Nowe technologie a sektor bankowy
Poruszając tematykę nowych technologii, sektor usług bankowych nie jest pierwszym, o którym w takiej sytuacji pomyślimy. Instytucje sektora bankowego kojarzą się w społeczeństwie raczej z podmiotami o charakterze tradycyjnym, niespecjalnie podatnym na modernizację technologiczną. Z jednej strony jest to prawda, gdyż sektor bankowy, z uwagi na swoją odpowiedzialność i występowanie w roli instytucji zaufania publicznego, stawia raczej na stare, sprawdzone już wcześniej w innych sektorach technologie[1]. Jeden z zakresów działalności banków jest jednak w świadomości przeciętnego użytkownika o wiele bardziej związany z technologią niż inne. Mowa tu oczywiście o bankowości elektronicznej i mobilnej, która towarzyszy już większości Polaków na co dzień. To właśnie w tej dziedzinie użytkownik narażony jest na phishing w sposób szczególny.
Z ostatnich badań przeprowadzonych w III kwartale 2021 r. wynika, że 63% Polaków korzysta z bankowości internetowej, a 55% z bankowości mobilnej. Co dziesiąty badany wskazał, że w ogóle nie korzysta z usług bankowych w sposób tradycyjny, tj. za pośrednictwem oddziałów stacjonarnych, a jedynie za pomocą aplikacji na telefon[2]. Powyższe dane obrazują jednoznaczny wzrost w zakresie korzystania zarówno z bankowości elektronicznej, jak i bankowości mobilnej w porównaniu z analogicznymi danymi z III kwartału 2020 r.
Wpływ na powyższe dane z pewnością miała pandemia koronawirusa. Pociągnęła ona za sobą powszechne ograniczenia w możliwości przemieszczania się i korzystania ze stacjonarnych form usług (w tym usług bankowych). Pomimo obecnego wygaszania ograniczeń związanych z wirusem SARS-CoV-2 i powrotu do „normalnego” funkcjonowania sprzed 2020 r., można zaryzykować stwierdzenie że świat bankowości do trybu sprzed pandemii już nie wróci.
Bezpieczeństwo korzystania z bankowości elektronicznej
W kontekście powyższego, coraz większego znaczenia nabiera zapewnienie odpowiedniego stopnia bezpieczeństwa korzystania z bankowości elektronicznej i mobilnej. Bezpieczeństwo to należy zapewnić na dwóch płaszczyznach. Pierwszą z nich jest bezpieczeństwo danych zgromadzonych i przetwarzanych przez bank. W tym zakresie przeciętnemu konsumentowi pozostaje jedynie zaufać bankowi, że jego zabezpieczenia w sposób odpowiedni chronią jego dane. Na ewentualne przełamanie zabezpieczeń systemu banku użytkownik nie ma bowiem w zasadzie żadnego wpływu.
Drugim z elementów bezpieczeństwa korzystania z bankowości internetowej i mobilnej jest zapewnienie przez użytkownika odpowiedniego poziomu zabezpieczeń na swoim urządzeniu, z którego loguje się do konta. Powyższe sprowadza się do działań aktywnych, takich jak zainstalowanie odpowiedniego i aktualnego oprogramowania antywirusowego. Należy również pamiętać o czynnościach pasywnych polegających na powstrzymaniu się od dokonywania określonych działań. Do czynności tych zaliczyć można chociażby powstrzymanie się od otwierania plików oraz linków nieznanego pochodzenia. Innym przykładem jest niekorzystanie z publicznych sieci internetowych podczas logowania do bankowości internetowej.
Brak zachowania należytej ostrożności i postępowania zgodnie z określonymi regułami może doprowadzić do sytuacji, w której staniemy się ofiarą oszustwa. Takie oszustwo przybierze wówczas postać phishingu.
Czym jest phishing?
Najogólniej rzecz ujmując phishing jest rodzajem oszustwa polegającym na wyłudzeniu od użytkownika Internetu informacji. Informacje te umożliwiają nieautoryzowany dostęp do poufnych i prywatnych danych przez podszywanie się pod kogoś innego[3].
Termin ten występuje również w języku prawniczym. W orzecznictwie sądów powszechnych wskazuje się, że phishing to forma oszustwa, polegająca na podszyciu się przez przestępców pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji – np. danych do logowania lub danych karty kredytowej, bądź też w celu zainfekowania komputera szkodliwym oprogramowaniem[4].
Schemat tego oszustwa bazuje na wciąż niewystarczającej świadomości społeczeństwa dotyczącej cyfrowych zagrożeń[5]. Oszuści najczęściej kierują do ofiary phishingu wiadomość z informacją o konieczności dokonania określonej czynności. Stanowi ona jednak jedynie pretekst do otworzenia przez ofiarę pliku, albo linku do strony internetowej. Może nią być konieczność dokonania dopłaty do zamówionych produktów, czy konieczność opłacenia faktury VAT załączonej do wysyłanego maila.
Wyłudzenie środków pieniężnych
Jednym z rodzajów phishingu jest uzyskanie od ofiary środków pieniężnych bezpośrednio od niej. Na przykład poprzez dokonanie przez nią przelewu środków pieniężnych, albo poprzez podanie przez nią kodu BLIK.
Można wyróżnić kilka sposobów na popełnienie tego rodzaju wyłudzenia. Może być to podszycie się przez oszusta pod osobę znajomą (na przykład poprzez uzyskanie jej danych do logowania do platform społecznościowych). Oszust prosi ofiarę o dokonanie szybkiego przelewu na wskazany rachunek bankowy, czy też udostępnienie kodu BLIK. Co istotne, w przypadku udostępnienia kodu BLIK, przy nieuważności użytkownika bankowości, może on udostępnić kod dotyczący przelewu kwoty znacznie wyższej niż wskazana przez „znajomego”. Innym sposobem przeprowadzenia tego rodzaju wyłudzenia jest podszycie się pod kontrahenta biznesowego. Oszust zwraca się wtedy z prośbą o dokonanie płatności za wykonaną usługę na inny niż wskazany poprzednio rachunek bankowy.
W takiej sytuacji ofiara sama dokonuje więc autoryzacji transakcji bankowej. Pozostaje jednak w błędzie co do tożsamości odbiorcy przelewu, czy też kodu BLIK, a czasem co do jego kwoty. Ofiara phishingu nie zdaje sobie bowiem sprawy, że przekazuje środki osobie do tego nieuprawnionej. Osoba taka jedynie podszywa się pod jej kontrahenta, znajomego, czy też członka rodziny. Ten rodzaj phishingu nie należy do najbardziej wyrafinowanych sposobów oszustwa. Osoba nieuprawniona nie uzyskuje bowiem dostępu do bankowości elektronicznej ofiary. Podszywając się pod kogoś innego uzyskuje jedynie na swój rachunek nienależne środki pieniężne. Ofiara phishingu jest jednak cały czas we władaniu swojego rachunku bankowego. Nie przekazała ona bowiem oszustowi danych do logowania. Oszust pozostaje więc niejako zdany na lekkomyślność użytkownika bankowości, który dobrowolnie udostępnia mu środki pieniężne.
Przejęcie danych do logowania
Drugi rodzaj phishingu jest oparty na innym sposobie uzyskania środków pieniężnych. Co do zasady początek oszustwa wygląda analogicznie. Potencjalna ofiara otrzymuje wiadomość (mail, SMS, inny komunikator) dotyczącą czynności, którą musi wykonać z uwagi na zmyślony przez oszusta powód. Wiadomość taka zawiera jednak zazwyczaj plik lub link, do włączenia których odsyła. Plik może zawierać rzekomo nieopłaconą fakturę VAT, czy też zdjęcia ofiary z zapytaniem czy to rzeczywiście ona. Link prowadzić może z kolei do wygranej nagrody w konkursie internetowym, czy też do opłacenia brakującej kwoty zamówienia w sklepie internetowym. Działanie oszustów zmierza jednak w istocie do zainstalowania na urządzeniu ofiary (komputerze, albo urządzeniu mobilnym) złośliwego oprogramowania. Oprogramowanie to umożliwia z kolei oszustom uzyskanie wiadomości o danych do logowania do bankowości internetowej ofiary. Dane te są następnie wykorzystywane do zalogowania się do bankowości internetowej na urządzeniu oszustów.
Schemat zaprezentowany powyżej pozwala nie tylko na uzyskanie określonej kwoty od ofiary oszustwa. Daje on także możliwość uzyskania pełnej kontroli nad jej rachunkiem bankowym. Truizmem jest przy tym wskazanie, że może to przynieść skutki w postaci wielotysięcznych strat. Czasem straty te mogą znacząco przewyższać kwotę zgromadzoną na rachunku bankowym. Stanie się tak w przypadku, w którym oszuści uzyskają dostęp do rachunku bankowego z limitem kredytowym. Brak odpowiedniego zabezpieczenia dostępu do swojej bankowości może więc narazić użytkownika na straty wyższe niż mógłby przypuszczać.
Rekomendacje Komisji Nadzoru Finansowego
Problematyka phishingu oraz związanych z nim zagrożeń dla sektora bankowego została już stosunkowo dawno dostrzeżona przez Komisję Nadzoru Finansowego. Organ ten jest właściwy do sprawowania nadzoru nad instytucjami finansowymi w Polsce. W styczniu 2013 r. opublikowana została „Rekomendacja D” dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach[6].
Rekomendacja Komisji Nadzoru Finansowego, pomimo że nie jest źródłem powszechnie obowiązującego prawa, wywołuje określone skutki w sferze obrotu. W doktrynie prawa wskazuje się, że „uchwały KNF zawierają normy wywołujące istotne skutki prawne, które same w sobie wykraczają poza dychotomiczny podział na wiążące i niewiążące przepisy prawa. W świetle rządzącej nimi logiki, kontekstu, celu i po części także języka można uznać te akty prawa za określające reguły zachowania”[7]. Przestrzeganie rekomendacji KNF może więc mieć znaczenie w zakresie odpowiedzialności banku za transakcje wykonane z rachunku bankowego przez oszustów. Kwestia ta zostanie omówiona w sposób wyczerpujący w kolejnych artykułach dotyczących tego zagadnienia.
W Rekomendacji D ze stycznia 2013 r. wskazano, że banki powinny informować swoich klientów o zagrożeniach związanych z „innymi technikami mającymi na celu przechwycenie informacji umożliwiających dostęp do rachunku (np. poprzez ataki oparte o technikę phishing), wraz ze wskazaniem sposobów zabezpieczania się przed takimi technikami”. Banki powinny również „udostępniać klientom kanał komunikacji (np. skrzynkę e-mail, numer telefonu) umożliwiający informowanie banku o zidentyfikowanych przez klientów zdarzeniach dotyczących bezpieczeństwa elektronicznych kanałów dostępu (np. o atakach opartych o technikę phishing)”. Zapoznanie się z publikowanymi przez poszczególne banki zasadami i ostrzeżeniami dotyczącymi bezpieczeństwa stanowi więc podstawowe narzędzie zabezpieczenia się przed potencjalnym atakiem.
Podsumowanie
Problematyka phishingu jest tematem aktualnym, a jej znaczenie wraz z rozwojem technologii powinno systematycznie przybierać na sile. Wśród postępującego rozwoju nie można bowiem zapominać o podstawach bezpieczeństwa w sieci, a obszarem szczególnie narażonym na ataki jest bankowość, w tym bankowość internetowa i mobilna. Pojawianie się coraz to nowych technologii, również w zakresie autoryzacji transakcji bankowych oraz logowania do bankowości internetowej, stanowi odpowiedź na działania oszustów adaptujących się do wprowadzanych przez banki zabezpieczeń. Lekcją wyniesioną z popkultury jest stwierdzenie, że „kradzież tożsamości to nie żarty”. Analogicznie traktować należy kwestię bezpieczeństwa indywidualnych danych służących logowaniu do bankowości internetowej i mobilnej.
W dalszej części rozważań na temat phishingu poruszone zostaną kwestie prawidłowej ochrony przed zagrożeniami z nim związanymi, a także kwestia odpowiedzialności za wykonane przez oszustów transakcje bankowe.
[1] W ostatnim czasie na portalu LinkedIn natknąć można było się na posty dotyczące jednego z wiodących banków, który zdecydował się poinformować o swoich „nowych cyfrowych rozwiązaniach” oraz „innowacjach”, załączając do listu tradycyjnego płytę CD na której znajdować miały się informacje o nich.
[2] https://www.bankier.pl/wiadomosc/63-proc-Polakow-na-co-dzien-korzysta-z-bankowosci-internetowej-8247279.html.
[3] https://sjp.pl/phishing.
[4] Wyrok Sądu Okręgowego w Warszawie – XXVII Wydział Cywilny Odwoławczy z dnia 11 sierpnia 2021 r., sygn. akt XXVII Ca 1352/21.
[5] M. Bergman, Phishing – znane zagrożenie w realiach epidemii, Legalis 2020
[6] https://www.knf.gov.pl/knf/pl/komponenty/img/Rekomendacja_D_8_01_13_uchwala_7_33016.pdf.
[7] A. Nadolska, Soft law w regulacji rynku finansowego w Polsce: rekomendacje, wytyczne i lista ostrzeżeń publicznych KNF, 2021, s. 18.