PRNews.pl - banki, karty, konta oraz marketing i public relations

Najświeższe informacje z PRNews.pl w Twojej skrzynce!

Codziennie aktualne wiadomości ze świata finansów.

Zapisz się na nasz Newsletter ​i bądź na bieżąco z nowościami z branży!

  • Raporty
    • Polska bankowość w liczbach – raporty kwartalne
    • Aktywa banków
    • Bankomaty
    • Bankowość mobilna
    • Bankowość internetowa
    • Konta
    • Karty debetowe
    • Karty kredytowe
    • Karty HCE
    • Kredyty hipoteczne
    • Liczba klientów
    • Placówki
    • Zatrudnienie
    • e-administracja
  • Instytucje
    • Alior Bank
    • Bank BPS
    • Bank Millennium
    • Bank Ochrony Środowiska
    • Bank Pekao SA
    • Bank Pocztowy
    • Banki spółdzielcze
    • BGK
    • Biuro Informacji Kredytowej
    • BNP Paribas
    • Citi Handlowy
    • Credit Agricole
    • Deutsche Bank
    • Diners Club
    • DNB
    • EuropAssistance
    • First Data
    • Getin Noble Bank
    • Grupa Europa
    • HSBC Polska
    • Idea Bank
    • ING Bank Śląski
    • Inteligo
    • Marken Systemy Antywirusowe
    • Mastercard
    • mBank
    • Nest Bank
    • PKO BP
    • PKO Leasing
    • Plus Bank
    • Polski Standard Płatności
    • Prudential
    • PZU
    • Raiffeisen Polbank
    • Revolut
    • Santander Bank Polska
    • Santander Consumer Bank
    • Standard Chartered Polska
    • T-Mobile Usługi Bankowe
    • Toyota Bank Polska
    • Visa
    • Volkswagen Bank Polska
  • Produkty
    • Bankowość internetowa
    • Bankowość mobilna
    • Oszczędzanie
    • Bezpieczeństwo
    • Karty
    • Kredyty
    • Konta
    • Pod lupą
    • Płatności mobilne
    • Ubezpieczenia
  • Who is who
  • Wydarzenia
  • Praca
  • Forum
  • Alert
  • Newsletter
PRNews.plHydeparkPlaga przekrętów na przelewy weryfikacyjne. Tym razem Orange Finanse

Plaga przekrętów na przelewy weryfikacyjne. Tym razem Orange Finanse

Facebook0 Twitter0 Wykop Google+ Linked in0
Hydepark Wojciech BoczońWojciech Boczoń - 22.05.2015 (14:31)
Bezpieczeństwo

Kradzieże tożsamości klientów za pomocą przelewu weryfikacyjnego na 1 zł to prawdziwa plaga. Zgłosił się do nas kolejny czytelnik, na którego dane założono konto. Tym razem w Orange Finanse. Nie zorientował się, że padł ofiarą oszustwa, bo nie wczytał się w tytuł przelewu. Ale czy to tylko jego wina?


Od czasu publikacji w „Polityce” artykułu na mój temat („Elektro Zorro”), zgłasza się do mnie jeszcze więcej osób, które padły ofiarą oszustów wyłudzających dane osobowe. Najczęściej są to ofiary „przelewu weryfikacyjnego na 1 zł”. Na ich dane osobowe zakładane są konta osobiste, które później służą do wyłudzania pożyczek. Branża bankowa bagatelizuje ten temat i nie zamierza zrezygnować z usługi. Trudno jest oszacować skalę zjawiska, ale na pewno nie są to incydentalne przypadki. Bankowcy mówią nieoficjalnie, że to ryzyko jest wliczone w cenę za szybkie zakładanie kont. – Klienci sami na nas wymuszają stosowanie szybkich procedur. Jeśli nie zaoferujemy im tej usługi, to pójdą do konkurencji. A na to nie możemy sobie pozwolić – mówi anonimowo jeden z bankowców.

Na czym polega przekręt?


Oszuści umieszczają w internecie – z reguły na lokalnych portalach – ogłoszenie o pracę. Szukają testera aplikacji mobilnych, testera systemów internetowych, testera całych sklepów internetowych czy nawet systemów bankowości internetowej. Oferują pracę zdalną, dowolne godziny pracy, kandydat będzie rozliczany zadaniowo, a umowa będzie miała charakter zlecenia. Praca idealna dla studentów, którzy chcieliby sobie dorobić parę groszy. Po wstępnej rozmowie mailowej informują klienta, że nadaje się na pracownika. Proszą o przesłanie informacji osobistych, skanu dowodu osobistego oraz wykonania przelewu na 1 zł. Przelew ten ma być albo przelewem weryfikacyjnym potwierdzającym, że podane przez kandydata w formularzu zgłoszeniowym dane są prawdziwe, albo kaucją za wypożyczenie telefonu do testów.

Czytaj także: Uważajcie na takie serwisy. Podszywają się pod znane marki i szukają testerów do pracy »

Potencjalny pracownik przesyła swoje informacje oraz skan dowodu, a oszust w jego imieniu składa wniosek w banku o założenie nowego ROR-u. Żeby aktywować rachunek, należy przesłać przelew w wysokości 1 zł (tego przelewu dokona oszukany), żeby bank mógł zweryfikować, czy dane podane we wniosku są prawdziwe. W przelewie przychodzącym znajduje się bowiem imię i nazwisko klienta oraz adres jego zamieszkania. Bank wychodzi z założenia, że już inny bank zweryfikował klienta skoro założył mu konto, więc weryfikacja tożsamości przelewem przychodzącym jest wystarczająca.

Bank podaje numer rachunku, na który trzeba wysłać symboliczną złotówkę. Złodziej przekazuje ten numer rachunku potencjalnemu pracownikowi jako numer własnego konta służącego do weryfikacji tożsamości. Kandydat wysyła przelew i tym samym aktywuje konto w banku. I jednocześnie kontakt z osobą rekrutującą urywa się. Jeszcze tego samego dnia złotówka wraca na konto klienta. Od tego momentu złodziej dysponuje rachunkiem bankowym założonym na słupa. Ten rachunek może sobie wykorzystać do sklonowania następnych kont. Po kilku tygodniach kandydat zaczyna dostawać pierwsze wezwania do zapłaty wyłudzonych pożyczek lub kontaktuje się z nim policja. Konta służą bowiem złodziejom do wyłudzania pożyczek z serwisów pożyczkowych lub do przyjmowania należności za fikcyjne towary wystawiane na aukcjach internetowych. Mogą też służyć do większych przekrętów – na przyład do wprowadzania w obieg środków pochodzących z przestępstw, czyli do tzw. prania pieniędzy. Więcej o kontach na słupa pisałem TUTAJ.

ZBP wydał rekomendację w sprawie weryfikacji tożsamości


W grudniu 2013 roku Związek Banków Polskich wydał rekomendację (do użytku wewnętrznego banków), w której określił jak powinna wyglądać procedura zakładania kont za pomocą przelewu. Redakcji PRNews.pl udało się dotrzeć do tego dokumentu. Związek zalecił bankom, by w tytule przelewu znajdowała się jasna informacja o tym, że jest to zlecenie weryfikujące tożsamość w celu otwarcia konta. Za przykład podano: „Potwierdzenie tożsamości w celu zawarcia umowy rachunku bankowego w (nazwa banku).”

Fragment korespondencji z oszustem:

ZBP wyraźnie zalecił też, by w zwrotnym poleceniu przelewu przekazywać klientowi jedną z wrażliwych danych – na przykład identyfikator do zalogowania się do konta bankowego. „Dla osiągnięcia skuteczności działania tego mechanizmu niezbędne jest zapewnienie, że zwrotne polecenie przelewu stosowane będzie jako jedyny kanał przekazania klientowi wybranej danej niezbędnej do zalogowania w systemie bankowości elektronicznej. Powyższe oznacza, że określona dana (identyfikator lub jednorazowy kod aktywacyjny do rachunku bankowego) nie będzie udostępniona klientowi w jakikolwiek inny sposób, np. przez infolinię, drogą mailową, w treści umowy itp., przynajmniej do czasu pierwszego poprawnego zalogowania klienta w systemie bankowości elektronicznej” – czytamy w rekomendacji.

Dalej znajdziemy zapis, że tytuł w zwrotnym poleceniu przelewu powinien:

  • potwierdzać, że umowa rachunku bankowego została zawarta;
  • jednoznacznie wskazywać na aspekt prywatności/poufności przekazywanego w poleceniu przelewu identyfikatora lub jednorazowego kodu aktywacyjnego lub ich części np.: „Twój prywatny identyfikator to: 12345678. Potwierdzamy zawarcie przez Panią umowy rachunku bankowego z (nazwa banku)”.

W rekomendacji znajdziemy jeszcze szereg dodatkowych wskazówek. ZBP zaleca bankom, by wprowadziły ograniczenia czasowe (czyli skróciły czas ważności wniosku), by sprawdzały, czy wniosek i przelew wysyłane są z tego samego adresu IP, czy też analizowały dokładnie przypadki zakładania więcej niż jednego konta na te same dane.

Kolejne oszustwo – tym razem konto w Orange Finanse


Kilka dni temu skontaktował się ze mną kolejny poszkodowany. Oszustwo przebiegło w sposób „klasyczny”, według opisanego wyżej schematu. Kandydat wysłał przelew, a na jego dane zostało założone konto. Nie było jednak łatwo ustalić, w którym banku i czy w ogóle w banku. Numer, na który zlecił przelew, kierował do Banku Zachodniego WBK. Kiedy jednak tam się udał, okazało się, że wcale nie założono tam rachunku.

Tytuł przelewu wyglądał następująco:

XXXXX ZAW. UMOWY RACH. OFIN./PES XXXXXX/DOW. XXXXXX/NR WN. XXXXX

W placówce BZ WBK zasugerowano poszkodowanemu, by sprawdził, czy ktoś nie zaciągnął na niego pożyczki w serwisie OFIN.PL. Ten trop też okazał się błędny. Ostatecznie ustaliliśmy, że skrót OFIN. może oznaczać Orange (lub Open Finance, które też oferuje rachunki osobiste). Okazało się, że w rzeczywistości na jego dane założono ROR w Orange Finanse. Według niego tytuł tego przelewu wcale nie wskazywał, że zakłada konto w banku. Co więcej, przelew zwrotny, który wpłynął na jego konto przyszedł od spółki Blue Media tytułem „zwrot wpłaty”. Nie zawierał jasnej informacji, że chodzi o zawarcie rachunku w banku ani identyfikatora do bankowości internetowej. Dlatego nic nie wzbudziło podejrzeń świeżo upieczonego „klienta” Orange Finanse. Zresztą sam klient do końca nie wiedział, czym jest Orange Finanse.

Co ciekawe, według podobnego schematu otwierane są konta w mBanku. Tytuł przelewu wygląda tak:

XXXXX ZAW. UMOWY RACH. eKONTA/PES XXXXXX/DOW. XXXXXX/NR WN. XXXXX

Poprosiłem mBank (jednego z właścicieli podmiotu Orange Finanse) o komentarz w tej sprawie. W końcu ZBP zaleca, by tytuł przelewu wyraźnie wskazywał, że klient otwiera konto i w jakim banku. Z kolei przelew zwrotny powinien zawierać identyfikator do zalogowania się do bankowości internetowej i potwierdzenie otwarcia rachunku. Opisany powyżej przypadek świadczy o tym, że proces ten nie jest do końca rozdzielony i wszystkie wrażliwe dane przekazywane są wnioskodawcy (który niekoniecznie jest właścicielem danych osobowych) innymi kanałami – przez SMS czy e-mail. Zapytałem też o rolę Blue Media w procesie otwierania rachunków przelewem. Otrzymałem taki komentarz:

„Utrudniamy manipulowanie danymi klienta”


„Obecność pośrednika przyspiesza i uspójnia proces otwarcia rachunku. Wykorzystujemy bowiem przelew ekspresowy, który jest wykonywany z poziomu wniosku, w trakcie wypełniania go. Realizowany w standardowym trybie przelewy z innego banku trwałaby zdecydowanie dłużej. Proponowany przez nas model wymusza wręcz zakończenie całego procesu składania wniosku w kilka/kilkanaście minut. Utrudnia też manipulowanie danymi klienta. Takie informacje jak numer rachunku, odbiorca, tytuł i kwota przelewu uzupełniają się automatycznie, a klient realizuje przelew, wybierając swój dotychczasowy bank z zamkniętego katalogu dostępnych propozycji.

Istotna jest też „logistyka” tego procesu. Przelew potwierdzający dane klienta realizowany jest na numer konta, o które wnioskuje klient. Faktycznie więc tego rachunku jeszcze nie ma i – co trzeba podkreślić – jego otwarcie jest możliwe dopiero po sprawdzeniu danych klienta. W związku z tym przelew w rzeczywistości nigdy nie trafia do mBanku, a jedynie do Blue Media. Tam weryfikujemy wymagane do zawarcia umowy informacje, a Blue Media z powrotem odsyła klientowi kwotę przelewu, która jest też potwierdzeniem zawarcia umowy.

Po poprawnym wypełnieniu wniosku i stwierdzeniu, że podane w nim dane klienta są identyczne z danymi, które posiada już inny bank, klient otrzymuje SMS z pakietem aktywacyjnych, na numer telefonu podany we wniosku. Potwierdzenie otwarcia rachunku wysyłane jest również drogą mailową.”

„Danych poufnych nie chcemy wysyłać w przelewie zwrotnym”


Bank wyjaśnił mi też dlaczego nie wysyła identyfikatora w przelewie zwrotnym:

„Kolejna rekomendacja sugeruje wysyłanie danych indentyfikacyjnych klienta przelewem zwrotnym. Tutaj jednak zaznaczmy, że hasło i login klienta są danymi poufnymi, a wysłanie którejś z tych informacji w tytule przelewu może rodzić obawy, że zostaną one przejęte – trafiają bowiem do innego banku. Dlatego nie zdecydowaliśmy się teraz na wprowadzenie tego rozwiązania i postanowiliśmy poddać je dodatkowej analizie. Co jednak nie sprawia, że proces jest mniej bezpieczny.”

W tym miejscu pojawia się ciekawy wątek. Bank obawia się, że dane mogą zostać przejęte, bo trafiają do innego banku. Wygląda więc na to, że chodzi o kwestie zaufania do konkurencji. Być może bank zakłada, że inny podmiot nie dołoży wystarczających starań przy zachowywaniu poufności? Z drugiej jednak strony, mBank ufa innym bankom, że dostatecznie zweryfikowały klienta, kiedy przyjmuje od nich przelew potwierdzający tożsamość.

Nie wysyłaj przelewu na 1 zł!


Czy można mieć pretensje do oszukanych osób, że nie dochowały wystarczającej ostrożności? Dla osób zajmujących się bankowością na co dzień temat weryfikacji tożsamości przelewem jest oczywisty. Przeciętny klient banku nie ma jednak zielonego pojęcia o procedurach otwierania rachunków. Czytelnicy dziwią się, że bank jest w stanie otworzyć konto klientowi tylko za pomocą jednego przelewu, nie widząc tej osoby na oczy.

Wysłanie przelewu – zwłaszcza na tak symboliczną kwotę – wydaje się pozbawioną większego znaczenia czynnością. Większość osób skupia się na fakcie potencjalnej utraty złotówki, a nie na fakcie utraty tożsamości. Sprawę komplikuje fakt, że część podmiotów – także niebankowych – wymaga jednak od klienta przelewów weryfikujących. Takie procedury stosują przecież także firmy pożyczkowe czy Biuro Informacji Kredytowej. Niestety brakuje odpowiedniej kampanii edukacyjnej. Większość poszkodowanych dopiero po czasie dowiaduje się, że pewnym podmiotom można puszczać przelew na złotówkę, a innym nie wolno. Jednak jak na razie branża bankowa zamiata problem pod dywan.

Podobne artykuły:

Fałszywe ogłoszenia o pracę. Wyślesz przelew weryfikacyjny, zostaniesz słupem

Niebezpieczne konta. Czym grozi bycie słupem?

Lewych kont „na przelew” mogą być już tysiące

Otworzyli konto przelewem i wyłudzili 20 tys. zł. Wykorzystali wirusy?

„Sprzedam anonimowe konto bankowe” – niebezpieczny biznes kwitnie w sieci

Udostępnij: Facebook0 Twitter0 Wykop Google+ Linked in0
2015-05-22
Wojciech Boczoń

Sprawdź także:

0 Płatności Garmin Pay dla kart kredytowych w ING
10.12.2019 (15:24) – informacja prasowa

Płatności Garmin Pay dla kart kredytowych w ING

Klienci ING Banku Śląskiego mogą już korzystać z usługi Garmin Pay także płacąc kartami kredytowymi dla klientów …

0 Kultowy samochód z serialu „Knight Rider” na aukcji Mastercard dla WOŚP
10.12.2019 (14:45) – informacja prasowa

Kultowy samochód z serialu „Knight Rider” na aukcji Mastercard dla WOŚP

Mastercard już ósmy rok z rzędu angażuje się w Finał Wielkiej Orkiestry Świątecznej Pomocy, którego 28. edycja …

0 UOKiK sprawdzi, czy Allegro złamało prawo, faworyzując swój sklep internetowy
10.12.2019 (13:52) – informacja prasowa

UOKiK sprawdzi, czy Allegro złamało prawo, faworyzując swój sklep internetowy

Allegro jest zdecydowanie najpopularniejszą w Polsce platformą zakupów internetowych. Z badań przeprowadzonych w …

0 Przeciętny dłużnik czynszowy nie płaci za mieszkanie przez 3,5 roku, katowiczanie przez ponad 15 lat
10.12.2019 (10:51) – informacja prasowa

Przeciętny dłużnik czynszowy nie płaci za mieszkanie przez 3,5 roku, katowiczanie przez ponad 15 lat

Średnio przez 43 miesiące nie płaci za mieszkanie dłużnik czynszowy wpisany do Rejestru BIG InfoMonitor. Przeciętna …

0 Znasz język niemiecki? Bez problemu znajdziesz pracę
10.12.2019 (10:34) – informacja prasowa

Znasz język niemiecki? Bez problemu znajdziesz pracę

Z roku na rok na polskim rynku rośnie liczba inwestycji pochodzących z krajów niemieckojęzycznych, jednak …

0 W ciągu roku z pracą w bankowości pożegnało się ponad 5 tys. osób
Wojciech BoczońWojciech Boczoń
10.12.2019 (10:21)

W ciągu roku z pracą w bankowości pożegnało się ponad 5 tys. osób

Komisja Nadzoru Finansowego opublikowała nowe dane o sektorze bankowym. Wynika z nich, że w październiku …

Autor wpisu

Wojciech BoczońWojciech Boczoń

Redaktor prowadzący PRNews.pl, analityk Bankier.pl. Laureat nagrody dziennikarskiej im. Mariana Krzaka, nagrodzony tytułem Dziennikarza Roku przez…

Inne wpisy tego autora:
W ciągu roku z pracą w bankowości pożegnało się ponad 5 tys. osób

W ciągu roku z pracą w bankowości pożegnało się ponad 5 tys. osób

Komisja Nadzoru Finansowego opublikowała nowe dane o…

Wkrótce w Bliku pojawi się nowa funkcja – prośba o przelew

Wkrótce w Bliku pojawi się nowa funkcja – prośba o przelew

Na początku przyszłego roku pierwsze banki udostępnią…

Europa Ubezpieczenia wdroży rozwiązanie insurtech stworzone przez Boomerun

Europa Ubezpieczenia wdroży rozwiązanie insurtech stworzone przez Boomerun

Kilka dni temu pisałem o aplikacji Boomerun,…

Zobacz również

Płatność bez gotówki albo grzywna – nowy pomysł greckiego rządu

Płatność bez gotówki albo grzywna – nowy pomysł greckiego rządu

Grecy będą musieli wydawać 30 procent dochodu…

Najlepsze lokaty bankowe na 3 miesiące – grudzień 2019 [Ranking Bankier.pl]

Najlepsze lokaty bankowe na 3 miesiące – grudzień 2019 [Ranking Bankier.pl]

Lokaty kwartalne to jedne z wyżej oprocentowanych…

Ryzykowne kredyty gotówkowe – NBP ostrzega

Ryzykowne kredyty gotówkowe – NBP ostrzega

Które produkty mogą okazać się bardzo ryzykowne,…

Commerzbank chce sprzedać mBank do końca 2020 roku

Commerzbank chce sprzedać mBank do końca 2020 roku

Niemiecki Commerzbank chce sprzedać udziały w swojej…

Upadłość konsumencka – bankrutów już więcej niż 2018 r.

Upadłość konsumencka – bankrutów już więcej niż 2018 r.

Liczba ogłoszeń o upadłości konsumenckiej już w…

O tym mówią bankowcy

Ostatnie komentarze

Natalia Lisowska:

Przy rejestracji darmowego konta z kodem START50ZŁ dostaniecie 50 zł za darmo na …

wt, 10 gru 2019 (20:23) • Na polskim rynku zadebiutowała karta płatnicza Twisto

Don Q.:

Ale internetowe płatności Google Pay są porównywalne do Blik one-click, a od Blik …

wt, 10 gru 2019 (12:28) • Blika w Nest Banku w tym roku nie będzie

jakisktos:

BLIK jest idealny do płacenia w internecie, sam używam wyłącznie tej metody, w …

wt, 10 gru 2019 (12:21) • Blika w Nest Banku w tym roku nie będzie

Maciej Cz:

Brak obsługi BLIK w Nest Bank to główny powód dla którego przestałem korzystać …

wt, 10 gru 2019 (10:25) • Blika w Nest Banku w tym roku nie będzie

Wujek:

a po co komu Blik potrzebny, jak można sobie wgrywać historię rachunku z …

wt, 10 gru 2019 (09:16) • Blika w Nest Banku w tym roku nie będzie

  • Pit 36
  • 1 procent
  • Pit 11
  • Pit 39
  • Pit 8c
  • Pit 2018
  • Kalkulator brutto netto
  • Pit 28
  • Przelicznik walut
  • O nas
  • Kontakt
  • Reklama
  • Newsletter
  • Prześlij informację
  • RSS
  • zgarnijpremie.pl
Bonnier Business Polska Bankier.pl – Portal Finansowy – Rynki, Twoje finanse, Biznes PIT.pl -Podatki dla małych firm i osób fizycznych, rozliczenia roczne Systempartnerski.pl - system afiliacyjny Bankier.pl PRNews.pl - banki, karty, konta oraz marketing i public relations Mambiznes.pl - Pomysł na biznes, Własna firma, Biznes plan Dyskusja.biz - Blogi o biznesie, artykuły biznesowe Puls Biznesu pb.pl - rynek, akcje, spółka, przedsiębiorca, budżet Pulsmedycyny.pl - Portal lekarzy i pracowników służby zdrowia Pulsfarmacji.pl - Portal aptekarzy, techników i pracowników sektora farmaceutycznego
© 2008 − 2019 PRNews.pl. Korzystanie z portalu oznacza akceptację regulaminu. Informacja o cookies. Polityka prywatności

Bezpłatny newsletter PRNews.pl

  • PRNews.pl to najbardziej opiniotwórczy serwis w branży bankowej. Przekonaj się dlaczego!
  • Codziennie rano otrzymasz skrót najważniejszych informacji ze świata finansów
  • Dzięki temu będziesz zawsze wiedział o nowych produktach, promocjach i usługach bankowych, ubezpieczeniowych i inwestycyjnych
  • Aktualne wiadomości z prasy i z samych instytucji finansowych - zupełnie bezpłatnie, wprost na twoją skrzynkę mailową
Zapisz się na newsletter:

Dołącz już dziś do niemal 38 tys. odbiorców