Phishing to jedno z najpoważniejszych zagrożeń w sieci. Wiele się mówi o nowych metodach i wariacjach ataków. Co jednak w przypadku, kiedy nasza czujność została skutecznie uśpiona i już padliśmy ofiarą ataku? Dziś drugi dzień Europejskiego Miesiąca Cyberbezpieczeństwa.

Ileż to już razy pisałem na łamach Geekweba o phishingu. Oszustwa te przybierają przeróżne scenariusze. A to na link aukcji w Allegro, a to na opłatę za rzekomą przesyłkę, a to na zablokowane konto PayPal. Od pewnego czasu phishing kosi też równo użytkowników urządzeń mobilnych, SMSy z żądaniem dopłat do przesyłek czy zamówień, koniecznie z linkiem do płatności online. Fałszywych płatności, oczywiście. Wszystko po to, żeby wyłudzić dane logowania, a następnie kod autoryzacyjny SMS. Zanim ofiara połapie się o co właściwie chodzi konto jest już puste i pozostaje pytanie. Co teraz? Jak żyć po ataku phishingowym i co właściwie zrobić?

Padłem ofiarą phishingu. Co mam zrobić?

Przede wszystkim, jeśli to tylko możliwe, udokumentuj to, co właśnie się stało. Jeśli możesz zrób screeny ekranów na których podawałeś swoje dane, zapamiętaj domeny z którymi się łączyłeś, nie usuwaj wiadomości, które sugerowały ci dopłatę lub przesyłały jakieś linki. Poinformuj koniecznie swój bank o tym, że zostałeś okradziony, sprawę jak najszybciej zgłoś także policji. Zgłoś od razu także do swojego banku żądanie zwrotu pieniędzy!

W dniu 20 czerwca 2018 roku w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw, stanowiące implementację dyrektywy PSD II. Wprowadzone zmiany do ustawy o usługach płatniczych dotyczą między innymi zasad odpowiedzialności płatnika oraz sposobu postępowania dostawcy w przypadku wystąpienia nieautoryzowanej transakcji płatniczej. Celami dyrektywy PSD II – poza dostosowaniem przepisów do zachodzących na rynku zmian oraz ustandaryzowaniem przepisów regulujących rynek płatności – są także zapewnienie konsumentom większego bezpieczeństwa i
zwiększenie zakresu ich ochrony.

Nieautoryzowana transakcja - godnie z art. 40 ust. 1 u.u.p. transakcję płatniczą uważa się za autoryzowaną, jeżeli płatnik wyraził zgodę na wykonanie transakcji płatniczej w sposób przewidziany w umowie między płatnikiem a jego dostawcą. Zgoda może dotyczyć także kolejnych transakcji płatniczych. Można więc uznać, że z nieautoryzowaną transakcją płatniczą mamy do czynienia w sytuacji, gdy płatnik nie wyraził na nią zgody. 

Reasumując wszystko to, co zostało napisane, bank, zgodnie z art. 46 Ustawy o usługach płatniczych MUSI oddać pieniądze, które zostały wyprowadzone z konta klienta bez jego zgody. I ma to zrobić niezwłocznie, nie później jednak niż do końca dnia roboczego następującego po dniu stwierdzenia wystąpienia nieautoryzowanej transakcji.

Jak chronić swoje dane osobowe?

Ten sam artykuł ustawy mówi jednak także o tym, że odpowiedzialność może zostać przerzucona na klienta, kiedy ten dopuścił się rażącego niedbalstwa. I z tego zapisu banki lubią korzystać. Jednak, w ocenie Rzecznika Finansowego, w przypadku wystąpienia nieautoryzowanej transakcji płatniczej – z uwagi na obowiązek niezwłocznego zwrotu przez dostawcę kwoty nieautoryzowanej transakcji płatniczej – w pierwszej kolejności powinien nastąpić zwrot środków płatnikowi, a następnie – w wyniku ustalenia zakresu odpowiedzialności płatnika za nieautoryzowaną transakcję płatniczą – dostawca powinien wystąpić do płatnika z roszczeniem o zwrot całości lub części kwoty nieautoryzowanej transakcji płatniczej (w zależności od stopnia odpowiedzialności). Przepisy nie regulują tego, czym jest rażące niedbalstwo. Art. 42 cytowanej już ustawy mówi jednak, że klient ma korzystać z instrumentu płatniczego zgodnie z umową ramową oraz zgłaszać niezwłocznie dostawcy lub podmiotowi wskazanemu przez dostawcę stwierdzenie utraty, kradzieży, przywłaszczenia albo nieuprawnionego użycia instrumentu płatniczego lub nieuprawnionego dostępu do tego instrumentu. W celu spełnienia obowiązku, o którym mowa powyżej, użytkownik, z chwilą otrzymania instrumentu płatniczego, podejmuje niezbędne środki służące zapobieżeniu naruszeniu indywidualnych zabezpieczeń tego instrumentu, w szczególności jest obowiązany do przechowywania instrumentu płatniczego z zachowaniem należytej staranności oraz nieudostępniania go osobom nieuprawnionym. To sąd musi zdecydować, czy podanie loginu, hasła oraz kodów SMS atakującemu na spreparowanej stronie wyczerpuje zapisy cytowanego artykułu.

Jeśli bank nie zwróci środków, złóż reklamację

Odpowiedź na reklamację usług płatniczych powinieneś otrzymać w ciągu 15 dni roboczych. Jeśli bank będzie stał na stanowisku, że to twoja wina możesz poprosić o interwencję Rzecznika Finansowego – liczba takich zgłoszeń stale rośnie. Ostatecznie sprawę można skierować do sądu.

Rzecznik Finansowy podkreśla, że banki nie przedstawiają jakichkolwiek dowodów na poparcie twierdzeń, jakoby płatnik przyczynił się swoim zachowaniem do wystąpienia nieautoryzowanej transakcji płatniczej. Orzecznictwa sądów w takich sprawach także zdają się dość często przychylać do stanowisk klientów.

Co jeszcze?

Nie ulega chyba wątpliwości, że obok wszystkich czynności, które należy wykonać w banku i na policji należy również niezwłocznie zmienić hasło na koncie z którego zostały nam skradzione środki. Jeśli korzystałeś z tego samego hasła do konta i do kilku innych usług czy serwisów, koniecznie zmień hasło we wszystkich z nich, korzystając z zasady, jedno konto – jedno hasło (nie używaj tego samego hasła do kilku usług). Najlepiej będzie jak nauczysz się stosowania managera haseł (KeePass, chociażby). Włącz dwuetapową weryfikację. Najlepiej za pomocą klucza U2F o którym pisaliśmy wczoraj (pierwszego dnia ESCM).

Europejski Miesiąc Cyberbezpieczeństwa to inicjatywa organizowana przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską, która trwa przez cały październik. Głównym jej celem jest podnoszenie wiedzy i świadomości na temat szeroko rozumianego cyberbezpieczeństwa i kierowana jest do wszystkich użytkowników Internetu – zarówno tych, którzy z sieci korzystają zawodowo, codziennie, jak i tych, którzy okazjonalnie odwiedzają wirtualną przestrzeń. Co ważne, cyberbezpieczeństwo stało się szczególnie ważne w czasach powszechnego dostępu i używania smartfonów oraz urządzeń gospodarstwa domowego, które mają dostęp do Internetu.