Sposób „na BLIKa”? Nie! To bardziej sposób „na znajomego z Facebooka”

Kilka tygodni temu Policja ogłosiła sukces przy okazji zatrzymań członków grupy, którzy wykorzystywali m.in. płatności BLIKiem do wyłudzania środków finansowych. Co jakiś czas pojawiają się w mediach informacje, że próbowano kogoś oszukać prosząc o podanie kodu BLIK.

Nasza redakcja bliżej zainteresowała się tematem, kiedy na telefonie pojawiła się wiadomość od kolegi z treścią „cześć, masz może BLIKA?”. Nie ukrywamy, że trochę się pobawiliśmy w wymianę korespondencji z tym „po drugiej stronie” i pomimo, że ostatecznie kończąc zabawę zadaliśmy „mu” (używał formy męskiej przy odmianie czasowników) pytanie - „stary to jeszcze na kogoś działa?” a po uprzejmej prośbie, aby skończył zabawę i opuścił konto, wyszliśmy z sytuacji w glorii chwały „bo się nie daliśmy” – to jednak kilka godzin po tym jak właściciel odzyskał kontrolę nad kontem, przeprosił wszystkich, otrzymał jeszcze jedną wiadomość z pytaniem – „to kiedy mogę liczyć na zwrot pieniędzy?”. I tu zaczyna się problem……

Zwróciliśmy się bezpośrednio do BLIKA z prośbą o rozmowę i wyjaśnienie kilku kwestii - co do przebiegu płatności i skali przestępstw z wykorzystaniem BLIKA. Naszym rozmówcą był Krzysztof Stępień ekspert ds. cyberbezpieczeństwa BLIK.

BLIK – czyli szybka i przyjemna płatność, ale czy bezpieczna?

„Dajemy użytkownikom łatwy i prosty sposób na płatności, jednak zawsze dodajemy do tego opisu jeszcze jedno słowo – bezpieczny. Dokładamy wszelkich starań, żeby nie stracić na bezpieczeństwie - czyli aby stworzyć kompromis pomiędzy używalnością, a wysokim poziomem bezpieczeństwa. Cały koncept bezpieczeństwa opiera się w BLIKU na tym, jak płatność jest zaprojektowana - czyli tak, aby za każdym razem użytkownik swoją operację potwierdził w aplikacji mobilnej banku. Jest to ten element, który z perspektywy użytkownika może zrodzić pytanie czy jest to dobre rozwiązanie, skoro przy wykorzystaniu karty płatniczej jedynie przykładamy ją do terminala i płacimy. Interakcja z aplikacją mobilną stanowi fundament płatności BLIKIEM” – stwierdził w trakcie rozmowy Krzysztof Stępień.

Dlaczego jest to fundament bezpieczeństwa? „Dlatego, że bankowa aplikacja mobilna sama w sobie jest tym elementem, który właściwie jest najbezpieczniejszy - banki jak wiadomo bardzo poważnie podchodzą do bezpieczeństwa, tak samo jest z ich aplikacjami mobilnymi, które udostępniają swoim użytkownikom. Aplikacje te przechodzą szereg testów bezpieczeństwa zanim zostaną udostępnione użytkownikom. Ich działanie banki monitorują na bieżąco pod kątem anomalii i odstępstw i reagują na tego typu zdarzenia” – odpowiedział ekspert.  „Za aplikacją bankową w trakcie płatności BLIK stoją różne systemy: bankowe, BLIK i akceptacyjne ze strony agentów, którzy dostarczają użytkownikom płatności w terminalach, płatności w e-commerce czy operacje w bankomatach. Jest to dość spory organizm technologiczny, który jest mocno uregulowany” - dodał. 

Ile zatem PSP (Polski Standard Płatności) otrzymuje reklamacji w związku z brakiem możliwości przeprowadzenia płatności? Jak się prezentują liczby, jeśli chodzi o wyłudzenia środków? „BLIK jest mało awaryjnym systemem płatności - patrząc z perspektywy wszystkich spraw związanych z niedziałaniem BLIKA, potocznie nazywanych reklamacjami, to od początku działalności nie zanotowaliśmy ich więcej niż 0,004% wszystkich operacji (1 na 25000). Warto podkreślić, że notujemy już ponad milion operacji płatniczych dziennie.  Gdzieś w tych promilach jest wręcz odsetek spraw, które mają w tle element oszustwa. Dla porównania – według danych NBP w drugim półroczu 2019 roku odnotowano prawie 112 tysięcy oszustw z użyciem kart płatniczych” – stwierdził Stępień.  

„Patrząc z perspektywy liczb - trafiają do nas sprawy związane z oszustwami Facebookowymi czy SMSowymi - w zeszłym roku trafiło do nas około 200 zapytań od organów ścigania o przekazanie metadanych z naszego systemu, które były potrzebne do ustalenia sprawcy w związku z prowadzonymi sprawami. Współpracujemy z organami ścigania. Z naszych informacji wynika, że w 2019 roku Policja prowadziła ok. 3 tysięcy spraw w całej Polsce, w których gdzieś w tle pada słowo BLIK - ponieważ za pomocą naszego rozwiązania ktoś podjął środki w trakcie oszustwa, czy to wcześniejszym przejęciu dostępu do rachunku bankowego, czy właśnie oszustwa >>na znajomego z Facebooka<<” - dodał ekspert.

Z tych danych wynika, że jest to niewielka skala. „Z naszej perspektywy, jest to naprawdę margines. Zdecydowanie lepiej wypadamy na tle innych instrumentów płatniczych, jeżeli chodzi o wszelkiego rodzaju oszustwa i wyłudzenia. BLIK jednoznacznie wpływa na poprawę bezpieczeństwa płatności elektronicznych na rynku, a w szczególności w Internecie” – określił.  

Sposób „na BLIKa” czy raczej „na znajomego z Facebooka”?

„Skalę zjawiska możemy poznać tylko i wyłącznie po zgłoszeniach od organów ścigania. Te oszustwa, które czasami również Policja nazywa >na BLIKA< nie wynikają z samego BLIKA - dlatego próbujemy to prostować. Z perspektywy naszego systemu i naszych transakcji są to poprawne transakcje, bo dopiero po czasie poszkodowany orientuje się, że przekazał pieniądze osobie, która podszywała się pod znajomego. Co ważne – nie wynikało to z żadnej luki bezpieczeństwa samego systemu płatności” – stwierdził rozmówca.  

„Tak jak nauczyliśmy się, aby nie dać się nabrać na pomoc dla >cioci Marysi< i nie zostawiać pieniędzy na ławce w parku, tak samo wiemy, że nie należy przekazywać naszej karty płatniczej innym osobom, bo można spodziewać się, że zostanie ona wykorzystana, aby przejąć nasze środki. Nowoczesnych instrumentów płatniczych wciąż się uczymy – a ścieżka uczenia się jest bardzo szybka. Z własnej strony, ale robią to również banki, prowadzimy różnego rodzaju akcje edukacyjne. Dużą inicjatywą wykazuje się w tym zakresie również Policja, która wspiera intensywnie te działania edukacyjne. Działamy wszędzie tam, gdzie możemy zamieszczać nasze materiały. Chcemy nauczyć kilku podstawowych zasad funkcjonowania, które szybko i łatwo wchodzą w krew i powinny dla każdego stać się dobrym nawykiem – aby nawet tą marginalną skalę oszustw wyeliminować zupełnie, bo jest to możliwe” – określił ekspert w ramach odpowiedzi na pytanie, jakie działania są podejmowane, aby zwalczać tego typu nadużycia, które bezpośrednio uderzają jednak w wizerunek BLIKa.

„Współpraca z Policją trwa od początku ubiegłego roku. Wypuszczamy wspólne komunikaty dla mediów, które są sygnowane zarówno jako Policja i jako PSP. Działania są prowadzone w regularnych odstępach czasu, aby przypominać o tych zasadach. Staramy się wszędzie podkreślać, że samo nazywanie procederu >na BLIKa< jest już pewnym nadużyciem i odejściem od istoty problemu, bo jest to tak naprawdę oszustwo >na znajomego z Facebooka< – głównym problemem jest łatwość, z jaką można przejąć konto na Facebooku i się pod kogoś podszyć. Cały >przekręt< opiera się więc na socjotechnice, a pierwszym elementem jest właśnie przejęcie kontroli nad kontem. W całej tej komunikacji edukacyjnej, którą my prowadzimy podkreślamy, aby użytkownicy pamiętali o uwierzytelnianiu dwuskładnikowym na swoich profilach społecznościowych. Oprócz tego, że prowadzimy wspólną komunikację z Policją, sami również przypominamy o tych zasadach np. poprzez przesyłanie komunikatów do dziennikarzy czy akcje w naszych kanałach społecznościowych” – dodał ekspert.

„Staramy się poprzez nasze przekazy spowodować, aby w mediach przestać używać terminu >oszustwo na BLIKA< i pokazać użytkownikom, prawdziwą przyczynę. Oni nie tracą tych pieniędzy bo BLIK nie jest bezpieczny, tylko dają się namówić na przekazanie środków poprzez rozmowę z oszustem podszywającym się pod znajomego na Facebooku, która doprowadza do tego, że użytkownik małymi kroczkami oddaje kontrolę nad swoim narzędziem płatniczym. Mówiąc, oszustwo >na BLIKa<, użytkownikom zapala się czerwona lampka nie w tym miejscu, gdzie powinna. Naszym celem jest skupić uwagę tam, gdzie jest problem, a nie tam, gdzie przypadkowo pada nazwa BLIK. Dlatego raz jeszcze apelujemy do każdego: jeśli ktoś przez komunikator prosi o pieniądze – sprawdźcie czy to na pewno Wasz znajomy. Najprościej jest zadzwonić do takiej osoby” – dodaje Krzysztof Stępień.  

Czy jedyną możliwością jest zgłoszenie sprawy na Policję?

A jeśli jednak instynkt nas zawiedzie i zostaniemy oszukani? Co możemy zrobić? „Użytkownik powinien się zgłosić do swojego banku i poinformować, że operacja, którą wykonał ma oszukańczy charakter. Bank zapewne będzie wymagał złożenia zawiadomienia do organów ścigania z uwagi na fakt, że przestępstwo dzieje się w obszarze, w którym ani bank, ani my, jako PSP nie mamy swojego zasięgu” – odpowiedział ekspert ds. cyberbezpieczeństwa.

„My nie wiemy w jaki sposób użytkownicy na Facebooku się komunikują pomiędzy sobą i w wyniku jakich zdarzeń udostępniają kody BLIK - równie dobrze mogą w ten sam sposób udostępniać sobie numery karty płatniczej wraz z kodem bezpieczeństwa CVV/CVC. My tych danych nie widzimy - nie widzimy użytkowników ani po jednej stronie ani po drugiej. Dla nas jest to operacja z pewnym opisem i kwotą, która w kontekście kodu BLIK jest przesyłana przez nasz system pomiędzy tą stroną, gdzie kod się wprowadza a bankiem, który przekłada tę informację na Jana Kowalskiego w swojej instytucji i numer rachunku. W naszym systemie poza tymi pełnymi danymi transakcji, jest jeszcze szereg metadanych, które nie prowadzą do jednego klienta – ze swojej strony nie możemy bezpośrednio pomóc właśnie temu Kowalskiemu, ale możemy pomóc organom ścigania, które w kontekście zawiadomienia i prowadzonego śledztwa mają pewne tropy, są w stanie zgłosić się do operatora serwisu WWW po dane teleinformatyczne czy również po nagrania z bankomatów. Policja na początku musi znaleźć przestępcę, aby później móc zastanowić się w jaki sposób zrekompensować szkodę poszkodowanemu” – dodał ekspert. 

O jakie dane proszą organy ścigania? „Użytkownik, który zgłasza się na Policję dysponuje przybliżonymi danymi - bank przy dokonywaniu operacji albo na saldzie rachunku podaje klientom przybliżone dane - że konkretnego dnia, ale np. bez podania dokładnej godziny, minuty, sekundy w bankomacie została zrobiona wypłata. Dla Policji nie są to wystarczające dane, aby zwrócić się do konkretnego operatora bankomatu z prośbą o udostępnienie nagrań, ponieważ potrzebuje dokładnej godziny czy sekundy - te wszystkie dane przechodzą przez nasz system. Mamy zapisane niektóre informacje dotyczące miejsca wprowadzenia kodu BLIK np. o wewnętrznym identyfikatorze systemowym bankomatu, którego użytkownik nie widzi” – odpowiedział Stępień. „Współpracując z Policją wiemy, że jest ona na tropie grup, które zajmują się tego typu wyłudzeniami. Skuteczność działania Policji w tym zakresie bardzo wzrasta. Organy ścigania zwracają się do nas z zapytaniami o charakterystyczne operacje, w specyficznych godzinach, w pewnych miejscach miasta czy serwisach internetowych. Możemy również wskazać z jakiego banku pochodzi użytkownik i jaki został nadany techniczny identyfikator transakcji. Te dane są później analizowane w kontekście prowadzonego śledztwa, a śledczy wiedzą, gdzie się zwrócić po dalsze szczegóły np. do samego poszkodowanego - w jakich sytuacjach, jakimi kanałami przekazał kod” – dodał.

„Bankomaty są najczęstszym miejscem wypłacania środków z tych Facebookowych czy SMSowych oszustw, gdzie poszkodowany przekazuje kod, a następnie autoryzuje transakcje BLIK w swojej aplikacji mobilnej. Wypłaty w bankomatach stanowią nawet 80% tych wszystkich prowadzonych spraw, jednak coraz częściej zdarza się, że środki trafiają do portfeli elektronicznych, gdzie kod jest wykorzystywany do tego, aby zakupić np. kryptowaluty – zazwyczaj robi to słup, który ma za zadanie wprowadzić kod w kantorze krptowalutowym - te pieniądze de facto znikają” - stwierdził ekspert.

Łatwe i szybkie płatności nas rozleniwiają?

W sieci co chwila można natrafić na ostrzeżenia przed oszustwami – robią to banki, robi to Policja a jednak wciąż wiele osób bagatelizuje podstawowe zasady bezpieczeństwa w sieci. Czy możemy określić złote zasady dokonywania płatności w sieci?

„Naczelną kwestią jest zasada ograniczonego zaufania. I możemy rozwijać ją na zasady praktyczne. Kiedy pewne sygnały mówią, że ktoś lub coś może nam nie do końca pasować - czy jest to jakaś super okazja w ecommerce, czy osoba, której nigdy byśmy nie podejrzewali, że będzie się z nami kontaktować w sprawach finansowych poprzez takie kanały komunikacji jak Messenger i wreszcie SMSy, które są zupełnie niezwiązane z usługą, którą zawarliśmy – po prostu nie autoryzujmy płatności”.

„Pierwszą zasadą praktyczną, która powinna stać się naszym dobrym nawykiem, jest stosowanie mocnych haseł i podwójnego uwierzytelniania wszędzie tam, gdzie mamy do czynienia z naszą tożsamością - czy to będzie rachunek bankowy, czy w mediach społecznościowych. Brak silnego uwierzytelniania jest kluczem do przejmowania kont w mediach społecznościowych. Zacznijmy od siebie - to jest pierwszy duży krok, a jeśli namówimy znajomych to liczba osób, których konta są przejmowane i wykorzystywane do oszusta będzie malała lawinowo”. 

„Drugą zasadą praktyczną jest stosowanie oprogramowania antywirusowego. W obecnych czasach nie jest to tylko oprogramowanie, które szuka wirusów, ale analizuje odwiedzane przez nas strony i pomaga nam w wykryciu czy nie weszliśmy na fałszywą stronę banku czy sklepu. Użytkownicy nie mają w zwyczaju sprawdzać certyfikatów, na co dzień >Kowalski< po prostu tego nie robi. Warto podkreślić, że oszuści też sporo się nauczyli i teraz na pierwszy rzut oka trudno jest ocenić autentyczność strony. Idąc dalej - nie wierzmy wszelkim okazjom, im coś jest bardziej okazyjne tym powinno być dla nas bardziej podejrzane”.

„Następna zasada to nie klikać - nie klikać bezmyślnie. Bo robiąc to możemy wylądować w miejscach, których nie zamierzaliśmy odwiedzić - możemy się znaleźć na fałszywych stronach, sklepach czy niechcący pobrać szkodliwe oprogramowanie, które zacznie sobie działać w tle. Czyli nie klikać! Nie klikać w załączniki do maili, zwłaszcza jeśli nie mamy pewności skąd one pochodzą i co zawierają”.

„Na ślepo najlepiej niczego nie rozsyłać pośród znajomych. Przeróżne łańcuszki wciąż krążą w sieci więc poza tym, że sami możemy dać się oszukać to jeszcze możemy spowodować, że nasi znajomi, którzy otrzymają korespondencję od nas podejdą z większym zaufaniem do tej korespondencji i też dadzą się nabrać” - wyliczył Stępień.

Zasady niby proste i wszystkim znane - ale zabrzmiało groźnie. „Tak poza tymi zasadami, to po prostu warto korzystać z elektronicznych metod płatności, bo one są generalnie dużo bardziej bezpieczne niż wcześniej używane instrumenty płatnicze, które są daleko za nowoczesnymi metodami płatniczymi. Każdy przecież już wie, że dziś o wiele trudniej jest okraść bank, niż nasze mieszkanie i dlatego to tam lepiej trzymać pieniądze.” – dodał ekspert w ramach podsumowania.