Phishing to metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań.
W tym przypadku poszkodowany otrzymał fałszywego e-maila, który po otwarciu zainstalował na jego komputerze złośliwe oprogramowanie. Gdy zalogował się na swoje konto w banku, na ekranie pojawił się komunikat łudząco podobny do komunikatów wysyłanych przez mBank, że ze względu na częste ataki wszystkie transakcje są dodatkowo ubezpieczane. Mężczyzna dwukrotnie próbował je ominąć, ale to się nie udało. W końcu zalogował się na konto przez podmieniony link. Nie zdawał sobie sprawy, że uruchomiło to procedurę ustanowienia nowego zaufanego odbiorcy, do którego przelewy nie wymagają dodatkowej autoryzacji tj. podania kodu z SMS. Dzięki temu złodziej w trzech przelewach wyprowadził z konta 100 tys. zł.
Jak donosi serwis komputerswiat.pl, w ocenie Sądu Okręgowego w Warszawie poszkodowany nie musiał wiedzieć o tym, że padł ofiarą ataku phishingowego. mBank ostrzegał wprawdzie przed nowymi atakami phishingowymi, ale według sądu robiono to nieskutecznie. Komunikat na ten temat pojawił się na stronie banku w sekcji z aktualnościami. Według sądu to za mało, gdyż niewielu klientów tam zagląda.
"Powód miał prawo być przekonany, iż komunikat pochodzi od banku, ponieważ był identyczny jak komunikaty dotychczas przez bank generowane, komunikat pojawił się po poprawnym zalogowaniu się powoda do serwisu transakcyjnego banku, próbował go dwukrotnie obejść, co wskazuje na okoliczność, iż nie podszedł do tej wiadomości bezrefleksyjnie, ale nieusuwalność komunikatu i każdorazowe pojawienie się przekonała go o jego wiarygodności. Nad to wiadomość sms została przesłana na numer telefonu podany przez powoda bankowi do autoryzacji transakcji. Wcześniej brak było jasnych komunikatów i ostrzeżeń ze strony banku do których z łatwością mógł dotrzeć powód ostrzegających o tych nieuczciwych i nielegalnych praktykach" - cytuje uzasadnienie wyroku komputerswiat.pl.
Zdaniem serwisu wyrok Sądu Okręgowego w Warszawie może być swego rodzaju precedensem.