Phishing sposobem na wyłudzanie numerów kart płatniczych

Jeśli haker przechwyci nasz numer karty i inne dane potrzebne do zakupów online, bank może odmówić wyrównania strat.

– To dlatego, że nasz ustawodawca nie wdrożył jeszcze dyrektywy unijnej w sprawie usług płatniczych, choć powinien to zrobić już przed dwoma laty. A ona przewiduje większą ochronę klientów banków niż polska ustawa o elektronicznych instrumentach płatniczych – tłumaczy Agnieszka Wiercińska-Krużewska, partner w kancelarii WKB Wierciński, Kwieciński, Baehr.

[srodtytul]Gdy klient nie był winien[/srodtytul]

Nasze przepisy dopuszczają, by umowa o kartę pozwalała obciążać posiadacza za operacje dokonywane bez jego wiedzy. Jeśli więc jego komputer zostanie zainfekowany specjalnym wirusem i haker przejmie niezbędne dane, które następnie wykorzysta, np. do zakupów internetowych, to bank nie musi rekompensować strat.

Inaczej uregulowała to [b]dyrektywa 2007/64/WE. Wprowadza bowiem generalną zasadę, że za nieautoryzowane transakcje odpowiada bank, chociaż jednocześnie przewiduje odstępstwa od tej reguły. Straty do wysokości 150 euro obciążają posiadacza karty[/b]. Tak samo jest, gdy działa on w nieuczciwych zamiarach lub też rażąco narusza swe obowiązki.

[srodtytul]Co to oznacza w praktyce? [/srodtytul]

– Jeżeli komputer zostanie zainfekowany przez wirus, za pomocą którego osoba nieuprawniona uzyska dane potrzebne jej do posłużenia się naszą kartą, to bank musi zwrócić nam pieniądze, jeżeli transakcja opiewa na kwotę wyższą niż 150 euro – tłumaczy Wiercińska-Krużewska. – Podanie tych danych przez nieostrożnego klienta uznałabym jednak za naruszenie, które zwalnia bank z odpowiedzialności.

W niektórych krajach kradzieże numerów kart odbywają się na masową skalę. W Stanach Zjednoczonych w 2009 r. trzyosobową grupę oskarżono o przejęcie 130 mln takich numerów.

[srodtytul]Polska stosunkowo bezpieczna[/srodtytul]

W Polsce na szczęście problem jest nieporównywalnie mniejszy.

– Działania powszechnie zwane phishingiem są oczywiście zauważalne na polskim rynku bankowości internetowej, jednak ich skala jest stanowczo mniejsza niż w krajach wysoko rozwiniętych, takich jak Niemcy czy Stany Zjednoczone – zaznacza Kinga Wojciechowska, zastępca rzecznika prasowego w mBanku. – Dwa lata temu ok. 50 naszych klientów zgłosiło przechwycenie ich danych. Straty odnotowało ok. 20 z nich. Chociaż bank nie był niczemu winien i odpowiedzialność spoczywała na klientach, zdecydowaliśmy się zwrócić im pieniądze – mówi Piotr Gajdziński, rzecznik prasowy BZ WBK.

Klienci tego banku, podobnie jak innych, najczęściej są atakowani poprzez phishing (patrz ramka). Ostatnio przed dwoma tygodniami. Próba była stosunkowo nieudolna: w rozsyłanych e-mailach brakowało nawet polskich znaków.

– Nie otrzymaliśmy żadnej reklamacji, co pozwala mieć nadzieję, że nasi klienci nie dali się nabrać – mówi Piotr Gajdziński.

Inne banki również zapewniają, że starają się pomagać klientom, którzy padli ofiarą cyberprzestępców.

– Każde zgłoszenie dotyczące podejrzenia o phishing jest rozpatrywane indywidualnie. Decyzja o przyjęciu odpowiedniego trybu postępowania podejmowana jest na podstawie konkretnych przesłanek właściwych dla danego przypadku – każda sprawa ma bowiem nieco inny charakter i okoliczności – tłumaczy Kinga Wojciechowska.

[ramka][b]Co to jest phishing[/b]

Terminem tym określa się wyłudzanie poufnych danych, np. haseł czy numerów kart kredytowych. Metoda najczęściej jest podobna. Phisher rozsyła do setek tysięcy osób e-maile imitujące korespondencję np. z banku, w których prosi np. o aktualizację danych. Po kliknięciu na link zawarty w liście użytkownik zostaje odesłany na specjalnie stworzoną przez phishera stronę, która łudząco przypomina stronę banku.