Hakerzy okradli klientów PKO BP. Podmienili numery kont zdefiniowanym odbiorcom

analityk Bankier.pl

Nowy sposób ataku na klientów e-bankowości: złodziej kradnie dane dostępowe do systemu bankowości internetowej, po czym podmienia numery rachunków odbiorców zdefiniowanych. Klient dalej realizuje przelewy, autoryzując zlecenia na podmienione rachunki zdrapką lub SMS-em.

Skontaktował się z nami przedsiębiorca, klient banku PKO BP, który padł ofiarą hakera w systemie bankowości internetowej. Atak był nietypowy, bo złodziej wykorzystał nieuwagę posiadacza rachunku i podmienił dane rachunków zdefiniowanych, czyli określonych już wcześniej w systemie. Sprawa miała miejsce w czerwcu bieżącego roku. Jak wynika z danych prokuratury prowadzącej śledztwo, atak nie był incydentalnym przypadkiem. O podobnych przypadkach poinformowali także inni poszkodowani, a ataki miały miejsce od sierpnia 2012 roku do czerwca 2013 roku.

Jak wyglądał atak? Złodziej pozyskał dane do logowania na konto przedsiębiorcy. Poszkodowany podejrzewa, że na jego komputerze został zainstalowany program szpiegujący, który podsłuchał login i hasło do systemu iPKO. Przyznaje jednak, że logował się do konta także za pośrednictwem ogólnodostępnych sieci WiFi. Bank w ramach systemu iPKO stosuje weryfikację opartą na stałym loginie i pełnym haśle dostępu (nie wymaga pojedynczych znaków).

Bank nie wymaga autoryzacji przy zmienianiu danych

Z samym loginem i hasłem złodziej niewiele mógł zrobić, bo przelewy wychodzące autoryzowane są kodem ze zdrapki lub SMS-em. PKO BP nie wymaga natomiast autoryzacji przy dokonywaniu zmian w danych odbiorców zdefiniowanych. W wielu bankach taka operacja standardowo jest zatwierdzana kodem SMS. Złodziej wykorzystując nielegalnie zdobyte dane, zalogował się do konta i podmienił numery kont kontrahentów współpracujących z firmą na własny numer rachunku bankowego.

Posiadacz rachunku dalej rozliczał się z kontrahentami, wysyłając w rzeczywistości pieniądze złodziejowi. Dopiero po kilku dniach, kiedy kontrahenci upomnieli się o należności za zaległe faktury, sprawa wyszła na jaw. W ten sposób wyprowadzono z konta 86 tys. zł.

Bank: wina klienta, nie przestrzegał zasad

Klient złożył reklamację w banku, jednak nie została ona uznana. PKO BP argumentuje, że to przedsiębiorca nie dochował zasad bezpiecznego korzystania z bankowości internetowej, a zlecane przelewy autoryzował własnoręcznie.

- W tej konkretnej sprawie kradzież środków, możliwa dzięki uzyskaniu a następnie posłużeniu się danymi do logowania do serwisu transakcyjnego przez osoby trzecie, była wynikiem nieprzestrzegania zasad bezpieczeństwa przez klienta - mówi Aneta Styrnik-Chaber z biura prasowego PKO Banku Polskiego. - W tej sprawie nie było żadnej winy Banku. Weryfikacja poprawności danych realizowanego przelewu przed jego wysłaniem, w tym numeru konta odbiorcy, należy do klienta. Potwierdził on dane zlecanego przelewu indywidualnym narzędziem autoryzacyjnym - dodaje.

- Od dawna ostrzegamy - podobnie jak inne banki - przez logowaniem do konta poprzez publicznie dostępne sieci internetowe w przypadkowych miejscach, czy na innym niż własny sprzęcie komputerowym z aktualnym oprogramowaniem antywirusowym. Klient został poinformowany jak powinien zabezpieczyć się na przyszłość przed podobnymi próbami kradzieży i doradziliśmy mu zgłoszenie sprawy organom ścigania, tak jak zrobił to Bank składając zawiadomienie o podejrzeniu popełnienia przestępstwa - dodaje Aneta Styrnik-Chaber.

Poszkodowany: wina banku, pozwolił zmieniać dane

Z decyzją nie zgadza się okradziony klient. Zarzuca bankowi, że nie wymaga autoryzacji przy zmianie danych odbiorców zdefiniowanych w systemie. Ma także pretensje, że bank nie stosuje hasła maskowanego do systemu bankowości internetowej. Klient uważa, że instytucja powinna zwrócić skradzione pieniądze. Bank ripostuje, że to klient nie dochował zasad bezpiecznego korzystania z bankowości internetowej.

- Klient miał możliwość zweryfikowania poprawności danych przelewów przed ich ostatecznym zatwierdzeniem narzędziem autoryzacji z drugiego poziomu - odpowiada biuro prasowe PKO BP.

- Warto pamiętać, że po zalogowaniu się do serwisu transakcyjnego, klient otrzymuje informację o terminie ostatniego logowania, a zatem pojawienie się informacji o logowaniach, których nie dokonywał, powinno wzbudzić jego czujność i spowodować kontakt z bankiem.

Nie udało nam się jednak uzyskać odpowiedzi na pytanie, czy systemy zabezpieczeń banku nie wychwyciły, że klient realizuje płatności do różnych odbiorców (różne nazwiska i dane adresowe), ale na jeden numer rachunku.

Sprawa utknęła w miejscu. Prokuratura ustaliła sprawcę kradzieży, ale postępowanie zostało zawieszone, bo złodziej zniknął. "Czynności zmierzające do ustalenia aktualnego miejsca pobytu podejrzanego, w tym poszukiwania w innych sprawach listem gończym, okazały się bezskuteczne" - napisano w uzasadnieniu.

Wojciech Boczoń

Wojciech Boczoń

Źródło:
Tematy: konta

Newsletter Bankier.pl

Przeczytaj też

Poznaj atrakcyjny pakiet lokowania kapitału.
Brak produktów powiązanych
Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 1 ~Magda

wiadomo coś na temat tego, jaki jest wynik sprawy sądowej opisywanej w artykule ? Czy przedsiębiorcy udało się wygrać ?

! Odpowiedz
0 0 ~janek

IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 15 stycznia 2015 r.

Sąd Rejonowy dla Warszawy Śródmieścia Wydział I Cywilny

w składzie następującym:

Przewodniczący: SSR Adam Mitkiewicz

Protokolant: Karolina Sobczuk

po rozpoznaniu w dniu 15 stycznia 2015 r. w Warszawie

na rozprawie

sprawy z powództwa T. A. (1)

przeciwko Bankowi (...) S.A. z siedzibą w W.

o zapłatę

1. Zasądza od pozwanego Banku (...) S.A. z siedzibą w W. na rzecz powoda T. A. (1) kwotę (...) (dziewiętnaście tysięcy dziewięćset siedemdziesiąt cztery) złotych wraz z ustawowymi odsetkami od dnia 2.06.2014r. do dnia zapłaty

2. Zasądza od pozwanego Banku (...) S.A. z siedzibą w W. na rzecz powoda T. A. (1) kwotę (...) (trzy tysiące czterysta szesnaście) złotych tytułem kosztów procesu.

Sygn. akt I C 2504/14
UZASADNIENIE

Pozwem z dnia 2.06.2014 r. powód T. A. (1) wniósł przeciwko Bankowi (...) S.A. o zapłatę kwoty 19.974, 00 zł wraz z odsetkami od dnia wniesienia pozwu do dnia zapłaty, a także o zasądzenie na jego rzecz kosztów procesu.

W uzasadnieniu powód wskazał, że posiada rachunek bankowy w pozwanym banku, z którego w dniu 2.12.2013 r. dokonano przelewu kwoty 19.974, 00 zł na nieznany powodowi rachunek. Powód nigdy nie zlecał dokonania takiego przelewu, jak i go nie autoryzował. Pomimo złożenia telefonicznej reklamacji nieautoryzowanej transakcji oraz pisemnego wezwania do zwrotu kwoty nieautoryzowanej transakcji żądana kwota nie została zwrócona. Pozwany oświadczył bowiem, że w jego ocenie wykonanie przelewu przez osoby nieuprawnione było wynikiem zainstalowania przez powoda złośliwego oprogramowania (k. 1-4).

W odpowiedzi na pozew pozwany wniósł o oddalenie powództwa oraz zasądzenie na jego rzecz kosztów procesu. Podniósł, że klienci banku za pomocą strony internetowej banku są informowani o zagrożeniach związanych z niebezpiecznym oprogramowaniem. Tożsama informacja znajduje się na stronie logowania do serwisu bankowości elektronicznej (C. O.). W ocenie pozwanego osoba, która chce sobie przypisać należytą staranność powinna zapoznać się z udostępnionymi jej informacjami i potraktować je z należytą powagą. Zaniechanie temu nie zwalnia jej z odpowiedzialności związanej ze szkodami wynikłymi z nieprzestrzegania zlekceważonych zasad. Pozwanemu nie można przy tym przypisać winy (odpowiedź na pozew – k. 29 - 41).

Sąd ustalił następujący stan faktyczny:

W dniu 25.11.2013 r. pomiędzy T. A. (1), a Bankiem (...) S.A. zawarta umowa rachunków bankowych, o elektroniczne instrumenty płatnicze oraz o korzystanie z kanałów bankowości elektronicznej (umowa – k. 7-8).

Po zawarciu ww. umowy T. A. (2) postanowił zainstalować w telefonie komórkowym aplikację obsługującą bankowość mobilną. W tym celu skorzystał z odnośnika do adresu internetowego znajdującego się na stronie Banku (...) S.A., zostając automatycznie przekierowany na stronę G. P., gdzie znajdowała się przedmiotowa aplikacja. Po pobraniu aplikacji na ekranie telefonu wyświetliła się informacja o braku możliwości ukończenia instalacji bez wybrania odpowiedniej funkcji. W związku z powyższym T. A. (1) uruchomił wskazaną funkcję, zaś instalacja aplikacji została ukończona (okoliczności bezsporne).

W dniu 2.12.2013 r. z rachunku T. A. (1) został dokonany przelew na kwotę 19.974, 00 zł na nr konta (...), tytułem (...) 02/12/13. Jako odbiorca przelewu wskazana została E. P. (potwierdzenie zrealizowania przelewu – k. 9). T. A. (1) nie zlecał wykonania przedmiotowego przelewu, ani go nie autoryzował (okoliczność bezsporna).

O powyższym zdarzeniu T. A. (1) telefonicznie powiadomił Bank (...) S.A. (bezsporne; nagranie rozmowy telefonicznej – k. 144).

W dniu 6.12.2013 r. T. A. (1) wezwał Bank (...) S.A. do przywrócenia jego rachunku bankowego o numerze (...) do stanu sprzed nieautoryzowanej transakcji polegającej na przelaniu z tego rachunku w dniu 2.12.2013 r. kwoty 19.974, 00 zł, w terminie do dnia 20.12.2013 r. wskazując, iż nigdy nie zlecał takiej transakcji, ani jej nie autoryzował (wezwanie – k. 12-13).

Pismem z dnia 4.03.2014 r. Bank (...) S.A. poinformował T. A. (1), iż wykonanie przelewu w dniu 2.12.2013 r. przez osoby nieuprawnione było wynikiem zainstalowania przez niego złośliwego oprogramowania na telefonie komórkowym. Tymczasem, bank nie monitoruje aktywności klientów w sieci, jak i oprogramowania instalowanego przez klienta. Pomimo ostrzeżeń znajdujących się na stronie internetowej banku i bez potwierdzenia, że dana operacja jest wymagana przez bank, klient zdecydował się na zainstalowanie złośliwego oprogramowania, które to działanie w efekcie umożliwiło przestępcom zalogowanie się do serwisu bankowości internetowej i dokonanie przelewu (pismo – k. 10-11).

Powyższy stan faktyczny Sąd ustalił na podstawie dołączonych do akt sprawy i wskazanych dokumentów, których prawdziwość i wiarygodność nie budziła wątpliwości Sądu i nie była kwestionowana przez żadną ze stron postępowania, a także na podstawie zeznań świadka K. K.. Sąd dał wiarę ww. zeznaniom, jednakże w świetle okoliczności niniejszej sprawy zeznania te nie miały istotnego znaczenia dla jej rozstrzygnięcia. Świadek przedstawił bowiem jedynie ogólny zarys mechanizmów działania osób dokonujących bezprawnych działań, których celem jest uzyskanie dostępu do rachunku bankowego innej osoby.

Sąd oddalił wniosek o dopuszczenie dowodu z zeznań świadka M. G., albowiem okoliczności, na które został powołany wymieniony dowód, tj. reklamacja złożona przez powoda, przyczyny reklamacji, opisane przez powoda okoliczności towarzyszące nieautoryzowanemu przelewowi, zostały już dostatecznie wyjaśnione za pomocą zgromadzonych w aktach sprawy dokumentów, a dowód z przesłuchania M. G. nie mógł prowadzić do ustalenia nowych istotnych w sprawie okoliczności.

Sąd oddalił nadto wniosek pozwanego o dopuszczenie dowodu z opinii biegłego na wskazane okoliczności. W ocenie Sądu przeprowadzenie tego dowodu było niemożliwe z uwagi na fakt, iż jak wynikało z materiału dowodowego zgromadzonego w sprawie wszystkie dane z komputera oraz telefonu powoda zostały już usunięte, urządzenia te zostały sformatowane, brak więc materiału do dokonania jakichkolwiek ustaleń.

Sąd zważył co następuje:

Powództwo, jako zasadne, zasługiwało na uwzględnienie w całości.

W toku niniejszego postępowania powód dochodził od pozwanego zapłaty kwoty 19.974, 00 zł wskazując, iż w dniu 2.12.2013 r. dokonano z jego rachunku drogą elektroniczną przelewu na nieznany mu rachunek. Podnosił, iż nigdy nie zlecał dokonania takiego przelewu, jak i go nie autoryzował. W sprawie bezsporne pozostawały przy tym takie okoliczności jak dokonanie w dniu 2.12.2013 r. przelewu z konta powoda ww. kwoty oraz okoliczność, iż przelew ten został dokonany wskutek internetowego oszustwa, tj. przez osoby trzecie, bez wiedzy i zgody strony powodowej. Pozwany kwestionował zaś powództwo już co do samej zasady wskazując, iż powód był informowany o zagrożeniach związanych z bankowością elektroniczną - pomimo powyższego zlekceważył zasady bezpieczeństwa, nie zachował należytej ostrożności celem uchronienia się od działań podejmowanych przez hakerów komputerowych.

Wskazać należy, iż kwestie takie jak warunki świadczenia usług płatniczych, w szczególności dotyczące przejrzystości postanowień umownych i wymogów w zakresie informowania o usługach płatniczych, prawa i obowiązki stron wynikające z umów o świadczenie usług płatniczych, a także zakres odpowiedzialności dostawców z tytułu wykonywania usług płatniczych reguluje ustawa z dnia 19.08.2011 r. o usługach płatniczych. W myśl art. 2 pkt 29 powołanej ustawy za transakcję płatniczą uważa się zainicjowaną przez płatnika lub odbiorcę wpłatę, transfer lub wypłatę środków pieniężnych. W myśl zaś art. 40 ust 1 ustawy transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem, a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych.

Stosownie do art. 42 ust.1 ustawy o usługach płatniczych użytkownik uprawniony do korzystania z instrumentu płatniczego jest obowiązany: korzystać z instrumentu płatniczego zgodnie z umową ramową (pkt 1) oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu (pkt 2). Ust. 2 tej regulacji stanowi, że w celu spełnienia obowiązku, o którym mowa w ust. 1 pkt 1, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. Zgodnie zaś z art. 46 ust. 1 ww. ustawy z zastrzeżeniem art. 44 ust. 2, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika jest obowiązany niezwłocznie zwrócić płatnikowi kwotę nieautoryzowanej transakcji płatniczej, a w przypadku gdy płatnik korzysta z rachunku płatniczego, przywrócić obciążony rachunek płatniczy do stanu, jaki istniałby, gdyby nie miała miejsca nieautoryzowana transakcja płatnicza. Ust. 2 wskazanej regulacji zawiera jednak pewne ograniczenia w zakresie odpowiedzialności płatnika. Mianowicie wskazuje, że płatnik odpowiada za nieautoryzowane transakcje płatnicze do wysokości równowartości w walucie polskiej 150 euro, ustalonej przy zastosowaniu kursu średniego ogłaszanego przez NBP obowiązującego w dniu wykonania transakcji, jeżeli nieautoryzowana transakcja jest skutkiem posłużenia się utraconym przez płatnika albo skradzionym płatnikowi instrumentem płatniczym (pkt 1) lub przywłaszczenia instrumentu płatniczego lub jego nieuprawnionego użycia w wyniku naruszenia przez płatnika obowiązku, o którym mowa w art. 42 ust. 2 (pkt 2). Nadto, zgodnie z art. 46 ust. 3 ww. ustawy płatnik odpowiada za nieautoryzowane transakcje płatnicze w pełnej wysokości, jeżeli doprowadził do nich umyślnie albo w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia co najmniej jednego z obowiązków, o których mowa w art. 42. Po dokonaniu zgłoszenia zgodnie z art. 42 ust. 1 pkt 2 płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że płatnik doprowadził umyślnie do nieautoryzowanej transakcji (art. 46 ust. 4). Jeżeli dostawca, wbrew obowiązkowi, o którym mowa w art. 43 ust. 1 pkt 3, nie zapewnia odpowiednich środków umożliwiających dokonanie w każdym czasie zgłoszenia, o którym mowa w art. 42 ust. 1 pkt 2, płatnik nie odpowiada za nieautoryzowane transakcje płatnicze, chyba że doprowadził umyślnie do nieautoryzowanej transakcji (art. 46 ust. 5). W myśl zaś art. 46 ust. 6 przepisów ust. 1-5 nie stosuje się do pieniądza elektronicznego, jeżeli dostawca płatnika nie ma możliwości zablokowania instrumentu płatniczego lub rachunku płatniczego.

Odnosząc powyższe do realiów niniejszej sprawy w ocenie Sądu w przedmiotowym wypadku nie zaszły okoliczności ograniczające, ani wyłączające odpowiedzialność banku z tytułu wystąpienia nieautoryzowanej transakcji płatniczej i w konsekwencji poniesienia szkody przez T. A. (1). Wskazać należy w pierwszej kolejności, że art. 46 ust. 2 ustawy w ogóle nie ma zastosowania do zaistniałego stanu faktycznego, albowiem mowa w nim o instrumencie płatniczym, który został utracony lub skradziony, bądź też gdy transakcja jest skutkiem jego przywłaszczenia lub nieuprawnionego użycia, wskutek naruszenia obowiązku, o którym mowa w art. 42 ust. 2. Wskazać przy tym należy, iż w przedmiotowym wypadku nie doszło do zaniechania obowiązku przechowywania instrumentu płatniczego z zachowaniem należytej staranności, którą to przesłankę jak trafnie wskazywał pozwany odnosić należy do materialnych instrumentów płatniczych, jak i powód nie udostępnił instrumentu płatniczego (w niniejszym wypadku rozumianego jako zbiór procedur wykorzystywany do złożenia zlecenia płatniczego – art. 2 pkt 10) osobom nieuprawnionym - zlecenie płatnicze nastąpiło bowiem bez zgody użytkownika. W toku postępowania pozwany podnosił jednak, iż katalog przewidziany w art. 42 ust. 2 ustawy ma charakter jedynie przykładowy, zaś dla oceny odpowiedzialności płatnika decydujące jest, czy dane zachowanie może być uznane za zaniechanie co do podjęcia niezbędnych środków służących zapobieżeniu naruszeniu indywidualnych zabezpieczeń instrumentu płatniczego. Nadto do przypisania powodowi odpowiedzialności za zdarzenie w postaci wykonania nieautoryzowanej transakcji płatniczej niezbędne jest wykazanie, że zaniechanie nastąpiło na skutek winy umyślnej lub rażącego niedbalstwa. Sąd podziela ww. stanowisko, które wynika zresztą wprost z przepisów art. 42 ust. 2 i art. 46 ust. 3 ustawy.

Pokaż cały komentarz ! Odpowiedz
0 2 ~Ads

Pamiętaj o kasie

! Odpowiedz
1 0 ~Autor

Hfgbb

! Odpowiedz
0 1 ~Ryszard

sprawdzaj konto to nie będziesz płakał

! Odpowiedz
1 0 ~patryk

41187010452078117094060001

! Odpowiedz
1 2 ~Patryk

alior t-mobile usługi bankowe 41187010452078117094060001jeszcze raz podaję wam numer konta hakera bo nie wiedzieć czemu nawet teraz kiedy próbuję Wam go wysłać zmienia mi się automatycznie na inny. Chyba mi coś zainstalował na moim komputerze (robaka)

! Odpowiedz
1 1 ~Patryk

Proszę o pomoc kogoś kto zna się na tym. Mianowicie dziś tj.03.09.2014r padłem ofiarą podobnego przypadku j.w. w płatności online PKOBP inteligo. Dokonałem czterech przelewów, które przy wysyłaniu zostały przekierowane na inne konto niż zadysponowałem (konto hakera to 94249010440000420072927206) Straciłem prawie 3000zł. Gdzie to zgłosić i jak odzyskać pieniądze?

Pokaż cały komentarz ! Odpowiedz
0 3 ~MichalF

A co bankowi szkodzi kazać potwierdzić zmianę danych kodem (tak jak np w mBanku i pewnie wielu innych)? Czasem jak widzię zachowanie "specjalistów" od zabezpieczeń w bankach to mnie podcina. Moja żona z ING robiła przelewy. Raz po podaniu hasła przysłali drugie i kazali wpisać!!! nie wiem o co biega, ale jak ktoś by miał jej telefon i wpisał jedno hasło, to drugie bez problemu też by wklepał.
Ale co lepsze przy innym przelewie na większą kwotę nie chciał hasła w ogóle! Poszedłem do banku i się pytam o co biega, a pani mi odpowiada, ŻE ONI TAK MAJĄ!
TRAGEDIA A NIE BANK!

Pokaż cały komentarz ! Odpowiedz
2 1 ~spoko

Jak się płaci nie sprawdzając komu to takie są efekty. Podobnie jest z wysyłanymi podróbkami faktur na abonamenty, czynsze lub usługi stałe. Trzeba być czujnym i każdego podejrzewać o oszustwo tak jak robią to ludzie w USA czy Izraelu. Tam tego uczą w szkołach no i jeszcze na kogo głosować. Jaki kraj taka edukacja.

! Odpowiedz

Księgarnia Bankier.pl

Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego Zasady wywierania wpływu na ludzi. Szkoła Cialdiniego ilustracje: Andrzej Mleczko, Robert B. Cialdini Cena: 34,90 zł  Zamów książkę

Znajdź nas na Facebooku

Zapisz się na bezpłatny newsletter Bankier.pl