Nieautoryzowane transakcje bankowe – nowe warianty starych metod oszustów

W ostatnich latach oszuści coraz częściej wykorzystują mechanizmy autoryzacji płatności bankowych, aby przejąć środki z kont klientów – zarówno osób prywatnych, jak i przedsiębiorców. Scenariusz jest podobny: klient nie miał zamiaru wykonać przelewu, a mimo to pieniądze znikają z konta. Bank odmawia zwrotu, powołując się na rzekome rażące niedbalstwo. Zatem jak działają oszuści i jakie stosują coraz nowsze warianty znanych metod, takich jak phishing, spoofing czy fałszywe aplikacje bankowe? Adwokat Mateusz Dudziak przedstawia najczęstsze sposoby działania przestępców oraz praktyczne wskazówki, które mogą pomóc uchronić się przed utratą pieniędzy.

W ostatnich latach lawinowo rośnie liczba oszustw wykorzystujących mechanizm autoryzacji transakcji płatniczych. Klient banku traci pieniądze z konta, mimo że nie miał zamiaru wykonania przelewu bankowego. Bank odmawia zwrotu pieniędzy, powołując się na rażące niedbalstwo klienta.

Na początek, czym jest nieautoryzowana transakcja płatnicza?

Zgodnie z ustawą o usługach płatniczych, nieautoryzowaną transakcją jest taka, która została wykonana bez zgody użytkownika rachunku bankowego. Co do zasady, bank powinien niezwłocznie zwrócić środki utracone w wyniku takiej transakcji – chyba że udowodni, że klient działał umyślnie lub dopuścił się rażącego niedbalstwa.

Oszuści stosują „pomysłowe” i wyrafinowane metody przejęcia kontroli nad kontem klienta banku i jego pieniędzmi.

Jak działają oszuści? Jakie są najczęstsze scenariusze ich ataku?

Oszuści stale wykorzystują sprawdzone przez nich modele i metody oszustów, przy czym ciągle tworzą ich nowe warianty, do których należą głównie:

PHISHING, czyli klasyka oszustwa internetowego

Przestępcy podszywają się pod znane i popularne osoby (aktorzy, sportowcy) lub firmy, a także instytucje państwowe, aby wyłudzić poufne informacje, takie jak dane do logowania w aplikacji bankowej lub na stronie www, numery kart kredytowych, kody SMS, czy dane osobowe klientów. 

W ramach PHISINGU najczęściej rozsyłane są fałszywe SMS-y, linki w wiadomościach e-mail lub linki w social mediach. Oszuści podszywają się nie tylko pod znane osoby i instytucje, takie jak banki, Urzędy Skarbowe, Urząd Ochrony Konkurencji i Konsumentów, Ministerstwo Finansów, ale także pod platformy internetowe (Allegro, Vinted, Amazon, Temu, Booking), czy też znane sieci hoteli, i stacje paliw itd. Oszuści wywierają presję czasu rzekomo z troski o twoje bezpieczeństwo oraz finanse i w tym celu proszą o kliknięcie w przesłany link rzekomo w celu:

• przeniesienia do strony banku, aby dokonać płatności, której rzekomo nie można zrobić w ramach systemu transakcyjnego, który automatycznie przekieruje do płatności w wybranym banku, np. na stronie hotelu lub sklepu internetowego;
• potwierdzenia lub aktualizacji Twoich danych osobowych w systemie bankowym;
• zweryfikowania płatności lub danych Twojej rezerwacji czy zakupu;
• anulowania Twojej rezerwacji lub zakupu z uwagi np. na problem techniczny;  
• otrzymanie przez Ciebie zwrotu podatku;
• aktualizacji Twojej aplikacji bankowej lub danych z karty płatniczej.

Wspomniana metoda ma wiele wariantów. Wspólny mianownik tego typu oszustwa, to podszycie się pod wiarygodny podmiot, w celu przejęcia Twoich danych potrzebnych do wykonania przelewu bez twojej wiedzy i zgody.

Zawsze weryfikuj u źródła, czy na pewno powinieneś otrzymać taką wiadomość lub link od firmy, instytucji lub osoby, która rzekomo do Ciebie napisała, zanim podejmiesz działania mocno sugerowane w wiadomości z linkiem. 

SPOOFING – najczęściej telefon od fałszywego „pracownika banku”

W ramach tej metody osoba, która do Ciebie dzwoni stara się maksymalnie uwiarygodnić, podając szereg danych na swój temat i banku, którego rzekomo jest pracownikiem. Oszust zadaje szczegółowe pytania, przy czym częściowo może już znać Twoje dane, pozyskane wcześniej nielegalnie z innego źródła. Oszust często wyraża troskę (sic!) o Twoje bezpieczeństwo i finanse wskazując, że działa z korzyścią dla Ciebie, w celu udaremnienia oszustwa, które w rzeczywistości sam próbuje popełnić na Twoja szkodę. Nie daj się zwieść. Banki wprowadziły już możliwość weryfikacji, czy rzeczywiście dzwoni do Ciebie pracownik banku (najczęściej w aplikacji bankowej). Korzystaj z tych udogodnień, nawet jeśli dzwoniący zarzeka się, że jest pracownikiem banku. Najważniejsze do zapamiętania. Prawdziwy pracownik banku nigdy nie poprosi Cię o podanie hasła, PIN-u, kodu SMS czy wykonania „testowego” przelewu.

SCAM czyli fałszywa „APLIKACJA BANKU” i nie tylko

Ten scenariusz staje się coraz popularniejszy. Fałszywy pracownik banku prosi klienta o zainstalowanie programu umożliwiającego zdalny dostęp do urządzenia. To pełna kontrola nad smartfonem lub komputerem – w tym nad aplikacją mobilną banku.

Co dzieje się dalej, jeśli zainstalujesz „aplikację oszusta” w swoim telefonie, np. klikając we wcześniej przesłany przez niego link do instalacji?

1. oszust loguje się na konto „ofiary”, często równolegle z nią,
2. może wówczas przechwycić prawdziwe kody SMS z banku, zatwierdzić za Ciebie transakcje płatniczą w aplikacji, zmienić limity płatności,
3. ofiara zazwyczaj nie jest świadoma, że właśnie sama umożliwiła dostęp do konta.

Jeżeli jesteś ofiarą jednego z rodzajów opisywanego oszustwa i potrzebujesz pomocy prawnej, zgłoś się do nas.

[email protected]

Zobacz też nasze inne artykułu na temat nieautoryzowanych transakcji:

1. Czy bank może odmówić zwrotu pieniędzy w przypadku kradzieży środków z konta bankowego klienta?
2. W wyniku kradzieży karty debetowej lub kredytowej i numeru PIN wina klienta nie jest oczywista – historia jednego przypadku
3. Zostałeś oszukany i straciłeś pieniądze z konta bankowego? Jakie działania powinieneś podjąć?