Napisała do nas jedna z czytelniczek, kolejna ofiara procesu otwierania kont bankowych przelewem. Złodzieje pozyskali dane do logowania na jej rachunek i wysłali przelew inicjacyjny do innego banku. Zatwierdzili przelew kodem z SMS-a wysłanym przez bank. Ten SMS nie dotarł jednak do klientki.
Skontaktowała się z nami czytelniczka, pani Anna, która stała się kolejną ofiarą metody otwierania kont osobistych za pomocą przelewu z innego banku. Ku swojemu wielkiemu zaskoczeniu dowiedziała się niedawno, że zalega ze spłatą około 20 tys. zł w kilkunastu instytucjach – od firm pożyczkowych po banki. Wszystkie kredyty zostały udzielone na jej nazwisko, ale bez jej wiedzy. Stało się to możliwe, bo ktoś otworzył na jej dane rachunek w innym banku za pomocą przelewu. Klientka zastanawia się jak to jest możliwe, że banki są w stanie udzielać pożyczek nie widząc nawet klienta, nie wymagając od niego żadnych podpisów.
Bank ufa bankowi
Otóż jest to możliwe. Od kilku lat banki oferują możliwość otwierania kont przez internet, za pomocą przelewu przychodzącego z innego banku. Przelew ten jest „dokumentem” potwierdzającym tożsamość klienta. Znajdują się tam jego dane adresowe, imię i nazwisko. Nowy bank wychodzi z założenia, że poprzednia instytucja w której nadawca przelewu posiada konto, zweryfikowała już klienta wystarczająco, więc do założenia nowego rachunku wystarczy deklaracja złożona we wniosku. Także coraz więcej banków i firm pożyczkowych stosuje metodę „na przelew” do udzielania kredytów i pożyczek.
Procedura jest wygodna, ale niestety praktyka pokazuje, że może zostać wykorzystana w sposób nieuprawniony. Wystarczy bowiem jedno fałszywe konto, założone na słupa lub osobę niczego nie świadomą, by sklonować nawet kilkanaście podobnych rachunków, które posłużą do wyłudzania pożyczek. Pisaliśmy o tym na naszych łamach już niejednokrotnie, a ostatnio swoje stanowisko w tej sprawie zajęła nawet Komisja Nadzoru Finansowego. O tym, że coś jest na rzeczy może świadczyć decyzja największego banku w Polsce – PKO BP, który bardzo szybko zrezygnował z procedury otwierania kont przelewem.
Konto żyje swoim życiem
„Cała historia zaczęła się 22.01.2014r., gdy zadzwoniła do mnie Pani z działu windykacji pewnego banku.” – pisze pani Anna. „Wtedy właśnie dowiedziałam się, że na moje dane osobowe został wzięty kredyt drogą internetową na kwotę 3000 zł. Jak się okazało w późniejszym czasie, ktoś miał dostęp do mojego konta bankowego, z którego zrobił sobie przelew na kwotę 0,01 zł w celu założenia rachunku osobistego na moje dane w jednym z banków oraz wygenerował sobie wyciąg transakcji, aby przedstawiać go w bankach.
Oprócz danych, które się zgadzały były też takie, które się nie zgadzały, a mianowicie: adres mailowy, adres do korespondencji oraz jeden nr telefonu, który został podany. Te dane (mail, telefon, adres do korespondencji), które się nie zgadzały powtarzały się za każdym razem przy okazji brania innych pożyczek.”
Okazało się, że kredyt na kwotę 3 tys. zł to dopiero początek gehenny. „W kolejnych dniach zaczęło się dopiero dziać. Zaczęły wydzwaniać firmy, że zalegam ze spłatami, zaczęła przychodzić korespondencja na mój adres zameldowania z wezwaniem do zapłaty. Jak się okazało pierwszy kredyt został wzięty z końcem listopada 2013 roku, a ja żyłam cały czas w błogiej nieświadomości. Wszystkie transakcje, które zostały zawierane były brane drogą internetową.
15 kredytów na 20 tys. zł
Dowiedziałam się o >>moim
„Zaczęłam w między czasie weryfikować wyciąg, który otrzymałam z tego banku i tam dopiero dostrzegłam na samym początku w pierwszej operacji, że występuje mój nr konta. Od razu sprawdziłam swoją historię konta i faktycznie był tam taki przelew, na kwotę 0,01 zł. Przelew w celach weryfikacyjnych danych osobowych. Dodam jeszcze, że moje wszystkie przelewy, które są realizowane, a nie są zdefiniowane wymagają potwierdzenia sms-em. Takiego sms-a na swój nr telefonu nie otrzymałam. Napisałam do swojego banku reklamację, jednakże oni umywają od tego ręce, twierdząc, że sms został wysłany na mój numer telefonu. ” – pisze nasza czytelniczka.
A może wirusy?
Pani Anna nie ma zielonego pojęcia jak ktoś pozyskał dane do logowania na jej konto. Podejrzewa, że ktoś mógł je po prostu skraść. Przyznaje niestety, że logowała się do swojego rachunku z komputerów w szkole, gdzie pracuje. W takim środowisku nietrudno paść ofiarą programu podsłuchującego znaki wpisywane na klawiaturze. W całej sprawie zastanawiający jest jednak fakt, że do klientki nie dotarł SMS autoryzujący przelew inicjujący nowy ROR. Bank przekonuje, że wysłał kod. Takie działanie przypomina w działaniu metodę wirusów: ZitMo i e-security.
Źródło: eastnews.pl
Przypomnijmy, w ubiegłym roku Związek Banków Polskich przestrzegał klientów przed wirusem ZitMo. Program po zagnieżdżeniu się na komputerze podsłuchiwał hasła wpisywane przez klientów na klawiaturze podczas logowania się do banku. Następnie wyświetlał komunikat z prośbą, by klient zainstalował specjalny certyfikat na komórce, który zapewni bezpieczeństwo podczas korzystania z e-bankingu. W rzeczywistości ów certyfikat był kolejnym wirusem, który infekował smartfona. Jego działania polegało na tym, że blokował SMS-y autoryzujące transakcje i przekazywał je w czasie rzeczywistym automatycznie do złodziei. Klient nie dostawał żadnego powiadomienia o przychodzącycm SMS-ie. W ten sposób w ręce cyberprzestępców trafiały dane dostępowe do konta plus narzędzie autoryzacyjne. Szczegółowo o sprawie pisaliśmy tutaj.
Strata oszczędności to nie wszystko
ZBP ostrzegał przed tym, że złodzieje mogą w ten sposób wyczyścić klientowi konto. Okazuje się, że kradzież oszczędności to nie wszystko. Posługując się tą metodą można założyć dodatkowe konta „na przelew” i wyłudzać pieniądze z banków i firm pożyczkowych. W ten sposób niczego nieświadomy klient może z dnia na dzień stać się posiadaczem kredytów w wysokości kilkudziesięciu tysięcy złotych.
Nasza czytelniczka zapytana o certyfikat przyznała, że prawdopodobnie instalowała coś takiego na swoim telefonie. Nie jest tego w stu procentach pewna, nie pamięta dokładnie. Ponieważ policja do tej pory nie za bardzo radziła sobie ze sprawą, czytelniczka zgodnie z naszą sugestią poprosi, by zbadali telefon pod tym kątem. Bank, który prowadzi rachunek z którego wykonano przelewy inicjujące umywa ręce, bo wysłał SMS zgodnie z prośbą „klienta”.
W tym miejscu wypada zatem jeszcze raz podkreślić, że nigdy nie należy instalować żadnych certyfikatów sugerowanych przez „bank” na swoich telefonach. Nie należy się też logować na obcych komputerach czy korzystać z otwartych sieci WiFi, bo istnieje duże ryzyko, ze złodzieje przechwycą nasze dane. Pozbawią nas nie tylko oszczędności, ale będą mogli pozaciągać w naszym imieniu kredyty czy założyć konto. Takie konto jest bardzo dużym ryzykiem, bo może posłużyć także do przyjmowania należności za wystawione na internetowych aukcjach fikcyjne towary.
Wojciech Boczoń
Napisz do autora: w.boczon@bankier.pl