Klientka ING straciła 10 tys. złotych. Przestępcy podszyli się pod firmę kurierską
Pani Katarzyna straciła 10 tysięcy złotych w wyniku ataku phishingowego. Dostała SMS-a z informacją o niezbędnej dopłacie do przesyłki. Nie zwlekała i stwierdziła, że musi zapłacić. Następnego dnia okazało się, że był to fatalny błąd.
W wiadomości padła kwota 1,49 zł, a z konta zniknęło aż 10 tysięcy. Oszuści przysłali kobiecie SMS z prośbą o uiszczenie płatności, podszywając się pod firmę kurierską. To znany powszechnie przypadek ataku phishingowego. Wiadomość zawierała link do fałszywej bramki płatności, z której przeszła do fałszywej witryny banku.
Kobieta nie chciała zwlekać z płatnością, bo jak sama mówi, nie lubi mieć zaległości. Takich ofiar właśnie szukają przestępcy. Szybko otworzyła stronę i zalogowała się na niej. Wówczas przestępcy uzyskali już dostęp do jej danych bankowych. Następnie, jak relacjonuje klientka ING, mieli zalogować się na jej konto i zmienić przypisany do niego numer telefonu.
"W trakcie całej operacji zalogowałam się do swojego konta w banku, ale nie mogłam dokonać przelewu. Pomyślałam, że może na stronie prowadzone są jakieś prace serwisowe. Odłożyłam telefon. Rano próbowałam ponowić przelew, ale link, który dostałam na telefon, już nie działał. Po południu zadzwonił do mnie mąż. Zdziwiony zapytał, po co mi było 10 tys. zł, które wypłaciłam" - mówi pani Katarzyna dla Gazety Wyborczej.
To wszystko brzmi dość chaotycznie i nierealnie, ponieważ aby zalogować się na konto, musieli uzyskać dostęp do kodu potwierdzającego logowanie z nieznanego źródła, który przesyłany jest poprzez SMS. Tego samego potrzebowali też, aby zmienić numer telefonu przypisany do konta. Kiedy kobieta zgłosiła sprawę w banku, właśnie taką otrzymała odpowiedź. Przestępcy wykorzystali dostęp do konta, aby wypłacić z bankomatu we Wrocławiu 10 tysięcy złotych. Wybrali placówkę, w której nie było żadnych kamer.
Na pierwszy numer telefonu powinna otrzymać SMS z kodem potwierdzającym zmianę przypisanego numeru. Należy go wpisać w formularzu na stronie banku. Kobieta zaprzecza, jakoby dostała jakikolwiek SMS potwierdzający taki proces. Prawdopodobnie jej smartfon musiał być zainfekowany złośliwym oprogramowaniem, które przechwytywało wiadomości SMS i ukrywało je przez właścicielką.
Sprawa trafiła do sądu, gdyż bank nie widzi swojej winy tej sytuacji i nie ma zamiaru oddać kobiecie pieniędzy. Klientka sądzi natomiast, że zawiniła instytucja. ING odpowiada na to: "bank nie ma podstaw do zwrotu pieniędzy w przypadkach, gdy klient przekazał innej osobie dane dostępowe do konta, aplikacji mobilnej i numer PESEL".
