2014.05.05

Login i hasło pilnie strzeżone

Czas fuzji to okres wzmożonej pracy bankowców, a jednocześnie możliwość zwiększonej aktywności przestępców. W najbliższych miesiącach możemy spotkać się z problemami, z którymi do tej pory nie mieliśmy do czynienia.

Przejęcie 1 kwietnia br., przez nasz Bank, spółek z Grupy Nordea rozpoczyna proces integracji banków, który potrwa około roku. Nordea Bank Polska przestanie funkcjonować jako oddzielny podmiot dopiero od momentu fuzji prawnej (przewidywanej na początek października 2014 roku), kiedy to PKO Bank Polski automatycznie stanie się stroną wszystkich zawartych umów z klientami. Moment ten nie jest jednak równoznaczny z ujednoliceniem działań obu instytucji z perspektywy klientów. Proces integracji banków zakończy zaplanowana na połowę 2015 roku fuzja operacyjna, czyli połączenie operacji, systemów i zasobów IT obu instytucji. W tym okresie nastąpi stopniowe ujednolicenie działalności, m.in. w zakresie dostępu do placówek i systemów transakcyjnych dla wszystkich klientów.

Okazja

Proces łączenia się dwóch instytucji bankowych to dla oszustów doskonały czas do nadużyć. Klienci obu banków, przyzwyczajeni do obowiązujących w danej instytucji procedur, ogą czuć się lekko zdezorientowani  i nie do końca wiedzieć, co jest prawdą, a co fikcją, za którą czai się złodziej. Ktoś może podszyć się pod konsultanta infolinii i przekazywać klientom jednego lub drugiego banku nieprawdziwe informacje lub poprosić o wykonanie poleceń, których nigdy wcześniej nie musieli robić. Prośby mogą przychodzić również e-mailem, SMS-em i innymi możliwymi drogami od osób udających pracowników banku. I chociaż obie łączące się instytucje na bieżąco informują swoich klientów o wszelkich zmianach, to jednak istnieje prawdopodobieństwo wystąpienia zamieszania wywołanego w sposób zamierzony w celu osiągnięcia określonych korzyści. Dlatego w czasie realizacji wszystkich etapów włączania spółek z Grupy Nordea w struktury naszego Banku pracownicy obu instytucji muszą zachować wyjątkową czujność, otwartość i odpowiedzialność oraz szybko reagować na to, co dzieje się dookoła nas. Klienci powinni być wyjątkowo ostrożni. Mogą zgłaszać nam sprawy, które pozornie będą się wydawać nieuzasadnione lub nierealne. Jeśli jednak są one niezgodne z naszą wiedzą na temat działań, jakie prowadzimy, powinniśmy natychmiast informować Departament Bezpieczeństwa lub stosowne komórki w B anku. To może być sygnał poważnych naruszeń prawa. Weryfikacja takich zgłoszeń często pozwala przerwać nieprawidłowości i eliminować ryzyko nadużyć.

  • Ktoś może podszyć się pod konsultanta infolinii i przekazywać klientom jednego lub drugiego banku nieprawdziwe informacje lub poprosić o wykonanie poleceń, których nigdy wcześniej nie musieli robić.

Motyw

Przytoczona poniżej historia rozegrała się dosłownie w 15 minut. Pani Ania, klientka jednego z działających w naszym kraju banków, dostała e-mail z potwierdzeniem złożenia wniosku o kredyt gotówkowy. Zdziwiła się bardzo, gdyż nie starała się o kredyt. Szybko wykręciła numer na infolinię i zalogowała się na konto. Okazało się, że wniosek o kredyt rzeczywiście widniał w systemie. Dodatkowo pojawił się też drugi wypełniony formularz - o zmianę danych, w tym numeru telefonu. Kiedy konsultantka odebrała połączenie, klientka usiłowała wytłumaczyć, że zaszło nieporozumienie w sprawie wniosku o kredyt. W międzyczasie pani Ania otworzyła umowę, którą właśnie otrzymała e-mailem. Na dokumencie widniała kwota: 43 tys. zł. Zdenerwowana krzyknęła do słuchawki, że to chyba jakiś żart. Konsultantka próbowała odwołać dyspozycję. W tym samym czasie ktoś potwierdził kredyt ze zmienionego wcześniej numeru telefonu. Klientka patrzyła na swoje konto. Widziała, jak pieniądze ekspresowo na nie wpływają i tak samo szybko płyną dalej. Pracownica infolinii nie mogła zablokować przelewu, bo wyszedł już z konta.

Racjonalizacja

Na początku bieżącego roku prasę obiegły informacje, że internetowi złodzieje żerują na połączeniu dwóch banków. Pod pretekstem "zmiany formatu konta" żądano wysłania SMS-a autoryzacyjnego, dzięki któremu wyprowadzano z kont nieostrożnych klientów pieniądze. Jeden z łączących się banków ostrzegał przed tym zagrożeniem na swojej stronie internetowej. O tym, że oszuści wyłudzają loginy i hasła do kont za pośrednictwem fałszywych e-maili, wie już zapewne każdy pracownik i klient naszego Banku. Wszyscy też wiemy, że żaden bank nigdy nie przesyła próśb o podanie loginu i hasła przez e-mail. Jednak złodzieje wiedzą, że ich sukcesowi sprzyja zamieszanie i… zaskoczenie ofiary. Oszuści nie muszą nawet podrabiać dokumentów - włamują się do konta i wysyłają klientowi fałszywy SMS autoryzacyjny. Tak jak to miało miejsce w opisanym przypadku.

Michał Czuma
ekspert PKO Banku Polskiego

loaderek.gifoverlay.png