Gdy karta leży w szufladzie a pieniądze znikają z konta

To była jedna z najbardziej zuchwałych kradzieży elektronicznych w historii. Przedsiębiorca z woj. śląskiego w ciągu czterech godzin stracił 360 tysięcy złotych. Pieniądze wyprowadzono na portal gier hazardowych zarejestrowany na Malcie. Oszuści zaatakowali w nocy. Po raz pierwszy o godzinie 0.17. Posługując się numerem karty płatniczej oraz kodem zabezpieczającym CVC (znajduje się na odwrocie karty) najpierw przelali 500 złotych. Gdy zauważyli, że w systemie nie włącza się żaden alarm i nikt nie blokuje karty, przelali 2 tys. złotych, potem kolejne 2 tys. zł. W ten sposób sondowali, na ile mogą sobie pozwolić. Potem zwiększali kwoty do 10 tys., a w końcu przelewali po 51 tys. złotych. Do godziny 4.21 okradli przedsiębiorcę na łączną kwotę 360 tysięcy złotych. Ten o wszystkim dowiedział się dopiero rano. Złodzieje dokonali transakcji za pomocą konta założonego na portalu betsafe.com przez fikcyjną osobę. Z oczywistych względów policja swoje podejrzenia zwróciła m.in. na właściciela firmy, który informując o przestępstwie, mógł próbować zataić, że przegrał olbrzymie pieniądze. Ale szybko okazało się, że to fałszywy trop. Nielegalnych transakcji dokonano z komputera, który łączył się z internetem w salonie Toyoty w Warszawie. Nie był to jednak któryś ze stacjonarnych, firmowych komputerów, tylko laptop, którego podłączono do sieci wi-fi. Śledczy tłumaczyli się później, że wskutek tego nie mogli zidentyfikować właściciela komputera.

Niestety, nie zadziałało wiele zabezpieczeń. Wcześniej bank za każdym razem, gdy dochodziło do powtarzalnych transakcji, dzwonił z pytaniem, czy dysponent pieniędzy faktycznie gdzieś je przelewa. Tym razem nikt nie zadzwonił.

Zbiegiem okoliczności wyłączona była także usługa, która na noc blokuje pieniądze, przelewając je na specjalną, bezpieczną tymczasową lokatę. Prawo bankowe umożliwia bankowi blokadę pieniędzy na rachunku do 72 godzin, jeśli podejrzewa, że mogą mieć związek z przestępstwem. Tym razem jednak tak się nie stało. Mało tego, pieniądze nie „poszły” od razu na Maltę. Poranna zmiana w banku najpierw musiała wyrazić zgodę na przelewy. Zrobiono to, zanim właściciel firmy zdążył zaalarmować bank o oszustwie.

Ten przykład pokazuje, że wirtualne kradzieże prawdziwych pieniędzy mogą się zdarzać nawet wtedy, gdy istnieje cały system zabezpieczeń. - Przestępcy cały czas odkrywają coraz to nowe sposoby na dokonywanie internetowych przestępstw - przyznaje Wojciech Jagoda, informatyk z Kędzierzyna-Koźla.

W internecie okradną nas z pieniędzy, a nawet ubrań

Każdego roku banki wyłapują około 100 tysięcy prób wyłudzeń kredytów na podstawie cudzych danych. Czasami przestępcy przechwytują nasze nagie zdjęcia. W sieci miejmy się na baczności. Kilka miesięcy temu ktoś przejął nagie zdjęcia użytkowników popularnego portalu erotycznego.

W połowie sierpnia Ministerstwo Cyfryzacji poinformowało Agencję Bezpieczeństwa Wewnętrznego, że coś niepokojącego dzieje się przy pobieraniu danych obywateli z bazy numerów PESEL. Podejrzenia specjalistów wzbudziła nie tylko znaczna liczba tych zapytań, ale również fakt, że były one wysyłane w nocy.

- Po analizie aktywności kancelarii okazało się, że pięć z nich pobiera znaczne liczby danych. Mowa jest o danych ok. 1,4 mln obywateli - tłumaczy Karol Manys, rzecznik prasowy Ministerstwa Cyfryzacji. - O sprawie zostały poinformowane organy ścigania. Na tej podstawie prokuratura wspólnie z ABW podjęła czynności w kilku kancelariach komorniczych. Chodzi o to, by wyjaśnić, co było powodem tak dużej liczby zapytań.

Mówią, że to nie był atak, chociaż sprawa jest zagadkowa

Przez kilka dni media alarmowały, że mogło dojść do niekontrolowanego wycieku danych, a nawet ataku hakerskiego. Ministerstwo Cyfryzacji zapewnia jednak, że nie ma powodów do paniki. Wiadomo bowiem, skąd dokładnie pochodziły zapytania i kogo konkretnie dotyczyły. - Dostęp do bazy PESEL mają tylko ściśle określone, uprawnione do tego podmioty - tłumaczy rzecznik. - Kancelarie komornicze są na tej liście. Ich łączenia z bazą odbywają się wyłącznie poprzez wydzielone od sieci internetu łącza.

Swoje zaniepokojenie całą sprawą wyraziła Krajowa Rada Komornicza. - W oczekiwaniu na wyniki prowadzonego w sprawie postępowania organy samorządu wdrożyły własne procedury sprawdzające - tłumaczy Monika Janus, rzecznik KRK. - Krajowa Rada Komornicza wystąpiła między innymi do producenta oprogramowania do obsługi kancelarii komorniczych o audyt bezpieczeństwa systemów informatycznych wykorzystywanych do pozyskiwania danych z systemu PESELNET oraz skierowała do Ministerstwa Cyfryzacji pismo z prośbą o niezwłoczne powołanie specjalnego zespołu, który przyczyni się do jak najszybszego wyjaśnienia wszystkich okoliczności tej sprawy. Organy samorządu komorniczego pozostają także w stałym kontakcie z Ministerstwem Sprawiedliwości, które sprawuje nadzór nad działalnością komorników sądowych w Polsce.
Rada przypomniała także, że komornicy sądowi mają prawo występować do różnego rodzaju instytucji o udzielenie wyjaśnień niezbędnych do prowadzenia egzekucji, w tym również uprawnieni pozostają do korzystania z systemu PESELNET. Komornicy pozyskują niezbędne dane najczęściej drogą elektroniczną, bo jest to najtańsze i najszybsze. KRK zapewnia jednak, że dostęp do danych drogą elektroniczną odbywa się na ściśle ustalonych zasadach, które są bardzo rygorystyczne pod względem bezpieczeństwa.

Sprawa jest wyjaśniana i faktycznie chyba nie ma powodów do paniki, ale miliony Polaków miało prawo się wystraszyć, że za niedługo ktoś każe im np. spłacać pożyczki, których nigdy nie zaciągali. PESELE wraz z informacją o dacie i miejscu urodzenia oraz numerze dowodu osobistego wystarczą bowiem do tego, aby wziąć kredyt przez internet albo kupić drogi telefon.
W takiej sytuacji znalazł się między innymi pan Piotr z Kędzierzyna-Koźla. Nie wie, w jaki sposób ktoś wszedł w posiadanie jego danych. - Być może znalazł na śmietniku jakiś dokument, który wyrzuciłem, nie podarłszy go wcześniej. A może to jakiś nieuczciwy pracownik jakiegoś banku? Nie wiem - rozkłada ręce.

W jego przypadku doszło do wyłudzenia niewielkiego na szczęście kredytu o wysokości 1200 złotych. O tym, że ma do oddania taką kwotę wraz z odsetkami i różnymi opłatami dodatkowymi (w sumie to 2,2 tysiąca złotych), dowiedział się dopiero wtedy, gdy doszło do wszczęcia postępowania egzekucyjnego. Okazało się, że korespondencja firmy pożyczkowej wysyłana była na przypadkowy adres i zapewne trafiała do kosza. Pan Piotr o tym, że nie spłaca kredytu, dowiedział się po prawie 6 miesiącach. Na razie sprawa jest wyjaśniana, nasz czytelnik ma nadzieję, że jednak nie będzie musiał spłacać pieniędzy za jakiegoś oszusta.

Można sprawdzić, czy ktoś nie próbuje wyłudzać
Trzy lata temu na Opolszczyźnie grasował gang nieuczciwych konsultantów telefonicznych. Dzwonili i tłumaczyli, że są pracownikami „telekomunikacji”. Działali sprytnie. Dziękowali za długoletnią współpracę i w związku z tym proponowali różne zniżki. Jak tłumaczyli, by uaktywnić promocyjne ceny, muszą potwierdzić dane abonenta, czyli imię, nazwisko, adres, numer PESEL i numer umowy z operatorem.

Ludzie byli przekonani, że rozmawiają z przedstawicielami dotychczasowego operatora, przekazywali przez telefon wszystkie informacje, udzielali odpowiedzi na wszystkie pytania. Dopiero gdy poczta dostarczała im plik dokumentów, okazywało się, że wbrew swojej woli zmienili w ten sposób operatora. Kilkanaście osób złożyło w tej sprawie doniesienia na policję.
Pewności, że nie zostaniemy oszukani, nigdy nie będziemy mieli, ale można poziom bezpieczeństwa stale podnosić. Po ujawnieniu informacji o tym, że ktoś pobierał bardzo duże ilości danych z numerami PESEL, Krajowy_Rejestr Długów od razu poinformował, że w jego bazie można sprawdzić, czy ktoś nie próbuje właśnie wyłudzić pożyczki na jego konto.

- Bank, firma pożyczkowa, operator telefoniczny, dostawca internetu, telewizja cyfrowa i wiele innych podmiotów weryfikują potencjalnych klientów w Krajowym Rejestrze Długów, sprawdzając, czy nie są zadłużeni - tłumaczy Adam Łącki z KRD. -Ale zgodnie z prawem muszą mieć do tego pisemną zgodę zainteresowanej osoby. Jeśli zatem ktoś o nas pyta, a my nie dawaliśmy na to zgody, to znaczy, że ktoś próbuje wyłudzić pieniądze na nasze konto.

Krajowy Rejestr Długów zaoferował wszystkim konsumentom bezpłatne konto w Serwisie Ochrony Konsumenta (www.konsument.krd.pl), w ramach którego mogą sprawdzać, kto o nich pytał. Wystarczy włączyć monitorowanie rejestru zapytań o siebie, który działa jak sygnał ostrzegawczy.

SMS może nas ostrzec przed problemami
- Jeśli ktoś spyta o historię kredytową bez naszego pozwolenia, natychmiast otrzymamy wiadomość SMS lub e-mailem - dodaje Adam Łącki. - To daje nam możliwość szybkiej reakcji, np. by skontaktować się z firmą, która pobierała raport na nasz temat z KRD, lub zgłosić sprawę na policję. Szybka reakcja pozwoli nam na uniknięcie kłopotów. Zapewniamy sobie święty spokój i to zupełnie bezpłatnie, ta usługa nic nie kosztuje.

O to, czy ktoś nie szukał naszego peselu w bazie danych, można się także zwrócić do Ministerstwa Cyfryzacji._Dwa razy w ciągu roku możemy to zrobić za darmo. Wystarczy wysłać wniosek z takim zapytaniem na adres resortu. Jeśli informacje uzyskane z bazy PESEL potwierdzą, że o nasze dane wnioskowała kancelaria lub inny podmiot, który nie miał do tego podstaw prawnych (tzn. wobec nas nie toczy się żadne postępowanie egzekucyjne), wówczas możesz zgłosić ten fakt do prokuratury z prośbą o nadanie statusu po¬krzywdzonego w toczącym się śledztwie.

A zagrożenie nie jest czysto hipotetyczne. Banki informują, że każdego roku wyłapują ponad 100 tysięcy przypadków prób wyłudzeń kredytów o wartości 250-300 mln zł na podstawie cudzych dokumentów.

Stracić można nie tylko pieniądze, ale i twarz
Kilka miesięcy temu doszło do włamania na portal zbiornik.pl. To największy erotyczny portal społecznościowy w Polsce. Konta ma tam kilkadziesiąt tysięcy osób, w tym setki Opolan. Użytkownicy wrzucają do niego swoje roznegliżowane zdjęcia i filmy, nierzadko nie zakrywając twarzy. Służy to między innymi poszukiwaniu i wymiany partnerów. Użytkownicy „Zbiornika”portalu dostali niedawna takie informacje od właściciela portalu:

„Pod koniec marca otrzymaliśmy wiadomość, w której autor poinformował nas, że odkrył dziurę w systemie i jest w posiadaniu poufnych danych pochodzących z naszych serwerów. Przedstawiając siebie jako człowieka honoru, dla którego słowo i szacunek jest więcej warte niż pieniądze, oznajmił nam, że dostał na nas zlecenie od konkurencji. Jednakże nie chcąc robić krzywdy ani nam, ani naszym użytkownikom, przedstawił propozycję, w której dzięki kwocie miliona złotych (płatne w bitcoinach) wskaże nam ową lukę, jak również nie będzie go już kusiło, aby wykorzystać posiadane dane poza naszymi plecami” - napisali zarządzający portalem.

Użytkowników obleciał strach. Po analizie loginów okazało się, że faktycznie część bazy danych została skopiowana i właściciel portalu nie ukrywał tego przed internautami. Sprawa była bardzo poważna, bo do sieci mogły trafić tysiące zdjęć i filmów, które mogłyby wprawić ich bohaterów w duże zakłopotanie. Zagrożone były także dane „golasów”._W samym profilu nie było co prawda obowiązku podawania swoich danych i miejsca zamieszkania, ale takimi informacjami użytkownicy portalu często wymieniali się w wiadomościach przesyłanych między sobą. Te wiadomości także zostały przejęte przez hakerów._Można się tylko domyślać, że część użytkowników prowadziła takie korespondencje w tajemnicy przed członkami swoich rodzin...

Użytkownicy portalu dostali polecenia natychmiastowej zmiany haseł na inne, a przede wszystkim bardziej skomplikowane. Właściciel strony polecił wszystkim, którzy byli szantażowani ujawnieniem zdjęć, aby zgłaszali sprawę na policji. Wyznaczył także nagrodę w wysokości 10 tysięcy złotych za pomoc w namierzeniu sprawcy. Do dziś nie poinformował jednak, czy mu się tu udało. Po chwilowym zamieszaniu portal znów działa normalnie, codziennie przybywają tam setki nowych zdjęć i filmów.
Włamania hakerów na portale erotyczne zdarzają się bardzo często. Dotyczy to zwłaszcza tzw. serwisów kamerkowych. Ich użytkownicy rozbierają się przed kamerami, w zamian za wirtualne żetony, które potem mogą wymieniać na realną gotówkę (z kolei oglądający zamieniają gotówkę na żetony). Konkurencja między tymi serwisami jest jednak duża, a zyski z ich działalności spore. Niektóre z portali co pewien czas są atakowane, by zniechęcić użytkowników do korzystania z nich i przeniesienia się na „bezpieczniejsze”.

Na jednym z forów szyfrowanej sieci TOR wpisał się haker, który poinformował, że jest w posiadaniu adresów IP oraz e-mail tysięcy młodych dziewczyn, które rozbierają się przed kamerami za pieniądze. Całą bazę chciał sprzedać za zaledwie 6 bitcoinów (internetowa kryptowaluta), wówczas było to nieco ponad 8 tysięcy złotych. Nie wiadomo jednak, czy ktoś zapłacił. Podobnych historii było dużo więcej.

Jak chronić się przed kradzieżą pieniędzy czy innych danych z sieci? Przede wszystkim nie należy otwierać podejrzanych maili, ponieważ zawierają one złośliwe oprogramowania szpiegujące, które służy właśnie wykradaniu danych. Generalny Inspektor Ochrony Danych Osobowych apeluje też, aby nie dawać obcym ludziom naszego dowodu osobistego. Wiele wypożyczalni sprzętów wodnych czy tzw. audioprzewodniki w muzeach żądają pozostawienia dowodu w zamian za wydanie akcesoriów.

GIODO uważa, że taki wymóg jest niezgodny z prawem. Jeśli podejrzewamy, że ktoś jest już w posiadaniu naszych danych, możemy także zastrzec nasze dane i wyrobić nowy dokument tożsamości z nowymi danymi. Warto także zgłaszać wnioski do prokuratury, by w razie potrzeby uzyskać status pokrzywdzonego. Wtedy można mieć wgląd do dokumentów, np. w sprawie wyłudzonej pożyczki. I przede wszystkim korzystać ze wspomnianych darmowych alertów w Ministerstwie Cyfryzacji bądź biurach informacji gospodarczej.

Jak zostać w porę ostrzeżonym

Krajowy Rejestr Długów zaoferował wszystkim konsumentom bezpłatne konto w Serwisie Ochrony Konsumenta (www.konsument. krd.pl), w ramach którego mogą sprawdzać, kto o nich pytał. Wystarczy włączyć monitorowanie rejestru zapytań o siebie, który działa jak sygnał ostrzegawczy.