Uważajcie na płatności mobilne. „Moje konto zostało opróżnione poprzez serię transakcji kartowych w walucie ZAR” – ostrzega czytelnik. Co więcej, po niedługim czasie okazało się, że oszustwo zaczęło się niemal dwa miesiące wcześniej. Jak to się stało? Pouczająca historia i apel o zmiany w zabezpieczeniach!
- Wysoki sezon na grypę. Jak chorować z głową? Czy pracodawca może nam w tym pomóc, a firma (za dużo) na tym nie stracić? [POWERED BY HALEON]
- Spoofing, czyli jak oszust może zadzwonić do Ciebie z numeru osoby bliskiej? Co zrobić, by nie paść ofiarą oszustwa? [POWERED BY BNP PARIBAS BANK POLSKA]
- Jak zdobyć motywację do inwestowania? Jak osiągnąć ten stan, w którym łatwiej nam jest odłożyć pieniądze, niż je wydać? Kluczowe jest… pierwsze 100 000 zł? [POWERED BY UNIQA TFI]
Napisał do nas pan Michał, który założył nastoletniej córce konto w Inteligo. Zwykle nie było na nim pieniędzy albo szybko znikały (wiadomo – nauka oszczędzania u dzieci idzie topornie), ale w lutym, z okazji wyjazdu na ferie, czytelnik wpłacił tam 450 zł. Kiedyś takie wyjazdowe kieszonkowe (na karnet, jedzenie, pamiątki itd.) wręczało się w gotówce, a teraz wystarczy zrobić przelew.
Płatności mobilne – pieniądze… wyparowały
Na początku, jak relacjonuje czytelnik, wszystko poszło dobrze. Jeszcze w drodze córka kupiła na stacji benzynowej jakieś drobiazgi za 18 zł. (Wspominałem coś o nauce oszczędzania? Ledwo wyjazd się zaczął, a już 4% budżetu „sruuu”). Problemy zaczęły się kilka godzin później. Oddajmy głos czytelnikowi.
„Kiedy córka dojechała na miejsce i próbowała zapłacić za karnet na wyciąg, okazało się, że na koncie nie ma pieniędzy. Roztrzęsiona zadzwoniła do mnie, przysyłając ze swojego telefonu screeny, z których wynikało, że jej konto zostało opróżnione poprzez serię transakcji kartowych w walucie ZAR. Sprawdziłem i jest to waluta Republiki Południowej Afryki”
– relacjonuje pan Michał, który natychmiast zadzwonił do banku, aby poinformować o trwającym oszustwie i ewentualnie uratować, co się da. Niestety okazało się, że… córka musi zgłosić sprawę osobiście, bo konsultantka w ogóle nie chciała rozmawiać o szczegółach konta, które nie należało do czytelnika (pomimo tego, że jest legalnym opiekunem nieletniego właściciela konta). A tak to wyglądało na screenach:

Nie mam pojęcia, czy na tym etapie była jeszcze szansa, aby jakoś wstrzymać te pieniądze, ale na pewno pracownikowi banku zabrakło doświadczenia. Jak dowiedziałem się w Biurze Prasowym PKO BP, „rodzic nieletniego klienta może zgłosić w banku niebezpieczne zdarzenie czy podejrzenie takiego zdarzenia”. To super, ale wypadałoby jeszcze przeszkolić pracowników.
Zawsze mnie też ciekawi, jakim cudem systemy antyfraudowe banków nie wyłapują aż tak oczywistych oszustw, ale za to potrafią zablokować zwykłą transakcję (np. taką). Czasem mam wrażenie, że te systemy patrzą tylko i wyłącznie na kwoty transakcji (oczywiście wiem, że tak nie jest – banki wykorzystują sztuczną inteligencję do błyskawicznej analizy transakcji finansowych pod kątem potencjalnego oszustwa). Jednak w opisywanej historii te systemy nie wyłapały sytuacji, w której 15-letni właściciel konta realizuje płatność na stacji paliw w Polsce, a godzinę później serię płatności „card present” Apple Pay w RPA.
Przestępcy bywają bardzo cierpliwi
Wróćmy jednak do opisywanej historii. Ostatecznie córka czytelnika wysłała do banku informację o zdarzeniu i poprosiła o chargeback. W odpowiedzi bank odrzucił reklamację. Transakcje miały być zrealizowane przy użyciu płatności Apple Pay, a dodanie karty do urządzania miało być potwierdzone wcześniej poprawnym kodem weryfikacyjnym.
Później czytelnicy pisali jeszcze do Rzecznika Finansowego, a ten poprosił bank o kilka odpowiedzi w tej sprawie. Odpowiedzi przyszły, ale – jak to bywa z formalnymi odpowiedziami – niewiele z nich wynikało. Przykładowo na pytanie, czy wysokość, częstotliwość i charakter transakcji (waluta) nie wzbudziły wątpliwości Banku, bank odpowiedział, że… „nie wzbudziły”. No skoro nie wzbudziły, to nie wzbudziły. Po cóż drążyć temat?
Skąd w ogóle wzięło się całe zamieszanie? Okazało się, że 3 stycznia, a więc prawie dwa miesiące przed kradzieżą, karta córki czytelnika została podpięta do portfela Apple Pay. Pan Michał zwraca uwagę na słabe zabezpieczenie tej czynności:
„Zabezpieczenie procesu dodawania Apple Pay w PKO było bardzo słabe: wystarczało wpisać w telefon 6-cyfrowy kod przysłany przez bank w wiadomości SMS. Tak, zwykły SMS, którego banki – również PKO BP – nie stosują od dawna do zabezpieczenia swoich transakcji. Po dodaniu kodu bank informuje klienta, również przysyłając SMS-a. Jeżeli ktoś przechwyci lub po prostu usunie te dwie wiadomości, to po całej operacji nie pozostaje żaden ślad.”
Wygląda na to, że jacyś oszuści uzyskali dostęp do tego kodu. Następnie pewnie spróbowali wyzerować konto, a gdy to okazało się puste, to cierpliwie czekali. Zimowy wyjazd okazał się idealną okazją do działania.
Płatności mobilne – czy wiesz, kto ma dane Twojej karty?
Teoretycznie ta historia nie jest niczym niezwykłym. Ot ktoś nie dopilnował procedur bezpieczeństwa i w jakiś sposób udostępnił oszustom kody z SMS-ów. W tym momencie nie jest istotne (i nie ma nawet jak tego zweryfikować), czy było to sparowanie telefonu, które opisałem w tym artykule czy jakiś inny sposób (złośliwa aplikacja, phishing, nonszalancja itp.). Jak stwierdził nasz czytelnik:
„Nie wiem, czy córka przekazała ten kod czy nie. Twierdzi, że nie, ale GenZ obsługuje telefony w sposób odruchowy.”
Czytelnik zwrócił mi uwagę na inny problem. Karta córki pana Michała została dodana do Apple Pay 3 stycznia, a więc prawie dwa miesiące przed kradzieżą. Następnie przestępcy po prostu czekali, aż na koncie pojawią się jakieś środki. Gdy tak się stało, to błyskawicznie wyczyścili je niemal do zera.
Nie mam pojęcia, skąd w ogóle dostali informacje o nowych środkach. Być może nadal mieli dostęp do wiadomości w telefonie i czekali na SMS z potwierdzeniem doładowania. Mogli też regularnie próbować zakładać jakąś blokadę środków na karcie i gdy w końcu się udało, to przystąpili do działania.
Problem jest taki, że córka pana Michała nie miała pojęcia o tym, że jej karta jest dodana do jakiegoś portfela płatniczego. W aplikacji mobilnej nie było żadnego śladu takiej usługi. Wróćmy jeszcze do relacji czytelnika:
„Jedyne potwierdzenie dodania Apple Pay to zwykły SMS. Bank mógł wysłać informację wewnętrzną pocztą do aplikacji IKO, mógł wysłać e-mail, mógł też oznaczyć w aplikacji kartę jako dostępną przez Apple Pay – nie zrobił tego, pozostawiając klienta w niewiedzy o istnieniu cyfrowej kopii karty.”
Może być więc tak, że w Polsce jest wiele osób, które kiedyś zostały oszukane, ale które jeszcze na tym nic nie straciły. Ot kiedyś ktoś dodał ich kartę do jakiegoś portfela i czeka cierpliwie, aż wpłyną jakieś środki.
Coś w tym jest. Mam karty różnych banków dodane do dwóch portfeli (Google Pay oraz Garmin Pay). W aplikacjach bankowych niemal nie udało mi się znaleźć o tym żadnej informacji. Niektóre banki pokazują Google Pay, ale tylko wtedy, gdy portfel jest na tym samym urządzeniu. Testowo dodałem kartę do innego telefonu i nic. Znalezienie informacji o dodaniu karty do Garmin Pay (w zegarku) graniczyło z cudem.
To oznacza, że nie mamy żadnej kontroli nad tym, w jakich portfelach elektronicznych są dodane nasze karty. Czysto teoretycznie jacyś ludzie mogą mieć dostęp do naszej karty. Jedynym zabezpieczeniem jest kod z SMS-a, który otrzymujemy podczas dodawania karty do urządzenia. Niektóre banki (o zgrozo nie wszystkie!) wysyłają jeszcze potwierdzenie w wiadomości e-mail.
Zapytałem o to w biurze prasowym PKO BP, bo akurat o tym banku jest ta historia. Nie wykluczam jednak kontynuacji i zebrania odpowiedzi z większej liczby banków. A czego dowiedziałem się w PKO BP? Po pierwsze chciałem wiedzieć, czy można jakoś sprawdzić, że nasza karta jest podpięta pod jakiś portfel elektroniczny.
„Tak, klient może to sprawdzić za pośrednictwem infolinii. Wyjątkiem jest tu Apple Pay, w przypadku którego widać w aplikacji mobilnej IKO na iOS, że dana karta jest dodana do Apple Wallet”
– odpowiedział mi pan Piotr Wardziak. Cóż wygląda na to, że warto zadzwonić do swojego banku i na wszelki wypadek o to zapytać. Zapytałem też, w jaki sposób bank wysyła potwierdzenia o dodaniu karty do portfela cyfrowego? A jeżeli jedyną formą jest SMS, to czy bank nie uważa, że to za mało? W odpowiedzi dostałem zgrabną formułkę, ale wynika z niej, że niestety wszystko ogranicza się do kodów z SMS-ów.
„Bank wysyła kilka komunikatów w przypadku próby dodania karty do portfela cyfrowego. Pierwszy SMS wysyłany jest do posiadacza karty w momencie podania danych karty w portfelu cyfrowym (jeszcze przed zatwierdzeniem 3D Secure lub kodem), o tym, że taka próba ma właśnie miejsce i podaje nazwę portfela – np. Google Pay lub Apple Pay. Kolejny SMS (wg określonych parametrów) wysyłany jest po pierwszej transakcji wykonanej danym Pay’em – klient otrzymuje informację, że właśnie wykonana została operacja kartą, podaje, jaki jest to Pay i w przypadku wątpliwości prosi o kontakt z bankiem”.
Być może w tej sprawie coś się zmienia. Ostatnio miło zaskoczył mnie Alior Bank, który poprosił klientów o potwierdzenie, że ich karty dodane do portfeli elektronicznych zostały dodane tam świadomie. Informacja została wysłana pocztą elektroniczną i pojawiła się też w aplikacji mobilnej. Brak reakcji skutkował usunięciem takich kart. Wyglądało to tak (wybaczcie kiepską jakość):

Teraz płatności mobilne w Alior Banku (a więc np. dodanie nowej karty) wymagają nie tylko przepisania kodu z SMS-a, ale też dodatkowej autoryzacji w aplikacji mobilnej. Niestety ciągle brakuje intuicyjnej listy portfeli elektronicznych w aplikacji mobilnej i możliwości ich usunięcia.
Zwracam się więc z apelem do bankowców, aby w trybie natychmiastowym zrobili dwie rzeczy, które znacznie zwiększą bezpieczeństwo klientów. Po pierwsze potwierdzajcie każdą znaczącą dyspozycję, a taką zdecydowanie jest dodanie karty do portfela mobilnego, także przez wysłanie wiadomości e-mail. Niektóre banki już to robią, np. Citibank – brawo!
Po drugie, dajcie nam jakąś możliwość sprawdzenia, do jakich portfeli elektronicznych zostały dodane nasze karty i zdalnego odpięcia takiej karty. To musi być intuicyjne, łatwo dostępne oraz obejmować wszystkie portfele elektroniczne (a więc nie tylko Google Pay i Apple Pay) i wszystkie urządzenia (a nie tylko te, na którym zainstalowana jest aplikacja mobilna).
Natomiast do konsumentów mam dwie rady. Po pierwsze, powtórzę się, zachowajcie czujność. Czytajcie SMS-y autoryzacyjne, nigdy nie udostępniajcie nikomu żadnych kodów, nie klikajcie w podejrzane linki, nie instalujcie podejrzanych aplikacji, nie skanujcie podejrzanych kodów QR itd.
Po drugie, włączcie sobie powiadomienia o zrealizowanych transakcjach (np. powiadomienia push w aplikacji mobilnej). Dzięki temu od razu dowiecie się, gdy ktoś zrealizuje jakieś płatności mobilne w Waszym imieniu. W rezultacie szybciej zastrzeżecie/zablokujecie kartę.
Zdjęcie główne: gpointstudio / Freepik