10:46
8/8/2018

Sądy coraz częściej zobowiązują banki do oddawania pieniędzy wykradzionych w ramach kampanii infekujących złośliwym oprogramowaniem. Dlaczego? Bo logowanie się na poprawnym serwisie (chociaż jego zawartość jest podmieniana przez złośliwe oprogramowanie na komputerze ofiary) i brak uważnej lektury SMS-ów nie jest według sądów “rażącym niedbalstwem”. Tak uznał m.in. Sąd Okręgowy w Warszawie w wyroku z maja.

Już od pewnego czasu sygnalizujemy, że polskie sądy stają po stronie osób, którym ukradziono pieniądze z konta. Dzieje się tak nawet wówczas, gdy ofiara zrobiła coś, co zdaniem Czytelników Niebezpiecznika byłoby raczej nierozważne. Kolejnym tego przykładem jest Wyrok Sądu Okręgowego z 12 maja 2018 roku (Sygn. akt I C 566/17).

Próbował ominąć komunikat

Choć wyrok jest z maja tego roku to sprawa miała swój początek trzy lata temu. Powód (nazwijmy go “Panem TL”) dnia 3 czerwca 2015 roku zlecał przelew przez internet. Miał komputer z antywirusem i był pewien, że przed podaniem loginu i hasła sprawdził, czy połączenie jest szyfrowane. Po zalogowaniu na konto stało się coś dziwnego.

…wyświetlił się komunikat z którego wynikało, że z uwagi na wzrastającą ilość nieuczciwych transakcji z rachunków klientów wszystkie transakcje dokonywane za pośrednictwem serwisu internetowego podlegają dodatkowemu ubezpieczeniu. Komunikat był identyczny jak komunikaty generowane przez bank. Powód dwukrotnie próbował ominąć komunikat.

Jednocześnie minutę po zalogowaniu zainicjowano operację utworzenia użytkownika zaufanego. System bankowy wygenerował SMS z jednorazowym kodem i szczegółami i typem operacji. Potem nastąpiło wylogowanie z systemu transakcyjnego i znów logowanie. Znów zainicjowano operację dodania odbiorcy zaufanego. Pan TL zalogował się do systemu po raz trzeci i system banku ponownie wygenerował potwierdzający SMS o poniższej treści.

Operacja nr 3 z dn. 03-06-2015 Definicja odbiorcy i przelewu zdef. Z rach.:… (…) na rach.(…) h. (…)

Za trzecim razem Pan TL miał dosyć komunikatu i wprowadził kod z wiadomości SMS. To sprawiło, że na jego koncie utworzony został nowy zdefiniowany zaufany odbiorca. Pan TL nie wiedział o tym. Wykonał upragniony przelew zapłaty i wylogował się.

Tak. To był atak

Dzień później nastąpiło dwukrotne logowanie do serwisu transakcyjnego. Ktoś wykonał 4 przelewy na kwoty 24 950 zł, 27 340 zł, 27 440 zł i 28,10 zł (nawet tej końcówki przestępcy nie podarowali). Operacje nie wymagały potwierdzenia bo były dokonywane do utworzonego wcześniej odbiorcy zaufanego.

9 czerwca Pan TL złożył reklamację i udał się na policję.

Wszczęto postępowanie karne nadzorowane przez Prokuraturę Rejonową P. w W., prowadzone pod sygn. 6 Ds. 961/15. Postępowanie to, wraz z innymi sprawami klientów banków na szkodę których dokonano nieautoryzowanych przelewów, od czerwca 2016 roku prowadzone jest przez Prokuraturę Krajową Wydział Zamiejscowy Departamentu ds. Przestępczości Zorganizowanej i Korupcji w L. po sygnaturą PK II WZ Ds. 7.2016. (okoliczność bezsporna, akta sprawy karnej załączone do akt sprawy PK II WZ Ds. 7.2016 Prokuratury Krajowej, reklamacja k. 24 akt sprawy).

Udało się ustalić ponad wszelką wątpliwość, że login i hasło ofiary wykradziono w ramach “kampanii phishingowej” (tak nazywa ją sąd, ale w rzeczywistości to nie była “kampania phishingowa”, a zwykły malspam). Wytłuszczenia nasze:

Na swoich stronach internetowych, w zakładce aktualności, pozwany informował o zasadach bezpiecznego korzystania z bankowości elektronicznej oraz dwukrotnie w lutym 2015 roku i 26 maja 2015 roku o istniejącym zagrożeniu w ramach o kampanii „phishing”, której celem było podstawienie klientom banku komunikatów o obowiązkowym ubezpieczeniu transakcji w celu uzyskania od nich danych wrażliwych od klientów banków.

Wspólnym mianownikiem tej kampanii było rozsyłanie po przypadkowych użytkownikach wiadomości e-mail podszywającej się pod firmę kurierską, była to na przykład informacja o nieodebranej przesyłce w załączniku do wiadomości kryło się złośliwe oprogramowanie, które infekowało w tle użytkownika i wpływało na późniejsze działanie przeglądarki.

W momencie wejścia klienta na stronę któregoś z banków, które obejmowała kampania, prezentowana była strona z łatką to jest w miejscu w którym podaje się zwyczajowo dane uwierzytelniająCe jest wklejony obcy fragment strony, który najpierw wyłudza dane do logowania, a następnie po zalogowaniu do systemu transakcyjnego wyświetla kolejną łatkę z komunikatem, w szacie graficznej danego banku, który ma przekonać klienta by podał w następnych kroku kod z smsa, czy inne dane to jest wyłudzić newralgiczne dane – w tym wypadku była prośba o podanie kodu sms. (wydruki
komputerowe k. 72-74, zeznania świadka M. P. k. 112-113v, nagranie 00:35:46-01:06:48 akt sprawy) Informacje te nie były łatwo dostępne dla klientów, w formie czytelnego ostrzeżenia. (zeznania świadka A. L. k. 112, nagranie 00:31:20-00:35:04, oświadczenie k. 86-88 akt sprawy) Znajdowały się w zakładce aktualności, którą trzeba było rozwinąć, by do niej dotrzeć. (zeznania świadka M. P. k. 112-113v, nagranie 00:35:46-01:06:48 akt sprawy)

Niezależnie od błędnego użycia słowa “phishing”, sąd w ramach sprawy Pan TL vs Bank nie dopuścił dowodu z opinii biegłego, który miał się wypowiedź na temat, czy zabezpieczenia stosowane przez bank były właściwe. Dla sądu sposób ujawnienia hasła i loginu miał drugorzędne znaczenie gdyż bank odpowiada za środki niezależnie od stosowanych środków zabezpieczających (sic!). Ale o tym będzie szczegółowo dalej.

Klient nie zawinił. “Miał prawo być przekonany”

Sąd rozpatrzywszy sprawę uznał, że bank powinien oddać Panu TL kwotę 106.929,77 zł. To oznacza, że Pan TL wygrał sprawę w 99%. Tu należy wyjaśnić dwie rzeczy – dlaczego wygrał i dlaczego to nie była wygrana w 100%?

Sąd uznał, że Pan TL będąc na stronie banku “miał prawo być przekonany, iż komunikat pochodzi od banku” (choć w rzeczywistości pochodził od złośliwego oprogramowania zainstalowanego na komputerze ofiary). Wyświetlony po zalogowaniu komunikat Pan TL próbował dwukrotnie obejść, co zdaniem sądu wskazywało, że “nie podszedł do tej wiadomości bezrefleksyjnie”.

Bank twierdził, że ostrzegał na swoich stronach przed atakiem, ale zdaniem sądu ostrzegał zbyt słabo:

Jak zeznał świadek zawnioskowany przez stronę pozwaną o procederze, którego ofiarą jest powód, bank informował dwukrotnie, w zakładce aktualności. Jednocześnie jak zeznała żona powoda, bezpośrednio po stwierdzeniu kradzieży, przeglądali stronę internetową pozwanego banku i żadnych informacji ostrzegawczych nie znaleźli. Zdaniem sądu o wąskiej dostępności tych komunikatów, a tym samym nieskuteczności kampanii ostrzegawczej prowadzonej przez bank, jak i o nieodosobnionym przypadku powoda, świadczy ilość osób który w ten sam sposób przekazały swoje dane i doznali szkody na skutek tego przestępczego działania, o czym świadczą zeznania świadka zawnioskowanego przez bank, który potwierdził okoliczność zintensyfikowania kampanii phising po koniec maja 2015 roku, jak i skala prowadzonego postępowania karnego.

To jest bardzo ciekawy sposób rozumowania sądu. Skoro ofiar było wiele to znaczy, że bank nie ostrzegał skutecznie :).

Co byłoby “rażącym niedbalstwem”?

Zdaniem sądu bank nie udowodnił “rażącego niedbalstwa” klienta. Co zatem mogłoby być “rażącym niedbalstwem”? Przykładowo celowe udostępnienie komuś hasła, albo zrobienie czegoś ze świadomością, że było to niebezpieczne. W tym przypadku Pan TL działał nieumyślnie, bez świadomości skutków jakie to działanie przyniesie. Dlatego – zdaniem sądu – Bank powinien więc oddać pieniądze.

Taki sposób myślenia jest zgodny z podobnymi wyrokami jakie opisywaliśmy wcześniej. Sąd Najwyższy już w styczniu 2018 roku orzekł, że bank musi udowodnić rażące niedbalstwo jeśli nie chce ponosić kosztów kradzieży. W czerwcu 2016 r. pisaliśmy o wyroku dotyczącym kobiety, która ustawiła datę urodzenia jako PIN. Choć takie zachowanie trudno uznać za ostrożne to zdaniem sądu nie było to “rażące niedbalstwo”.

Zawsze stracisz 200 złotych w przypadku kradzieży

Dlaczego Pan TL wygrał w 99%? Ponieważ art. 46 ust 2 ustawy o usługach płatniczych mówi, że płatnik odpowiada za nieautoryzowane transakcje płatnicze do pewnej kwoty. Kiedyś było to 150 euro, ale nowelizacja z maja tego roku obniżyła tę kwotę do 50 euro. Zawsze stracicie tę kwotę w razie kradzieży niezależnie od tego, czy zostanie wam udowodnione “rażące niedbalstwo”.

Takie orzecznictwo sądów jest bardzo korzystne dla ofiar ataków Man in the Browser, czyli z wykorzystaniem złośliwego oprogramowania. Banki powinny to wziąć pod uwagę inwestując w rozwiązania antyfraudowe. Obecnie coraz częściej stykamy się z kradzieżami na wyłudzone karty SIM, a ich ofiary jeszcze trudniej będzie określić jako klientów “rażąco niedbałych”. Jest to ważna kwestia do przemyślenia (por. Dlaczego (nie) warto używać aplikacji mobilnej do autoryzacji przelewów?).

PS. Interesujący jest sposób “zanonimizowania” opisanego wyroku sądowego. Udało się ukryć nazwę systemu operacyjnego (W.) i programu antywirusowego (A.), ale odpowiednio uważni czytelnicy i tak ustalą o jaki bank chodziło :).

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

54 komentarzy

Dodaj komentarz
  1. Mbank! :D

  2. Mimo wszystko, niezbepieczniku nie macie racji co do tego 50 euro. Są banki (np. ten z żubrem) gdzie do kredytówki można sobie dodatkowo ubezpieczenie kupić i wtedy całość transakcji fraudowych leci na bank.
    Przy debetówkach dają to z automatu.

    • to nie jest sprzeczne z tym co zostało napisane, bo nikt nie powiedział, że poniżej tej kwoty nigdy za to nie odpowiada. ta implikacja działa w drugą stronę.

  3. Złodzieja udało się złapać?

  4. Czy robienie transakcji na macbooku zwiększa jakoś znacząco poziom bezpieczeństwa przed malwarem?

    • Obecnie praca na macOS zwiększa lekko (może zwiększać trochę mocniej, o ile nie pracujesz na koncie administratora i nie instalujesz dodatków do przeglądarki). Zwiększa znacząco, jakbyś robił tylko na iOS (iPadzie/iPhonie).

    • Piotrze, czy mógłbym prosić o krótkie wyjaśnienie dlaczego iOS miałby być bezpieczniejszy od macOS (i być może ogólnie mobilka od desktopa)? Wydaje mi się, że znacznie łatwiej utracić telefon, a jego zabezpieczenia są słabsze, bo chyba niewielu wprowadza skomplikowane piny/hasła przy każdym odblokowaniu telefonu.

    • Właśnie w przypadku iOS wręcz przeciwnie. Masz inną architekturę (separacja aplikacji między sobą i izolacja od aplikacji złośliwych, bo nie ma ich w sklepie), a kodu blokady 6 cyfrowego Sebix, który gwizdnie telefon nie obejdzie, bo obecnie żaden atak nie jest znany (https://niebezpiecznik.pl/post/iphone-bruteforce-pin-haslo-blokady-ekranu-obejscie/ a dopóki nie korzystasz z tego urządzenia do czegokolwiek innego, to nie dotyczy Cię też to: https://niebezpiecznik.pl/post/iphone-atak-mdm/).

    • @Piotr Konieczny
      Zastanawiam się jak wypada w tym wypadku Linux bo w oficjalnych repozytoriach aplikacje mają otwarty kod źródłowy, a Flatpak który zapewnia środowisko sandbox też izoluje aplikacje.

  5. Sam sobie ukradnę “atakiem” hajs z konta i złoże pozew że biedny ja został wyczyszczony i brzydki bank nic mi nie pisał 8)

    • Ej, to mój pomysł, ja tak robię właśnie xD
      A nie, nie mam nic na koncie, ech, nawet nie mogę się sam okraść, żeby się wzbogacić :/

  6. > PS. Interesujący jest sposób “zanonimizowania” opisanego wyroku sądowego. Udało się ukryć nazwę systemu operacyjnego (W.) i programu antywirusowego (A.), ale odpowiednio uważni czytelnicy i tak ustalą o jaki bank chodziło :).

    Zwłaszcza że podaliście jego nazwę w tagach :D

    • @pawel – Sherlock, is that you?

    • System to na pewno Whonix, a antywir to avast

  7. Ale ten wyrok nie jest prawomocny.

    Okradziony to pracownik Instytutu, pewnie z wyższym wykształceniem, do tego płacił czynsz za mieszkanie w czasie godzin pracy, na takich typów nie ma lekarstwa. Znany jest przypadek, że profesor PAN stracił dużo kasy w kilku piramidach finansowych.

    • >> Okradziony to pracownik Instytutu, pewnie z wyższym wykształceniem, do tego płacił
      >> czynsz za mieszkanie w czasie godzin pracy, na takich typów nie ma lekarstwa. […]

      Możesz wytłumaczyć jak przytoczony argument ma się do sprawy?

    • Szczerze, sprzęt u mnie w firmie jest znacznie lepiej zabezpieczony niż mój własny komp. Bardziej boję się wykonywać przelewy w domu niż tutaj :D

  8. to nieźle ocenzurowali ten wyrok :D
    “nastąpiło dwukrotne zalogowanie do serwisu transakcyjnego
    mBanku z wykorzystaniem identyfikatora powoda i hasła.”

  9. “Klient – przy każdym korzystaniu z bankowości internetowej – zobowiązuje się do sprawdzenia poprawności adresu strony internetowej w pasku adresu przeglądarki, w szczególności faktu połączenia się z bankiem za pomocą protokołu HTTPS oraz do sprawdzenia ważności certyfikatu SSL. Klient oświadcza, że w trakcie korzystania z usług banku przez Internet posiada na urządzeniu, które posłużyło do połączenia aktualne oprogramowanie antywirusowe z aktualną bazą sygnatur szkodliwego oprogramowania.

    W przypadku utraty pieniędzy przy korzystaniu z bankowości internetowej lub szkodliwego oprogramowania imitującego ją i jednoczesnego niespełnienia powyższych warunków klient oświadcza iż doszło z jego strony do rażącego niedbalstwa.”

    (to nie cytat z prawdziwej umowy, tylko moja radosna twórczość :D )
    Czy podobny do tego powyżej, hipotetyczny zapis w umowie o prowadzenie konta byłby zgodny z prawem?

    • Nie wiem jak pod względem prawnym ale nasuwa się pytanie dlaczego bank takich wymagań nie egzekwuje? Są np. klienty VPN, które dokonują takich sprawdzeń. Nie masz bezpiecznego systemu – mniejszy dzienny limit transakcji. Niestety cofnie to nas do epoki bankowych pluginów do przeglądarek :/

  10. Czy jest możliwe zainfekowanie Maca tylko poprzez dysk USB/kartę SD? ew. czy ewentualnymi objawami infekcji może być zacinanie się na logu jabłka przy większości aktualizacji (restart załatwia sprawę)? Pracuje na koncie użytkownika, ale mimo tego mam na tym punkcie hopla, głównie przez to używanie bankowości internetowej, boje się ew. wykradzenia haseł. Czy jest możliwa taka infekcja na Macu?

  11. Moze za dlugo juz mieszkam za granica, ale odnosze wrazenie ze wyrok sadu moze zdziwic tylko ludzi z tak zwanych “krajow rozwijajacych sie”. W krajach “rozwinietych” takie wyroki to norma, nawet jesli sa ewidentnie krzywdzace dla banku. Tutaj wychodzi sie po prostu z zalozenia, ze ludzie MUSZA czuc sie bezpiecznie, i lepiej zwalic wine na bank/firme/korporacje/policje, niz ryzykowac utrate zaufania ludzi do systemu. Dla banku strata 100 000 to bolesny cios, ktos na pewno straci premie, ktos moze stracic prace. W skrajnym wypadku bank moze zbankrutowac. Trudno. Lepiej poswiecic zyski banku, niz miec potem w gazetach naglowki w rodzaju “Przez jeden sms stracila dorobek calego zycia”. Bo to sie potem roznosi, ludzie panikuja, spada zaufanie spoleczne – i wszyscy na tym traca. A jak sie zrzuci cala odpowiedzialnosc na bank/korporacje, to po pierwsze : banki sa ubezpieczone, po drugie: jak bank bedzie poszkodowany, to bedzie wieksza presja na policje i organy scigania, zeby zlapac oszustow, no i po trzecie: po takiej przygodzie bank wzmocni zabezpieczenia i zatrudni lepszych specjalistow. I nie bedzie, ze sie “nie da” ani “paaaanie co my mamy zrobic”, bo jak jeden czy drugi prezes banku dostanie po kieszeni raz i drugi, to bedzie wiedzial co ma zrobic. Jak prezes banku przegra w sadzie kilka milionow, to potem sam osobiscie bedzie siedzial i recznie blokowal podejrzane przelewy. Starsza pani 80 lat, ktora nigdy nie wyplacala z konta wiecej niz 100 zl, i nagle potwierdza sms-em przelew na 80 000 na konto obcej osoby ? Wstrzymajmy przelew i zadzwonmy do niej. Upewnijmy sie, ze ktos nie chce tej pani okrasc. Odpowiedzialny bank powinien takich rzeczy pilnowac -i w wiekszosci bogatych krajow jest to powszechna opinia.

    • Niedługo banki będą oddawać kasę okradzionym metodą na wnuczka, bo sąd stwierdzi, że okradziona miała 80 lat.
      PS.Ten wyrok nie jest prawomocny.

    • Czyli innymi słowy: w “rozwiniętych krajach” ludzie są idiotami o których dbać musi państwo/firmy? Ja nie wiem czy to powód do zadowolenia, by można pomyśleć, że ludzie mądrzeją, a tu jakoś odwrotnie.

    • @Karolina – ale tak powinno przecież być. Do trzymania kasy w banku zmusza Cię Państwo (musisz mieć konto), a przy tym ogranicza gdzie i jak tylko się da gotówkę (pensja tylko przelew, świadczenia, podatki, duże kwoty – tylko przelew, itd.). Do tego banki dają złodziejski procent od pożyczek, niemal zerowy od lokat i jeszcze wymyślają pierdylion funkcji i możliwości dostępu do Twojej kasy, z jednoczesnym słabym zabezpieczeniem lub bez (brak PIN do zbliżenówki na 50-100 zł), na które nie masz wpływu i których najczęściej nie możesz sobie zablokować lub wyłączyć. Więc dlaczego obywatel ma za wszystko odpowiadać i wciąż się martwić o zdeponowane środki i ich bezpieczeństwo? Przecież to robota banku. Jak dają jakieś kanały dostępu to do nich należy zapewnienie ich bezpieczeństwa, przynajmniej do momentu rażącego zaniedbania przez klienta (zapisanie PIN na karcie na przykład).

    • @Monter
      Wyłączenie transakcji zbliżeniowych oferują od około 4 lat wszystkie banki, niektóre z poziomu apki mobilnej. Gościu zatwierdził złodziejowi transakcje, chociaż miał w SMS podane co zatwierdza. Poza tym płacił za czynsz w pracy, z PC do którego miało dostęp wiele osób i był on zawirusowany co nie dziwne, złamał właściwie wszystkie zasady, mam nadzieję, że ten wyrok nie utrzyma się w apelacji.

    • Dokladnie. W amerykanskich bankach nie ma zadych zdrapek, tokenow czy kodow na sms. Login + haslo i mozna wszystko. A dlaczego? Bo kazda transakcja jest ubezpieczona.

    • Słuszna argumentacja, odwołująca się do zaufania obywatela do systemu. Szczególnie w naszym kraju, w którym kapitał społeczny jest bardzo niski: w wielu komentarzach daje się odczuć przeświadczenie, prezentowane z pewną wyższością, że do podstawowych umiejętności należy niedanie się obrobić, a kto takich umiejętności nie posiada, ten frajer, i obrobienie należało mu się. Tymczasem w krajach cywilizacyjnie stojących wyżej od nas, normą jest zakładanie, że świat jest dobry, w szczególności otaczający ludzie są życzliwi. W tych społeczeństwach łatwiej jest przeznaczać swoje zdolności i energię na rozwijanie tego, w czym się jest rzeczywiście dobrym, a nie na czujność przed byciem wycwanionym. Łatwiej też jest cieszyć się osiągnięciami innych. Tymczasem Polska jest jak złota rybka: https://www.xdpedia.com/26743/chce_miec_penisa_do_ziemi.html

    • @toja 2018.08.08 21:08 – teoretycznie masz rację. W praktyce banki, które umożliwiały samodzielne sterowanie limitem dla płatności zbliżeniowych, w tym ustawienia zera celem wyłączenia tej funkcji – i ze wszystkich usunięto te funkcje kierując klientów w jakieś zawiłe procedury związane z pisaniem pism, dzwonieniem do banku, kilkukrotnym potwierdzaniem, że tak, że na pewno. Wyłączyłem sobie te płatności w PKO także i ja, i co? Po wymianie karty (termin ważności) w systemie mają, że tak, jak poprzednia nowa ma opcję wyłączoną, a ja tą kartą mogę płacić i wszystko działa – takie to wyłączenie jest. Zresztą opisałem to tutaj: https://monter.techlog.pl/fail-inteligo-pko-bp-nie-wie-jakie-karty-klientom-wydaje/

  12. Bank stracił a oszust zyskał taki to sobie pożyje a biedny jak był biedny tak będzie biedny.

  13. Nazwa banku jako firmy nie jest chroniona, stąd system nie zanonimizował jego nazwy. To jest poprawne działanie.

    • Trochę więc niekonsekwentnie jej “nie anonimizuje”

  14. Ciekawe czy sędzia używa bankowości elektronicznej?
    Co musiał by zrobić bank aby sędzia przyznał rację banku w sms jest wyraźnie napisane o co chodzi? Co innego jak jest tylko “Oprecja nr 1 w dniu 08.08.2018 kod sms 123546”.

  15. Dadza oplate 5zl za przelew to sie straty wyrowna :)

  16. rażące niedbalstwo być może dla redakcji niebezpiecznika, nie widzę powodu, dla którego zwykły obywatel miałby coś podejrzewać…

    • Jak umie czytać to powinien.

    • Dość zabawnie wygląda zdanie o rażącym niedbalstwie, napisane z małej litery, przez gościa, który nie potrafi nawet poprawnie napisać własnego imienia.

    • Jak odróżniasz “nie umie” od “nie chce mu się, nie uważa, że to ważne”? :P To, co napisał jest spójne z tym jak to napisał. Twój komentarz byłby celny jakby Lukasz wytykał komuś niedbalstwo samemu nie przywiązując uwagi do sposobu wyrażania się. No ale nie jest… :P

  17. Według mnie, to wina leży po stronie pana TL.

  18. Argumentacja dotycząca innego traktowania klientów w krajach “cywilizowanych” jest bardzo dobra. Wprawdzie z obiektywnego punktu widzenia – klient złamał wszystkie zasady bezpieczeństwa jednak:
    a)Polska nie jest krajem cywilizowanym zatem konsekwentnie klient powinien zapłacić za swój ewidentny błąd.
    b)Taki wyrok może okazać się (pomimo nieobiektywności) zbawienny dla nas wszystkich – banki mają sposoby na to by wyeliminować 99,9% ryzyk – ale to kosztuje dlatego są wybierane drogi pośrednie i cedowania zbyt dużej części odpowiedzialności na klienta.

    Ktoś podał dobry przykład USA -tam ludzie nie boją się płacić kartą kredytową bo kraj jest cywilizowany i chyba większość transakcji jest ubezpieczonych.

  19. Dodam jeszcze, że Europa Środkowo-Wschodnia to poligon dla innowacji w bankowości. Fajnie jest mieć milion nowych bajerów, aplikacji na telefony i kolorowych świecidełek – banki są tu pod tym względem bardzo liberalne co ma swoje negatywne konsekwencje. Dla przykładu w Niemczech banki są dużo bardziej konserwatywne i bezpieczne. Co jest lepsze? Na to pytanie każdy musi odpowiedzieć sobie sam. Wydaje mi się jednak, że w kwestiach pieniędzy lepsze jest konserwatywne i b. ostrożne podejście nawet jeżeli tracimy na wygodzie.

    • Instytucje finansowe w Niemczech może i są konserwatywne, ale czy bezpieczne? A co powiesz na system Sofort?
      Swoją drogą, w kontekście wątku o zaufaniu do systemu, ciekawe, ile Sofort przeznacza na pokrywanie fraudów.

  20. No i tak właśnie ma być, prawo ma chronić zwykłego obywatela, a nie wielkie korporacje.

    Poza tym to co to w ogóle ten Profil zaufany?? Koleś z zewnątrz może okradać innego kolesia a bank nawet nie ma jego danych osobowych?? To tu raczej mowa o niedbalstwie banku!

    Może mBank powinien rozważyć wyłączenie tej opcji albo zmienić proces aktywacji np. poprzez rozmowę telefoniczną lub w oddziale banku.

  21. Jest wiele prawomocnych wyroków w podobnych sprawach wydanych przez Sądy w Łodzi. Setki klientów mBanku jest okradanych w podobny sposób. Bank nie zwraca ukradzionych pieniędzy, jedyny sposób to pozew do sądu, podstawa prawna to Ustawa o usługach płatniczych.

  22. Cześć! Mam dziwne połączenia z Windows 10, które rozłączają mi internet. Był już robiony format systemu, jednak te strony co rozłączają sieć typu infolinks.com powróciły.
    http://wklejto.pl/605186
    Po formacie skanowałem antywirusami Eset Premium, Kaspersky Premium, Malwarebytes, adwclaner, rkill, tdsskiller, logi były sprawdzane FRST i naprawiane. Niby system czysty, a te strony znowu się jakoś łączą z moim systemem i rozłączają mi sieć. Mam firewall, jak to jeszcze można posprawdzać z czym próbują się połączyć?

  23. @usernick 2018.08.09 17:54

    Ale dlaczego ty sie o to pytasz tutaj. Administratorem i prawdziwym wlascicielem “twojego” Windowsa 10 jest Microsoft, ich zapytaj.

    Przyznam sie ze jest to raczej irytujace, “Windows 10 padl mi po updacie”, “Moj Windows 10 ciagle reinstaluje zly sterownik po czym sie wiesza”, “Windows 10 wysyla duze ilosci danych w swiat”
    NO BA!!! Przeciez to wszysto to sa FEATURES!

    Co bedzie nastepne??
    “Jestem Ingrid, 16 letnią cheerliderka i w ramach artystycznego projektu spedze 100 nocy wedrujac samotnie po slamsach Kapsztadu w seksownej bieliznie i 2 z kilowym zlotym lancuchem na szyi – ktory z kursow kobiecej pewnosci siebie wziasc zeby bylo bezpiecznie?”

  24. A jak wygląda kwestia zabezpieczeń w ing? Ich sposób zapobiega, a przynajmniej mocno opóźnia działanie takiego virusa. Tutaj nigdy nie wpisuję całego hasła więc trzeba czekać aż wylosuje wszystkie okienka. Kiedy? Ciężko powiedzieć, wybiera 5 losowych miejsc w haśle i trzeba podać odpowiednio. Nie wiem jak jest w innych bankach, ale często spotykałem się z podawaniem całego.

    • W BPS również należy podać pełne hasło. (tak tylko informacyjnie piszę ;-))

  25. To słuszny wyrok.
    To bank ustala poziom zabezpieczeń a nie klient.

    Może to zabrzmieć dziwnie ale jesli mam pomysł na super zabezpieczenie swoich pieniędzy w banku to i tak bank to oleje.
    Skoro, wiec nie pozwala np. na autoryzację wielopoziomową ważnych operacji to dlaczo ja mam opowiadać?

  26. Tylko dlaczego sprawa z 2015 roku trwała do 2018…

  27. Ciekawe jak sąd by potraktował coś takiego: klient bankowości elektronicznej. Na telefonie zapisane w przeglądarce w ulubionych strona do logowania z loginem i hasłem. W galerii telefonu zdjęcie zdrapki z odkrytymi wszystkimi hasłami. Czy dla sądu to udogodnienie klienta czy rażąca niedbałość? I co bank ma zrobić klientowi? Wypowiedzieć umowę? A może pochwalić za kreatywność w korzystaniu z bankowości elektronicznej?

  28. Czyli, jeżeli ktoś ukradnie mi auto z ulicy, to winny będzie nie złodziej, ale miasto?

  29. Odnośnie poziomu zabezpieczeń stosowanych przez bank.

    Jestem klientem pewnego banku A. Pewnego razu, nie mogłem się zalogować do serwisu ze “względów bezpieczeństwa”. Po telefonie ze strony banku, pracownik zaprosił mnie na wizytę i zasugerował, że mam paskudztwo w kompie. W placówce odblokowałem konto i sprawdziłem dokładnie kompa- AV wiodącej skandynawskiej firmy nic nie wykrył, za to AdwCleaner już tak.

    Druga sytuacja w tym samym banku- nie mogłem zrobić przelewu za OC bo podejrzana transakcja. Pracownik A. zadzwonił do mnie, zweryfikował tożsamość (pytając się o posiadane produkty a nie np. nazwisko rodowe matki) i zaakceptował przelew.
    Tak więc nietypowe przelewy też są wykrywane i wstrzymane do czasu wyjaśnienia. Pan TL dokonywał operacji na koncie prywatnym (?) na którym operacje mogły być wstrzymane do wyjaśnienia. Jaki jest koszt telefonu pracownika a koszt takiej wątpliwej reklamy ?

    Jeśli w omawianej sprawie było rażące niedbalstwo to może ze strony instytucji, która nie ma takiego systemu?

  30. […] do sądu, ale nie każdy ma na tyle sił i pieniędzy, aby toczyć wieloletni spór z bankiem (por. Bank ma oddać 107 000 złotych ofierze phishingu. O tego rodzaju sporach sądowych pisaliśmy obszernie także w artykule pt. Ukradli mi pieniądze […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: