O wszelkiego rodzaju cyberoszustwach pisałem już wielokrotnie, m.in. oszustwo kryptowaluty, oszustwo infolinia banku, czy też oszustwo Anydesk. Przestępcy cały czas jednak modyfikują swój schemat działań, modyfikując m.in. sposób w jaki docierają do pokrzywdzonych, czy też wykorzystywane programy (m. in. oszustwo TeamViewer). Niżej opiszę najnowsze metody oszustwa, a także możliwości prawne jakimi dysponują dysponują osoby oszukane.
Początek cyberoszustwa (wyłudzenia)
Różnorodność schematów wedle których oszustwo przeprowadzane jest w początkowej fazie istotnie wzrosła w ostatnim roku. Nadal dominujące są fałszywe strony inwestycyjne oraz podszycia pod infolinię banku, jednakże pojawia się również coraz to więcej metod zdobycia danych poszkodowanych. Wśród nowych metod warto wymienić m.in. telefony wykonywane przez boty (fotowoltanika itd. – wystarczy przedstawić się odbierając telefon, a dane zostaną przypisane do numeru telefonu), czy też, co niebywale zaskakujące, fizyczne rozdawanie ulotek/wizytówek fałszywych instytucji finansowych.
Wspólnym mianownikiem wszystkich metod jest pozyskiwanie danych potencjalnej ofiary przestępstwa (imię i nazwisko, numer telefonu, bank w którym posiada konto, adres itd.), które to informacje poszkodowany zazwyczaj albo przekazuje z własnej inicjatywy (np. wypełniając formularz na fałszywej stronie), albo też w wyniku inicjatywy sprytnie prowadzącego rozmowę oszusta.
Typowy przykład to tzw. oszustwo na infolinię banku – jeżeli oszuści nie wiedzą w jakim banku ofiara posiada środki, przedstawiają się zazwyczaj jako pracownicy działu bezpieczeństwa PKO BP (numer tego banku wyświetla się jako dzwoniący) – a wobec informacji, że w tym banku ofiara konta nie posiada – szybko wyjaśniają, że PKO BP S.A. koordynuje wszystkie banki (jest to bzdura) i zaraz skontaktuje się pracownik właściwego banku (co po chwili ma miejsce).
Mechanizm cyberoszustwa
Co oczywiste, oszustwo sprowadza się do przejęcia jak największej sumy środków pieniężnych ofiary. W uproszczeniu można przyjąć, że przestępcy korzystają z dwóch schematów osiągnięcia takiego stanu rzeczy, mianowicie ofiara albo wpłaca środki dobrowolnie (żywiąc błędne przekonanie co do celu wpłat), albo też środki te wyprowadzane są bez jej świadomości.
W pierwszym wypadku oszuści wykorzystują zaawansowane metody socjotechniczne (potocznie – manipulacyjne), sprawiając że ofiara działa w zaufaniu do nich i nie myśli racjonalnie. Zazwyczaj albo przelewa środki celem ich zabezpieczenia przed rzekomą kradzieżą, albo też celem osiągnięcia nadzwyczajnego zysku.
Natomiast w drugim wypadku, techniki socjotechniczne służą jedynie do zainstalowania złośliwego oprogramowania (tzw. malware), a samo wyprowadzenie środków realizowane jest już bez wiedzy poszkodowanego. Zdarzają się także oszustwa z wykorzystaniem obu schematów (najpierw ofiara dobrowolnie przekazuje mniejsze kwoty, a potem instaluje złośliwe oprogramowanie).
Oprogramowanie wykorzystywane w cyberoszustwach (oszustwo TeamViewer)
Do niedawna, jeśli przy popełnieniu przestępstwa wykorzystywano jakieś oprogramowanie, prawie zawsze był to Anydesk. Obecnie pomysłowość oszustów znacznie wzrosła i wykorzystują oni szereg różnych programów. Generalnie najczęściej są to legalne programy umożliwiające kontrolę nad ekranem urządzenia (oszustwo TeamViewer, Anydesk itd.).
Zdarza się jednak, że przestępcy wykorzystują również programy nielegalne, najczęściej imitujące oprogramowanie zupełnie innego rodzaju (aplikacje bankowe, aplikacje antywirusowe, aplikacje inwestycyjne itd.). W obu przypadkach oprogramowanie wykorzystywane jest do przejęcia kontroli na bankowością elektroniczną, wyprowadzenia wszystkich pieniędzy, a często także maksymalnego możliwego zadłużenia.
Niepokojące sygnały – jak rozpoznać oszustwo
Wśród wielu spraw, z jakimi miałem styczność można wyróżnić często pojawiające się elementy które powinny wzbudzać natychmiastową czujność. Niżej przedstawię te najbardziej typowe.
Akcent rozmówcy. Wydaje się to zaskakujące, ale w zdecydowanej większości przypadków cyberoszustw rozmówca (fałszywy bankier, broker, makler, doradca itd.) ma rosyjski/ukraiński/białoruski akcent. Akcent rozmówcy nie świadczy oczywiście o tym, że rozmawiamy z oszustem (pracuje przecież u nas wielu specjalistów ze wschodu), ale zawsze powinien wzbudzać czujność.
Prośba o zainstalowanie oprogramowania. Jeśli pomocny rozmówca prosi o zainstalowanie programu, dzięki któremu będzie mógł nam lepiej pomóc – prawie na pewno jest to oszust, który zamierza zlecić z naszego urządzenia szereg przelewów.
Wpłaty na kody Blik. Ta metoda wykorzystywana jest w tak wielu wariantach, że ciężko opisać jej typowy przebieg. Natomiast na pewno ani żaden bank, ani żadna firma inwestycyjna nie domaga się dokonywania wpłat w oparciu o kody Blik. To musi być oszustwo.
Przelewy na osoby fizyczne. Jeśli instytucja godna zaufania, np. bank, dom maklerski, Mastercard itd. prosi nas o wykonanie przelewu na dane osoby fizycznej – to znaczy, że jest to oszustwo.
Wpłaty na giełdy walutowe (Binance itd.). Ponownie, jeśli nasz broker namawia nas do wpłacania dużych kwot na giełdy kryptowalutowe, służy pomocą przy tych transakcjach, a nie bardzo rozumiemy co się z tymi pieniędzmi dzieje – więcej ich nie zobaczymy.
Konspiracyjny charakter inwestycji. Nasz rozmówca (doradca inwestycyjny itd.) radzi zachować inwestycję w tajemnicy, wykorzystuje hasła wywoławcze, a platformę inwestycyjną rzekomo mają zwalczać banki, rząd światowy itp. – również jest to oszustwo. W interesie banków jest przecież to, żeby ich klienci byli jak najbogatsi.
Automat handlujący. Geniusz samouk wynajduje inwestycyjne perpetuum mobile, które samo generuje olbrzymie zyski, tylko po to, by ludzie nieposiadający wiedzy ekonomicznej mogli bogato żyć. Z twórcą oprogramowania walczą wszystkie instytucje finansowe i rządy na świecie. Nawet Lem by tego nie wymyślił.
Kredyt na inwestycje. Zazwyczaj po zainwestowaniu niewielkiej kwoty poszkodowany osiąga duże zyski (oczywiście fikcyjne), a doradca namawia go by wziął kredyt, dzięki czemu zarobi miliony. Jest to oczywiście próba wyłudzenia dużych środków w prosty sposób.
Podatek płatny z góry. Albo depozyt, opłata itd. Jak tylko poszkodowany przeleje 5 tysięcy dolarów tytułem podatku to bank (lub inna instytucja) natychmiast i bezwarunkowo przeleje mu 25 tysięcy dolarów zysku. Zaskakujące, że nie mogą sobie po prostu potrącić tego podatku z kwoty rzekomo czekającej w sejfie…
Warto także sprawdzić, czy podmiot któremu chcemy powierzyć środki widnienie na liście ostrzeżeń Komisji Nadzoru Finansowego, przy czym brak podmiotu na liście ostrzeżeń nie przesądza jeszcze o tym, że jest to podmiot uczciwy. Warto poszukać także opinii w Internecie (uwaga, oszuści nieustannie zmieniają nazwy fałszywych instytucji).
Jakie kroki powinna podjąć ofiara przestępstwa?
Pokrzywdzony zazwyczaj dopiero po fakcie zdaje sobie sprawę, że stał się ofiarą przekrętu (oszustwo TeamViewer, Anydesk, oszustwa na infolinię i oszustwa inwestycyjne). Na rachunku bankowym widnieją już jedynie groszowe kwoty, a i samo konto jest nierzadko maksymalnie zadłużone. Sytuację da się jednak jeszcze uratować.
Najpierw należy skontaktować się ze swoim bankiem i poinformować o dokonanym oszustwie (paradoksalnie podawanie zbyt dużej liczby szczegółów może zostać w przyszłość wykorzystane przez bank przeciwko poszkodowanemu). Czas jest bardzo ważny. Sprawnie działający bank nierzadko ma na początku możliwość anulowania transakcji, a nadto obowiązek taki wynika z ustawy o usługach płatniczych. Ze skutecznością takich działań bywa różnie, ale część transakcji jest faktycznie zatrzymywana.
Często niestety dzieje się tak, że oszustwo wykryte za późno lub bank nie był w stanie zablokować transakcji. Warto udać się na Komendę Policji, niestety wyłudzenie jest zazwyczaj tak dobrze zorganizowane, że nie przynosi to żadnych rezultatów. Sprawcy są nieuchwytni, a postepowanie zostaje zazwyczaj umorzone. Nie oznacza to jednak, że pieniędzy nie uda się już odzyskać.
Mało kto zdaje sobie sprawę z tego, że w wielu przypadkach odpowiedzialność ponosi także bank. Usługi bankowe regulowane są przez szereg aktów prawnych, chociażby przez przepisy Prawa bankowego, Kodeksu cywilnego, wspomnianej już ustawy o usługach płatniczych, ustawy o prawach konsumenta, czy też szeregu aktów prawa organu nadzorczego, jakim jest Komisja Nadzoru Finansowego.
Na banku ciąży obowiązek zachowania szczególnej staranności (art. 50 ust. 2 Prawa bankowego) przy ochronie powierzonych środków, w tym również do monitorowania dokonywanych transakcji i blokowania (zawieszania) tych, które mogą mieć charakter oszustwa (tzw. fraud). Każdy bank powinien korzystać więc z nowoczesnych systemów antyfraudowych i weryfikować wszelkie podejrzane transakcje.
Wiele banków jednak nie robi tego w sposób rzetelny. Kilkukrotnie spotkałem się już z sytuacją, w której system bankowy wprawdzie zablokował nieuczciwe transakcje, ale z uwagi na wadliwe procedury banku lub też niekompetencję jego pracowników klient banku i tak padł ofiarą oszustwa. Dodatkowo Prezes Urzędu Ochrony Konkurencji i Konsumentów prowadzi obecnie szereg postępowań związanych z wadliwym wywiązywaniem się przez banki z obowiązków ochrony zgromadzonych środków.
Dochodzenie zwrotu utraconych środków od banku wiązać będzie się albo z postępowaniem przed Rzecznikiem Finansowym albo postępowaniem sądowym. Sprawa powinna być prowadzona z wykorzystaniem wiedzy o prawie bankowym i finansowym oraz o specyfice działalności instytucji finansowych. Moja kancelaria przyjmuje i prowadzi takie sprawy.
Czy kancelaria przyjmuje takie sprawy (oszustwo TeamViewer i inne)?
Sprawy z zakresu finansów, w tym cyberoszustw bankowych stanowią istotną część działalności mojej kancelarii. Prawem bankowym i finansowym interesowałem się już na studiach, a sprawami dotyczącymi sporów z instytucjami finansowymi zajmowałem się od początku mojej działalności zawodowej. Pracuję również jako pracownik naukowy na Uniwersytecie Ekonomicznym w Katowicach, gdzie prowadzę przedmioty m.in. związane z instytucjami finansowymi. Jestem autorem licznych publikacji naukowych dotyczących rynku finansowego i bankowego.
Do każdej sprawy podchodzę indywidualnie, mając na uwadze to, że nikt nie jest w identycznej sytuacji. Wielokrotnie prowadziłem i prowadzę również sprawy dotyczące cyberoszustw finansowych (w tym również tzw. oszustwo TeamViewer), wykorzystując nie tylko znajomość prawa, ale także posiadaną przeze mnie wiedzę o sposobie działania instytucji finansowych. Kluczowe jest opracowanie strategii procesowej dopasowanej do konkretnego poszkodowanego i uwzględniającej przebieg oszustwa. Poszkodowanych zapraszam do kontaktu mailowego (cyberoszustwa@kaczmarczyk-adwokat.pl) lub telefonicznego (605 396 946).