Przyszedł czas pierwszej interwencji na blogu. Parę razy opisywaliśmy już różne oszukańcze procedury, które mogą umożłiwić kradzieże pieniędzy z kont bez wiedzy ich właścicieli.

Dużo większym problemem mogą być crossovery, czyli kradzieże korzystające z różnych środków oraz infrastruktur – na przykład włamanie na konto bankowości internetowej, by zaaranżować kradzież w postaci wypłaty w bankomacie. Najprawdopodobniej ofiarą podobnego ataku jest Monika:

Witam serdecznie,

dnia 20 sierpnia otrzymalam owego emaila na skrzynke sluzbowa, niestety wyglada na to ze go otworzylam (niestety nie pamietam, czy uczynilam ten bezmyslny ruch), gdyz dnia 20 sierpnia serwery firmowe odnotowaly zawirusowanie mojego komputera. Niestety nikt nie zareagowal. Dnia 22 sierpnia ma miejsce ciag przedziwacznych zdarzen. Ok godziny 20 dzwoni do mnie Pani z mBanu z pytaniem czy to ja wyplacam duze kwoty ze swojego konta na terenie stanow zjednoczonych. Oczywiscie nie bylam to ja, bank zablokowal tranzakcje dopiero jak ktos dobil do limitu. Ja oczywiscie zastrzeglam natychmiast karte i zglosilam tego samego wieczoru sprawe na policje. Niestety mBank nie przyjal mojej reklamacji i nie chce mi zwrocic pieniedzy (pomimo ubezpieczenia karty jakie mialam wykupione), gdyz uwazaja ze skoro wyplata byla w bankomacie to ktos poslugiwal sie pinem, ktory musialam podac osoba 3cim, wiec wtedy automatycznie dyskwalifikuje sie z warunkow umowy. Oczywiscie nikomu pinu nie podawalam. Laczac jednak te dwa fakty chcialam sie podpytac, bo moze maja Panstwo swiadomosc, czy istnieje szansa ze przy wykorystaniu tego wirusa ktos tak na prawde ukradl te pieniadze przez internet, a byl w stanie zrobic to tak zeby w banku pojawila sie informacja ze wyplata odbywa sie na terenie USA?

Bede wdzieczna za wszelkie informacje, odpowiedzi i podpowiedzi. Nie mam pojecia jak w tym momencie odzyskac te pieniadze, a mBank zachowuje sie mocno nieprofesjonalnie…proponujac mi dodatkowo dzisiaj karte kredytowa!

Dziekuje!

[zachowaliśmy oryginalną pisownię]

 

Sprawa nie wygląda na prostą. Banki z reguły łatwo się nie poddają w postępowaniu reklamacyjnym i z pewnością będą doszukiwać się naruszeń ze strony klientki. Najszerszym paragrafem, który może być pomocny bankowi, jest niedostateczna ostrożność w posługiwaniu się danymi osobowymi. Interpretacja „niedostatecznej ostrożności” może być niestety bardzo szeroka. Nie oznacza to jednak, że Monika jest bez szans.

Możliwe jest bowiem wykazanie nieprawidłowości w zabezpieczeniach banku. Jeśli na przykład można dokonać zmiany PIN na po zalogowaniu do konta bankowości internetowej, ale bank nie korzysta z dwuetapowej weryfikacji. Wówczas wystarczy przecież włamać się na konto i można czyścić konto do zera. Zadziałał tu system banku, który transakcję w USA uznał za nieprawdopodobną i powiadomił o tym klientkę (choć, jak czytamy w wiadomości od Moniki, pozwolił na kontynuowanie wypłat aż do osiągnięcia limitu).

Co zatem się stało? Możliwy jest np. taki scenariusz:

  • 1. Monika – jak opisuje – padła ofiarą złośliwego oprogramowania.
  • 2. Złodziej zmienia kod PIN w systemie bankowości online.
  • 3. Karta Moniki została skopiowana (np. przez wykorzystanie modułu zbliżeniowego).
  • 4. Złodziej który jest „na miejscu” przekazuje dane wspólnikowi za oceanem, który wykonuje kopię karty i wypłaca pieniądze.
  • 5. Monika traci nie tylko na kradzieży, ale dodatkowo na wypłacie z bankomatu za granicą, niekorzystnym przewalutowaniu po kursach wymiany oferowanych przez banki, etc.

W związku z tym napisaliśmy do mBanku maila, którego treść znajdziecie poniżej. O postępach w sprawie będziemy oczywiście informować.

Dzień dobry,

(…). Zgłosiła się do mnie Państwa klientka, która twierdzi, iż mogła paść ofiarą złośliwego oprogwamowania, któej autor podszywał się pod Państwa bank. Czytelniczka informuje, że mimo wykrycia prób wypłat z jej konta z bankomatu w USA (Państwa pracownik miał się z nią skontaktować i otrzymać potwierdzenie, że znajduje się w Polsce) system pozwolił na wypłaty z konta aż do osiągnięcia limitu. Następnie zdaniem mojej czytelniczki nie uznaliście Państwo jej reklamacji. Pracownik Państwa miał poinformować klientkę, że musiała podać kod PIN osobie trzeciej.

W związku z opisywaną sprawą proszę o ustosunkowanie się do niej i odpowiedź na pytania:

1) na jakiej podstawie Państwa pracownik stwierdził, że Państwa klientka podała PIN osobie trzeciej?
2) jak działa ubezpieczenie karty w mBank, jeśli nie chroni klientki w takiej sprawie (wypłata z bankomatu w USA)?
3) czy w Państwa banku można zmieniać kod PIN przez konto bankowości internetowej?
4) jeśli tak, czy procedura wykorzystuje weryfikacje dwuetapową (np. przez przesłanie tokena SMS)?

Sprawa została opisana na stronie:

Czekam na Państwa komentarz.

Z poważaniem,

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.