21:37
5/9/2013

Przestępcy podesłali urzędnikom warszawskiego metra fałszywe pismo informujące o zmianie numeru rachunku bankowego. Podszyto się pod jednego z kontrahenta metra, firmę sprzątającą. Urzędnicy pracujący w metrze nie zweryfikowali tej informacji i pod koniec miesiąca przelali ponad pół miliona złotych na nowy, “podstawiony”, numer rachunku bankowego.

Metro nabite w butelkę

Sprawa wyszła na jaw dopiero po miesiącu od wykonania przelewu, kiedy to do metra odezwała się pracownica firmy sprzątającej chcąca dowiedzieć się, skąd wynika opóźnienie w płatności…

Warszawskei metro

Warszawskei metro

Zazwyczaj w umowach opiewających na takie kwoty bezpośrednio wskazuje się rachunek bankowy, na które mają być przelewane należności — ale pojawia się tam także klauzula pozwalająca podmienić pewne dane objęte umową, o ile zostanie to wykonane na piśmie. Być może fałszywe oświadczenie o zmienia numeru rachunku przeszło bez cienia podejrzenia, bo przestępcy podrobili odpowiednie podpisy i powołali się na odpowiednie zapisy umowy, co uśpiło czujność warszawskich urzędników? To jednak sugerowałoby, że w przekręt zamieszany jest ktoś “z wewnątrz”…

Metro złożyło zawiadomienie do prokuratury 30 sierpnia. O podobnych praktykach pisaliśmy na początku roku w artykule “nie opłacaj rachunków wyjętych ze skrzynki na listy“.

Aktualizacja 23:10
Jak słusznie zauważa nasz czytelnik, Dawid, umowa jest dostępna na stronach metra (plik “SP_181_zal_14_UMOWA_ZMIANA.pdf”). Można z niej dowiedzieć się, że wykonawcą usługi sprzątania jest firma Impel S.A., a w kontekście artykułu warto zapoznać się z tym fragmentem umowy:

§ 3.
1. Zamawiający zapłaci Wykonawcy wynagrodzenie w okresach miesięcznych z dołu,
na podstawie faktur VAT, wystawionych po odbiorze czynności określonych w Specyfikacji
technicznej, po podpisaniu miesięcznego protokołu odbioru, przelewem w ciągu 30 dni od daty
wpływu faktury VAT do Zamawiającego, na konto Wykonawcy podane na ww. fakturze.
2. Przy obliczaniu ceny za niepełny miesiąc wykonywania usługi Wykonawca przyjmie 1/30 ceny
w skali miesiąca za każdy dzień sprzątania w danym miesiącu
3. Wykonawca zobowiązany jest przy wystawieniu faktury:
1) przedstawić protokół odbioru wykonanych czynności
2) umieścić na fakturze numer umowy, na podstawie której Przedmiot zamówienia został
wykonany

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

38 komentarzy

Dodaj komentarz
  1. Poprawcie mnie, jeżeli się mylę, ale chyba takich danych nie może zmienić byle “pani Krysia” tylko osoba uprawniona do składania oświadczeń woli w imieniu spółki. Są osoby upoważnione do reprezentowania spółki i ujawnia się je w odpowiednich rejestrach i publikatorach sądowych wraz z wzorami podpisu.

    • Druga sprawa: w Metrze warszawskim chyba nie powinno być urzędników. To sp. z o.o. w której miasto ma udziały.

    • A kto ci zabroni wysłać lipną fakturę za usługę ze zmienionym numerem konta? Trzeba tylko zrobić ją w miarę podobną do tych co już oni otrzymywali (co jest bardzo łatwe) i czekać na kasę.

  2. Warszafka.. wszystko tam jest takie…

  3. Dobre zabezpieczenia tam mają:
    http://metro.waw.pl/robots.txt

    • /INSTALL.txt
      Aha, to /contao/ to CMS. :D

    • Dobre to jest to, że mają wersję 2.9 tego CMSa
      https://www.google.pl/search?safe=off&q=contao+2.9+security+hole&oq=contao+2.9+security+hole

    • Nowa to ona nie jest – chyba 2010 rok. Contao i tak nie jest najbardziej dziurawe na świecie więc dobrze, że to nie 5 letnia Joomla. Ale chyba myśleli, że jak wpiszą w robots.txt Disallow install.php to już jest zablokowane :).

    • Huehuehue widze ze ktos im juz probowal install.php odpalac :D

    • Odpalać możesz ale żebyś nie crackował hasła bo to już nie legalne. Oczywiście lepiej usunąć wszystkie readme, txt itp a dostęp do /contao/install.php zablokować na konkretny adres IP.

  4. Jestem prawie pewny, że nikt tego nawet nie próbował sprawdzać.
    Nie wieżę w żadnych kretów, ani jakieś inne super akcje, tylko zwyczajny tumiwisizm.

  5. nie rozumiem, przecież zawsze na fakturze jest podany jest numer rachunku do przelewu i na ten rachunek się przelewa!

    • Czytanie ze zrozumieniem…
      Dostali pismo o zmianie rachunku na które mają przelać odpowiednią kwotę.
      Wystarczyło podać bzdurny powód i go odpowiednio uargumentować – chociażby “w tym miesiącu wyślemy Państwu FV jeszcze ze starym numerem konta, ale od przyszłego miesiąca numer na FV będzie juz aktualny. Brak możliwości zmiany wynika z ograniczeń w systemie/osoba mogąca zmienić numer na FV jest na urlopie/tu wstaw sobie inny wiarygodnie brzmiący powód”.

      Serio – wierzycie, że takie pisemko z odpowiednimi danymi firmy Impel (do znalezienia w 20 sekund przy pomocy Google) ktoś w ogóle weryfikował ?
      Jak jeszcze było zaadresowane do odpowiedniego ‘działu’ to już w ogóle…
      Pani Krysia dostała pisemko, z pieczątką firmy, podpisem jakiejś innej “ważnej” osoby (albo ‘księgowości”) i popłynęli…

      PS. Ciekawy jestem czy ich znajdą ;)

    • Torwald, pewno znajdą. Ale dostanie z 5 lat, wyjdzie po dwóch. Jak dobrze zadziała i ma mieszkanie czynszowe to może nawet kasy nie będzie musiał zwrócić . A w dwa lata tyle nigdzie nie zarobi.

    • A nie tak czasem szef działu podpisuje faktury które przychodzą do biura?

  6. Przede wszystkim zacznijmy od tego, co za idiota publikuje publicznie umowę?!

    • Umowy dotyczące zleceń współfinansowanych z budżetu państwa IMHO powinny być publiczne, żebyś mógł wiedzieć, jak i na co są wydawane Twoje pieniądze. To na marginesie, bo nie wiem jaki jest status (spółka?) ma metro.

    • Spółka kapitałowa. Nawet na wiki o tym piszą, a i w KRSie jest.

  7. Myśleli że Disallow zabezpieczy ich przed przeczytałem pliku? :)

  8. Hehe, już na stukaliście testowych haseł w /contao/install.php i zablokowane :) A przecież hasło brzmiało “metro” ;)

  9. A czy wplata na konto w takiej wysokości nie powinna byc zweryfikowana przez Bank, czy dane firmy zgadzają się z nr konta ? Czyzby mieli zalozone konto na firme Impel , jeśli tak kto to zalozyl ?

    • Banki nie weryfikują z reguły poprawności danych w przelewach, chociaż powinny i są do tego zobligowane. Jeśli konto nie jest założone na dane takie jak prawdziwej firmy, to firma ma prawo zażądać zwrot pieniędzy od banku. Chyba, że poza zmianą konta była zmiana odbiorcy (i dane odbiorcy byłe zgodne z danymi właściciela konta), wtedy to nie wina banku. Swoją drogą zawsze powinno potwierdzać się takie rzeczy telefonicznie.

      P.s nikt nie musiał znać umowy, podał losowy paragraf, konkretny powód, a wzoru wiadomości o zmianę nr konta raczej nie ma w załączniku do umowy, więc ktoś nie patrząc czy w umowie nawet jest taki paragraf, machnął ręką i poszło…

  10. Słusznie. Taki tryb jest pracy biurokracji. I nie ma co gadać, że tylko tam, ale tak jest wszędzie i w prywatnych korporacjach też. Pismo firmowe, pieczątka i podpis mają działanie wręcz magiczne.

  11. Jak im podam numer mojego portfela BTC to też przeleją?

  12. Ciekawe czy urzędnik dostał awans i premię za wspieranie polskiej przedsiębiorczości.

  13. http://www.tvn24.pl/nie-tylko-metro-warszawskie-wyludzili-pieniadze-od-dolnoslaskich-szpitali,352689,s.html

    “Nie tylko Metro Warszawskie. Wyłudzili pieniądze od dolnośląskich szpitali”

    :)

  14. Pozostaje tylko zapytać – jakim cudem jest możliwe przelanie ponad pół miliona złotych na rachunek, bez wcześniejszej konsultacji telefonicznej lub przed przedstawiciela firmy, że wszystko się zgadza. Przecież tu nie chodzi o 5 zł…

    • No ale przeciez bank jesli telefonicznie weryfikuje to weryfikuje jedna strone.Ta ktora wysyla przelew i potwierdza tylko tyle czy to ona wydala taka dyspozycje.Malo tego jesli podstawionie pismo bylo dobrze zrobione i byly podane wszystkie dane nowego rachunku lacznie z adresem itd i na przelewie byly te same dane to wszystko sie “zgadzalo”Bledem bylo tylko to ze nikt z metra warszawskiego nie wykonal telefonu do firmy Impel i nie potwierdzil zamiany danych chocby poprzez wyslanie faxu.

  15. Polska?

  16. A z skąd wiecie, że nikt nie wykonał telefonu “do firmy Impel”?
    Może metro dostało pismo informujące, że jest zmieniany nr rachunku bankowego a w razie jakichkolwiek pytań była informacja, że prosimy dzwonić pod nr xxx-xxx-xxx (oczywiście nr podstawiony).
    Myślę, że jakby kwota opiewała na 1k-10k, to ktoś mógłby machnąć ręką, ale że była to aż taka suma to zaczęła się afera.

  17. Swoją drogą Metro Warszawskie ma wdrożone certyfikaty dl anorm:
    PN-EN ISO 9001:2009,
    PN-EN ISO 14001:2005,
    PN-N-18001:2004,
    jak podają w swoim serwisie internetowym. W/w normy niewiele pomagają w bezpiecznym przetwarzaniu informacji. Warto aby instytucje publiczne pomyślały o wdrożeniu norm z rodziny ISO 27000, które dotyczą Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Korzyści z wdrożenia ISO 27001 pokazuje prezentacja: http://www.mf.gov.pl/documents/764034/4042718/Wymogi_norm_ISO_seria_27000.pdf

    A swoją drogą – dzisiaj potoczyły się głowy w Metrze Warszawskim:
    http://wiadomosci.gazeta.pl/wiadomosci/1,114871,14593790,Dymisje_w_Metrze_Warszawskim_za_afere_finansowa.html

    Warto pamiętać, że dyrektor finansowy może zachować posadę jak ma wdrożony w firmie ład informacji:-)

  18. prZegieli ze od szpitali równiez wyjumali wiecieco z nimi
    trza zrobic dojechac

  19. mnie zastanawia bardziej fakt, jak wyciągnęli z konta 500tyś zł. Przecież nie założyli konta na słupa gdzie limit transakcji dziennie wynosi ok 5tyś zł lub na bezimienne karty prepaid bo tam jest roczny limit 10tyś zł. Ukradli hajs i go nie wyciągnęli?

  20. […] Podobny mechanizm oszustwa, z tym, że bazujący na podmianie numerów rachunków bankowych poprzez faksowanie oświadczenia o zmianie numeru konta opisywaliśmy nie dawno na podstawie wpadki warszawskiego metra, które posłało ponad pół miliona złotych na podstawiony rachunek. […]

  21. […] PZDW przypomina tę, która zdarzyła się 2 lata temu w warszawskim metrze. Metro straciło 560 000 PLN. Prawdopodobnie w ten sam sposób załatwiono kilka dni temu linię […]

Odpowiadasz na komentarz User

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: