Nieautoryzowane transakcje są najczęściej rezultatem działań socjotechnicznych. Nie uchroni Cię przed nimi żaden program antywirusowy ani system zabezpieczeń. Kluczowym elementem bezpieczeństwa każdego klienta banku jest świadomość czyhających na niego zagrożeń. Na ataki socjotechniczne szczególnie podatni są seniorzy, którzy korzystają z nowych technologii takich jak bankowość internetowa, aplikacje bankowości mobilnej i aplikacje płatnicze, jednak nie czują się swobodnie w tym środowisku. Ten artykuł kieruję do samych seniorów oraz do bliskich, którzy chcą zwiększyć ochronę seniora przed utratą środków zgromadzonych na jesień życia.

Seniorzy a nowe technologie

Proces ograniczenia liczby stacjonarnych oddziałów banków oraz – w szczególności – obsługi kasowej, który postępuje wraz z rozwojem technologicznym i przyśpieszył od czasu wybuchu pandemii, stał się przyczyną problemów niejednego seniora. Ta sytuacja wymusiła też dostosowanie się do zmian tych klientów banków, którzy jak dotąd czuli się bardziej komfortowo i bezpiecznie, będąc obsługiwanymi przez człowieka z krwi i kości w lokalu banku.

Tradycyjna obsługa klientów przez pracowników z długim, często kilkunastoletnim doświadczeniem i wieloletnią relacją z konkretnymi klientami obecnie ma się najlepiej w niewielkich bankach spółdzielczych. Natomiast seniora będącego klientem banku działającego na skalę krajową w razie potrzeby wizyty w oddziale może czekać obecnie nawet konieczność podróży do innego województwa.

Infolinia zamiast okienka w banku

Zamiennikiem takiej wizyty może być rozmowa telefoniczna seniora z infolinią. Podczas gdy młodsze pokolenie niechętnie odnosi się do takiej formy kontaktu, korzystając w razie potrzeby z czatu, to infolinia stanowi dla seniora namiastkę osobistej obsługi, niewymagającej swobodnego korzystania z nowych technologii i dającej poczucie zaufania (często fałszywego, o czym niżej).

Bankowość internetowa i mobilna? Tak, ale rzadko

W razie niedogodności w zakresie obsługi w oddziale, seniorzy często korzystają z bankowości internetowej lub mobilnej (w smartfonie). Nie brak oczywiście seniorów szybko przyswajających sobie te nowości, innym w obsłudze systemów bankowych online przynajmniej z początku pomaga najczęściej rodzina. Warto zauważyć, że według rekomendacji Związku Banków Polskich przyjmuje się, że status seniora zyskuje osoba w wieku 65 lat, jest to jednak oczywiście bardzo umowna granica wieku.

Wielu moich klientów w tym wieku zaznacza, że korzystają z bankowości internetowej lub mobilnej, jednak robią to rzadko, na przykład tylko raz w miesiącu, kiedy muszą zapłacić rachunki za media lub sprawdzić wpływ świadczenia emerytalnego. Niektórzy w ten sposób przedłużają też lokaty, przy czym ograniczają się do wznawiania umów zawartych uprzednio w oddziale banku i nie szukają szczególnie nowych ofert swojego banku w kanałach online.

Płatności kartą

Seniorzy coraz bardziej przekonują się do płatności kartą płatniczą. Dotyczy to z zasady codziennych zakupów w sklepach stacjonarnych. Zawieranie umów sprzedaży towarów i świadczenia usług przez internet, tak jak opłacanie ich kartą bez jej fizycznego okazania, budzi – i często słusznie! – wątpliwości niejednego seniora.

Inne nowinki technologiczne

Bankowość internetowa i technologiczna ma dla przeciętnego seniora być zastępstwem dla dobrze mu znanej bankowości stacjonarnej. Dlatego takie osoby rzadziej interesują się usługami takimi jak BLIK, ApplePay czy GooglePay. Niestety nie chroni to ich przed oszustami, którzy te technologie bez problemu wykorzystują, aby przejąć środki zgromadzone na rachunku seniora.

Oszukańcze telefony „z banku”

Znaczne ryzyko utraty środków zgromadzonych na rachunku bankowym seniora wiąże się z socjotechnikami opartymi o rozmowy telefoniczne (ang. vishing). W klasycznym scenariuszu takiego zdarzenia sprawca dzwoni na numer telefonu klienta i podaje się za pracownika banku, często z wewnętrznego działu zajmującego się bezpieczeństwem, albo funkcjonariusza Policji lub innych służb, i informuje klienta o nietypowym zdarzeniu, takim jak próba kradzieży pieniędzy. Klient otrzymuje instrukcję postępowania, zgodnie z którą ma sam zrealizować transakcję na rzekome „bezpieczne konto techniczne” (rachunek, do którego dostęp ma sprawca) albo umożliwić instalację programu, który uchroni środki przed kradzieżą, np. AnyDesk (w rzeczywistości program ten umożliwi sprawcy przejęcie kontroli na urządzeniem klienta, np. smartfonem, i pełen dostęp do aplikacji bankowej oraz esemesowych kodów bezpieczeństwa).

Przed rozmową na wyświetlaczu telefonu seniora może pojawić się nazwa banku jako nazwa osoby dzwoniącej. Powoduje to drastyczne zmniejszenie czujności seniora. Tymczasem podpięcie się pod cudzy, jak najbardziej istniejący i funkcjonujący, numer telefonu, nie jest niestety technicznie niemożliwe.

Wiadomości sms o rzekomych płatnościach

Ta socjotechnika może też przybrać formę wiadomości e-mail. W jej treści znajduje się informacja o konieczności zapłaty niewielkiej kwoty, np. z tytułu niedopłaty do przesyłki kurierskiej, wezwanie do działania (np. jeśli nie uiścisz opłaty, nie otrzymasz paczki lub świadczenie usług zostanie zawieszone) oraz link prowadzący do strony łudząco podobnej do bramki płatności umożliwiającej wybór Twojego banku. Klient podaje login i hasło do bankowości internetowej oraz ewentualnie kod sms, nie podejrzewając, że odbiorcą danych jest nie bank, lecz osoba, która zamierza go pozbawić oszczędności.

Odpowiedź na ogłoszenie

Te sytuacje dotyczą sprzedaży na portalach takich jak OLX czy Vinted. W odniesieniu do analizowanej grupy wiekowej klientów często chodzi o ogłoszenia sprzedaży na OLX wystawiane z pomocą innych osób, z podaniem numeru telefonu seniora jako osoby do kontaktu. Sprawca wysyła spreparowaną wiadomość e-mail lub komunikat w aplikacji WhatsApp, które wyglądają jak przesłane przez portal sprzedażowy. Mają one za zadanie wywołać u seniora wrażenie, że potencjalny kupujący już dokonał wpłaty i trzeba jedynie tę wpłatę zaakceptować i wskazać dane do przekazania pieniędzy sprzedawcy.

Zachęcanie do „pewnych inwestycji”

Wielu seniorów szuka możliwości bezpiecznego ulokowania środków, które udało im się zaoszczędzić z myślą o spokojnej emeryturze. Jednocześnie ze względu na wysoki wskaźnik inflacji zwykła lokata bankowa może im się wydawać niewystarczająco korzystna. Z myślą o takich osobach sprawcy tworzą „oferty” bezpiecznych i bardzo korzystnych inwestycji. Najczęstszymi scenariuszami są: inwestycja w kryptowaluty oraz oferowanie zakupu rzekomych obligacji spółek Skarbu Państwa.

W przypadku kryptowalut głównym czynnikiem ryzyka jest nie sama wysoka zmienność wartości kryptowalut, lecz przekazanie środków na cudze konto na giełdzie kryptowalut i brak możliwości prześledzenia, co stało się z tymi środkami. Rzekome firmy inwestycyjne okazują się spółkami z siedzibą w bardzo egzotycznych krajach, często już wpisanymi na „czarne listy” (listy ostrzeżeń publicznych) Komisji Nadzoru Finansowego i jej odpowiedników w innych krajach. Z kolei co do inwestycji związanych ze spółkami Skarbu Państwa, uwagę przykuwa znaczny spadek nieufności seniora, jeśli druga strona powołuje się na rekomendacje udzielone przez znanych polityków. Klienci są zdumieni, że utracili środki, mimo że według przedstawionej im oferty inwestycję polecał np. sam prezydent państwa. Należy oczywiście podkreślić, że nie chodzi o obligacje nabywane za pośrednictwem domów maklerskich, lecz na podstawie rozmowy telefonicznej lub oferty wyświetlającej się w mediach społecznościowych, z inicjatywy rzekomego brokera, który od początku działał w celu przejęcia środków.

Kwestia autoryzacji transakcji

W przypadku próby dochodzenia roszczeń z tytułu nieautoryzowanej transakcji dogodniejszą sytuację mają ci klienci, którzy w ogóle nie zlecali takiej transakcji, a jedynie w wyniku wprowadzenia w błąd podali osobie trzeciej dane do logowania lub uwierzytelnienia transakcji. Niemniej klienci, którzy samodzielnie zlecili transakcję, pozostając w błędzie co do jej istotnych cech, również mogą żądać zbadania poprawnej autoryzacji transakcji.

Na co uczulić seniora, aby nie padł ofiarą przestępstwa?

• jeśli dzwoni do niego osoba podająca się za pracownika banku (również z numeru telefonu banku), należy się rozłączyć i samodzielnie zadzwonić na infolinię banku z informacją o takim kontakcie i z zapytaniem, czy miały miejsce jakiekolwiek transakcje, których klient nie zlecał, lub próby dodania nowych urządzeń, logowania z nieznanych urządzeń lub nietypowych miejsc;
• jeśli dzwoni do niego osoba podająca się za pracownika służb takich jak Policja, należy poprosić o wskazanie jednostki, z której dzwoni (np. określona komenda w danym mieście) i o sygnaturę sprawy, a następnie rozłączyć się i zadzwonić do tej jednostki (numery telefonów są do znalezienia w internecie). Warto również zadzwonić na infolinię banku z informacją o zdarzeniu;
• podczas logowania do bankowości internetowej należy zawsze sprawdzać, czy adres strony jest poprawny. Jeśli chcę zalogować się do bankowości internetowej ING Banku Śląskiego, to prawidłowym adresem będzie www.ing.pl albo www.ingbank.pl, a nie np. www.ing.dodatkowatresc.pl. Alarmujący może być również brak aktualnego certyfikatu bezpieczeństwa, natomiast dla przestępcy nie jest problemem uzyskanie takiego certyfikatu;
• nie należy podawać nikomu swoich danych do logowania (login, hasło, kody) ani kodów umożliwiających uwierzytelnienie zlecenia. Dotyczy to zarówno przekazywania danych ustnie w rozmowie telefonicznej, jak i wpisywania ich na stronę, która nie jest oficjalną stroną banku, lub do aplikacji innej niż oficjalna aplikacja banku;
• nie należy instalować żadnych dodatkowych aplikacji na smartfonie lub programów komputerowych za namową rzekomych pracowników banku ani osób namawiających seniora do inwestycji. W szczególności dotyczy to aplikacji i programów „AnyDesk”, „TeamViewer” i innych, umożliwiających zdalny dostęp do urządzenia (przejęcie kontroli nad urządzeniem przez inną osobę);
• należy zawsze czytać treść wiadomości z kodami SMS. Jeżeli mamy otrzymać kod do uwierzytelnienia dopłaty w kwocie 2,15 zł, może do nas dotrzeć wiadomość z informacją o tytule transakcji 2,15 zł i kwotą transakcji 5000, a zatem podanie kodu umożliwi transakcję na kwotę 5 000 zł. Wiadomością sms przesyła się też kod do dodania nowego urządzenia (telefonu sprawcy, na którym instaluje on aplikację mobilną, podając się za seniora). W razie jakichkolwiek wątpliwości, czego dotyczy przesłany kod, nie należy go podawać nikomu ani wpisywać go gdziekolwiek;
• niektóre banki umożliwiają zmianę języka bankowości internetowej lub mobilnej, w tym wykorzystywanej do kodów sms, bez autoryzacji – z poziomu konta w bankowości internetowej lub mobilnej. Jeżeli sms z kodem ma treść w języku angielskim zamiast polskim, powinno to wzbudzić czujność seniora;
• działalność przestępców w zakresie nieautoryzowanych transakcji ma często charakter międzynarodowy. Podejrzenia powinny wzbudzić wszelkie błędy w komunikatach pisemnych oraz kontakt telefoniczny ze strony obcokrajowców, mówiących po polsku z obcym akcentem;
• jeżeli klient otrzymuje telefon od nieznanej mu osoby, która przedstawia ofertę handlową dotyczącą podejrzanie korzystnych inwestycji, należy dać sobie czas na sprawdzenie prawdziwości tej oferty. Nacisk na szybkie podjęcie decyzji inwestycyjnej przez seniora również może świadczyć o nieuczciwości drugiej strony;
• jeżeli korzystanie z nowych technologii nie jest silną stroną seniora, warto pamiętać, że bank powinien umożliwiać mu również dostęp do usług przez bardziej dogodny kanał – i domagać się tego od banku.

Co dalej?

Jeśli działania sprawców zmyliły seniora i doprowadziły do nieautoryzowanej transakcji, prawdopodobnie łatwiejsze będzie dochodzenie roszczeń od banku niż ustalenie tożsamości sprawców, najczęściej działających spoza terytorium Polski. Zalecane do podjęcia kroki znajdziesz w osobnym wpisie.