Tak kradną tożsamość ofiary

Wojciech Boczoń, PRNews.pl
24-05-2015, 08:25

Kradzieże tożsamości klientów za pomocą przelewu weryfikacyjnego na 1 zł to prawdziwa plaga. Zgłosił się do nas kolejny czytelnik, na którego dane założono konto. Tym razem w Orange Finanse. Nie zorientował się, że padł ofiarą oszustwa, bo nie wczytał się w tytuł przelewu. Ale czy to tylko jego wina?

Od czasu publikacji w "Polityce" artykułu na mój temat ("Elektro Zorro"), zgłasza się do mnie jeszcze więcej osób, które padły ofiarą oszustów wyłudzających dane osobowe. Najczęściej są to ofiary "przelewu weryfikacyjnego na 1 zł". Na ich dane osobowe zakładane są konta osobiste, które później służą do wyłudzania pożyczek. Branża bankowa bagatelizuje ten temat i nie zamierza zrezygnować z usługi. Trudno jest oszacować skalę zjawiska, ale na pewno nie są to incydentalne przypadki. Bankowcy mówią nieoficjalnie, że to ryzyko jest wliczone w cenę za szybkie zakładanie kont. - Klienci sami na nas wymuszają stosowanie szybkich procedur. Jeśli nie zaoferujemy im tej usługi, to pójdą do konkurencji. A na to nie możemy sobie pozwolić - mówi anonimowo jeden z bankowców.

 Na czym polega przekręt?

 Oszuści umieszczają w internecie - z reguły na lokalnych portalach - ogłoszenie o pracę. Szukają testera aplikacji mobilnych, testera systemów internetowych, testera całych sklepów internetowych czy nawet systemów bankowości internetowej. Oferują pracę zdalną, dowolne godziny pracy, kandydat będzie rozliczany zadaniowo, a umowa będzie miała charakter zlecenia. Praca idealna dla studentów, którzy chcieliby sobie dorobić parę groszy. Po wstępnej rozmowie mailowej informują klienta, że nadaje się na pracownika. Proszą o przesłanie informacji osobistych, skanu dowodu osobistego oraz wykonania przelewu na 1 zł. Przelew ten ma być albo przelewem weryfikacyjnym potwierdzającym, że podane przez kandydata w formularzu zgłoszeniowym dane są prawdziwe albo kaucją za wypożyczenie telefonu do testów.

Potencjalny pracownik przesyła swoje informacje oraz skan dowodu, a oszust w jego imieniu składa wniosek w banku o założenie nowego ROR. Żeby aktywować rachunek, należy przesłać przelew w wysokości 1 zł (tego przelewu dokona oszukany), żeby bank mógł zweryfikować, czy dane podane we wniosku są prawdziwe. W przelewie przychodzącym znajduje się bowiem imię i nazwisko klienta oraz adres jego zamieszkania. Bank wychodzi z założenia, że już inny bank zweryfikował klienta skoro założył mu konto, więc weryfikacja tożsamości przelewem przychodzącym jest wystarczająca.

 Bank podaje numer rachunku, na który trzeba wysłać symboliczną złotówkę. Złodziej przekazuje ten numer rachunku potencjalnemu pracownikowi jako numer własnego konta służącego do weryfikacji tożsamości. Kandydat wysyła przelew i tym samym aktywuje konto w banku. I jednocześnie kontakt z osobą rekrutującą urywa się. Jeszcze tego samego dnia złotówka wraca na konto klienta. Od tego momentu złodziej dysponuje rachunkiem bankowym założonym na słupa. Ten rachunek może sobie wykorzystać do sklonowania następnych kont. Po kilku tygodniach kandydat zaczyna dostawać pierwsze wezwania do zapłaty wyłudzonych pożyczek lub kontaktuje się z nim policja.

 ZBP wydał rekomendację w sprawie weryfikacji tożsamości

W grudniu 2013 roku Związek Banków Polskich wydał rekomendację (do użytku wewnętrznego banków), w której określił, jak powinna wyglądać procedura zakładania kont za pomocą przelewu. Redakcji PRNews.pl udało się dotrzeć do tego dokumentu. Związek zalecił bankom, by w tytule przelewu znajdowała się jasna informacja o tym, że jest to zlecenie weryfikujące tożsamość w celu otwarcia konta. Za przykład podano: "Potwierdzenie tożsamości w celu zawarcia umowy rachunku bankowego w (nazwa banku)."

 ZBP wyraźnie zalecił też, by w zwrotnym poleceniu przelewu przekazywać klientowi jedną z wrażliwych danych - na przykład identyfikator do zalogowania się do konta bankowego. "Dla osiągnięcia skuteczności działania tego mechanizmu niezbędne jest zapewnienie, że zwrotne

polecenie przelewu stosowane będzie jako jedyny kanał przekazania klientowi wybranej danej niezbędnej do zalogowania w systemie bankowości elektronicznej. Powyższe oznacza, że określona dana (identyfikator lub jednorazowy kod aktywacyjny do rachunku bankowego) nie będzie udostępniona klientowi w jakikolwiek inny sposób np. przez infolinię, drogą mailową, w treści umowy itp. przynajmniej do czasu pierwszego poprawnego zalogowania klienta w systemie bankowości elektronicznej" - czytamy w rekomendacji.

 Dalej znajdziemy zapis, że tytuł w zwrotnym poleceniu przelewu powinien:

- potwierdzać, że umowa rachunku bankowego została zawarta;

- jednoznacznie wskazywać na aspekt prywatności/poufności przekazywanego w poleceniu

przelewu identyfikatora lub jednorazowego kodu aktywacyjnego lub ich części np.: "Twój prywatny identyfikator to: 12345678. Potwierdzamy zawarcie przez Panią umowy rachunku bankowego z (nazwa banku)."

W rekomendacji znajdziemy jeszcze szereg dodatkowych wskazówek. ZBP zaleca bankom, by wprowadziły ograniczenia czasowe (czyli skróciły czas ważności wniosku), by sprawdzały, czy wniosek i przelew wysyłane są z tego samego adresu IP, czy też analizowały dokładnie przypadki zakładania więcej niż jednego konta na te same dane.

Kolejne oszustwo - tym razem konto w Orange Finanse

Kilka dni temu skontaktował się ze mną kolejny poszkodowany. Oszustwo przebiegło w sposób "klasyczny", według opisanego wyżej schematu. Kandydat wysłał przelew, a na jego dane zostało założone konto. Nie było jednak łatwo ustalić, w którym banku i czy w ogóle w banku. Numer, na który zlecił przelew, kierował do Banku Zachodniego WBK. Kiedy jednak tam się udał, okazało się, że wcale nie założono tam rachunku.

 Tytuł przelewu wyglądał następująco:

XXXXX ZAW. UMOWY RACH. OFIN./PES XXXXXX/DOW. XXXXXX/NR WN. XXXXX

 W placówce BZ WBK zasugerowano poszkodowanemu, by sprawdził, czy ktoś nie zaciągnął na niego pożyczki w serwisie OFIN.PL. Ten trop też okazał się błędny. Ostatecznie ustaliliśmy, że skrót OFIN. może oznaczać Orange Finanse (lub Open Finance, które też oferuje rachunki osobiste). Okazało się, że w rzeczywistości na jego dane założono ROR w Orange Finanse. Według niego tytuł tego przelewu wcale nie wskazywał, że zakłada konto w banku. Co więcej, przelew zwrotny, który wpłynął na jego konto przyszedł od spółki Blue Media tytułem "zwrot wpłaty". Nie zawierał jasnej informacji, że chodzi o zawarcie rachunku w banku ani identyfikatora do bankowości internetowej. Dlatego nic nie wzbudziło podejrzeń świeżo upieczonego "klienta" Orange Finanse. Zresztą sam klient do końca nie wiedział, czym jest Orange Finanse.

 Co ciekawe, według podobnego schematu otwierane są konta w mBanku. Tytuł przelewu wygląda tak:

XXXXX ZAW. UMOWY RACH. eKONTA/PES XXXXXX/DOW. XXXXXX/NR WN. XXXXX

Poprosiłem mBank (jednego z właścicieli podmiotu Orange Finanse) o komentarz w tej sprawie. W końcu ZBP zaleca, by tytuł przelewu wyraźnie wskazywał, że klient otwiera konto i w jakim banku. Z kolei przelew zwrotny powinien zawierać identyfikator do zalogowania się do bankowości internetowej i potwierdzenie otwarcia rachunku. Opisany powyżej przypadek świadczy o tym, że proces ten nie jest do końca rozdzielony i wszystkie wrażliwe dane przekazywane są wnioskodawcy (który niekoniecznie jest właścicielem danych osobowych) innymi kanałami - przez SMS czy e-mail. Zapytałem też o rolę Blue Media w procesie otwierania rachunków przelewem. Otrzymałem taki komentarz:

"Utrudniamy manipulowanie danymi klienta"

 "Obecność pośrednika przyspiesza i uspójnia proces otwarcia rachunku. Wykorzystujemy bowiem przelew ekspresowy, który jest wykonywany z poziomu wniosku, w trakcie wypełniania go. Realizowany w standardowym trybie przelewy z innego banku trwałaby zdecydowanie dłużej. Proponowany przez nas model wymusza wręcz zakończenie całego procesu składania wniosku w kilka/kilkanaście minut. Utrudnia też manipulowanie danymi klienta. Takie informacje, jak numer rachunku, odbiorca, tytuł i kwota przelewu uzupełniają się automatycznie, a klient realizuje przelew, wybierając swój dotychczasowy bank z zamkniętego katalogu dostępnych propozycji.

 Istotna jest też "logistyka" tego procesu. Przelew potwierdzający dane klienta realizowany jest na numer konta, o które wnioskuje klient. Faktycznie więc tego rachunku jeszcze nie ma i - co trzeba podkreślić - jego otwarcie jest możliwe dopiero po sprawdzeniu danych klienta. W związku z tym przelew w rzeczywistości nigdy nie trafia do mBanku, a jedynie do Blue Media. Tam weryfikujemy wymagane do zawarcia umowy informacje, a Blue Media z powrotem odsyła klientowi kwotę przelewu, która jest też potwierdzeniem zawarcia umowy.

 Po poprawnym wypełnieniu wniosku i stwierdzeniu, że podane w nim dane klienta są identyczne z danymi, które posiada już inny bank, klient otrzymuje SMS z pakietem aktywacyjnych, na numer telefonu podany we wniosku. Potwierdzenie otwarcia rachunku wysyłane jest również drogą mailową."

"Danych poufnych nie chcemy wysyłać w przelewie zwrotnym"

Bank wyjaśnił mi też dlaczego nie wysyła identyfikatora w przelewie zwrotnym:

"Kolejna rekomendacja sugeruje wysyłanie danych indentyfikacyjnych klienta przelewem zwrotnym. Tutaj jednak zaznaczmy, że hasło i login klienta są danymi poufnymi, a wysłanie którejś z tych informacji w tytule przelewu może rodzić obawy, że zostaną one przejęte - trafiają bowiem do innego banku. Dlatego nie zdecydowaliśmy się teraz na wprowadzenie tego rozwiązania i postanowiliśmy poddać je dodatkowej analizie. Co jednak nie sprawia, że proces jest mniej bezpieczny."

W tym miejscu pojawia się ciekawy wątek. Bank obawia się, że dane mogą zostać przejęte, bo trafiają do innego banku. Wygląda więc na to, że chodzi o kwestie zaufania do konkurencji. Być może bank zakłada, że inny podmiot nie dołoży wystarczających starań przy zachowywaniu poufności? Z drugiej jednak strony, mBank ufa innym bankom, że dostatecznie zweryfikowały klienta, kiedy przyjmuje od nich przelew potwierdzający tożsamość.

Nie wysyłaj przelewu na 1 zł!!

Czy można mieć pretensje do oszukanych osób, że nie dochowały wystarczającej ostrożności? Dla osób zajmujących się bankowością na co dzień temat weryfikacji tożsamości przelewem jest oczywisty. Przeciętny klient banku nie ma jednak zielonego pojęcia o procedurach otwierania rachunków. Czytelnicy dziwią się, że bank jest w stanie otworzyć konto klientowi tylko za pomocą jednego przelewu, nie widząc tej osoby na oczy.

 Wysłanie przelewu - zwłaszcza na tak symboliczną kwotę - wydaje się pozbawioną większego znaczenia czynnością. Większość osób skupia się na fakcie potencjalnej utraty złotówki, a nie na fakcie utraty tożsamości. Sprawę komplikuje fakt, że część podmiotów - także niebankowych - wymaga jednak od klienta przelewów weryfikujących. Takie procedury stosują przecież także firmy pożyczkowe czy Biuro Informacji Kredytowej. Niestety brakuje odpowiedniej kampanii edukacyjnej. Większość poszkodowanych dopiero po czasie dowiaduje się, że pewnym podmiotom można puszczać przelew na złotówkę, a innym nie wolno. Jednak jak na razie branża bankowa zamiata problem pod dywan.

Więcej tekstów Wojciecha Boczonia >> 

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Wojciech Boczoń, PRNews.pl

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Banki / Tak kradną tożsamość ofiary