Aktualizace: upřesnění znění SMS s bezpečnostním upozorněním v časové ose podvodu.
Na finančního arbitra se obrátil muž, kterého kyberšmejdi při phishingovém útoku připravili o 80 000 Kč. Podle poškozeného mimo jiné proto, že jej Air Bank, u které měl účet, dostatečně neochránila.
Právě ve sporech mezi spotřebiteli a finančními institucemi, ať už jde o banky nebo třeba pojišťovny, může v bezplatném řízení rozhodovat finanční arbitr. Pokud by vás činnost finančního arbitra zajímala blíže, projděte si článek: Řešíte spor s bankou nebo pojišťovnou? Poradíme, kde hledat zastání
Falešný odkaz na WhatsAppu
Útok proběhl podle klasického scénáře: muž si myslel, že se mu podařilo prodat inzerovanou věc na internetu a při následné domluvě ohledně vypořádaní platby obdržel na WhatsApp zprávu s odkazem na stránku (https://dpd-cz.platinum-pay.site/cash361043364).
Ta ho následně přesměrovala na falešnou stránku s přihlášením do internetového bankovnictví, zde muž zadal své přihlašovací údaje a poté přepsal kód z autorizační SMS. Přihlášení, včetně potvrzovací SMS, pak ještě jednou zopakoval, protože se – podle jeho slov – stránka chovala divně.
Díky prvnímu přihlášení se útočník dostal do internetového bankovnictví poškozeného. Druhým přihlášením, a zejména přepsáním kódu z autorizační SMS, pak muž povolil, aby si útočník na svém mobilním zařízení zajistil přístup k jeho účtům přes mobilní aplikaci.
Poté podvodník přeposlal 61 tis. Kč ze spořicího účtu poškozeného na jeho běžný účet, následně si na vlastní účet přeposlal 2 × 40 tis. Kč a ty pak ihned vybral v hotovosti prostřednictvím bankomatu.
V mezičase se také kdosi z ukrajinské IP adresy pokusil přihlásit k danému účtu skrze internetové bankovnictví. Tento pokus banka vyhodnotila jako podezřelou aktivitu a internetbankig zablokovala. Mobilní bankovnictví i samotné účty ale nadále zůstaly přístupné.
Poškozený se následně sám snažil přihlásit do internetbankingu ze stránek Air Bank, to už ovšem nebylo možné. Poškozený se domníval, že touto blokací mu banka znemožnila, aby mohl odčerpání finančního obnosu z jeho účtu zabránit. Že se jedná o podvodné transakce věděla banka již několik minut po jejich provedení, tak přestože mohla a měla jednat, tak k odvrácení vzniklé škody neudělala vůbec nic,
namítal.
Muž se proto obrátil na finančního arbitra. V řízení se chtěl domoci toho, aby banka uvedla jeho spořicí a běžný účet do stavu, ve kterém by byly, kdyby banka zamítla zmíněné transakce. Argumentoval přitom především tím, že on sám k jejich provedení nedal platební příkaz, ani neudělil souhlas.
Ukradeno do půl hodiny
Pokud se člověk chytne do pasti kyberšmejdů, může přijít o peníze opravdu rychle:
cca 18:30 Muž kliká na odkaz z WhatsAppu, zadává přihlašovací údaje a autorizační SMS na falešné stránce.
18:34:51 Podvodník se přihlašuje do bankovnictví z cizí IP adresy.
18:35:02 Banka odesílá SMS kód pro přihlášení.
18:36:29 Podvodník žádá o propojení aplikace My Air na nové zařízení.
18:36:30 Banka odesílá SMS s kódem pro propojení aplikace.
18:37:21 Aplikace je úspěšně propojena s účtem klienta.
18:37:46 Přihlášení do mobilní aplikace (My Air) z nového zařízení.
18:37:52 SMS: „BEZPEČNOSTNÍ UPOZORNĚNÍ: Právě jste dali novému telefonu přístup k penězům na svém účtu. Pokud o tom nevíte, volejte ihned 547 134 134“. (Uvedené telefonní číslo je na blokační linku, která je v provozu 24/7)
18:37:57 SMS: „Změnili jsme způsob podepisování v internetovém bankovnictví…“
18:41:36 Proveden převod 61 000 Kč ze spořicího na běžný účet.
18:42:37 Pokus o přihlášení do internetového bankovnictví z ukrajinské IP adresy, který banka vyhodnocuje jako podezřelý a blokuje přístup do internetového bankovnictví. Poté se snaží přihlásit do internetbankingu poškozený, což už však není možné
18:42:43 Banka posílá SMS o podezřelém přihlášení
18:43:39 Podvodník provádí okamžitou platbu 40 000 Kč z běžného účtu.
18:44:02 Další okamžitá platba 40 000 Kč z běžného účtu.
18:47:11 Poškozený se pokouší dovolat do banky prostřednictvím běžné klientské linky.
18:49 Podvodník vybírá hotovost 80 000 Kč ze svého účtu.
18:55:41 Poškozený se dovolal na zákaznickou linku, kde hlásí, že se mu nedaří přihlásit do internetbankingu. Po popisu situace operátorka dojde k tomu, že byl jeho účet zneužitý.
18:56 Banka blokuje účty.
Zákon o platebním styku a neautorizované transakce
Ještě předtím, než se podíváme na rozhodnutí finančního arbitra, je vhodné připomenout, co o neautorizovaných transakcích říká zákon o platebním styku. Právě o něj se finanční arbitr, ale i poškozený při domáhání náhrady jeho ztráty, opírali.
Dle paragrafu 182 tohoto zákona má banka povinnost nahradit klientovi ztrátu vyplývající z neautorizovaných transakcí. Respektive – má povinnost uvést platební účet, ze kterého byla transakce odepsaná, do původního stavu, ve kterém by účet byl, pokud by k transakci nedošlo.
Existují ovšem i výjimky z pravidla, které nastanou, pokud:
- jde o neautorizovanou transakci do částky odpovídající částce 50 EUR, jestliže ke ztrátě došlo použitím ztraceného nebo odcizeného platebního prostředku, nebo jeho zneužitím,
- k neautorizované transakci dojde tak, že klient z hrubé nedbalosti poruší některou ze svých povinností, které jsou uvedené v paragrafu 165.
Výše uvedená pravidla se nepoužijí, pokud by poškozený dokázal, že nemohl o odcizení peněz vědět předtím, než k nim došlo, nebo pokud by ke ztrátě došlo na základě jednání poskytovatele, případně pokud by se prokázalo, že banka nepožadovala silné ověření.
Za silné ověření přitom zákon považuje použití alespoň 2 z následujících prvků:
- údaj, který zná pouze uživatel,
- věci, kterou má uživatel ve své moci,
- biometrických údajů uživatele.
Vedle toho je ale v zákoně o platebním styku také paragraf 165, podle kterého musí majitel účtu používat účet v souladu s rámcovou smlouvou, zejména okamžité poté, co obdrží platební prostředek, přijme veškerá opatření na ochranu jeho osobních bezpečnostních prvků. Bez zbytečného odkladu po zjištění by také měl oznámit poskytovateli ztrátu, odcizení, zneužití nebo neoprávněné použití platebního prostředku.
Přečtěte si také:
Vishing na vlastní uši: poslechněte si, jak se nás podvodníci snaží obrat o peníze
Jak rozhodl arbitr?
Finanční arbitr (FA/SR/PS/291/2023) nejprve obě strany vyzval ke smírnému řešení – na to byl poškozený ochotný přistoupit, pokud by mu banka uhradila škodu alespoň 60 tis. Kč. Banka ovšem smír odmítla, jelikož z jejího pohledu jednala s maximální odbornou péčí. V následném řízení pak arbitr návrh poškozeného na náhradu škody ze strany banky zamítl.
Podle finančního arbitra totiž muž sám, byť v domnění, že se přihlašuje do internetového bankovnictví, zpřístupnil třetí osobě své přihlašovací údaje a především pak autorizační kód k propojení mobilní aplikace s jeho zařízením. Tím umožnil zadávat a potvrzovat platby – pomocí biometrického ověření, které si podvodník nastavil v mobilní aplikaci. Transakce zadané útočníkem tak z pohledu zákona proběhly na základě silného ověření.
Zároveň poškozený podle arbitra nemůže tvrdit, že nemohl o odcizení peněz vědět předtím, než k němu došlo. Stačilo, pokud by si dobře přečetl autorizační a poté i varovnou SMS. Banka odeslala na telefonní číslo SMS zprávu s jednorázovým potvrzovacím kódem pro propojení aplikace My Air na novém mobilním zařízení s účtem poškozeného. V textu přitom stálo: Chystáte se propojit aplikaci My Air se svým účtem v Air bank. Nové zařízení pro potvrzování nebo náhled plateb schválíte kódem XXYY. Kód nikomu nepředávejte,
stojí ve zprávě finančního arbitra.
Muž přesto kód na podvodné stránce zadal. Následně mu banka zaslala další SMSku, ve které ho upozornila, že dal novému telefonu přístup k penězům na jeho účtu s výzvou, že pokud o tom neví, má kontaktovat banku na její blokační lince.
Navrhovatel měl tak nejpozději v tento okamžik kontaktovat Instituci, aby si ověřil, z jakého důvodu se tak stalo, když se chtěl pouze přihlásit do internetového bankovnictví. Nelze vyloučit, že pokud by Navrhovatel kontaktoval Instituci bezprostředně po obdržení informativních SMS zpráv, mohl ztrátu z neautorizovaných transakcí alespoň eliminovat,
domnívá se finanční arbitr.
Finanční arbitr tak na základě informací poskytnutých poškozeným i bankou došel k závěru, že k neautorizovaným platbám nedošlo kvůli pochybení banky, ale kvůli hrubé nedbalosti poškozeného, když v rozporu s rámcovou smlouvou neplnil sjednanou povinnost ochraňovat svoje osobní bezpečnostní prvky.
Co je phishing?
Phishing je technika, při které se útočníci vydávají za důvěryhodnou osobu, organizaci nebo webovou stránku a snaží se získat citlivé informace, jako jsou hesla, bankovní údaje nebo platební karty.
Phishingové útoky často probíhají pomocí e-mailů nebo zpráv přes sociální sítě, kde vám podvodník pošle informaci, která na první pohled vypadá jako legitimní. Ta může obsahovat odkazy na falešné webové stránky, které jsou navrženy tak, aby přesně připomínaly skutečné a důvěryhodné weby, jako jsou banky, online služby, nebo klidně korporátní interní systémy.
S jakými typy podvodů se můžete na internetu setkat, a především, jak jim předcházet, jsme shrnuli v článku: Vyznejte se v podvodech. Co je phising, vishing, smishing a spoofing?
ČLÁNKY DO MAILU