Złośliwa aplikacja i wyczyszczone konto. Nasi czytelnicy kontra mBank w sądzie

Złośliwa aplikacja i wyczyszczone konto. Nasi czytelnicy kontra mBank w sądzie07.02.2019 12:47
Kradzież pieniędzy z konta to nie koniec nieprzyjemności

Kilkanaście minut wystarczyło złodziejom, by z konta żony naszego czytelnika „wyciągnąć” ponad 69 tys. zł. Bank zapewnia, że w niczym nie zawinił i pieniędzy nie ma zamiaru oddawać.

-To była połowa wakacji, lipiec. Zadzwonił do nas konsultant z pytaniem, czy w ostatnim czasie wykonywaliśmy przelewy na duże kwoty. W ten sposób dowiedzieliśmy się z żoną Magdą, że została okradziona – mówi pan Paweł.

Jak się okazało, wszystko za sprawą złośliwej aplikacji na smartfonie pani Magdaleny. Wirus nie tylko przejął jej login i hasło do konta w mBanku, ale też jednorazowe kody SMS-owe do potwierdzania transakcji.

Konsultant, gdy usłyszał, że to pomyłka, na prośbę właścicielki zablokował kwotę, która była jeszcze dostępna na koncie oszusta. Była godz.16:46. 20 minut wcześniej z konta pani Magdaleny wyszedł pierwszy przelew, po 10 minutach – kolejny. W sumie na ponad 69 tys. zł.

Fałszywa aplikacja, o której mBank ostrzegał w ubiegłe wakacje, źródło: mBank.
Fałszywa aplikacja, o której mBank ostrzegał w ubiegłe wakacje, źródło: mBank.

Gdy w krótkim czasie z konta klienta wychodzą tak duże przelewy, systemy bankowe widzą to i alarmują konsultantów. A ci dzwonią do klienta, by upewnić się, że wszystko jest w porządku.

Tym razem jednak reakcja nie była błyskawiczna. Gdy mBank próbował się skontaktować, smartfon pani Magdaleny akurat aktualizował oprogramowanie. Te kilkanaście minut było kluczowe.-Gdy bank do nas zadzwonił, żona zażądała blokady wszystkich przelewów, ale okazało się, że jest za późno. Udało się zatrzymać tylko część skradzionych pieniędzy – opowiada pan Paweł. Część, czyli 25 tys. zł. Resztę – 44 tys. zł złodziej zdążył wybrać w gotówce z bankomatów.

mBank twierdzi, że rozmowa przebiegła inaczej. -Zweryfikowaliśmy zapis rozmowy z klientem – w jej trakcie nie deklarowaliśmy możliwości zablokowania przelewów. Po kilku godzinach od zdarzenia nie mieliśmy już takiej możliwości – tłumaczy rzecznik prasowy mBanku, Krzysztof Olszewski.

I dodaje: -W zależności od okoliczności zdarzenia, często to bank pierwszy podejmuje kontakt z klientem. System zadziałał również w opisywanej sprawie – dzięki temu, udało się odzyskać część środków.

Zero śladów w smartfonie

Jednak według pana Pawła to za mało. -Konsultant zaproponował, by przywrócić smartfon do ustawień fabrycznych – opowiada. Po zablokowaniu dostępu do konta jest to dla banku niezbędny krok, by móc rozpocząć procedurę ponownego nadania dostępu właścicielowi. To standardowe podejście w sytuacji, gdy wcześniej dostęp do konta został utracony właśnie w wyniku instalacji fałszywej aplikacji. Wyczyszczenie urządzenia siłą rzeczy sprawi, że wszystkie szkodliwe programy z niego znikną.

Jednak reset smartfona to także usunięcie jakichkolwiek śladów przestępstwa, a więc sprzęt dla policji nie może być dowodem w sprawie. Zdaniem naszego czytelnika, konsultanci mBanku wykazali się w tym zakresie ignorancją i jedyne informacje, jakich udzielili, były związane właśnie z procedurą odblokowania konta.

Podróbki aplikacji to częste przypadki szczególnie w przypadku Androida. Powyżej przykład fałszywej aplikacji Banku Zachodniego WBK, źródło: ESET.
Podróbki aplikacji to częste przypadki szczególnie w przypadku Androida. Powyżej przykład fałszywej aplikacji Banku Zachodniego WBK, źródło: ESET.

-Zgodnie z procedurą banku, gdy klient dzwoni w sprawach związanych z bezpieczeństwem, przekazujemy mu instrukcje, jak pozbyć się złośliwego oprogramowania z urządzenia oraz jak odblokować dostęp do bankowości elektronicznej. Podkreślamy jednak: „Proszę upewnić się czy policja nie chce zabezpieczyć Pani/Pana sprzętów w aktualnym stanie […]”, uzasadniając, że sprzęty te mogą zawierać materiał dowodowy. – tłumaczy Krzysztof Olszewski.

”Rażące niedbalstwo” na wokandzie

Sprawa trafiła już do sądu. Do tej pory na konto pani Magdaleny wróciło zaledwie 25 tys. zł. Wszystko wskazuje na to, że odzyskanie pozostałej kwoty może się ciągnąć przez kolejne miesiące: -Policja nie może znaleźć właściciela rachunku, na który zostały przelane skradzione pieniądze, a dochodzenie prokuratury zostało zawieszone – kwituje sprawę nasz czytelnik.

mBank natomiast nie planuje oddać straconych pieniędzy, zasłaniając się przepisami i dopatrując w działaniach klientki niedostatecznej ostrożności. „Na podstawie art. 46 ust. 3 Ustawy o usługach płatniczych nie mamy obowiązku zwrotu środków jeżeli sytuacja jest wynikiem rażącego niedbalstwa” – cytuje korespondencję z bankiem pan Paweł.

Oprócz sprawy w sądzie, nasi czytelnicy złożyli także skargę w Komisji Nadzoru Finansowego.

Fałszywe aplikacje – jak chronić swój login i hasło?

Aby uniknąć podobnej sytuacji, warto rozważnie korzystać z mobilnej bankowości. Jak sugeruje mBank, wszystko wskazuje na to, że w tym przypadku problem pojawił się już na etapie instalacji aplikacji. Podobnie, jak w opisywanym pół roku temu przypadku, oszustom udało się stworzyć program, który skutecznie wykradł od użytkownika login i hasło, a następnie, korzystając z uprawnień do odczytu SMS-ów, okazał się być wystarczający, by pomóc przestępcom zdobyć pieniądze.

Zlecenie przelewu w mBanku w bankowości mobilnej, istotne w kontekście innego ataku z 2018 roku, źródło: Niebezpiecznik.
Zlecenie przelewu w mBanku w bankowości mobilnej, istotne w kontekście innego ataku z 2018 roku, źródło: Niebezpiecznik.

By zapobiec podobnym sytuacjom w przyszłości, warto przestrzegać co najmniej kilku podstawowych zasad bezpieczeństwa. Warto więc nie decydować się na instalację aplikacji z niezaufanych źródeł, gdzie nie przechodzą przez kontrole bezpieczeństwa, a podczas czytania wiadomości e-mail warto wykazać się rozwagą. Klikanie w podejrzane linki może prowadzić do przekierowania na stronę spreparowaną przez oszustów lub skończyć się pobraniem złośliwego oprogramowania na komputer.

Odrębną kwestią pozostaje uważne czytanie SMS-ów z kodami potwierdzającymi, które są nieodłączną częścią takiego sposobu potwierdzania operacji bankowych. To często ostatni moment, kiedy klient może jeszcze powstrzymać ewentualną kradzież. Przed przepisaniem kodu zabezpieczającego warto więc każdorazowo dokładnie sprawdzić numer konta odbiorcy, kwotę i wreszcie rodzaj operacji. Oszuści często bazują na machinalnym przepisywaniu kodów przez użytkowników, którzy mogą przeoczyć, iż w rzeczywistości na przykład potwierdzają dodanie nowego zaufanego odbiorcy, zamiast wykonywać zaplanowany przelew.

Należy pamiętać, że to tylko jeden ze sposobów na zdobycie pieniędzy. Dzisiaj coraz częściej mamy do czynienia z atakami wykorzystującymi fałszywe wiadomości SMS wzywające odbiorcę do dokonania przelewu na niewielką kwotę, często nawet niespełna złotówkę. Nieświadomy zagrożenia użytkownik decyduje się skorzystać z zamieszczonego w takiej wiadomości łącza, w efekcie trafiając na stronę łudząco podobną do autentycznej. Na tym etapie nie podejrzewa więc, że wpadł właśnie w zasadzkę przestępców, a wpisywane dane logowania w rzeczywistości przekazuje właśnie im.

Zdarzyła Ci się podobna sytuacja? Napisz do nas na redakcja@dobreprogramy.pl.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na