Ukradli moje dane, założyli konto w banku i wyłudzili 10 000 zł. Bycie ostrożną nic nie dało

Dłoń trzymająca czerwony polski paszport z napisem

Uważam się za świadomego użytkownika internetu. Nie klikam podejrzanie wyglądających linków, nie udostępniam zdjęć dowodu osobistego ani innych dokumentów oraz korzystam z weryfikacji dwuetapowej wszędzie tam, gdzie jest to możliwe. Jednak w jakiś sposób moje dane znalazły się w niepowołanych rękach. Rękach, które założyły konto na moje dane w banku i wyłudziły 10 000 złotych od osoby, która zgłosiła przestępstwo.

Sprawdź jak lepiej możesz chronić swoje dane

Spis treści

• Co się wydarzyło?
• Zastrzeżenie dowodu osobistego
• Raport i alerty z BIK
• Centralna Informacja o rachunkach
• Biura Informacji Gospodarczej
• Założenie sprawy na Policji o przestępstwie
• Ustalenie źródła wycieku danych
• Czy doczekamy się systemu, który pozwoli uniknąć takich sytuacji?

Do wyłudzenia danych może posłużyć fałszywy SMS Źródło: Policja.pl

Co się wydarzyło?

Osoba, która została oszukana najprawdopodobniej kupiła coś od przestępców w serwisie Vinted. Chcąc zapłacić za towar, prawdopodobnie dostała link do aplikacji lub sfałszowaną stronę internetową, przez którą zalogowała się do swojego banku. I w ten sposób przestępcy również otrzymali dostęp do jej konta, z którego wykradli 10 000 złotych.

Phishing na Vinted. Źródło: PREBYTES Security Incident Response Team, zrzut ekranu

Tyle przynajmniej udało mi się dowiedzieć podczas przesłuchania w charakterze świadka na Policji — szczegółów nie poznałam, gdyż sprawę prowadzi Policja z Opola, gdzie zgłoszono popełnienie przestępstwa. Łódzka Policja otrzymała tylko pobieżny opis, na podstawie którego musiałam udzielić informacji o posiadanych rachunkach bankowych, dostępie do internetu itp. Co więcej, wydarzenie to miało miejsce w styczniu 2023 roku, a o sprawie dowiedziałam się kilka miesięcy później (w drugiej połowie maja) od policjanta, który mnie przesłuchiwał… „Mój” udział w tym przestępstwie polegał na wykorzystaniu moich danych do założenia konta w jednym z polskich banków, przez które wyprowadzono środki.

Fot: Policja / materiały prasowe

Że do przestępstwa doszło, nie ma wątpliwości. Nie mam też wątpliwości, że w jakiś sposób moje dane dostały się w ręce przestępców — i to wiele miesięcy wcześniej. Padłam ofiarą wyłudzenia danych i choć, jak mówi przysłowie, mleko się zdążyło rozlać, trzeba działać, aby zminimalizować szkody. Ochrona prywatności w sieci jest więc kluczowa. Korzystanie z VPN-ów także może być pomocne, choć teraz już za późno na dewagacje. Co trzeba zrobić, jeżeli już doszło do takiej sytuacji?

Sprawdź jak lepiej chronić dane na smartfonie

Zastrzeżenie dowodu osobistego

Pierwszą rzeczą, choć zazwyczaj i tak ma już to miejsce po zaistnieniu przestępstwa, jest zastrzeżenie dokumentów. Dowód osobisty możemy zastrzec poprzez serwis bankowy czy konto w Biurze Informacji Kredytowej.

Fot. bzyxx / Depositphotos

Raport i alerty z BIK

Sprawdź swoje dane w BIK i nie daj się oszukać

Wszystkim, nawet osobom, które nigdy nie padły ofiarą wyłudzenia danych, polecam założenie konta w Biurze Informacji Kredytowej i wykupienie usługi alertów. Usługa ta kosztuje 42 złotych za rok. W ten sposób co miesiąc będziecie otrzymywać powiadomienie na maila oraz SMS-em o tym, że w ciągu ostatnich 30 dni nic nie działo się na koncie — albo powiadomienie w momencie, gdy coś się na tym koncie zadzieje. Czyli gdy jakakolwiek firma będzie weryfikowała waszą zdolność kredytową albo udzieli pożyczki. Wtedy oczywiście trzeba działać natychmiast.

Fot. BIK, zrzut ekranu

W BIK-u wiarygodność sprawdzają banki, SKOK-i, czyli Spółdzielcze Kasy Oszczędnościowo–Kredytowe oraz firmy pożyczkowe. Trzeba zaznaczyć, że do danych przechowywanych przez Biuro Informacji Kredytowej mają wgląd wyłącznie te podmioty, które współpracują z Biurem Informacji Kredytowej i udzielają BIK informacji na temat własnych klientów. Oznacza to, że cała rzesza pseudoplacówek udzielających pożyczek bez sprawdzania informacji w BIK pozostaje poza tym systemem. Pewnym rozwiązaniem, które zapobiegnie wyłudzaniu pożyczek czy kredytów jest zmiana w aplikacji mObywatel, dzięki której można zastrzec PESEL. Mam nadzieję, że jak najszybciej wejdzie ona w życie.

Czy można sprawdzić, w jakich bankach mamy konto? Oczywiście oprócz tych, które zakładaliśmy samodzielnie i jesteśmy ich świadomi? Tutaj wykorzystajcie serwis Centralna informacja o rachunkach.

Centralna Informacja o rachunkach

Centralna informacja o rachunkach jest usługą, którą Krajowa Izba Rachunkowa świadczy instytucjom wskazanym przepisami ustawy z dnia 9 października 2015 r. o zmianie ustawy – Prawo bankowe oraz niektórych innych ustaw (które weszły w życie z dniem 1 lipca 2016 r.). Jest to rozwiązanie umożliwiające dostęp do informacji o rachunkach osób zmarłych, „zapomnianych” rachunkach osób fizycznych oraz rachunkach osób wskazanych przez sąd, komornika, policję lub inne uprawnione organy – w każdym banku i SKOK-u.y.

Nie będę opisywać po kroku, jak to działa. Dobrze ilustruje to poniższy schemat:

Fot. Centralna Informacja, materiały prasowe

Trzeba dodać, że usługa ta nie jest bezpłatna, a każdy bank ustala cenę indywidualnie. W PKO BP zapłaciłam za to 25 złotych. Obecnie można sprawdzić informacje o rachunkach w następujących podmiotach: w 39 bankach komercyjnych, 494 bankach spółdzielczych oraz 23 spółdzielczych kasach oszczędnościowo-kredytowych.

Biura Informacji Gospodarczej

Obok Biura Informacji Kredytowej (BIK) można też zweryfikować swoje dane w Biurach Informacji Gospodarczej, czyli BIG-ach. O ile bowiem BIK jest jeden, to biur informacji gospodarczej jest w Polsce kilka. Gromadzą one i udostępniają informacje dotyczące terminowego opłacania rachunków i faktur przez osoby i firmy, pochodzące z różnych sektorów i branż. To jest właśnie największa różnica z punktu widzenia konsumenta — czyli jest rodzaj danych, które gromadzą wymienione instytucje. BIK zbiera dane o zaległościach w bankach, SKOK-ach, firmach pożyczkowych, leasingowych i faktoringowych, natomiast BIG dokonuje rejestracji informacji o wszelkich zaległościach – nie tylko bankowych.

Fot. BIG InfoMonitor, zrzut ekranu

Jakie BIG-i działają w Polce? Najważniejsze są dwa: BIG InfoMonitor (Biuro Informacji Gospodarczej InfoMonitor S.A.), który zbiera i udostępnia dane dotyczące zadłużenia konsumentów i przedsiębiorców, oraz KRD (Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A.), który zbiera dane na temat wszystkich podmiotów gospodarczych.

Założenie sprawy na Policji o przestępstwie

Oczywiście nie liczę, że zastrzeżenie dokumentów i zweryfikowanie kont w bankach wystarczy. Niestety tego typu sytuacje mogą się ciągnąć, a osoba, której dane zostały wyłudzone, długo jeszcze będzie żyła w niepewności, czy do drzwi znów nie zapuka Policja albo komornik. Nasze dane mogą bowiem zostać wykorzystane do wielu przestępczych działań, których będziemy zupełnie nieświadomi — do momentu, gdy przestępstwo nie zostanie zgłoszone.

Jak podaje Związek Banków Polskich, w III kwartale 2022 roku odnotowano 2089 prób wyłudzeń na łączną kwotę 47,7 mln zł. Statystycznie w analizowanym kwartale odnotowywano 22 próby wyłudzeń dziennie, a każdego dnia próbowano na cudze nazwiska ukraść łącznie 519 tys. zł. (źródło: Orange).

Fot. Tingey Injury Law Firm / Unsplash

Jak ma się do tego polskie prawo? Zgodnie z art. 190a §2 Kodeksu Karnego, karze pozbawienia wolności do lat 3 podlega ten, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej, lub osobistej. Jest to przestępstwo, które podlega ściganiu na wniosek pokrzywdzonego – prokurator nie zajmie się więc sprawą, dopóki nie zawiadomimy go o przestępstwie i nie złożymy aktu oskarżenia.

Drugim przestępstwem związanym ze skutkami wyłudzenia naszych danych, może być przestępstwo oszustwa – kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej w błąd albo wyzyskania błędu, lub niezdolności do należytego pojmowania przedsiębranego działania, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Czyli jeżeli ktoś podszyje się pod nas i w ten sposób oszuka inną osobę, np. wyłudzając od niej pieniądze albo inne korzyści – będzie ścigany przez prokuratora. Przestępstwo to podlega ściganiu z urzędu (źródło: Kancelaria prawna RPMS).

Ustalenie źródła wycieku danych

Wiem, że nigdy nie zgubiłam dokumentów ani świadomie nie przekazałam ich obcej osobie. Nie udostępniałam zdjęcia dowodu w sieci ani nie szafowałam na prawo i lewo swoim PESEL-em. Nie klikam w linki z wiadomości mailowych ani tym bardziej podejrzane wiadomości SMS-owe. Jeśli nie ja miałam udział w udostępnieniu przestępcom swoich danych, to kto?

Na początek zerknęłam do serwisu ’;–have i been pwned? To baza, która pozwala sprawdzić, czy dane użytkownika zostały naruszone przy okazji wycieku danych. Po wpisaniu używanych przeze mnie adresów mailowych okazało się, że wyciek raczej nie nadszedł z te strony — wszelkie sytuacje dotyczyły dawnych lat, np. wyciek danych z Morele czy Aero2…

Fot. Have I been pwned, zrzut ekranu

Inną czynnością, jaką warto wykonywać — głównie profilaktycznie — jest monitorowanie wycieków danych. Jak stwierdzono w raporcie CERT, wycieki danych są problemem, z którym na przestrzeni ostatnich lat zetknęła się większość polskich użytkowników Internetu. Wraz ze wzrostem liczby podmiotów przetwarzających różnego rodzaju dane, w tym dane wrażliwe, rośnie również liczba chętnych, by je wykraść i wykorzystać.

Jeśli śledzicie media to wiecie, jak częste są to wydarzenia. I podejrzewam, że o wielu takich sytuacjach nawet się nie dowiadujemy. Lepiej bowiem postarać się zamieść wszystko pod dywan niż narażać na publiczną krytykę lub karę finansową.

Liczba wycieków danych w Polsce od 1 kw. 2020 do 3 kw. 2022 (w 1000) Fot. Statista

Sprawdź jak lepiej chronić dane na smartfonie

Nasze szczegółowe dane zbierają operatorzy telekomunikacyjni i instytucje finansowe — wycieki danych zaliczył T-Mobile, Plus, Virgin Mobile, PayPal. Co pewien czas okazuje się, że także uczelnie nieodpowiednio zabezpieczyły dane studentów, urząd przypadkiem udostępnił dane funkcjonariuszy czy ktoś załączył nieodpowiedni plik do maila… Oczywiście są też wycieki wynikające z celowych działań — ofiarą cyberprzestępców padł na przykład popularny menedżer haseł LastPass.

Doskonałym źródłem wycieków danych są też urzędy i różne instytucje, które nagminnie posługują się najbardziej wrażliwymi informacjami, ale potem nie dbają o ich bezpieczeństwo. I nie chodzi wcale o dokumenty w formie elektronicznej, ale w formie papierowej. Jak często słyszeliście o znajdywanych na śmietnikach stertach dokumentów odnajdywanych przez przypadkowe osoby, które zawierały pełen wykaz wrażliwych danych na temat interesantów danego urzędu?

Czy doczekamy się systemu, który pozwoli uniknąć takich sytuacji?

Fot. Kenny Eliason / Unsplash

Do czego mogą być wykorzystane uzyskane dane? Na przykład do zakładania kont na przejęte dane, które służą do wyprowadzania pieniędzy — to tak zwane konta „na słupa”. Mają one niestety bardzo wiele nielegalnych zastosowań. Mogą posłużyć na przykład do dalszej odsprzedaży jako „anonimowe konto” do ukrycia pieniędzy, np. przed komornikiem czy urzędem skarbowym, do zaciągania tzw. chwilówek w firmach pożyczkowych, do zarabiania na fałszywych aukcjach internetowych, zakładania kolejnych kont bankowych metodą „na przelew” oraz do prania brudnych pieniędzy.

Instytucje bankowe i parafinansowe, dzięki swoim „przyjaznym” procedurom, potrafią bez problemu założyć konto oszustom — i z nieświadomego człowieka zrobić tzw. słupa — albo udzielić oszustowi pożyczki czy kredytu — które potem oczywiście nie są spłacane.

W takich sytuacji chcemy, aby wdrażane były wszelkie systemy, które przeciętnemu Kowalskiemu pozwolą zabezpieczyć swoje dane, aby do takich sytuacji w ogóle nie dochodziło. Z kolei wszystkie instytucje finansowe powinny bardziej uszczelnić procedury — każdy by chciał, aby było prosto i szybko, ale wolę, aby było to bardziej uciążliwe, ale bezpieczniejsze. A zwłaszcza wszystko to, co jest związane z moimi danymi i ich prywatnością.

Jeśli również byliście ofiarą kradzieży danych, dajcie znać, co jeszcze można zrobić w takiej sytuacji.

Sprawdź jak lepiej możesz chronić swoje dane

Źródło: opracowanie własne. Zdjęcie otwierające: Jolanta Szczepaniak / Android.com.pl

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Ukradli moje dane, założyli konto w banku i wyłudzili 10 000 zł. Bycie ostrożną nic nie dało pochodzi z serwisu ANDROID.COM.PL – społeczność entuzjastów technologii.