Znany działacz związkowy Piotr Szumlewicz stracił 10 tys. zł ze swojego konta w mBanku. Uważa, że przestępcy działali w porozumieniu z pracownikiem należącej do banku spółki córki. "To przypadek, pan Szumlewicz padł ofiarą phishingu" - odpowiada bank.
Ekspert Ogólnopolskiego Porozumienia Związków Zawodowych swoje pieniądze stracił w marcu zeszłego roku. - Zadzwonił do mnie pracownik mBanku z propozycją nowej karty kredytowej. Zgodziłem się, a chwilę później dostałem maila z prośbą o zalogowanie się i zmianę parametrów na moim koncie. Zrobiłem to - wspomina.
Okazało się jednak, że mail pochodził od złodziei. Szumlewicz złapał się na tzw. phishing. W tej metodzie oszust w mailach podszywa się pod zaufaną instytucję lub osobę i próbuje wyłudzić dane. Robi to na kilka sposobów. Jeden z nich to przekierowanie na podrobioną stronę internetową (np. właśnie banku), na której ofiara ma się zalogować.
Złodzieje mając dane Szumlewicza, zalogowali się na jego konto i dokonali dwóch operacji.
Bank instaluje aplikacje bez pytania?
Zwiększyli limit wypłat z bankomatu do 10 tys. zł i zmienili numer telefonu w systemie, tak że od tej pory powiadomienia przychodziły do nich.
Szumlewicz zaś obie te operacje zatwierdził, przekonany, że dostaje SMS-y potwierdzające aktywację nowej karty.
Dalej już było prosto. Złodzieje pobiegli do bankomatu, by wypłacać pieniądze. W sumie 10 tys. zł. Jak to zrobili bez karty? W mBanku, aby wybrać pieniądze, wystarczy wpisać w bankomacie specjalny kod przychodzący na telefon komórkowy. To tzw. usługa BLIK.
Piotr Szumlewicz - choć świadom, że dał się nabrać przez złodziei - zarzuca mBankowi kilka rzeczy. Po pierwsze to, że bank zainstalował na jego koncie usługę BLIK, nie informując go o tym. Temu bank zaprzecza, pokazując jako dowód kilka komunikatów informujących o wprowadzeniu nowej usługi.
Po drugie to, że przez kilka tygodni po fakcie bank twierdził, że wcale nie dzwonił w dniu kradzieży z propozycją nowej karty kredytowej. - Ale gdy wyraziłem zgodę na sprawdzenie moich połączeń przez policję, mBank przyznał, że jednak dzwonił do mnie pracownik firmy... zaprzyjaźnionej z mBankiem. Jednocześnie przez ponad trzy miesiące nie przekazali informacji, z którego bankomatu złodzieje dokonali kradzieży. Całość wskazuje na współpracę mBanku z przestępcami, brak ochrony danych osobowych i instalowanie ważnych usług bez informowania klienta - rzuca mocne oskarżenia Szumlewicz.
mBank: To zbieg okoliczności
Krzysztof Olszewski, rzecznik prasowy mBanku, przekonuje, że zarzuty nie są prawdziwe.
Owszem, bank nie wiedział o telefonie w sprawie karty kredytowej, bo wykonał go nie jego pracownik, lecz spółki Aspiro należącej do grupy banku. Oferuje ona produkty finansowe kilku różnych banków.
- Pracownik weryfikujący zgłoszenie klienta sprawdził wyłącznie połączenia wychodzące z bankowego centrum obsługi, nie weryfikując, czy za tym telefonem nie stał doradca z placówki banku lub przedstawiciel spółki Aspiro. Ale twierdzenie, że reprezentant banku współpracował z przestępcami jest zbyt daleko posunięte. W tym wypadku doszło bowiem do nieszczęśliwego zbiegu okoliczności - mówi Olszewski.
Możliwe jest więc, że mail od oszustów zbiegł się w czasie z telefonem od współpracownika banku.
Błąd klienta polegał na tym, że nieświadomie potwierdził dokonywane przez złodziei operacje kodami, które dostał w SMS-ach. - A przypominam, że w SMS-ie autoryzacyjnym bank przesyła nie tylko kod, ale także opis transakcji, aby klient miał pewność, że operacja, którą nim potwierdza jest tą, którą rzeczywiście chciał wykonać. Jeśli bowiem przestępca nie przejął też kontroli nad telefonem klienta, to nie może operacji potwierdzić - mówi Olszewski. I dodaje, że spółka Aspiro może przetwarzać dane osobowe klientów mBanku dopiero za zgodą tego klienta. Tak było w tym przypadku.
Sprawa na policji
Piotr Szumlewicz złożył skargę do Komisji Nadzoru Finansowego, Urzędu Ochrony Konkurencji i Konsumentów, Biura Rzecznika Finansowego i Federacji Konsumentów. - W razie konieczności zamierzam też wystąpić na drogę sądową. Moim celem jest oczywiście odzyskanie pieniędzy, ale też ukaranie mBanku za brak ochrony danych osobowych klientów oraz instalowanie ważnych aplikacji bez zgody ani nawet poinformowania o nich klientów. Czas też na zmianę procedur w polskim systemie bankowym tak, aby klienci byli bardziej chronieni - mówi działacz związkowy.
I choć sam nie jest bez winy, wcale nie stoi na przegranej pozycji. Zaledwie trzy miesiące temu sąd w Łodzi wydał dwa wyroki nakazujące zwrot klientom wszystkich straconych pieniędzy w podobnej - choć nie identycznej - historii. Tam dwoje klientów złapało się na phishing, ale nieświadomie pozwoliło też przestępcom wkraść się do swych telefonów. W efekcie jedna osoba straciła 139 tys. zł, druga - 88 tys. zł. I też chodziło wtedy o mBank.
Źródło:
//wyborcza.biz/biznes/1,147879,20246766,piotr-szumlewicz-ofiara-phishingu-w-mbanku-bank-to-przypadek.html
Komentarze (295)
najlepsze
Komentarz usunięty przez moderatora
"Warto zwiększyć kwotę wolną od podatku, żeby ci biedni zarabiali więcej na rękę, a zarazem radykalnie podwyższyć podatki bogatym. Dzięki temu wzrosną wpływy do budżetu i poprawi się jakość edukacji, służby zdrowia czy infrastruktury. Zyski najbogatszych Polaków są przeznaczane na luksusową konsumpcję za granicą lub na oszczędności. Budżet kraju nic z tego nie ma. Zabierzmy tym ludziom pieniądze i zwiększmy popyt wewnętrzny.
Nie uważa pan, że to zwykła kradzież?
Komentarz usunięty przez moderatora
@Nicolai: No tak, ale nie zmienia to faktu, że dla hakera łatwiej jest wyciągnąć hasło od takiego szumiego, niż złamać zabezpieczenia banku. O tym, czy były to randomy z internetu zobaczymy jeżeli uda ich się złapać.
Bogaci rodzice, bezstresowe wychowanie, zero dni przepracowanych w życiu, poczucie wyższości i na koniec wszystko posypane szczyptą Koranu dla lewaków czyli Marks, Engels oraz pomniejsze szmatławce Lenina.