Wieloetapowe przekazywanie kwot utrudnia znalezienie beneficjenta skradzionych pieniędzy

Klient, który dba o bezpieczeństwo swojego komputera oraz w procesie łączenia się i logowania do systemu bankowości internetowej swojego banku zachowa ostrożność, nie stworzy zagrożenia dla swoich pieniędzy ulokowanych na rachunku internetowym.

Przestępcy, będąc bezradni wobec banków, które w profesjonalny sposób chronią nasze pieniądze, ataki swoje kierują na nas - klientów. Obecnie najbardziej rozpowszechnionym atakiem na klientów bankowości internetowej jest phishing.

Bardzo często cyberprzestępcy przygotowują e-maile udające korespondencję rozsyłaną przez banki. Przesyłki takie mogą być rozsyłane losowo, czyli może trafić do nas przesyłka z informacją o potrzebie połączenia się z bankiem, w którym nie posiadamy konta. Niestety, czasami na naszym komputerze może być zainstalowane szkodliwe oprogramowanie, które monitoruje nasze ruchy i przekazuje informacje, np. z którym bankiem nawiązujemy sesję internetową. Wówczas otrzymamy przesyłkę „w punkt” tylko „adresowaną przez nasz bank”. W przesyłkach takich znajdują się linki, po których naciśnięciu zamiast przenieść się na stronę logowania bankowego systemu internetowego, zostajemy odesłani do strony internetowej, która łudząco przypomina stronę naszego banku, lecz w rzeczywistości nią nie jest. Faktycznie, jest to strona przygotowana przez przestępców, która ma służyć jako przynęta dla klientów bankowości internetowej. Za jej pośrednictwem mają być wyłudzone nasze dane poufne, np.: login - numer identyfikacyjny, hasło dostępu do danych oraz hasła i numery uwierzytelniające polecenie wykonania naszej dyspozycji.

Niestety, coraz częściej ataki phishingowe są również przeprowadzane za pośrednictwem innych kanałów dystrybucji usług i produktów bankowych. Przykładem mogą być próby wyłudzenia danych poufnych klientów banków - posiadaczy kart płatniczych (najczęściej tak jak w przypadku bankowości internetowej za pośrednictwem spreparowanego e-maila) lub za pośrednictwem osób podszywających się pod pracowników bankowych z komórek contact center.

Należy pamiętać, że w przypadku phishingu mamy do czynienia z kradzieżą tożsamości.

Proces ten jest dwuetapowy. Pierwszy etap, gdy otrzymujemy wiadomość e-mail, który podszywa się pod wiadomość od naszego banku. Z drugim etapem mamy do czynienia, kiedy odpowiadając na takiego e-maila przekażemy swoje dane poufne przestępcom, którzy podszywając się pod nas wchodzą na nasze konto i kradną pieniądze na nim zdeponowane. Oprócz pieniędzy tracimy jeszcze coś bardziej cenniejszego, a mianowicie nasze dane osobowe i inne informacje poufne, które mogą być wykorzystane przez przestępców np. w celu zawarcia umów w naszym imieniu. Oczywiście jesteśmy w stanie zawsze dowieść, że padliśmy ofiarą oszustwa, ale zazwyczaj trwa to dość długo. Takie dane jak: imię, nazwisko, NIP, czy PESEL, są nam nadane raz na całe życie. Dlatego warto dbać i należycie chronić dane określające naszą tożsamość.

W dużym uproszczeniu schemat przestępstwa phishingowego może wyglądać następująco - w wyniku odpowiedzi na e-maila podszywającego się pod korespondencję od banku klient zostaje przekierowany na fałszywą stronę internetową, za pośrednictwem której przekazuje przestępcom swoje dane poufne - login, identyfikator, hasła lub kody. Typowym sposobem na złowienie klienta jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Niestety, przestępcy korzystają z najnowszych osiągnięć nauki, w tym również socjotechniki, dzięki której tak manipulują przekazaną treścią, że są w stanie wyłudzić potrzebne informacje.

Przestępcy również za pośrednictwem poczty elektronicznej rozsyłają kuszące oferty pracy dla pośredników finansowych, którym obiecywane są wysokie dochody, a jedyne warunki, jakie trzeba spełnić, to posiadanie konta internetowego oraz dyspozycyjność. Osoby te są potrzebne do wyprowadzenia sfraudowanych pieniędzy z sektora bankowego, dlatego, ze względu na ich charakter, jako osoby podstawione przez przestępców nazywane są często słupami. Przestępcy wykazują bardzo dużą pomysłowość - podszywają się pod przedstawicieli zagranicznych firm i proponują różnym osobom nawiązanie intratnej współpracy, która polega m.in. na przekazywaniu środków pieniężnych za granicę. Propozycja współpracy bardzo często jest wysyłana jako wiadomość e-mail (spam). Adresatami są również osoby, które umieściły oferty pracy na stronach internetowych. Firmy, które proponują taką współpracę, przyjmują tożsamość przedsiębiorców zajmujących się handlem przez internet, testowaniem systemów płatności itp. Oferty rozsyłane są przeważnie w języku angielskim, dla uwiarygodnienia podany jest często adres strony internetowej firmy.

Kluczowym elementem oferty jest możliwość zarobienia w prosty sposób stosunkowo dużej kwoty pieniędzy. Zysk osoby, która podejmie się takiej współpracy, może wynieść od 5 do 10 proc. transferowanej kwoty, innymi słowy pośrednik pomniejsza wypłatę o ustaloną w umowie pośrednictwa finansowego prowizję. Przykładowo, jeżeli zainteresowany otrzyma od tzw. pracodawcy wpływ na rachunek w wysokości 10 tys. zł, przekazuje dalej 9 tys. zł pozostawiając na własnym rachunku 1 tys. zł. Kuszący zarobek w kilka minut aktywności. Wszystko wygląda wiarygodnie, legalnie i zachęcająco. Mamy przecież XXI wiek, internet, świat bez granic. Oferta, z uwagi na to, że rozsyłana jest w języku angielskim, adresowana jest do ludzi wykształconych - m.in. dziennikarzy, nauczycieli, wykładowców uczelni wyższych, urzędników państwowych i samorządowych, dlatego też niektórzy z nich gotowi są nawet zarejestrować działalność gospodarczą. Zdarzają się również przypadki, że przestępcy podają się za instytucję charytatywną i pozyskują do współpracy wolontariuszy, którzy od swych działań nie pobierają żadnej prowizji.

Osoba, która odpowie na taką ofertę, otrzymuje pocztą elektroniczną szczegółowy kwestionariusz do wypełnienia, w którym należy podać: imię, nazwisko, adres, nr telefonu, nr rachunku bankowego, adres e-mail. Następnie przesyłana jest umowa, która oficjalnie wiąże strony. Zawarte są w niej obowiązki każdej ze stron oraz wysokość prowizji. Po odesłaniu umowy współpracownik czeka na informację od przestępców co do czynności, które ma wykonać.

Następnie przestępcy, przy użyciu przekazanych przez klienta poufnych danych, wchodzą na jego konto i wprowadzają dyspozycję przelania pieniędzy znajdujących się na tym koncie na konto słupa - pośrednika finansowego. Przestępcy kontaktują się z pośrednikiem finansowym w celu poinformowania o wpłacie na jego konto i potrzebie natychmiastowego wypłacenia środków. Podjęte w banku przez słupa pieniądze są przekazywane do wskazanego przez przestępców adresata za pośrednictwem firm świadczących usługi w zakresie szybkich, międzynarodowych przekazów pieniężnych. W celu utrudnienia zlokalizowania i ujęcia adresatów wpłat dokonywanych za pośrednictwem takich firm beneficjenci ci znajdują się w innym kraju niż kraj, w którym popełniane jest przestępstwo.

Końcowym procesem przestępstwa phishingowego (kradzieży pieniędzy z konta i ich wypłata w formie gotówki według opisanego powyżej mechanizmu) jest pranie pieniędzy, czyli poprzez równie skomplikowane mechanizmy wprowadzenie pieniędzy pochodzących z e-fraudów do legalnego obrotu. Podkreślić należy, że pranie pieniędzy nie dotyczy jedynie phishingu, ale jest etapem końcowym każdej działalności przestępczej, w wyniku której pozyskano pieniądze w nielegalny sposób.

W całym procesie phishingu mogą występować jeszcze inne osoby - specjaliści, którym przypisane są wąskie role, a mianowicie:

osoby tworzące malware (wszelkiego rodzaju skrypty, aplikacje oraz działania, których celem jest szkodliwe, przestępcze lub złośliwe działanie w stosunku posiadacza komputera),

werbownicy osób rozpowszechniających malware,

osoby obsługujące botnety (sieć tzw. komputerów zombie, czyli komputerów połączonych z internetem, w których bez zgody i wiedzy posiadaczy został zainstalowany program obsługiwany z zewnątrz i przejmujący pełną kontrolę nad nimi przez inną osobę wykorzystywaną w różnych celach, w tym również przestępczych) i konsole sterujące,

werbownicy pośredników finansowych,

odbiorcy gotówki od pośredników finansowych.

Tak duże rozdrobnienie ról ma za zadanie utrudnienie zidentyfikowania przestępców - rzeczywistych beneficjentów, a zarazem twórców całego przedsięwzięcia.

Na szczególną uwagę zasługuje fakt, że poprzez wieloetapowe przekazywanie pieniędzy bardzo trudno jest odnaleźć faktycznego beneficjenta skradzionych pieniędzy. Najczęściej osobami, które udaje się organom ścigania zidentyfikować i oskarżyć, są przesyłający lub otrzymujący przekazy pieniężne, którym stawiany jest zarzut paserstwa. Niestety, sytuacja gospodarcza, w której się znaleźliśmy, skłania wielu ludzi do szukania alternatywnych źródeł uzupełnienia budżetu domowego. Nieświadomość zagrożeń jest tak duża, że, jak się później okazuje, słupami zostają osoby, które działają w dobrej wierze. Konsekwencje dla nieświadomych są jednak takie same jak dla osób, które świadomie uczestniczą w przestępczym procederze.

Aby nie paść ofiarą przestępstwa phishingowego, klienci muszą pamiętać, że banki nie rozsyłają korespondencji elektronicznej w celu pozyskania danych poufnych, gdyż bank jest już w ich posiadaniu. Podczas podpisywania umowy rachunku bankowego z dostępem przez internet dane te sami już przekazujemy bankowi.

Nie ma więc logicznego uzasadnienia dla potrzeby przekazywania tych informacji po raz kolejny do banku (wyjątek to zmiana danych na skutek zmiany nazwiska lub miejsca zamieszkania, ale w tych przypadkach to my, klienci, inicjujemy kontakt z bankiem, a nie odwrotnie).

Ponadto musimy pamiętać, aby dane określające naszą tożsamość traktować jako najwyższe dobro, należycie chroniąc je i dbając o to, aby nie zostały przekazane w niepowołane ręce. Istotne jest również, aby nie podawać nikomu informacji o sposobie identyfikacji i uwierzytelnienia naszej tożsamości w bankowym, internetowym systemie informatycznym.

Nie wolno również przekazywać nikomu informacji poufnych o naszym loginie lub identyfikatorze oraz haśle dostępowym. Jeżeli informacje takie zostaną przez nas przekazane osobom trzecim, musimy mieć świadomość, że nie tylko łamiemy prawo (przepisy ustawy o elektronicznych instrumentach płatniczych), ale również wprost narażamy się na utratę pieniędzy zdeponowanych na naszym rachunku bankowym. W sytuacji takiej bank jest zwolniony z wszelkiej odpowiedzialności za powstałą szkodę, gdyż powstała ona z winy klienta.