Znany działacz związkowy Piotr Szumlewicz stracił 10 tys. zł ze swojego konta w mBanku. Uważa, że przestępcy działali w porozumieniu z pracownikiem należącej do banku spółki córki. "To przypadek, pan Szumlewicz padł ofiarą phishingu" - odpowiada bank.
Ekspert Ogólnopolskiego Porozumienia Związków Zawodowych swoje pieniądze stracił w marcu zeszłego roku. - Zadzwonił do mnie pracownik mBanku z propozycją nowej karty kredytowej. Zgodziłem się, a chwilę później dostałem maila z prośbą o zalogowanie się i zmianę parametrów na moim koncie. Zrobiłem to - wspomina.
Okazało się jednak, że mail pochodził od złodziei. Szumlewicz złapał się na tzw. phishing. W tej metodzie oszust w mailach podszywa się pod zaufaną instytucję lub osobę i próbuje wyłudzić dane. Robi to na kilka sposobów. Jeden z nich to przekierowanie na podrobioną stronę internetową (np. właśnie banku), na której ofiara ma się zalogować.
Złodzieje mając dane Szumlewicza, zalogowali się na jego konto i dokonali dwóch operacji.
Bank instaluje aplikacje bez pytania?
Zwiększyli limit wypłat z bankomatu do 10 tys. zł i zmienili numer telefonu w systemie, tak że od tej pory powiadomienia przychodziły do nich.
Szumlewicz zaś obie te operacje zatwierdził, przekonany, że dostaje SMS-y potwierdzające aktywację nowej karty.
Dalej już było prosto. Złodzieje pobiegli do bankomatu, by wypłacać pieniądze. W sumie 10 tys. zł. Jak to zrobili bez karty? W mBanku, aby wybrać pieniądze, wystarczy wpisać w bankomacie specjalny kod przychodzący na telefon komórkowy. To tzw. usługa BLIK.
Piotr Szumlewicz - choć świadom, że dał się nabrać przez złodziei - zarzuca mBankowi kilka rzeczy. Po pierwsze to, że bank zainstalował na jego koncie usługę BLIK, nie informując go o tym. Temu bank zaprzecza, pokazując jako dowód kilka komunikatów informujących o wprowadzeniu nowej usługi.
Po drugie to, że przez kilka tygodni po fakcie bank twierdził, że wcale nie dzwonił w dniu kradzieży z propozycją nowej karty kredytowej. - Ale gdy wyraziłem zgodę na sprawdzenie moich połączeń przez policję, mBank przyznał, że jednak dzwonił do mnie pracownik firmy... zaprzyjaźnionej z mBankiem. Jednocześnie przez ponad trzy miesiące nie przekazali informacji, z którego bankomatu złodzieje dokonali kradzieży. Całość wskazuje na współpracę mBanku z przestępcami, brak ochrony danych osobowych i instalowanie ważnych usług bez informowania klienta - rzuca mocne oskarżenia Szumlewicz.
mBank: To zbieg okoliczności
Krzysztof Olszewski, rzecznik prasowy mBanku, przekonuje, że zarzuty nie są prawdziwe.
Owszem, bank nie wiedział o telefonie w sprawie karty kredytowej, bo wykonał go nie jego pracownik, lecz spółki Aspiro należącej do grupy banku. Oferuje ona produkty finansowe kilku różnych banków.
- Pracownik weryfikujący zgłoszenie klienta sprawdził wyłącznie połączenia wychodzące z bankowego centrum obsługi, nie weryfikując, czy za tym telefonem nie stał doradca z placówki banku lub przedstawiciel spółki Aspiro. Ale twierdzenie, że reprezentant banku współpracował z przestępcami jest zbyt daleko posunięte. W tym wypadku doszło bowiem do nieszczęśliwego zbiegu okoliczności - mówi Olszewski.
Możliwe jest więc, że mail od oszustów zbiegł się w czasie z telefonem od współpracownika banku.
Błąd klienta polegał na tym, że nieświadomie potwierdził dokonywane przez złodziei operacje kodami, które dostał w SMS-ach. - A przypominam, że w SMS-ie autoryzacyjnym bank przesyła nie tylko kod, ale także opis transakcji, aby klient miał pewność, że operacja, którą nim potwierdza jest tą, którą rzeczywiście chciał wykonać. Jeśli bowiem przestępca nie przejął też kontroli nad telefonem klienta, to nie może operacji potwierdzić - mówi Olszewski. I dodaje, że spółka Aspiro może przetwarzać dane osobowe klientów mBanku dopiero za zgodą tego klienta. Tak było w tym przypadku.
Sprawa na policji
Piotr Szumlewicz złożył skargę do Komisji Nadzoru Finansowego, Urzędu Ochrony Konkurencji i Konsumentów, Biura Rzecznika Finansowego i Federacji Konsumentów. - W razie konieczności zamierzam też wystąpić na drogę sądową. Moim celem jest oczywiście odzyskanie pieniędzy, ale też ukaranie mBanku za brak ochrony danych osobowych klientów oraz instalowanie ważnych aplikacji bez zgody ani nawet poinformowania o nich klientów. Czas też na zmianę procedur w polskim systemie bankowym tak, aby klienci byli bardziej chronieni - mówi działacz związkowy.
I choć sam nie jest bez winy, wcale nie stoi na przegranej pozycji. Zaledwie trzy miesiące temu sąd w Łodzi wydał dwa wyroki nakazujące zwrot klientom wszystkich straconych pieniędzy w podobnej - choć nie identycznej - historii. Tam dwoje klientów złapało się na phishing, ale nieświadomie pozwoliło też przestępcom wkraść się do swych telefonów. W efekcie jedna osoba straciła 139 tys. zł, druga - 88 tys. zł. I też chodziło wtedy o mBank.
Źródło:
//wyborcza.biz/biznes/1,147879,20246766,piotr-szumlewicz-ofiara-phishingu-w-mbanku-bank-to-przypadek.html
Komentarze (295)
najlepsze
Więc wolę zdecydowanie żebyś się bał z uwagi na istnienie policji, więzienia i ogólnie przyjętych konsekwencji, niż żebym musiał ów strach osobiście ci wpoić.
Tylko niektóre rzeczy w ową wolność ingerują w sposób który akceptuję, więc dobrowolnie na jej ograniczanie przystaję.
Komentarz usunięty przez moderatora
#2 Nie używaj usług których działania nie rozumiesz
I jeszcze jedno pytanie: czy poza hasłem do serwisu transakcyjnego oraz hasłami SMS oferujecie jakieś inne zabezpieczenia?
Np. jakieś tokeny? cokolwiek?
A co, miał krzyknąć " CHCĄCEMU NIE DZIEJE SIĘ KRZYWDA" i wrócić do akademika z siatką piw jak wykopek po nieudanej randce, gdzie nawet za kolano nie złapał??? i na mirko się wyżalić???
Co w tym jego działaniu jest za lewackość? Czekam na odpowiedź. Korzysta z przysługujących mu uprawnień i stara