Portal bezpiecznego e-biznesu
Portal bezpiecznego e-biznesu
Efekt kliknięcia w link w SMS-ie o dopłatę do przesyłki. Kradzież z konta 36 tys. zł!
Wiadomości od oszustów są wysyłane o każdej porze dnia i nocy, nie ma reguły. Oszuści podszywają się pod znane firmy np. Orange, PLAY czy DPD. Z wiadomości wynika przede wszystkim obowiązek zapłaty (dopłaty), a w treści wiadomości, w celu ułatwienia i przyspieszenia transakcji, jest zamieszczony link do szybkiej płatności online. Po wysłaniu wiadomości oszuści po prostu czekają, aż ofiary zaczną klikać w link i logować się bankowości elektronicznej. Tak było w przypadku Pani Justyny.
Jest godzina 20.40. Na telefon Pani Justyny przychodzi SMS, który ma rzekomo pochodzić od firmy kurierskiej. SMS informuje o konieczności dopłaty (1.19 zł) do przesyłki kurierskiej w związku z jej nadwagą. Poniżej przykładowa treści wiadomości:
Pech chciał, że Pani Justyna czekała na 3 przesyłki kurierskie. Klika w link podany w wiadomości, który kieruje ją na stronę przypominającą PayU.pl, która umożliwia wybór jednego z banków w celu wykonania przelewu. Wybiera swój bank (ING Bank Śląsk) i wpisuje login. Pojawia się błąd. Operacja została przerwana, a po paru minutach na telefon Pani Justyny przychodzi SMS od banku z informacją o chwilowych utrudnieniach. Po przeczytaniu tej wiadomości Pani Justyna ponownie wchodzi w link, który był podany w SMS-ie. Platforma działała już poprawnie. Najpierw otworzyła się przeglądarka PayU.pl na której znajdowało się kilkanaście ikon banków do wyboru. Po wybraniu i kliknięciu w ikonkę swojego banku, Pani Justyna została przekierowana na stronę logowania banku – dodajmy była to prawdziwa strona do logowania, a więc poprawny adres www + zielona kłódka.
Pani Justyna, wpisała login, a potem pojawił się ekran z hasłem. Co ciekawe, Pani Justyna wpisała wyłącznie wymagane znaki z hasła, pozostałe znaki hasła były zamaskowane. Następnie pojawił się komunikat dotyczący ochrony danych osobowych i wiarygodności przeprowadzanej transakcji w tym celu konieczne było podanie nr PESEL. Po w/w czynnościach pojawiała się wizualizacja przelewu oraz komunikat, że przyjdzie SMS od banku z kodem potwierdzającym transakcję. I tak się stało. Pani Justyna wpisała przesłany SMS kod, opuściła stronę i odłożyła telefon.
Później Pani Justyna dowiaduje się, że oszuści przechwycili jej konto w tej samej chwili, kiedy wpisywała swoje dane do logowania, a więc nie potrzebowali pełnego hasła! Po prostu dane wpisywane przez klienta automatycznie pojawiały się u oszusta!
Następnego dnia Pani Justyna, próbuje zalogować do swojego konta w banku, ale zarówno próby przez przeglądarkę w komputerze, jaki i bankowość mobilną kończą się niepowodzeniem. Pani Justyna, udaje się do banku, a tam dowiaduje się, że z konta zniknęły jej oszczędności tj. 20 tys. zł, a dodatkowo na jej dane została zaciągnięta pożyczka w kwocie 16 tys. zł.
Pani Justyna, jak tylko dowiedziała się, że kradzieży złożyła reklamację w banku. Zamknęła konto oraz złożyła zawiadomienie na policji. Jednocześnie wystąpiła do banku o informację, z których bankomatów dokonano wypłaty pieniędzy. Bank udzielił jej informacji zwrotnej po ..… 14 dniach. W między czasie Pani Justyny otrzymała odpowiedź na swoją reklamację, w której bank odrzucił reklamację klientki. Analiza banku potwierdziła, że Pani Justyna skorzystała z fałszywego linka, który otrzymała w wiadomości SMS. Jednocześnie, bank stwierdził, iż klienta w trakcie logowania do swojego konta podała pełny login, hasło oraz PESEL. Co nie jest zgodne z twierdzeniem klientki banku - wpisała tylko 5 wybranych znaków swojego hasła.
W sprawie Pani Justyny, pojawia się kwestia właściwego zabezpieczenia środków na rachunku bankowym oraz swojego rodzaju opieszałość banku. Z jeden strony klientka kliknęła w link pochodzący z nieznanego źródła. Z drugiej strony, w trakcie logowania klientka wprowadziła wyłącznie niezamaskowane znaki swojego hasła (wbrew twierdzeniem banku, że wpisała całe hasło), a także bank powinien wykazać się zdecydowanie lepszym refleksem w zakresie ustalenia miejsc wypłaty gotówki przez oszustów, co mogłoby skutkować ich szybkim złapaniem.
Wobec powyższego pojawia się pytanie:
Czy zachowanie klientki, w zakresie ochrony swoich środków bankowych, będzie się kwalifikowało jako „niedbalstwo”, czy też „rażące niedbalstwo”?
Warto dodać, iż jedno słowo, a mianowicie „rażące” ma tutaj ogromne znacznie, jeżeli chodzi o odpowiedzialność odszkodowawczą banku za skradzionego środki z rachunku bankowego.
Bank z pewnością będzie stał na stanowisku, iż klienta naruszyła art. 42 ustawy o usługach płatniczych, z którego jasno wynika, że:
Użytkownik, z chwilą otrzymania instrumentu płatniczego, winien podejmować niezbędne środki, zapobiegające naruszeniu indywidualnych zabezpieczeń instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nie udostępniania go osobom nieuprawnionym. (art. 42 ust. 2 ww. ustawy)
Być może sprawa znajdzie swój finał w sądzie, który z podobnej przypadku orzekł na korzyść klienta banku. W sprawie (sygn. akt I C 566/17) Sąd Okręgowy w Warszawie w uzasadnieniu wyroku zasądzającego na rzecz klienta, które pieniądze również zostały skradzione z konta przez działanie oszustów, stwierdził, iż:
Nieuzasadnione byłoby przyjęcie, zwalniające pozwany bank z odpowiedzialności, iż powód reagując na wyświetlony komunikat umyślnie doprowadził do nieautoryzowanej transakcji płatniczej bądź umyślnie lub wskutek rażącego niedbalstwa dopuścił się naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42 ustawy. Pozwany nie wykazał w toku postępowania, by powód umyślnie czy wskutek rażącego niedbalstwa naruszył któryś z obowiązków o których mowa w art. 42 ustawy, a w szczególności poprzez udostępnienie instrumentu płatniczego osobom nieuprawnionym, bowiem jego działanie które doprowadziło do zdefiniowania osoby na której zostały przelane środki z konta powoda nie było działaniem umyślnym, a niezamierzonym i nieświadomym, co wskazuje na niedbalstwo jednak w żadnym wypadku nie w stopniu rażącym.
Historia Pani Justyna z pewnością musi stanowić ostrzeżenie, ponieważ tego rodzaju wiadomości będzie coraz więcej, a metody wprowadzenia ofiary w błąd przez oszustów, będą coraz bardziej skuteczne. Wobec powyższego zawsze należy zachować szczególną ostrożność podczas klikania w jakiekolwiek linki znajdujące się w SMS czy mailach, zwłaszcza jeżeli są to wiadomości, z której wynika obowiązek zapłaty np. faktura.
Komentarze
Bezpieczne regulaminy sklepów i serwisów internetowych