuacji i zebrania odpowiedzi z większej liczby banków. A czego dowiedziałem się w PKO BP? Po pierwsze chciałem wiedzieć, czy można jakoś sprawdzić, że nasza karta jest podpięta pod jakiś portfel elektroniczny.

„Tak, klient może to sprawdzić za pośrednictwem infolinii. Wyjątkiem jest tu Apple Pay, w przypadku którego widać w aplikacji mobilnej IKO na iOS, że dana karta jest dodana do Apple Wallet”

– odpowiedział mi pan Piotr Wardziak. Cóż wygląda na to, że warto zadzwonić do swojego banku i na wszelki wypadek o to zapytać. Zapytałem też, w jaki sposób bank wysyła potwierdzenia o dodaniu karty do portfela cyfrowego? A jeżeli jedyną formą jest SMS, to czy bank nie uważa, że to za mało? W odpowiedzi dostałem zgrabną formułkę, ale wynika z niej, że niestety wszystko ogranicza się do kodów z SMS-ów.

„Bank wysyła kilka komunikatów w przypadku próby dodania karty do portfela cyfrowego. Pierwszy SMS wysyłany jest do posiadacza karty w momencie podania danych karty w portfelu cyfrowym (jeszcze przed zatwierdzeniem 3D Secure lub kodem), o tym, że taka próba ma właśnie miejsce i podaje nazwę portfela – np. Google Pay lub Apple Pay. Kolejny SMS (wg określonych parametrów) wysyłany jest po pierwszej transakcji wykonanej danym Pay’em – klient otrzymuje informację, że właśnie wykonana została operacja kartą, podaje, jaki jest to Pay i w przypadku wątpliwości prosi o kontakt z bankiem”.

Być może w tej sprawie coś się zmienia. Ostatnio miło zaskoczył mnie Alior Bank, który poprosił klientów o potwierdzenie, że ich karty dodane do portfeli elektronicznych zostały dodane tam świadomie. Informacja została wysłana pocztą elektroniczną i pojawiła się też w aplikacji mobilnej. Brak reakcji skutkował usunięciem takich kart. Wyglądało to tak (wybaczcie kiepską jakość):

Alior zabezpieczenie płatności
Alior zabezpieczenie płatności

Teraz płatności mobilne w Alior Banku (a więc np. dodanie nowej karty) wymagają nie tylko przepisania kodu z SMS-a, ale też dodatkowej autoryzacji w aplikacji mobilnej. Niestety ciągle brakuje intuicyjnej listy portfeli elektronicznych w aplikacji mobilnej i możliwości ich usunięcia.

Czytaj też: Nie tylko płatności mobilne – czy banki powinny zapłacić jednorazowy podatek od nadmiarowych zysków? Są miliardy do wzięcia. Jakie mogą być koszty uboczne? Liczę na chłodno

Zwracam się więc z apelem do bankowców, aby w trybie natychmiastowym zrobili dwie rzeczy, które znacznie zwiększą bezpieczeństwo klientów. Po pierwsze potwierdzajcie każdą znaczącą dyspozycję, a taką zdecydowanie jest dodanie karty do portfela mobilnego, także przez wysłanie wiadomości e-mail. Niektóre banki już to robią, np. Citibank – brawo!

Po drugie, dajcie nam jakąś możliwość sprawdzenia, do jakich portfeli elektronicznych zostały dodane nasze karty i zdalnego odpięcia takiej karty. To musi być intuicyjne, łatwo dostępne oraz obejmować wszystkie portfele elektroniczne (a więc nie tylko Google Pay i Apple Pay) i wszystkie urządzenia (a nie tylko te, na którym zainstalowana jest aplikacja mobilna).

Natomiast do konsumentów mam dwie rady. Po pierwsze, powtórzę się, zachowajcie czujność. Czytajcie SMS-y autoryzacyjne, nigdy nie udostępniajcie nikomu żadnych kodów, nie klikajcie w podejrzane linki, nie instalujcie podejrzanych aplikacji, nie skanujcie podejrzanych kodów QR itd.

Po drugie, włączcie sobie powiadomienia o zrealizowanych transakcjach (np. powiadomienia push w aplikacji mobilnej). Dzięki temu od razu dowiecie się, gdy ktoś zrealizuje jakieś płatności mobilne w Waszym imieniu. W rezultacie szybciej zastrzeżecie/zablokujecie kartę.

Zdjęcie główne: gpointstudio / Freepik

Subscribe
Powiadom o
19 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Jan
7 dni temu

Żeby dodać kartę do Portfela trzeba podać jej dane i potem jeszcze wpisać kod otrzymany z banku – jeśli przestępcy potrafią „strzelić” dane karty płatniczej, „strzelić” numer telefonu na jaki przyjdzie kod i jeszcze sklonować ten numer – to proszę o kontakt – chcę by mi „strzelili” 6 z 49 na najbliższe losowanie lotto 🙂

Stef
7 dni temu
Reply to  Jan

2 z 3 tych danych załatwi wirus.

Dawid
6 dni temu
Reply to  Stef

Jezeli dysponujesz wirusem, który jest w stanie zrobić takie rzeczy, to nie spalasz go na 450 zł tylko idziesz po miliony. Chyba, ze panu bylo szkoda za smartfonik dla dziecka za 800 zł ze wzglednie nowym systemem i kupil za 400 zł jakis 5 petni chłam, ale wtedy to juz sam sobie jest winien. Nowoczesne urzadzenia nie tak łatwo zawirusować.

Stef
7 dni temu

Tak dużo pytań tak mało odpowiedzi? 1. Skąd złodzieje wiedzieli że są środki na koncie? Mieli dostęp do aplikacji Inteligo, bo w wirtualnym portfelu nie widac stanu konta.? 2. Naprawdę dla banku/organizacji kartowej nie jest podejzane że ktoś płaci w sklepie stacjonarnym w Polsce a za chwilę w obcej walucie w RPA. ? To jednak wskazuje na słaby model algorytmu? Czy może portfele wirtualne mają celowo ustawiony niższy poziom zabezpieczeń? 3. Anegdota kiedyś płaciłem karta online za szkolenie na stronie w USA 250 usd bank zablokował płatność do wyjaśnienia. Więc może teoria z kwotą jest prawdziwa. 4. Zabezpieczenia behawioralne w… Czytaj więcej »

QVX
4 dni temu
Reply to  Stef

Skąd wiedzieli? Bot podpięty do medium społecznościowego i śledzący wypowiedzi dziewczyny. Pewnie sama napisała coś w stylu: „Jadę na narty. Stary mi przelał 450 kasiorki.”

Hieronim
7 dni temu

> Nie mam pojęcia, czy na tym etapie była jeszcze szansa, aby jakoś wstrzymać te pieniądze, ale na pewno pracownikowi banku zabrakło doświadczenia

Ja na szczęście nie muszę certolić się – pracownik banku swoim zaniechaniem ułatwił oszustwo. Byłoby super, gdyby teraz opowiedział prokuratorowi, co nim kierowało.
A ile zdarzenie powinno kosztować bank, to już niech adwokat poszkodowanych dogada się z kancelarią banku.

Stef
7 dni temu
Reply to  Hieronim

Słusznie pytanie czy przez zaniedbanie pracownika banku sąd nie uzna że bank ponosi odpowiedzialność albo jest wspolodpowiedzialny.? Chyba, że nagranie z rozmowy akurat zaginie?

Dawid
6 dni temu
Reply to  Stef

Hihi 5 lat procesu zeby bank oddał 450 zł, a potem dziwic sie że większość Polaków marzy o średniej krajowej.

Janush
7 dni temu

na szczęście na biednego nie trafiło

Maurcy
7 dni temu

jest jakiś problem z apple pay – to widać na forum revoluta ale diagnoza jest błędna. Autor zakłada że że jakiś wirus zainstalował się na iphonie potem czekał skanując przychodzące smsy na taki dotyczący autoryzacji apple pay. Praktycznie wykluczone
Chargeback nie zadziała to chyba oczywiste

Last edited 7 dni temu by Maurcy
RafałX
6 dni temu

Ewidentne zaniedbanie pracownika, że nie zablokował karty. Po to jest przedstawiciel ustawowy.

QVX
5 dni temu

Nie bawmy się w wymyślanie zawirusowania etc. Najprostsze rozwiązanie – dziewczyna podała sama podpięła kartę, na prośbę „koleżanki” z medium społecznościowego (Jakie jest modne wśród alf teraz?), która pilnie coś musiała kupić. Potem oszuści zaczekali, żeby dziewczyna zapomniała o sprawie, a posty zostały nadpisane.

Admin
5 dni temu
Reply to  QVX

Nie wiem dlaczego oszuści mieliby czekać aż ktoś zapomni. Przecież to bez znaczenia…

QVX
5 dni temu
Reply to  Maciej Samcik

Albo czekali na większą kwotę na karcie, a przy okazji minęło trochę czasu. Mi chodziło o to, że to taki Blik dla znajomego.

Wojciech
4 dni temu
Reply to  QVX

Przecież w tekście wyraźnie jest napisane:
„prawie dwa miesiące przed kradzieżą, karta córki czytelnika została podpięta do portfela Apple Pay”. Była to zatem JEJ karta, a nie „koleżanki.

Piotr
4 dni temu
Reply to  Wojciech

QVX chodzi o to, że córka czytelnika podpięła swoją kartę do portfela „koleżanki” jeśli dobrze rozumiem

QVX
4 dni temu
Reply to  Piotr

@Piotr @Wojciech
Jeszcze raz. „Koleżanka” napisała nastolatce, że musi pilnie kupić jakiś drobiazg, a nie ma karty przy sobie. Potem poprosiła o wejście na przesłany przez siebie link do płatności. Na spreparowanej stronie córka delikwenta wpisała dane karty i kod z SMS-a. Potem dostała informację od „koleżanki”, że zakup nie został zrealizowany, ale karta nie będzie obciążona. Typowe…

Jan
5 dni temu

Jak się dodzwonił do banku? Mnie się nie udaje często dodzwonić przez kilka dni do Aliora lub Volskwagen banku 🙂

Darek
5 dni temu

Karty nie da się dodać do Apple Pay jeśli dziecko nie ma ukończonych 16 lat. Mimo tego że regulamin mówi o 13. W Polsce trzeba mieć 16 lat. W banku mówią że to sprawa Apple a w Apple ze to sprawa banku. Czy tym tematem mógłby się pan zająć?

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu