Mama mojego czytelnika wysłała 122 000 zł do złodzieja, który prawdopodobnie „podstawił” jej fałszywy przelew do wykonania. Pieniądze zamiast do firmy produkującej świece popłynęły do przestępcy, który się za nią tylko podawał. Jak to możliwe? I czy banki mogły ten przelew powstrzymać na podstawie niezgodności danych? Czy przynajmniej – wspólnie z policją, prokuraturą i operatorem skrzynki e-mail – pomogą odzyskać pieniądze?
Pani Joanna jest drobnym przedsiębiorcą, prowadzi sklep, handluje m.in. świecami. Współpracuje różnymi firmami, od których zamawia towar. Jedną z takich firm jest duży producent świec z Łańcuta. Współpraca trwa od lat, raz na jakiś czas łańcucki producent wystawia pani Joannie faktury. Ostatnia z nich przyszła na e-mail pani Joanny (skrzynka na portalu Onet.pl) 17 czerwca. Kwota do zapłaty: 122 428 zł.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Pani Joanna opłaciła fakturę tak samo jak poprzednie – zgodnie z dyspozycją, na podane na niej konto bankowe. Dopiero po tygodniu zorientowała się, że coś jest nie tak – firma z Łańcuta zaczęła się niepokoić dlaczego faktura nie została zapłacona. „Przecież zapłaciłam!” – odpowiedziała pani Joanna.
Przelew na 122 000 zł miał iść do kontrahenta, a popłynął do złodzieja
Wystarczyła krótka wymiana e-maili, by kontrahent z Łańcuta uświadomił pani Joannie, że na fakturze jest numer rachunku, który nie należy do producenta świec. Do kogo należy – nie wiadomo. Nie wiadomo też dlaczego pani Joanna nie zdziwiła się, że tym razem faktura ma być zapłacona na inny numer rachunku, niż zwykle. Być może dlatego, że faktury z łańcuckiej firmy opłacała niezbyt często, raz na kilka miesięcy.
„Wcześniej otrzymywałam e-maile z tej firmy w opcji automatycznej. Wiem, że posiada ona certyfikowany system do fakturowania. Nic nie budziło moich podejrzeń do tego stopnia, że po zapłaceniu faktury usunęłam ze skrzynki e-mail z fakturą w załączniku”
Pani Joanna natychmiast zgłosiła się do swojego banku, czyli ING Śląskiego, gdzie pracownik rozłożył ręce i powiedział, żeby zgłosić sprawę na policję, bo najpewniej faktura została profesjonalnie podrobiona. A to oznacza, że nie ma miejsca żadna pomyłka, tylko przestępstwo i to grube.
Ale jak to możliwe, że ktoś dowiedział się, że pani Joanna ma wkrótce płacić fakturę dla firmy z Łańcuta, że zdołał profesjonalnie ją podrobić (zmieniając tylko numer rachunku do zapłaty), wysłać mniej więcej w tym samym terminie, w którym firma z Łańcuta zamierzała to zrobić, a przy tym jeszcze wysłać ten e-mail z adresu firmy z Łańcuta? Wygląda na to, że nie tylko faktura została „podrobiona”, ale i adres e-mail.
Pani Joanna dziś jest w kiepskim stanie, choć od kradzieży 122 000 zł upłynęło kilka tygodni. Nie wie co się stało: czy jej komputer ma wirusa i powinna go wymienić? A może ktoś włamał się na jej pocztę? Doradzono jej tylko, żeby nic nie zmieniała w konfiguracji komputera i nie instalowała programów antywirusowych, by nie zacierać ewentualnych śladów. Policja chyba na razie nie prowadzi „szeroko zakrojonych działań” (a przynajmniej nic o tym pani Joannie nie wiadomo).
Czytaj też: Prawie okradłem znajomego z pieniędzy. Pomógł pracownik telekomu
Czytaj też: Skopiowali jego dowód, wyłudzili kopię karty SIM. Ukradli 1,1 mln zł z konta. Jak tego uniknąć
Jak to się mogło stać? Przecież wszystkie dane się zgadzały…
Pierwotnie pani Joanna obstawiała, że to w firmie z Łańcuta jest jakiś „kret”, który przekierowuje przelewy. Ale okazało się, że po pierwsze firma z Łańcuta wysłała do niej „prawdziwą” fakturę, która z jakich przyczyn nie dotarła do celu (być może maczał w tym palce złodziej, a może to był tylko zbieg okoliczności), a po drugie żaden inny jej kontrahent nie zaraportował kradzieży. A pani Joanna nie jest ani największym, ani tym bardziej jedynym klientem tej firmo. Można byłoby zrobić – mając w firmie „kreta” – znacznie większy „skok”.
Wygląda więc na to, że przestępca wytypował panią Joannę jako cel swojego ataku. Jak najparawodopodobniej wyglądała cała sytuacja? Zapytałem o to MoneyPenny, specjalistkę od cyberprzestępczości, która czasem pomaga mi w wyjaśnianiu spraw, o których nie śniło się filozofom, która czasem pomaga mi w… pomaganiu czytelnikom.
Jej zdaniem ktoś „podrobił” e-mail, który tak naprawdę został wysłany z innego adresu e-mail, który jednakże „udawał” prawdziwy adres e-mailowy producenta zniczy. Da się niestety takie „podstawienie adresu” wykonać, co wynika ze słabych zabezpieczeń niektórych serwerów pocztowych. Zapewne złodziej musiał wcześniej zinflitrować pocztę pani Joanny, choćby po to, by wiedzieć jak będzie wyglądała kolejna faktura.
Czy pieniądze da się odzyskać? To zależy od tego jak wyraźne są „cyfrowe ślady”, które pozostawił przestępca, z jak dużym zapałem do roboty zabiorą się organy ścigania (policja, prokuratura) oraz czy banki oraz dostawca usług pocztowych pani Joanny (Onet) pomogą.
Niepokoją mnie nieco informacje od pani Joanny, że w sprawie dzieje się niewiele. Onet nie odpowiedział w sprawie odzyskania e-maili, zaś bank PKO BP, do którego trafiły pieniądze, nie daje znaku życia w sprawie możliwości ich odzyskania (choć – jak twierdzi ofiara – wysłała do niego pismo z taką prośbą).
Co mogły zrobić banki, żeby powstrzymać kradzież? Cóż, złodziej zapewne założył w PKO BP rachunek na inne dane, niż nazwa i adres producenta świec. A zatem jeśli pani Joanna wysłała na to konto przelew wpisując w polu „odbiorca” dane tegoż producenta, to PKO BP mógłby zauważyć rozbieżność nazwy odbiorcy.
Czytaj też: Dzięki temu trikowi ukradli nam już 260 mln zł. A banki rozkładają ręce
Dlaczego ofiary nabierają się na ten prosty trik, nie podejrzewając oszustwa? Pisaliśmy o tym w artykułach:
Kto założył konto „na słupa” i podszył się pod producenta świec?
Przestępstwa będące skutkiem tego, że banki – wysyłając i przyjmując przelewy – nie sprawdzają nic poza numerem konta, noszą nazwę BEC i należą obecnie do najszybciej rozwijających się. Można dzięki nim szybko ukraść duże pieniądze, korzystając z nieuwagi klientów banków oraz sanych banków.
Np. w Holandii takie przestępstwo najprawdopodobniej nie mogłoby się udać, bo każdy duży przelew podlega kontroli zgodności danych faktycznego beneficjenta i tego, który został wpisany na poleceniu przelewu. Z całą pewnością zarówno bank ING, jak i PKO BP (zwłaszcza ten drugi) mogły sprawdzić czy wszystkie dane się zgadzają ze zleceniem, a nie tylko numer rachunku odbiorcy.
W Polsce też od lipca obwiązuje nowy formularz, na którym banki muszą informować GIIF o wysokowotowych przelewach i w tym formularzu są już pola pozwalające – bankom lub GIIF-owi – wykrywać nieprawidłowości. Nie wiemy jak ta „proteza” się spisuje, ale w przypadku pani Joanny nie miała jeszcze szans zadziałać, bo kradzież zdarzyła się w czerwcu.
Prawdopodobnie złodziej założył w PKO BP rachunek „na słupa”. Warto byłoby ustalić kto tym „słupem” jest (kiedy i w jaki sposób założył rachunek, czy uchwycił go monitoring w placówce itp.) oraz, czy da się z jego pomocą trafić do właściwego inspiratora feralnego przelewu. Nie zaszkodziłaby wymiana informacji z Onetem, w którym ten sam złodziej musiał założyć skrzynkę pocztową, z której wysłał „podrobionego” e-maila z trefną fakturą.
A jeśli pieniędzy już dawno w PKO BP nie ma, bo „słup” przekazał je dalej? Bank może wydać zlecenie „stop payment” i zablokować je w banku docelowym. Jeśli i na to jest za późno – wtedy ostatnia nadzieja w tym, że policja ustali sprawcę i go zatrzyma.
Można się też zastanawiać nad odpowiedzialnością odszkodowawczą banków, które nie wykryły żadnych nieprawidłowości, chociaż – zgodnie z prawem o zapobieganiu praniu brudnych pieniędzy – powinny tak duże przelewy monitorować i wiedzieć skąd, dokąd i dlaczego płyną.
Jeśli sprawa ostatecznie trafi do sądów, to bankowcy będą musieli się bronić przed zarzutami o niewłaściwe sprawdzenie danych (zarówno dotyczących przelewu, jak i pozwalających na założenie konta „na słupa”). Oby jednak sprawę udało się rozwikłać bez takich „atrakcji”, jak proces sądowy.
Banki też nie działają w próżni: Niedawno zaapelowały do rządzących w sprawie zbyt dużych obciązeń regulacyjnych. „Pchacie nas w bardzo złym kierunku”
Co trzeba zrobić, żeby zachować szansę na odzyskanie kasy?
Niniejszym proszę publicznie, by następujące instytucje nadały najwyższy priorytet następującym sprawom (wiem, że policja i prokuratura się nią zajmują, lecz przydałoby się zajmować się szybko, bo w takich sprawach czas to pieniądz, a państwo nie może być z papieru i z kartonu, jak to drzewiej bywało). Listę zadań pomogła mi sporządzić MoneyPenny:
1. Onet.pl niech jak najszybciej „zamrozi” historię skrzynki pocztowej pani Joanny (prośbę o to zapewne gdzieś macie, a jeśli nie – służę adresem e-mail skrzynki, którą trzeba się „zaopiekować”). Pani Joanna usunęła wiadomość, której szczegóły mogą naprowadzić informatyków policyjnych na ślad prawdziwego jej właściciela-złodzieja. Chodzi o to, by ten e-mail nie zniknął trwale z serwerów.
2. PKO BP niech zabezpieczy – policja zapewne za chwilę się o to zwróci lub juz to zrobiła – dane posiadacza rachunku, na który poszedł przelew, pieniądze na tym rchunku, a także wszelkie dokumenty związane z jego zakładaniem, w tym monitoring. Ważna będzie historia działań na tym rachunku z uwzględnieniem adresów IP komputerów i innych urządzeń, które się z tym rachunkiem łączyły. Jeśli z tego rachunku były wypłacane pieniądze w gotówce – trzeba zabezpieczyć monitoring w miejscach tych wypłat.
3. ING niech przygotuje kopię wiadomości „stop-payment” (o ile – po pierwszym zgłoszeniu od pani Joanny – taką wiadomość do PKO BP wystosował, by PKO wiedział, że ma nie wypuszczać żadnych pieniędzy z rachunku, na które wpłynęło 122 000 zł) oraz wszelkich innych dokumentów, które były wysyłane do PKO w związku z żądaniem zwrotu pieniędzy złożonym przez panią Joannę. Przydałoby się także zapytanie do systemu Ognivo (ING powinien je wystosować, żeby chociaż spróbować – w ramach prezydenckiej nowelizacji prawa, która niedawno weszła w życie – odzyskać pieniądze pani Joanny).
Tutaj więcej: Jak działa Ognivo i w jaki sposób sprawdzić czy ktoś się pod ciebie nie podszył
A ja będę Was informował o tym jak ta sprawa się rozwinęła lub – miejmy nadzieję – w miarę pozytywnie zakończyła. Czy pieniądze da się odzyskać – nie wiem. To zależy od tempa wspólnych działań policji, prokuratury, dostawcy usług pocztowych i banków. Nie mamy dobrych doświadczeń, jakiś czas temu opisywałem sprawę, w której okradziona sama poczyniła większość ustaleń, o których wspominam powyżej i niemal „przyniosła” organom ścigania przestępcę na patelni, ale i to nie wystarczyło, by gnoma „przyskrzynić”…
Nie przegap nowych tekstów z „Subiektywnie o finansach”, zapisz się na mój newsletter i bądźmy w kontakcie!
Bankowcu, przeczytaj i puknij się w czoło: Międzynarodowe stowrzyszenie GIIF-ów pisze w sprawie przestępstw „przelewowych”
zdjęcie: Marcello Migliosi, Pixabay
