Przestępcom wyłudzającym pieniądze dają się oszukać tylko starsi, naiwni ludzie. Na pewno?
Wtorek, na facebookowym czacie pisze brat: „Siemka. Słuchaj, potrzebuję zrobić przelew, a mam tylko gotówkę. Dasz radę zrobić przelew przez Dotpaya na 600 zł? Muszę kupić bitcoiny... rano przed 10 odeślę ci kasę”.
Poniedziałek wieczorem, odzywa się koleżanka, która właśnie remontuje dom:
„Mam niecodzienny problem, nie mogę wejść na konto bankowe, a muszę wykonać przelew. Czy mógłbyś mi jakoś pomoc? Czy mógłbyś wykonać przelew za mnie, dopiero jutro rano będę mogła być w banku, to od razu odeślę pieniążki. Nie będzie żadnego problemu z kwotą 467, 94 zł ?”.
Czwartek, zagaduje kuzynka: „Potrzebuję jak najszybciej zrobić przelew 510 zł! Dałabyś radę? A ja ci jutro z samego rana oddam 550 zł za przysługę. To pilne, a teraz nie mogę zrobić tego przelewu, bo nie pamiętam hasła do konta”.
Nikogo nie zaskoczę puentą: pieniądze nie dotarły do brata, koleżanki i kuzynki, którzy rzekomo pisali do bliskich. Zasiliły konta oszustów. Którzy często otwarcie wyśmiewają naiwność ofiar, ponownie kontaktując się z nimi na FB. „Miłego wieczoru, choć pewnie nie będzie, jest mi przykro, ale w Polsce inaczej się nie dorobisz” – pokazuje mi taką wiadomość jeden z oszukanych.
– Te 300–400 zł to najmniejszy wymiar kary – Michał Mozgała, szef kantoru bitcoinów 4coins, nie kryje rozdrażnienia. Bo oszuści skradzione pieniądze piorą w jego firmie. – Myśli pani, że to przyjemność co tydzień czy dwa jeździć na policję i zeznawać w identycznych sprawach, którym moja firma nie może przeciwdziałać. Ludzie są głupi i za tę głupotę płacą – rozkłada ręce.
Tobie też, czytelniku, do śmiechu? Sam byś się przecież nie nabrał. Czy na pewno?
Farmy dobrych przyjaciół
Pierwsza fala wyłudzeń zaczęła się pod koniec 2015 r. A przynajmniej wtedy po raz pierwszy zaczęło się o tym mówić. To było spore zaskoczenie, bo choć na FB pojawiały się już spreparowane informacje od znajomych z fałszywymi linkami do klikania czy fikcyjnymi konkursami z atrakcyjnymi nagrodami – to oszustom chodziło zazwyczaj o wyciąganie danych internautów. Na to też trzeba uważać, jednak „podzielenie” się z kimś informacjami o sobie – e-mailem, numerem PESEL czy miejscem zamieszkania – nie boli tak bardzo jak kradzież pieniędzy.
Czy teraz oszuści posłużyli się wirusem, by przejąć konta na FB? Czy postawili na phishing, by poznać hasło do konta (atak oparty na inżynierii społecznej – oszust podszywa się pod przedstawiciela firmy lub instytucji, by wyciągnąć potrzebne informacje)? A może wykorzystali keyloggery (programy rejestrujący naciskanie klawiszy klawiatury i wysyłające o tym informację pod wskazany internetowy adres)? Do dziś nie wiadomo. I właściwie to nieważne. Ważne, że zadziałało i działa. Bo od półtora roku kolejni użytkownicy FB są naciągani na „pożyczki” dla kogoś z rodziny czy przyjaciela.
Na jednym z forów na FB ludzie bez przerwy wymieniają się historiami oraz nawzajem ostrzegają. Zostawiam informację, że zbieram materiały do tekstu. W ciągu kilku dni pisze do mnie kilkanaście osób.
Prawda jest taka, że znajomym w świecie wirtualnym ufamy równie mocno jak w świecie rzeczywistym i pod tym względem jesteśmy równie naiwni jak starsi ludzie, którzy dają obcemu człowiekowi pieniądze dla „wnuczka” – mówi mi znajomy policjant
„Wyłudzenia dokonano z konta mojego kuzyna. Wraz z moim chłopakiem po zorientowaniu się, że coś jest nie tak, pojechaliśmy do siedziby Dotpay – bo to tym serwisem dokonaliśmy wpłaty – i tam zgłosiliśmy sprawę. Po kilku minutach pan z działu operacji finansowych spotkał się z nami i poinformował, że skala procederu jest ogromna i nie mają na to wpływu. Straciliśmy 517 zł” – mówi mi Aneta z Krakowa, która pieniądze przelała w ostatni weekend.
„Ktoś włamał się na konto mojej kuzynki i zaczął do mnie pisać. Poprosił o przelew 510 zł, bo niby ma jakieś problemy z bankiem, a koniecznie musi zrobić przelew. W zamian miał mi wysłać 50 zł więcej za fatygę. Nie zastanawiając się długo, zrobiłam przelew. Z kuzynką pisze 24 godziny na dobę, więc nawet mi do głowy nie przyszło, by do niej dzwonić, bo wszystko zawsze załatwiałyśmy przez Fejsa. Po tygodniu poprosiłam o zwrot pieniędzy, bo miał być przelew zwrotny na drugi dzień, a nie było. A kuzynka zaskoczona, nie wiedziała, o co chodzi. Po rozmowie z nią pojechałam na policję” – mówi Małgorzata, która tak pieniądze przelała kilka miesięcy temu. Marek z Warszawy przelał „siostrze” 400 zł, Adamowi znajoma „pożyczyła” 515 zł, Edyta w październiku ubiegłego roku straciła aż 950 zł.
„Zostałem oszukany na prawie 1200 zł, dowiedziałem się o tym przed kilkoma minutami i nie wiem, co z tym zrobić, zgłosić na policję, wszelkie potwierdzenia przelewów mam, rozmowę mam i nie wiem, co robić” – Krzysztof z Bydgoszczy pisze do mnie, jak tylko dowiedział się o tym, że padł ofiarą oszustwa. Mówię mu, że ma jak najszybciej zadzwonić do swojego banku, zgłosić wyłudzenie i zażądać zablokowania płatności. Ale, jak się okazuje, jest za późno.
Wnuczek 2.0
To w sumie odmiana oszustwa na wnuczka. Wydaje nam się, że dają się na to nabrać tylko starsi, naiwni ludzie. Nic bardziej mylnego – mówi mi znajomy policjant. – Dlaczego osoba proszona o przelew nie zadzwoniła do proszącego? Dlaczego nie sprawdziła, czy to na pewno on? Wydawać by się mogło, że każdy z nas tak zrobi, zanim pożyczy komuś niemałą przecież kwotę. Ale dziś już nas takie zgłoszenia nie zaskakują. Prawda jest taka, że znajomym w świecie wirtualnym ufamy równie mocno jak w świecie rzeczywistym i pod tym względem jesteśmy równie naiwni jak starsi ludzie, którzy dają obcemu człowiekowi pieniądze dla „wnuczka”.
Poszkodowani, którzy złożyli zawiadomienia na policji, opowiadają, że śledczy nie są zaskoczeni ich historiami, ale też nie pozostawiają złudzeń. Bo szansa na złapanie winnego i odzyskanie pieniędzy jest nikła. Nadkomisarz Jarosław Cholewiński, szef wydziału operacyjnego biura do walki z cyberprzestępczością w Komendzie Głównej Policji potwierdza, że zawiadomienia spływają z całej Polski, ale oszacowanie ich skali jest trudne, bo dotychczas były traktowane jako niepowiązane ze sobą sprawy. – Odzywają się do nas w tych sprawach także banki i choć do tej pory nie było dowodów na to, że jest tu jakieś wspólne modus operandi, to pod wpływem informacji od nich możemy zacząć to rozważać – dodaje.
Ale zanim śledztwo wykryje, czy jest tu jeden winny, czy też za przestępstwa odpowiada grupa, to ktoś powinien pomóc oszukanym. Jak odpowiada FB?
„Przypadki wyłudzeń tego typu są obserwowane od lat na wszystkich rynkach i wynikają z utraty dostępu do konta – np. przez ustawienie zbyt prostego hasła czy pozostawienie komputera zalogowanego do portalu w miejscu publicznym”. Oraz: „W październiku ubiegłego roku Facebook uruchomił nową wersję strony Bezpieczeństwo na Facebooku. Zgromadzono w jednym miejscu wszystkie informacje na temat zabezpieczania konta, ochrony informacji, porady dla rodziców, nauczycieli i nastolatków, a także linki do narzędzi umożliwiających skontrolowanie własnych ustawień”. Biuro prasowe podpowiada jeszcze: „FB oferuje szereg narzędzi, które pomagają w kontroli zabezpieczeń konta. Jednym z nich są alerty logowania, specjalne wiadomości wysyłane przez Facebooka za każdym razem, gdy ktoś loguje się z nowego miejsca. Jeszcze skuteczniej działa funkcja zatwierdzania logowania. Gdy FB wykryje próbę logowania z nierozpoznanego komputera, telefonu lub tabletu konieczne będzie wprowadzenie specjalnego kodu zabezpieczającego przesłanego np. na telefon komórkowy właściciela konta”.
Wszystko to bardzo praktyczne rady. Podobnie jak ostrzeżenia PKO BP, który w grudniu na stronie internetowej wystosował apel do klientów: „Ostrzegamy przed nowym scenariuszem oszustw z wykorzystaniem bankowości elektronicznej. Przestępca, po przejęciu cudzego konta na Facebooku, loguje się na nie i wysyła do znajomych użytkownika wiadomość z prośbą o pomoc, tj. dokonanie przelewu na drobną kwotę”.
Magdalena Lejman z tego banku nie chce podać, czy dużo takich spraw dotknęło klientów PKO BP i tłumaczy, że bank regularnie ostrzega klientów o różnych zagrożeniach, które pojawiają się w sieci – Niezależnie od tego, czy nasi klienci padają ich ofiarą, czy nie. Przypominamy, że bank nigdy nie prosi o podawanie jakichkolwiek danych drogą e-mailową lub SMS-ową. Prosimy o zachowanie ostrożności i ograniczonego zaufania w stosunku do e-maili lub SMS-ów lub wiadomości w mediach społecznościowych, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linku. Ostrzegamy, że są to fałszywe wiadomości mające na celu nie tylko wyłudzenie od odbiorcy danych osobowych lub danych karty, ale także zainstalowanie na jego komputerze lub w telefonie potencjalnie szkodliwych programów podglądających i śledzących jego działania – zapewnia Lejman.
Facebook ostrzega, banki ostrzegają. A oszukanych przybywa...
Zamiast słupa kryptowaluta
Bo oszuści zaczęli dopracowywać mechanizm wyłudzenia – mówi mi Jacek, jednego z niemal oszukanych. Niemal, bo do niego też napisał „przyjaciel z FB” z prośbą o pożyczkę, tyle że jemu zapaliła się lampka ostrzegawcza. Jednak na tego samego „przyjaciela” nabrała się jego znajoma. – Po wysłaniu prośby o pieniądze przestępca bardzo często kasuje historię korespondencji, by utrudnić właścicielowi zorientowanie się, że padł ofiarą oszustwa i dać sobie więcej czasu na upłynnienie pieniędzy. Bo ich wypranie jest problemem. Początkowo oszuści proponowali wysłanie zwykłego przelewu elixir, takie wiadomości pojawiały się wieczorem, żeby utrudnić zatrzymanie wpłaty. Ale przestępcy, gdy sprawami zajęła się policja, byli łatwi do namierzenia, bo musieli mieć rachunek w banku – opowiada bankowiec.
Potwierdza to Małgorzata, która kilka miesięcy temu wpłaciła „kuzynowi” 510 zł, a niedawno otrzymała informację z sądu, że już po jednej rozprawie skazano właściciela rachunku, na który wysłała pieniądze. – Ale koleś siedzi w więzieniu, wcześniej był już skazywany za podobne rzeczy. Ma 52 lata. – rozkłada ręce. Czyli słup. Pewnie jeden z wielu, na których oszuści zakładają konta w bankach. A właściwie zakładali. – Bo wpadli na lepszy pomysł. Od kilku miesięcy proszą o przesłanie pożyczki nie na konto w banku, a poprzez usługę płatniczą do kantoru z bitcoinami 4coins. Ten sposób jest dla nich lepszy, bo bitcoiny, kryptowaluta, z założenia gwarantują anonimowość. Kantor ten pozwala też na prowadzenie nierejestrowanych kont do wartości 65 tys. zł. Co więcej, nad kryptowalutami nie ma żadnej publicznej, instytucjonalnej kontroli – rozkłada ręce Jacek.
Bitcoiny to najpopularniejszy cyfrowy pieniądz, którym można płacić (nie tylko w sieci) i którym handluje się na giełdach. W momencie największej hossy jeden bitcoin wart był nawet 5 tys. zł (dziś znacząco mniej). Tomasz Kolinko, ekspert rynku bitcoinów i twórca AppCodes, wzdycha, gdy mówię mu, że chciałam pogadać o wyłudzeniach z wykorzystaniem bitcoinów. – Wzdycham, bo świetna idea tej kryptowaluty pada ofiarą nieuczciwych zagrań, które psują jej opinię.
Ziemia niczyja
Rozmawiam z kilkoma ekspertami od bitcoinowego rynku, którzy nie ukrywają, że system stworzony dla zabezpieczenia tej waluty przed ingerencją rządów czy banków pozwala oszustom na pranie pieniędzy.
– Osoba posługująca się kryptowalutą jest identyfikowana przez klucz będący ciągiem liczb. Ten klucz jest publicznie widoczny, podobnie jak wszystkie transakcje bitcoinami – tłumaczy dr Stefan Dziembowski, matematyk i specjalista od kryptografii. Dodaje, że rozszyfrowanie klucza jest bardzo trudne, ale jeżeli ktoś wykonuje wiele transakcji, jeżeli powtarzają się pewne działania, choćby sztuczne przelewy między ciągle tymi samymi użytkownikami z tymi samymi kluczami, to można się domyślić, kto stoi za danym kluczem. – Tyle że to wymaga świetnej znajomości systemu. Służby, policja niespecjalnie mają takie możliwości – dodaje Dziembowski.
– Komisja Nadzoru Finansowego nie zajmuje się tym rynkiem i nieszczególnie ma na to ochotę, bo jej urzędnicy nie za bardzo wiedzą, jak mogliby się do tego zabrać. To, że bitcoiny są wykorzystywane do prania pieniędzy, nie jest specjalną tajemnicą. Gdy w 2014 r. generalny inspektor informacji finansowej zaczął prowadzić śledztwo w sprawie pewnych transakcji opartych na bitcoinach, to wiele polskich banków wycofało się ze współpracy z giełdami operującymi kryptowalutami – opowiada prawnik Tomasz Klecor, specjalizujący się w prawie nowych technologii z firmy prawniczej Legal Geek. I tłumaczy, że nad bitcoinem nie ma finansowej kontroli nie tylko w Polsce, lecz i w całej Unii. – Oczywiście najłatwiej jest podnosić argument o konieczności uregulowania rynku i zamknięciu go w takich samych normach prawnych, jakie obowiązują na rynku tradycyjnym. Ale nie oszukujmy się: po to powstały bitcoiny, by od takiego nadzoru uciec – tłumaczy Tomasz Kolinko.
Przytakuje mu prof. Krzysztof Piech, szefujący w Ministerstwie Cyfryzacji zespołowi Strumień Blockchain i Kryptowaluty, który pracuje nad sposobem wciągnięcia krytowaluty do rozwoju gospodarki. – Na zwykłe narzucenie kontroli nie bardzo jest co liczyć, szczególnie że działania ustawodawcy zajmują dużo czasu i mogą wylać dziecko z kąpielą. Czyli być tak ostre, że po prostu skłonią takie inicjatywy do wyjścia z Polski. A szkoda by było, bo jesteśmy naprawdę na wysokim rozwoju tej innowacyjnej metody finansowej. Zamiast czekać na odgórne regulacje w środowisku, wypracowujemy wspólny kanon dobrych praktyk – tłumaczy. – Tym bardziej samoregulacja to naprawdę najbardziej praktyczna metoda walki z wykorzystaniem bitcoinów do prania pieniędzy.
15 tysięcy euro
Choć kanon nawet powstał, to poszkodowani muszą przechodzić przyspieszoną szkołę wiedzy finansowej i na własnym przykładzie poznają meandry przelewów elektronicznych, księgowania ich w bankach oraz tego, czy da się namierzyć odbiorcę przelewu w kryptowalucie. Aneta z Krakowa (która straciła 517 zł) po odwiedzeniu siedziby Dotpay, firmy która dokonała przelewu, została odesłana do bitcoinowego kantoru 4coins, do którego trafiły jej pieniądze. Zresztą nie tylko jej, bo to ten kantor upatrzyli sobie oszuści.
Jego szef jednak na pytania reaguje zniecierpliwieniem. – Te 300, 400 zł to jakieś śmieszne kwoty i niewielka cena za nauczkę za głupotę. Zresztą problem jest marginalny – mówi Michał Mozgała.
– Nie dla ludzi, którzy są ofiarami. I co to właściwie znaczy marginalny?
– W ostatnich tygodniach takich spraw mieliśmy ok. 20, a w miesiącu mamy 10 tys. transakcji. To promil i wszystkie dotyczą drobnych sum, po kilkaset złotych, góra tysiąc, może dwa.
– To te, o których wiecie, bo zostały zgłoszone wam i policji. Przecież oczywiste jest, że oszukani nie zawsze zgłaszają przestępstwo.
– Oczywiście, że nie chciałbym, aby takie wyłudzenia były dokonywane z wykorzystaniem mojej firmy, ale nie jestem w stanie pilnować każdej drobnej transakcji. Dorośli ludzie muszą sami pilnować, co i komu wpłacają. Zresztą za to odpowiadać powinien FB, to on nie ma bezpiecznego systemu logowania. A on umywa ręce, a ja jestem ciągany do kolejnych zgłoszeń na policję.
– W pana kantorze można mieć niezarejestrowane konto do kwoty 65 tys. zł? Dopiero powyżej tej kwoty wymagacie identyfikacji od klientów.
– Wszystko jest u nas zgodne z prawem.
– Ależ nie zarzucam, że tak nie jest. Ale dlaczego do 65 tys.?
– Zna pani ustawę?
Mozgała mówi o prawie obowiązującym od 2010 r., zgodnie z którym instytucje finansowe – ale także komisy, antykwariaty, jubilerzy, kasyna, domy maklerskie i aukcyjne – musiały wprowadzić procedury przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. I w ich ramach rejestrować transakcje, których wartość przekracza 15 tys. euro. To właśnie równowartość 65 tys. zł. Ale, jak widać w przypadku facebookowych oszustw, te 15 tys. euro być może zapobiega praniu pieniędzy na wielką skalę, lecz nie chroni drobnych klientów.
– Czyli nie poczuwa się pan do specjalnej odpowiedzialności za to, że pieniądze są prane w pana kantorze? – pytam Mozgałę.
– Poziom świadomości ludzi jest tragiczny. Za to nie ponoszę odpowiedzialności. Wpłacają nie wiadomo komu, potem przychodzą do nas z płaczem, my takiego klienta musimy holować przez tydzień i jeszcze się na nas skarży. Ale pewnie, że staramy się poprawić bezpieczeństwo. Planujemy wprowadzić zakładanie kont tylko za pomocą weryfikacji dowodu – ucina szef 4coins.
Mija jednak niecała godzina i oddzwania. – Już wprowadziliśmy kolejną formę ostrzeżenia. Proszę mi podać adres e-mailowy, to wyślę zrzut ekranu. I podsyła informację, jaka ma się pojawić przy każdej wpłacie w jego kantorze powyżej 50 zł. „Uwaga! Oszustwa przez Facebook! Opłacając zlecenie, dokonujesz zakupu bitconów, upewnij się, że nie padłeś ofiarą oszustwa! Jeśli opłacasz zlecenie na prośbę znajomego, który poprosił cię o to na Facebooku, zanim opłacisz zlecenie, zadzwoń lub napisz do niego, aby upewnić się, że nikt nie włamał się na jego konto i nie próbuje Cię oszukać”.
Także Związek Banków Polskich dosłownie przed kilkoma dniami wystosował ostrzeżenie przed „atakiem phishingowym”, opisując jeszcze jeden mechanizm wykorzystywany przez oszustów podszywających się pod przyjaciół z FB. Tym razem przesyłają linki do fałszywych stron szybkich płatności. Logując się na nie, ofiara zostawia hasło i inne zabezpieczenia do swojego konta. A wtedy można stracić o wiele więcej niż kilkaset złotych.
Ot, dobre praktyki. Oszukanym już nie pomoże, ale może zapobiec kolejnym „pożyczkom dla przyjaciela” nie do odzyskania.