Phishing, vishing, spoofing

czyli uwaga na oszustów internetowych

Phishing

Phishing jest jedną z form fałszerstwa komputerowego. Wskazana metoda oszustwa polega podszywaniu się przez przestępcę pod inną osobę lub instytucję w celu wyłudzenia określonych informacji (np. danych logowania się, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań.

Oszuści, np. za pośrednictwem portali sprzedażowych (typu olx/vinted)  wysyłają wiadomości do potencjalnych klientów banku z prośbą o adres poczty mailowej/numer telefonu i pozostała korespondencja odbywa się zazwyczaj już poza aplikacją sprzedażową. Następnie oszuści w kolejnych wiadomościach załączają link, który należy „kliknąć” by zrealizować transakcję zakupu danej rzeczy. Kliknięcie we wskazany link powoduje, że użytkownik zostaje przekierowany na stronę internetową hakera, która formą graficzną łudząco przypomina oficjalną stronę banku. Ofiara phishingu proszona jest o weryfikację danych (podanie hasła, loginu, numerów PIN, haseł jednorazowych), dzięki którym cyberprzestępca może uzyskać dostęp do środków finansowych zgromadzonych na prawdziwym koncie klienta. (A. Kiedrowicz-Wywiał, Pharming i jego penalizacja, Prok. i Pr. 2011/6, s. 24–25).

Vishing

Vishing jest przestępstwem podobnym do phishingu opartym również na inżynierii społecznej. Przestępcy stosujący metodę vishingu w rozmowie telefonicznej starają się wzbudzić zaufanie klienta banku, aby później wyciągnąć jak najwięcej poufnych danych lub uzyskać dostęp do konta. Oszuści wykorzystują często przy tym tzw. „spoofing”, czyli podszywanie się pod kogoś lub pod coś w celu uzyskania informacji. Dlatego połączenia telefoniczne mogą pozornie wydawać się prawdziwe, bo na telefonie wyświetla się inny numer niż ten, z którego dzwoni przestępca, np. numer bliskiego członka rodziny lub osoby z grona najbliższych przyjaciół.

Padłeś ofiarą oszustwa – co robić?

Czy w przypadku, gdy padłeś ofiarą jednego z ww. metod oszustwa są jakiekolwiek szanse na odzyskanie pieniędzy? Ofiara phishingu powinna niezwłocznie powiadomić bank o stwierdzonych nieautoryzowanych transakcjach płatniczych, zastrzec kartę, zgłosić organom ściągania podejrzenie popełnienia przestępstwa oszustwa oraz złożyć w banku reklamację w związku z dokonaniem nieautoryzowanych transakcji płatniczych. Bank w większości przypadków odmawia uwzględniania złożonych przez klientów reklamacji, gdyż z poziomu banku wszystko przebiegło prawidłowo: nastąpiło prawidłowe zalogowanie do bankowości internetowej przy użyciu loginu i hasła, a następnie przelew został prawidłowo zatwierdzony kodem SMS. Polskie prawo daje jednak możliwości uzyskania przez płatnika zwrotu kwot nieautoryzowanych przez niego transakcji.

Zasady odpowiedzialności dostawcy oraz płatnika w przypadku wystąpienia nieautoryzowanych transakcji ustawodawca ustala w art. 46 ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych W świetle ust. 1 w przypadku wystąpienia nieautoryzowanych transakcji dostawca jest zobowiązany do zwrotu płatnikowi kwoty nieautoryzowanej transakcji niezwłocznie. Podstawowa zasada wskazuje więc obowiązek zwrotu przez dostawcę kwot nieautoryzowanych transakcji.

Należy zwrócić uwagę, że ciężar udowodnienia, że transakcja była autoryzowana przez użytkownika, ciąży na banku, czyli na profesjonaliście, nawet jeśli to użytkownik występuje z roszczeniem, twierdząc, że nie on autoryzował transakcji. Innymi słowy – to nie osoba poszkodowana ma udowadniać, że nie autoryzowała transakcji, w wyniku których straciła środki finansowe, lecz to bank ma udowodnić fakt autoryzacji transakcji przez użytkownika.

Ofiary phishingu mogą wygrać zatem z bankiem w przypadku nieuwzględnienia reklamacji, jednak aby to zrobić warto oddać sprawy w ręce prawnika, który będzie reprezentował poszkodowanych na drodze sądowej.