9:50
25/11/2020

Poczta Polska jest świadoma problemu przejmowania Profili Zaufanych, stara się coś z nim zrobić i przedstawia oszacowania dotyczące skali problemu. Niestety strona rządowa jak dotąd nie skomentowała sprawy.

W ubiegły poniedziałek pisaliśmy o przejmowaniu Profili Zaufanych w celu dokonywania wyłudzeń pożyczek. Temu rodzajowi oszustwa bardzo trudno przeciwdziałać, bo choć przestępca potrzebuje fałszywego dowodu to nie musi mieć zbyt wielu danych o ofierze. Wystarczy imię, nazwisko i PESEL. Skutki przejęcia PZ mogą być katastrofalne zważywszy na to do jak wielu serwisów i danych taki profil daje dostęp.

Oszukanych jest więcej

Po publikacji zgłosiło się do nas kilka kolejnych ofiar tego przestępstwa. Oto ciekawsze elementy z ich relacji:

  • Do przejmowania profili zaufanych dochodzi najczęściej przez Pocztę Polską, ale są też przypadki przejmowania kont przez bank (tzn. oszust zakłada konto na dane ofiary i wybiera taki bank, który obsługuje logowanie do PZ i zmienia metodę autoryzacji). Jak już pisaliśmy, procedura zmiany sposobu logowania z jednego banku na drugi nie wymaga żadnej autoryzacji starą metodą logowania.
  • Duże znaczenie dla przestępców ma możliwość otwarcia rachunku bankowego przez kuriera. Niektórzy przestępcy posługują się przy tym sztucznie wygenerowanym numerem dowodu, choć zdarzały się przypadki użycia numeru nieważnego dokumentu (i nic dziwnego bo unieważnienie to nie zastrzeżenie).
  • Wykrycie oszustwa na wczesnym etapie paradoksalnie może uśpić czujność. Zdarzyły się ofiary, które dostały alert z BIK, zgłosiły problem do banku lub na policję, ale sprawę umorzono bo rzekomo nie było szkód (nie wzięto pożyczek lub te wzięte zostały spłacone, najpewniej w celu zbudowania dobrej historii kredytowej). Mogło się wydawać, że sprawa jest zamknięta, ale nakazy zapłaty zaczęły przychodzić później.

Poczta Polska monitoruje problem

Liczyliśmy na to, że sprawę skomentuje dla nas Kancelaria Premiera, który zajmuje się obecnie sprawami cyfryzacji. Wczoraj natomiast dostaliśmy odpowiedź z biura prasowego Poczty Polskiej i był to komentarz, którego się nie spodziewaliśmy. Owszem, pytaliśmy Pocztę o procedury, ale jej rzeczniczka Justyna Siwek odniosła się od razu do kwestii wyłudzeń. Mamy świadomość, że Poczta Polska realizuje procedury w granicach ustalonych przez MC, ale najwyraźniej firma dostrzega potrzebę uszczelnienia systemu.

Szanowny Panie Redaktorze,

dziękujemy za zwrócenie uwagi na tę sytuację. Uprzejmie wyjaśniamy, że spółki z grupy kapitałowej Poczty Polskiej muszą realizować usługi, w tym związane z Profilem Zaufanym, według otrzymanych wytycznych w oparciu o przepisy, z dochowaniem najwyższych standardów bezpieczeństwa.

Jednakże, każdy proces poddawany jest ewaluacji po jego wdrożeniu. Na podstawie analizy stwierdzonych incydentów zdiagnozowaliśmy możliwe zagrożenia i miejsca podatne na ataki ze strony potencjalnych przestępców.

Zgłosiliśmy je właściwemu ministerstwu wraz z propozycjami zmian procedur uszczelniających dotychczasowy system. W Poczcie Polskiej takie – ponadnormatywne procedury – zostały wprowadzone już od października 2020 r.

Pragniemy podkreślić, iż skala stwierdzonych przypadków próby oszustw jest znikoma i wynosi 0,019% w stosunku do liczby założonych kont w Profilu Zaufanym, a każdy incydent jest uważnie analizowany pod kątem dalszego uszczelnienia procedur bezpieczeństwa. Dodatkowo, spośród ww. 0,019 proc. ponad połowa została udaremniona już na etapie wstępnym i zgłoszona właściwym organom.

Ta wiadomość jest ciekawa z kilku powodów. Odsetek prób wyłudzeń nie jest odsetkiem udanych oszustw. Nie wiemy czy udanych prób jest więcej czy mniej. Same oszustwa trudno policzyć. Część oszukanych dowie się o sprawie z opóźnieniem albo… nigdy. Niemniej przedstawienie tej liczby świadczy o tym, że po stronie PP problem starano się oszacować. Operator pocztowy mówi o wprowadzeniu “ponadnormatywnych” procedur od października, a znane nam przypadki przejęcia PZ miały miejsce latem, w pierwszej połowie roku lub nawet pod koniec 2019.

Uwaga: Już po publikacji tego artykułu rzeczniczka Poczty Polskiej doprecyzowała, że odsetek 0,019% dotyczy nie “liczby kont w Profilu zaufanym” ale “przypadków klientów zakładających PZ za pośrednictwem Grupy i placówek pocztowych”. To oznacza, że liczba stwierdzonych prób wyłudzeń jest znacznie mniejsza niż początkowo informowaliśmy. Niestety Poczta Polska nie chce ujawnić bezwzględnej liczby prób wyłudzeń (pytaliśmy o to, ale rzeczniczka zasłoniła się tajemnicą przedsiębiorstwa).

Czekamy na stronę rządową

Mamy nadzieję, że Kancelaria Premiera (który jednocześnie jest Ministrem Cyfryzacji) nie zignoruje sprawy. Naszym zdaniem byłoby najlepiej, gdyby zmiana metody autoryzacji w PZ (np. z jednego banku na inny) obejmowała jakiekolwiek potwierdzenie tej procedury poprzednio używaną metodą autoryzacji. Mamy świadomość, że czasami stara metoda może stać się niedostępna, ale wtedy unieważnienie mogłoby być dokonane w urzędzie. Owszem, byłoby to mniej wygodne, ale Profil Zaufany jest zbyt wrażliwym narzędziem by dawać go komuś zbyt lekką ręką.

Przy okazji przypomnimy, że we wrześniu tego roku pisaliśmy o próbach wyłudzenia pożyczek z “Tarczy”. To był problem Ministerstwa Rodziny i Polityki Społecznej, które do tej pory nie skomentowało sprawy ani jednym słowem. W związku z tym zwróciliśmy się o komentarz do Ministerstwa Cyfryzacji, które – jakby nie patrzeć – miało pełnić rolę koordynatora przy działaniach związanych z cyfryzacją. Niestety Ministerstwo Cyfryzacji również nie odniosło się do naszych pytań, ani nie zrobiła tego później KPRM. Mamy nadzieję, że sprawa Profilu Zaufanego zostanie potraktowana poważniej.

Aktualizacja 26.11.2020

Rzeczniczka Poczty Polskiej poinformowała nas, że poprzednia informacja na temat liczby wyłudzeń była nieścisła (był to odsetek kont założonych przez PP S.A., a nie odsetek wszystkich). Poprawiliśmy artykuł, ale przy okazji dopytaliśmy pocztę o dokładniejsze liczby.

Niniejszy artykuł został poprawiony w miejscach, w których wspominał o Ministerstwie Cyfryzacji. To ministerstwo zostało zlikwidowane, natomiast cyfryzacją zajmuje się KPRM, która z jakiegoś powodu pozostawiła przy życiu biuro prasowe do takich spraw. Stąd pomyłka. 

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. […] Więcej informacji na ten temat znajdziecie w kolejnym artykule pt. Poczta Polska: Próby przejęcia Profili Zaufanych dotyczą 0,019% wszystkich kont […]

  2. Nie ma już Ministerstwa Cyfryzacji. Jest tylko Minister Cyfryzacji oraz Prezes Rady Ministrów “dwa w jednym” Mati.

  3. Min. Cyfryzacji nie istnieje od 6 października 2020 więc raczej nie odpowie. Sprawy cyfryzacji są teraz w KPRM.

  4. > unieważnienie to nie zastrzeżenie
    Nie, bo nawet więcej! :)

    Unieważnienie może wynikać nie tylko z powodu zgłoszenia zgubienia lub kradzieży ale też z powodu np. zmiany danych, upływu terminu ważności lub utraty obywatelstwa. Jeśli ktoś wyrabia nowy dowód bez względu na przyczynę (bo np. chce mieć nowy e-dowód) to stary automatycznie zostanie unieważniony bez potrzeby żadnego “zastrzegania”. Nie może 1 obywatel mieć 2 ważnych dowodów.

    Dowód unieważniony, obojętnie z jakiego powodu, nie powinien znajdować się w obrocie prawnym i na taki dowód nie powinna zostać zawarta żadna umowa. Każda osoba lub instytucja korzystająca z tej bezpłatnej usługi:
    https://www.gov.pl/web/gov/Sprawdz-czy-dowod-osobisty-jest-uniewazniony-lub-zawieszony
    dowie się o fakcie unieważnienia czyjegoś dowodu.

    • No dobra ale dlaczego sprawdzenie czy dowód jest ważny wymaga uwierzytelnienia się?
      Dlaczego rząd chce wiedzieć kto sprawdza czyj dowód? To jest dodatkowa, niepotrzebna rządowi wiedza, o interakcjach między osobami fizycznymi.

      W Czechach każdy może anonimowo sprawdzić czy dany dowód jest ważny: https://aplikace.mvcr.cz/neplatne-doklady/

      Ba, nawet można ściągnąć sobie plik ze spisem unieważnionych dowodów!

      Uważam, że podobna rzecz powinna być wprowadzona w Polsce.

    • @Czech. Zgadzam się z twoimi postulatami, ale mWeryfikator pozwala sprawdzić znacznie więcej niż tylko datę ważności dowodu. Ale w sumie dobrze by było, gdyby miał funkcję sprawdzającą tylko ten “parametr”, chociaż jej zastosowanie raczej było by ograniczone ze względu na fakt, że na podrobionych dokumentach ktoś mógłby podać numer dowodu ciągle aktualnego.

  5. Podsumujmy/Sprecyzujmy:

    1. Czy jeśli klient posiada już konto zaufane Envelo (uwierzytelnione) to czy weryfikowane są dane z dowodu osobistego, czy także nie?

    ====

    2. Zakładając, że odpowiedź na 1) brzmi “Nie”, NIE MA ŻADNEJ metody zabezpieczenia się przed tym oszustwem.
    2a. Zakładając, że odpowiedź na 1) brzmi “Tak”, metodą zwiększenia zabezpieczenia jest założenie i uwierzytelnienie konta Envelo.
    3. Koniecznie TRZEBA założyć profil zaufany, aby zwiększyć bezpieczeństwo. Mając założony profil zaufany dostaniesz maila o zmianie metody autoryzacji. Wtedy jak najszybciej należy podjąć dodatkowe kroki (ponowna zmiana metody, kontakt z bankiem/PP w zależności od użytej metody weryfikacji aby utrudnić działanie oszustowi)
    3a. Kontakt z bankiem utrudniony – wymagana wizyta w placówce, gdyż bank ma dane oszusta i nie przejdziemy weryfikacji zdalnej.
    3b. Jeśli nie masz profilu zaufanego, nie dostaniesz żadnej informacji o tym,że został załozony na ciebie profil…
    4. Nawet błyskawiczne podjęcie działania po otrzymaniu informacji NIE gwarantuje zablokowania działań oszusta, a jedynie zwiększa szanse na utrudnienie mu działania. Oszust może bardzo szybko uzyskać dostęp do danych z Rejestru PESEL/DO i dzięki temu będzie mieć dalej ułatwione działanie.
    5. Po odzyskaniu dostępu do PZ sprawdź działania dokonane przez oszusta. Jeśli uzyskał dostęp do Twoich danych szybko unieważnij dowód oraz zastrzeż dowód w banku.
    6. Państwo polskie ssie – od dawna było wiadomo,że brakuje realnych działań zapobiegawczych, ale opisany przypadek pokazuje jak bardzo ważne jest podjęcie w końcu działań aby zmienić ten stan rzeczy…

  6. No cóż, Ministerstwa Cyfryzacji już nie ma…
    Podobno jego zadania przejęła Kancelaria Prezesa Rady Ministrów.

  7. Co do tych 0,019% to przypuszczam, że zabrakło precyzji językowej i rzecznik miał na myśli założone konta w Profilu Zaufanym przy udziale Poczty Polskiej. Tylko w takim przypadku bez podania tej liczby to nie ustalimy ile oszustw wykryli do tej pory.

    • Bo np. 0,019% wszystkich uprawnionych do głosowania w Polsce to około 5700 osób, więc nie aż taka znikoma liczba

  8. Przy okazji spytajcie urzedasow, kiedy i czy w ogole maja zamiar wprowadzic cos takiego jak FIDO2. Chociaz dla tego towarzystwa, to moze byc niomal sci-fi.

    • Generalnie do FIDO ma służyć e-dowód. Będzie go można odczytać przez NFC w telefonie i użyć do uwierzytelnienia.

    • @Observer Tylko po to, aby ta banda z zapedami totalitarnymi jeszcze dokladniej sparowala telefon z obywatelem. Tu nie chodzi o bezpieczenstwo, a o kontrole. Nie, dziekuje. Wole wlasny klucz obslugujacy FIDO2 pracujacy offline na pendrive.

  9. Czyli co? Anulujemy PZ jesli korzystamy sporadycznie? Moze takie wyjscie jest najlepsze przy takiej wladzy i predkosci jej dzialania

    • @Serius

      Luzik, ktoś inny Ci go założy ;)

  10. Można też spróbować wyłączyć “Logowanie za pomocą zewnętrznego dostawcy tożsamości”. Nie mam pewności czy metoda zadziała przy zakładaniu nowego(fałszywego) konta w banku lub na poczcie ale po wyłączeniu tej opcji z mojego (macierzystego konta) domyślnie ustawionego nie można się było zalogować. Zostawić sobie logowanie za pomocą hasła i włączyć uwierzytelnianie dwuskładnikowe.

  11. Skarpeta, skarpeta i jeszcze raz skarpeta!!! Pół na pół: bank:skarpeta.

    Stamtąd zabrać kasę może tylko fizyczny włamywacz lub pożar, a nie każdy z wielu miliardów ludzi na świecie.

    • Psssy… Słyszałeś o inflacji?

    • A to przepraszam: można inwestować. Tylko w co, skoro krach może być w każdej chwili. Chyba tylko w mieszkania.
      Zakładam, że nie liczysz na oprocentowanie lokat, które wynosi niewiele więcej niż zero.

  12. „Dowodu ******* nie ma w wykazie unieważnionych i zawieszonych dowodów.
    Informacja, że dokument nie został unieważniony lub zawieszony, oznacza, że dowód jest ważny albo nigdy nie został wydany przez polskiego urzędnika”

    I co mi ma niby potwierdzić ta weryfikacja?
    Ch…, d… i kamieni kupa a nie rządowy serwis weryfikujący dokument tożsamości .
    Tam powinni sprawdzać coś więcej i dawać odpowiedź jednoznaczną.
    Czemu nie ma możliwości powiązania danych imię/nazwisko z dokumentem .
    Nawet jeśli numer dokumentu jest ok to nie wiemy czy:
    – dokument jest wystawiony na te a nie inna osobę – a to powinniśmy wiedzieć mając przed sobą dokument kontrachenta etc
    – czy numer nie jest wzięty z sufitu

  13. Brak komentarza Min. Cyfryzacji jest dość oczywisty- nie ma już Min. Cyfryzacji, tak jest łatwiej.

    Wskaźnik 0.19% to nic innego jak niemal 2 osoby na 1 tysiąc obywateli czyli w skali naszego kraju tysiące.

  14. Po namyśle, instytucja uprawniona do potwierdzania tożsamości przy zakładaniu profilu zaufanego, powinna tracić to uprawnienie przy x (do ustalenia) udokumentowanych incydentach potwierdzenia fałszywej tożsamości / podszycia się pod kogoś. I automatycznie wszystkie PZ potwierdzone przez tę instytucję (w okresie do ustalenia) otrzymują status “podejrzany”. Przy uściśleniu źródła (np pojedyncza placówka, serwis internetowy) można zdjąć ten status z profili założonych innymi źródłami.

    Grubo? No ale albo będziemy mogli mieć zaufanie do Profili Zaufanych, albo na ch*** nam one.

  15. Likwidacja MC i wysłanie ministra Zagórskiego do “innych odpowiedzialnych zadań” było najlepszą decyzją Rządu na przestrzeni ostatnich 10 lat.

    Biorąc pod uwagę fenomenanle sukcesy MC w tworzeniu “wymogów bezpieczeństwa cybernetycznego”, wdrażaniu Ipv6 i innych aspektów cyfryzacji, gdyby w ogóle nie było MC, to byłby mniejszy problem niż trzymanie resortu z takimi bałwanami jak Zagórski, Boni czy Czaskowski.

    Obecny problem z PZ i Envelo to też skutek katastrofy MC i również MSW z ich “infoaferą”.
    Wystarczyło w 2013 roku wprowadzić dowody z warstwą elektroniczną (kiedy mieli na to kasę z UE), i przy zakładaniu PZ na poczcie czy w banku weryfikować warstwę elektroniczną dowodu przez internet.
    Komputer znacznie łatwiej nauczyć weryfikacji dowodu przez internet, niż nauczyć panią Kasię i panią Zosię rozpoznawania dowodów “kolekcjonerskich”.

    Kiedy jednak ktoś wprowadza zakładanie PZ ze starymi dowodami, które weryfikować będą w różnych okienkach urzędów, banków i poczty absolwenci gimnazjum, liceum i wyższych szkół gotowania na gazie, to nic innego jak proszenie się o katastrofę.

    Ja rozumiem, że Mati nie zna się na IT, ale niech sobie znajdzie fachowca w dziedzinie ITSec, a nie wdraża technologię, której natury nikt w rządzie nie rozumie.

    Ciekaw jestem, ile lewych PZ zostało założonych przez urzędy, moja koleżanka w jednym urzędzie załatwia takie wnioski, a nie wiem, czy poznała by fałszerstwo, gdybym zaniósł dowód narysowany kredkami ołówkowymi, o drukarce atramentowej nie wspominając w ogóle.
    W bankach też widzę podobnych “intelektualistów”.
    :P

    Pozdro

  16. “Profil Zaufany jest zbyt wrażliwym narzędziem by dawać go komuś zbyt lekką ręką.”
    Dokładnie! Ale w takim razie pojawia się pytanie czy bezpieczniej jest nie mieć Profilu Zaufanego w ogóle i ryzykować, że ktoś kiedyś sobie założy takie konto na nasze dane czy mieć PZ, nawet jeśli się go nie używa, tylko po to, by było ono w naszych rękach – przynajmniej do czasu aż ktoś go nie przejmie. A patrząc na to jakie furtki się pojawiają, które coraz łatwiej to umożliwiają, to aż kłóci się z ideą samego Profilu Zaufanego. Bo skoro faktycznie pozwala się “lekką ręką” nim manipulować…

  17. Następna gwiazda spółek Skarbu Państwa.
    Pytanie, czy odróżnia promile od procentów i w ogóle wie, co to jest profil zaufany.
    Bo doświadczenie zawodowe powala na kolana:

    Sekretarz Rady Fundacji
    Fundacja Pocztowy Dar
    2010–20166 lat
    Dobro zwierząt

    Rada Rodziców SP33 Warszawa
    Członek rady
    Rada Rodziców SP33 Warszawa
    wrz 2013–cze 20184 lata 10 mies.

  18. Witam,

    Po przeczytaniu artykułu postanowiłem zainteresować się moim Profilem Zaufanym i mam następującą obserwację, którą chciałbym się niniejszym podzielić z Niebezpiecznikiem:

    – Mój login do PZ zakładałem via iPKO, dlatego w https://pz.gov.pl “Szczegóły Konta” mam “Zewnętrzny dostawca tożsamości: PKOBP”

    – Mam zarazem ustawione logowanie bezpośrednie do PZ via login/hasło, dlatego mam ustawienie:

    “Dopuszczalne metody logowania:

    * logowanie za pomocą hasła
    oraz
    * logowanie za pomocą zewnętrznego dostawcy tożsamości

    Po przeczytaniu artykułu, postanowiłem wyłączyć tą drugą metodę logowania (odznaczyłem box)

    Następnie wykonałem próbę logowania do PZ via iPKO i – ku mojemu zdziwieniu – nadal mogłem się zalogować via iPKO.
    Następnie wykonałem analogiczny test via mBank i było tak samo.

    Zatem moja obserwacja jest taka, że zmiana ustawienia “logowanie za pomocą zewnętrznego dostawcy tożsamości” w serwisie https://pz.gov.pl jest nieskuteczna i nie da się tej metody wyłączyć.
    Wydaje się , ze jest to błąd w systemie https://pz.gov.pl .

    Pozdrawiam.

  19. Drogi Niebezpieczniku, znam sprawę, bo mi się to niestety przytrafiło. Potrzebuję powiązania mnie z innymi osobami celem pozwu zbiorowego przeciwko PP :)

    • Proszę o kontakt ze mną.Jestem w tej samej sytuacji.

  20. Czytając zdanie:
    ‘Niektórzy przestępcy posługują się przy tym sztucznie wygenerowanym numerem dowodu, choć zdarzały się przypadki użycia numeru nieważnego dokumentu’
    przypomniało mi się jak byłem kiedyś w komisji wyborczej. Podczas pierwszego szkolenia trzeba było podać swoje dane do jakiegoś formularza. Kątem oka zauważyłam jak przewodniczący naszej komisji sprytnie wyciąga dowód i zakrywa kciukiem ucięty róg. Ucięty róg znaczy, że dowód stracił ważność i został wydany nowy. Czy podając numer dowodu z uciętym rogiem jest ok? Czy taki numer jest ważny? Np jak znajdę taki dowód, to czy jego numer przejdzie np przy załatwianiu jakiejś sprawy?

Odpowiadasz na komentarz Serius

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: