Skradzione pieniądze, fałszywe strony internetowe, tysiące znikające z konta w mgnieniu oka, a także 334 lata odsiadki.

Phishing to odmiana cyberprzestępstwa, mająca na celu wyłudzenie danych poprzez podszywanie się pod inną osobę bądź firmę. Może on polegać na rozsyłaniu e-maili, w których znajduje się link do fałszywej strony banku, komunikatów pop-up, których treść nakłania do podania danych ,,w celu zwiększenia bezpieczeństwa’’, bądź nawet fałszywych telefonów czy SMSów. Klient otwiera link, a następnie podaje swój login i hasło, będąc w przekonaniu, że loguje się właśnie do swojego konta. Wiadomości te często cechują się brakiem personalizacji („Drogi użytkowniku!”), sporą ilością błędów ortograficznych bądź stylistycznych, wynikających ze słabego tłumaczenia.

Rodzaje phishingu

 W phishingu możemy wyróżnić:

  1. phishing „spear” – stara się przybrać taką formę, jakby nadawca był osobą nam bliską bądź znaną. Osoby stojące za atakiem często zbierają najpierw osobiste informacje na temat swojej ofiary, lub tytułują korespondencję ,,Wiadomość prywatna”, zwiększając prawdopodobieństwo powodzenia operacji[1].
  2. phishing  „clone” – oryginalna wiadomość zostaje przechwycona, a nam zostaje dostarczona jej kopia, zawierająca wirusy i programy śledzące[2].
  3. „whaling” – ukierunkowany jest na kadrę kierowniczą bądź ludzi wysoko postawionych, o wysokim statusie majątkowym[3].
  4. voice phishing (vishing) – wiadomości, które rzekomo pochodzą z banku, nakazują użytkownikom kontaktować się w sprawach dotyczących problemów z ich kontami bankowymi, podając fałszywe numery telefonów. Z momentem nawiązania połączenia informują użytkowników o konieczności wprowadzenia numerów kont i kodów PIN[4].
  5. SMS phishing – atak socjotechniczny, którego środkiem są SMSy, mające skłonić ofiarę do określonego zachowania. I tak, zapytanie dotyczące anulowania subskrypcji, o której nigdy nie słyszałeś, może mieć na celu zainstalowanie złośliwego oprogramowania[5].

Bardziej niebezpieczną i zdecydowanie trudniejszą do wykrycia rodzajem phishingu jest pharming. Jego specyfiką jest to, że nawet po wpisaniu prawidłowego adresu strony www, ofiara zostanie przekierowana na stronę podstawioną przez hakerów. Proces ten opiera się na zmianie adresów DNS na komputerze/serwerze ofiary. Z tego powodu, nie musi on motywować ofiary do klikania w żaden podejrzany link – użytkownik sam wpisuje adres www, a jego komputer tłumaczy go na IP wskazany przez hakerów[6].

Jednym z takich przypadków była sprawa rozstrzygana przez Sądu Najwyższego w wyroku z 18 stycznia 2018 r. (sygn. V CSK 141/17). Klientowi banku po wpisaniu prawidłowego adresu, wyświetliła się wierna kopia docelowej witryny. Sąd, obligując bank do zapłaty ok. 60 000 zł, ocenił, iż w opisywanej sytuacji klient nie naruszył żadnych obowiązków wynikających z ustawy, a przestępstwo zostało popełnione wskutek działania nieustalonej osoby trzeciej, która „skorzystała z niewłaściwego zabezpieczenia przez bank świadczenia usługi”.

Jak odzyskać skradzione pieniądze?W chwili, kiedy klient dowiaduje się o nieautoryzowanych transakcjach, musi natychmiastowo zawiadomić swój bank oraz złożyć reklamację. Gdy jego reakcja będzie wystarczająco szybka, może dojść do zablokowania przelewu wychodzącego i ocalenia pieniędzy klienta. W przypadku odpowiedzi odmownej na reklamację, w większości banków można złożyć powtórne odwołanie. Po ponownym odrzuceniu wniosku, zawsze pozostaje droga sądowa.

 Odzyskanie utraconych środków odbywa się na podstawie art. 46 ust. 1 ustawy o usługach płatniczych, który stanowi, że w przypadku wystąpienia nieautoryzowanej transakcji płatniczej dostawca płatnika niezwłocznie zwraca płatnikowi kwotę nieautoryzowanej transakcji. Bank ma czas na zwrot nie później niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji lub po dniu otrzymania stosownego zgłoszenia od klienta. Zwrot polega na przywróceniu rachunku płatniczego do stanu, jaki istniałby, gdyby do transakcji nie doszło.

Odpowiedzialność po stronie banku

Sądy orzekając o odpowiedzialności za nieautoryzowane transakcje często stoją po stronie klienta. Przede wszystkim, ciężar udowodnienia tego, że transakcja płatnicza została autoryzowana i prawidłowo zapisana w systemie oraz że nie miała na nią wpływu awaria techniczna ani innego rodzaju usterka, spoczywa na banku (art. 45). Dodatkowo, to bank musi udowodnić, że klient doprowadził do nieautoryzowanej transakcji umyślnie, bądź w wyniku umyślnego lub będącego skutkiem rażącego niedbalstwa naruszenia jego obowiązków (art. 46 ust. 3).

Dodatkową przesłanką uwidaczniającą obowiązki banku jest art. 50 ust. 2 Prawa bankowego, zgodnie z którym „bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych.”

W praktyce

Klientowi pewnego banku, podczas logowania na jego stronie, wyświetlił się komunikat informujący o dodatkowym ubezpieczeniu. Użytkownik dwukrotnie próbował ominąć komunikat, jednakże bezskutecznie. Musiał potwierdzić logowanie kodem, wysłanym do niego przez SMS. Potwierdzenie to skutkowało dokonaniem kilku przelewów, łącznie na sumę ponad 105 000 zł.

Sąd Okręgowy w wyroku z 12 maja 2018 roku (sygn. akt I C 566/17) uznał, że klient ,,miał prawo być przekonany, iż komunikat pochodzi od banku”, a próby obejścia komunikatu potwierdzają, że ,,nie podszedł do tej wiadomości bezrefleksyjnie”. Bank podniósł, iż przestrzegał klientów o możliwości ataku, jednakże sąd orzekł, że robił to nieskutecznie. Bank nie udowodnił, że klient umyślnie czy wskutek rażącego niedbalstwa naruszył któryś z obowiązków o których mowa w art. 42 ustawy, gdyż jego działanie było niezamierzone i nieświadome, co wskazuje na niedbalstwo, nie w stopniu rażącym. Sąd rozpatrzywszy sprawę uznał, że bank powinien oddać poszkodowanemu klientowi kwotę 106.929,77 zł.

Z ciekawszych przypadków pomyślnych poszukiwań hakerów stojących za atakami, jest sprawa 26-letniego Onura Kopack. Przeciwko niemu złożono w sumie ponad 50 pozwów. Ostatecznie mężczyzna został skazany przez turecki sąd na 334 lata pozbawienia wolności[7].

 

[1] https://www.securelist.pl/glossary/7464,spear_phishing.html

[2] https://www.pentestpeople.com/clone-phishing/

[3] https://www.lifewire.com/what-is-whaling-2483605

[4] https://krebsonsecurity.com/2013/02/crooks-net-millions-in-coordinated-atm-heists/

[5] https://www.consumeraffairs.com/news04/2006/11/smishing.html

[6] https://www.securelist.pl/analysis/5883,phishing_pharming_i_sieci_zombie_to_czego_nie_wiesz_o_swoim_komputerze.html

[7] https://www.chip.pl/2016/01/334-lata-wiezienia-za-internetowy-phishing/

Agnieszka Warmuzińska

Agnieszka Warmuzińska

Aplikant adwokacki w Kancelarii Pirożek & Pirożek

Absolwentka prawa na Wydziale Prawa i Administracji oraz komunikacji promocyjnej i kryzysowej na Wydziale Filologicznym Uniwersytetu Śląskiego. Obroniła pracę magisterską pt. „Prawo mody a prawo własności intelektualnej” w Katedrze Prawa Cywilnego i Prawa Prywatnego Międzynarodowego pod kierownictwem prof. zw. dr hab. Wojciecha Kowalskiego.

więcej o mnie

telefon: +48 575 255 091
e-mail: a.warmuzinska@pirozek.pl