Złośliwa aplikacja i wyczyszczone konto. Nasi czytelnicy kontra mBank w sądzie
Kilkanaście minut wystarczyło złodziejom, by z konta żony naszego czytelnika „wyciągnąć” ponad 69 tys. zł. Bank zapewnia, że w niczym nie zawinił i pieniędzy nie ma zamiaru oddawać.
-To była połowa wakacji, lipiec. Zadzwonił do nas konsultant z pytaniem, czy w ostatnim czasie wykonywaliśmy przelewy na duże kwoty. W ten sposób dowiedzieliśmy się z żoną Magdą, że została okradziona – mówi pan Paweł.
Jak się okazało, wszystko za sprawą złośliwej aplikacji na smartfonie pani Magdaleny. Wirus nie tylko przejął jej login i hasło do konta w mBanku, ale też jednorazowe kody SMS-owe do potwierdzania transakcji.
Konsultant, gdy usłyszał, że to pomyłka, na prośbę właścicielki zablokował kwotę, która była jeszcze dostępna na koncie oszusta. Była godz.16:46. 20 minut wcześniej z konta pani Magdaleny wyszedł pierwszy przelew, po 10 minutach – kolejny. W sumie na ponad 69 tys. zł.
Gdy w krótkim czasie z konta klienta wychodzą tak duże przelewy, systemy bankowe widzą to i alarmują konsultantów. A ci dzwonią do klienta, by upewnić się, że wszystko jest w porządku.
Tym razem jednak reakcja nie była błyskawiczna. Gdy mBank próbował się skontaktować, smartfon pani Magdaleny akurat aktualizował oprogramowanie. Te kilkanaście minut było kluczowe.-Gdy bank do nas zadzwonił, żona zażądała blokady wszystkich przelewów, ale okazało się, że jest za późno. Udało się zatrzymać tylko część skradzionych pieniędzy – opowiada pan Paweł. Część, czyli 25 tys. zł. Resztę – 44 tys. zł złodziej zdążył wybrać w gotówce z bankomatów.
mBank twierdzi, że rozmowa przebiegła inaczej. -Zweryfikowaliśmy zapis rozmowy z klientem – w jej trakcie nie deklarowaliśmy możliwości zablokowania przelewów. Po kilku godzinach od zdarzenia nie mieliśmy już takiej możliwości – tłumaczy rzecznik prasowy mBanku, Krzysztof Olszewski.
I dodaje: -W zależności od okoliczności zdarzenia, często to bank pierwszy podejmuje kontakt z klientem. System zadziałał również w opisywanej sprawie – dzięki temu, udało się odzyskać część środków.
Zero śladów w smartfonie
Jednak według pana Pawła to za mało. -Konsultant zaproponował, by przywrócić smartfon do ustawień fabrycznych – opowiada. Po zablokowaniu dostępu do konta jest to dla banku niezbędny krok, by móc rozpocząć procedurę ponownego nadania dostępu właścicielowi. To standardowe podejście w sytuacji, gdy wcześniej dostęp do konta został utracony właśnie w wyniku instalacji fałszywej aplikacji. Wyczyszczenie urządzenia siłą rzeczy sprawi, że wszystkie szkodliwe programy z niego znikną.
Jednak reset smartfona to także usunięcie jakichkolwiek śladów przestępstwa, a więc sprzęt dla policji nie może być dowodem w sprawie. Zdaniem naszego czytelnika, konsultanci mBanku wykazali się w tym zakresie ignorancją i jedyne informacje, jakich udzielili, były związane właśnie z procedurą odblokowania konta.
-Zgodnie z procedurą banku, gdy klient dzwoni w sprawach związanych z bezpieczeństwem, przekazujemy mu instrukcje, jak pozbyć się złośliwego oprogramowania z urządzenia oraz jak odblokować dostęp do bankowości elektronicznej. Podkreślamy jednak: „Proszę upewnić się czy policja nie chce zabezpieczyć Pani/Pana sprzętów w aktualnym stanie […]”, uzasadniając, że sprzęty te mogą zawierać materiał dowodowy. – tłumaczy Krzysztof Olszewski.
”Rażące niedbalstwo” na wokandzie
Sprawa trafiła już do sądu. Do tej pory na konto pani Magdaleny wróciło zaledwie 25 tys. zł. Wszystko wskazuje na to, że odzyskanie pozostałej kwoty może się ciągnąć przez kolejne miesiące: -Policja nie może znaleźć właściciela rachunku, na który zostały przelane skradzione pieniądze, a dochodzenie prokuratury zostało zawieszone – kwituje sprawę nasz czytelnik.
mBank natomiast nie planuje oddać straconych pieniędzy, zasłaniając się przepisami i dopatrując w działaniach klientki niedostatecznej ostrożności. „Na podstawie art. 46 ust. 3 Ustawy o usługach płatniczych nie mamy obowiązku zwrotu środków jeżeli sytuacja jest wynikiem rażącego niedbalstwa” – cytuje korespondencję z bankiem pan Paweł.
Oprócz sprawy w sądzie, nasi czytelnicy złożyli także skargę w Komisji Nadzoru Finansowego.
Fałszywe aplikacje – jak chronić swój login i hasło?
Aby uniknąć podobnej sytuacji, warto rozważnie korzystać z mobilnej bankowości. Jak sugeruje mBank, wszystko wskazuje na to, że w tym przypadku problem pojawił się już na etapie instalacji aplikacji. Podobnie, jak w opisywanym pół roku temu przypadku, oszustom udało się stworzyć program, który skutecznie wykradł od użytkownika login i hasło, a następnie, korzystając z uprawnień do odczytu SMS-ów, okazał się być wystarczający, by pomóc przestępcom zdobyć pieniądze.
By zapobiec podobnym sytuacjom w przyszłości, warto przestrzegać co najmniej kilku podstawowych zasad bezpieczeństwa. Warto więc nie decydować się na instalację aplikacji z niezaufanych źródeł, gdzie nie przechodzą przez kontrole bezpieczeństwa, a podczas czytania wiadomości e-mail warto wykazać się rozwagą. Klikanie w podejrzane linki może prowadzić do przekierowania na stronę spreparowaną przez oszustów lub skończyć się pobraniem złośliwego oprogramowania na komputer.
Odrębną kwestią pozostaje uważne czytanie SMS-ów z kodami potwierdzającymi, które są nieodłączną częścią takiego sposobu potwierdzania operacji bankowych. To często ostatni moment, kiedy klient może jeszcze powstrzymać ewentualną kradzież. Przed przepisaniem kodu zabezpieczającego warto więc każdorazowo dokładnie sprawdzić numer konta odbiorcy, kwotę i wreszcie rodzaj operacji. Oszuści często bazują na machinalnym przepisywaniu kodów przez użytkowników, którzy mogą przeoczyć, iż w rzeczywistości na przykład potwierdzają dodanie nowego zaufanego odbiorcy, zamiast wykonywać zaplanowany przelew.
Należy pamiętać, że to tylko jeden ze sposobów na zdobycie pieniędzy. Dzisiaj coraz częściej mamy do czynienia z atakami wykorzystującymi fałszywe wiadomości SMS wzywające odbiorcę do dokonania przelewu na niewielką kwotę, często nawet niespełna złotówkę. Nieświadomy zagrożenia użytkownik decyduje się skorzystać z zamieszczonego w takiej wiadomości łącza, w efekcie trafiając na stronę łudząco podobną do autentycznej. Na tym etapie nie podejrzewa więc, że wpadł właśnie w zasadzkę przestępców, a wpisywane dane logowania w rzeczywistości przekazuje właśnie im.
Zdarzyła Ci się podobna sytuacja? Napisz do nas na redakcja@dobreprogramy.pl.