8/5/2024
Ofiara phishingu może się domagać zwrotu pieniędzy od banku – to zapewne wiecie. Zwykle ofiary wygrywają przed sądami, ale w kolejnych wyrokach pojawia się jedno ciekawe zastrzeżenie. Ignorowanie treści SMS-ów z kodami autoryzacyjnym może być uznane za zbyt daleko idące niedbalstwo klienta.
Niebezpiecznik wielokrotnie pisał o tym, że w przypadku kradzieży pieniędzy z konta to bank musi oddać pieniądze i powinien to zrobić w ciągu jednego dnia. Przepisy są w tej sprawie bardzo jasne, choć można się zastanawiać czy sprawiedliwe. W każdym razie, banki unikają skutków tych przepisów zwyczajnie ignorując wezwania do zwrotu pieniędzy, informując, że nie zawsze mają pewność, czy roszczenie ze strony klienta nie jest próbą wyłudzenia lub że to klient jest winny kradzieży bo zapewne dopuścił się tzw. rażącego niedbalstwa, co rzeczywiście przerzuca ciężar na klienta. Drugi z argumentów nie jest do końca trafny w świetle prawa, bo nawet w przypadku takiego niedbalstwa klienta bank powinien oddać pieniądze, a dopiero potem pozwać klienta i domagać się zwrotu. Bankom jednak opłaca się czekać i liczyć na to, że klient odpuści.
Jeśli klient pójdzie do sądu to szanse na jego zwycięstwo są duże. Pisaliśmy nie raz o wyrokach stwierdzających, że ofiara phishingu nie może być uznana za rażąco niedbałą. Ofiara kradzieży na zdalny pulpit też ma szansę w sądzie. Są też inne ciekawe wyroki np. wskazujące na to, że banki mogłyby trochę szybciej reagować na infolinii.
Kolejny wyrok w tym temacie zapadł 25 marca 2024 r. w Olsztynie (sygn. akt IX Ca 109/24). Może się wydawać, że jest to wyrok jakich wiele (ofiara phishingu znów wygrała), ale jest w tej sprawie istotny szczegół.
“Logowanie przebiegło prawidłowo”
Pewna kobieta, nazwijmy ją “Panią WS” miała rachunek w pewnym banku. Nie wiadomo o jaki bank chodzi bo wyrok jest zanonimizowany, ale w treści wyroku są wzmianki o “Millekodach” oraz “Millenecie” . Mniejsza o to. Pani WS w lutym 2020 roku padła ofiarą phishingu.
Jak czytamy w dokumencie sądowym…
…kliknęła w reklamę pozwanego Banku. Została przekierowana na stronę łudząco podobną do strony banku, gdzie wymagano podania kodu oraz numeru pesel.
Pani WS twierdziła, że nie wpisywała żadnych danych, ale kolejnego dnia zobaczyła na swoim telefonie tajemniczą “wiadomość po angielsku”. Potem skontaktował się z nią pracownik banku i poinformował ją, że z jej rachunku została wybrana kwota 920 złotych. Powódka tego samego dnia udała się do banku. Okazało się, że na jej rachunku dokonano trzech transakcji, co spowodowało wyprowadzenie kwoty 1234,19 euro. Kobieta złożyła reklamację i zawiadomiła policję. Musiała być świadoma tego, że prawo jest po jej stronie. Wniosła sprawę do sądu żądając wypłaty kwoty 6 tys. zł. odsetek (od 7 lutego 2020 roku do dnia zapłaty) oraz 1817 złotych tytułem kosztów postępowania i zastępstwa procesowego (wraz z odsetkami ustawowymi za opóźnienie).
Sprawa trafiła najpierw do Sądu Rejonowego w Mrągowie. Bank zachował się standardowo. Podnosił przed sądem, że powódka jest sama sobie winna. Kwestionował też to, czy do transakcji rzeczywiście doszło wbrew jej woli czy wiedzy(!). Bank ustalił, że “logowanie do systemu Millnet przebiegło prawidłowo”, a potem ktoś zalogował się na konto, zmienił limity na rachunku i dodał zaufanego odbiorcę. Czynności te trzeba było potwierdzać hasłami jednorazowymi wysyłanymi w wiadomości SMS. Skoro tak to – zdaniem banku – nie doszło do przełamania zabezpieczeń i tylko powódka mogła coś popsuć.
“Rosyjska” ciekawostka
W trakcie procesu ustalono, że sprawcy przestępstwa zalogowali się na konto i aktywowali aplikację mobilną Banku. Zmienili limit na rachunku i dodali zaufanego odbiorcę. Następnie zlecili przelewy na kwotę 920 złotych oraz przelewy z konta walutowego na kwoty 728,85 euro, 211,37 euro oraz 293,97 euro na konto zaufanego odbiorcy (na tym etapie już nikt nie wymagał kodów SMS). Dodatkowo zostały zrealizowane przelewy wewnętrzne z Konta Oszczędnościowego EUR na konto bieżące EUR na kwoty 300 euro i 50 euro. Ciekawostka: transakcje były wykonywane z adresów IP wskazujących na Rosję. Biegły wskazał na przeoczenie tej “anomalii” przez bank, choć oczywiście nie należy tego traktować w kategorii przełamania zabezpieczeń.
Rażące niedbalstwo trzeba udowodnić
Przed Sądem w Mrągowie bank przegrał (wyrok z dnia 29 listopada 2023). Zdaniem Sądu I instancji nie można było kobiecie przypisać “rażącego niedbalstwa” bo była ona ofiarą manipulacji. Wyrok był – powiedzmy – zgodny z linią orzecznictwa jaką od dawna obserwujemy. Ale to nie był koniec sprawy.
Bank złożył apelację i próbował w sądzie II instancji przekonywać, że to jednak było rażące niedbalstwo. Trochę nawet na tym ugrał ponieważ Sąd Okręgowy doszedł do wniosku, że odsetki za zwłokę w wypłacie nie należą się od 7 lutego 2020 r., ale dopiero od 8 lutego. Poza tym Sąd Okręgowy w pełni zgodził się z Rejonowym. Pani WS nie była rażąca niedbała i bank powinien zwrócić pieniądze.
Nieczytanie SMS-ów może być rażącym niedbalstwem
Wydaje się, że sąd po raz kolejny potwierdził, iż ofiara phishingu nie może być winna rażącego niedbalstwa. Jednak to nie do końca prawda. Sąd z Olsztyna w istocie stwierdził, że przypisanie rażącego niedbalstwa ofierze phishingu jest możliwe, nawet jeśli nie było tak w tej sprawie.
Oto ciekawy fragment uzasadnienia.
W orzecznictwie przyjmuje się, że samo podanie danych umożliwiających zalogowanie do bankowości elektronicznej, w sytuacji gdy dla autoryzacji (potwierdzenia) czynności potrzebne jest jeszcze podanie kodów autoryzacyjnych przesłanych w treści wiadomości SMS, nie stanowi jeszcze przejawu rażącego niedbalstwa. Dopiero udostępnienie danych logowania oraz kodów autoryzacyjnych może być poczytywane jako przejaw rażącego niedbalstwa, szczególnie wówczas gdy z treści wiadomości sms wynika, że kod służy autoryzacji czynności, której uprawniony użytkownik nie zamierza autoryzować, innymi słowy nie zamierza jej przeprowadzić
(…)
Pozwany nie udowodnił, że to powódka udostępniła osobom trzecim zarówno dane do logowania do bankowości internetowej jak i kody autoryzujące sporne czynności, a tylko łączne udostępnienie ww. danych można by potraktować w kategorii rażącego niedbalstwa. Wobec powyższego pozwany nie udowodnił, że to płatnik (powódka) ponosi w niniejszej sprawie odpowiedzialność za nieautoryzowane transakcje płatnicze.
Tu jest pogrzebany pies, o którym często zapominamy. W podobnych sporach sądowych to na banku spoczywa obowiązek udowodnienia, że osoba okradziona była “rażąco niedbała”. Banki często w ogóle nie próbowały tego udowadniać, albo uważając transakcję za autoryzowaną (duży błąd, bo “uwierzytelniona” nie znaczy “autoryzowana”) albo przekonując, że skoro doszło do kradzieży bez przełamania zabezpieczeń technicznych to ofiara musiała być rażąco niedbała (też błąd). W tym przypadku Sąd wyraźnie dał do zrozumienia, że zachowanie Pani WS mogło być w pewnych warunkach uznane za rażąco niedbałe, ale jednak bank nie udowodnił przekazania wszystkich kodów autoryzacyjnych.
Sędziowie przypominają! Warto czytać SMS-y z banku!
Czytaj te SMS-y!!!
Stwierdzenie, że przekazanie “wszystkich kodów” może być rażącym niedbalstwem padło już wcześniej w wyroku Sądu Najwyższego z 15 września 2023 r. (sygn. akt II CSKP 1013/22). Akurat tamta sprawa wróciła do Sądu Apelacyjnego i jest w niej wiele innych ciekawych wątków, ale możemy powiedzieć jedno. Argument popełnienia “rażącego niedbalstwa” przez ignorowanie treści SMS-ów był przed sądami podnoszony i będzie dostrzegany przez różnych sędziów skoro zajmował się tym nawet Sąd Najwyższy. Owszem, można teraz zacząć dyskutować o treści SMS-ów bo przecież komunikat zaczynający się od słów “Modyfikacja bazy odbiorców…” może oznaczać niemal wszystko, ale to już inny temat.
Ważny wniosek z tego wyroku jest taki: czytaj SMSy z banku!!! Nie chcesz pewnego dnia być uznany za kogoś, kto jednak był rażąco niedbały. Warto też rozważyć używanie aplikacji banku do autoryzowania transakcji, a jeszcze lepiej będzie używać klucza U2F, bo ten na ataki phishingowe nie jest podatny. Niestety, klucze U2F to nie jest jeszcze ani standard ani tym bardziej wymóg w polskich bankach, choć coraz więcej banków zaczyna wspierać to pożyteczne rozwiązanie. Pytanie czy wszystkie wymagają użycia klucza na ścieżce aktywacji nowej aplikacji mobilnej…
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te krótkie szkolenia! Niektóre z nich są darmowe. Wszystkie to praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy.
Coś mi mówi, że to był bank “Tyssiąclecie” , ale mogę się mylić ;)
211,37 euro I see what you did there
Ile banków korzysta w Polsce z klucza U2F?
Jeden. ING
wiecej, bo jest wiele spoldzielczych. Wiele, bo jadą na tym samym sofcie.
Ale wdrożył go tak że używanie nie ma sensu. Zamiast wymagać go do AKTYWACJI nowej apki mobilnej wymaga do każdego zalogowania w mobilce – absurd.
Z uwagi na firmę, w której pracowałem, miałem do czynienia z wieloma bankami. I wiele z nich korzystało z klucza sprzętowego lub podpisu uwierzytelnionego do autoryzacji logowania przy kontach firmowych. Niestety część z tych banków miała to zrobione beznadziejnie, tak, że praktycznie nie sposób było to skonfigurować (nawet ich pomoc techniczna się poddawała), bo np. była wymagana Java Oracle albo IE albo była jakaś apka do uwierzytelnienia, która wymagała uprawnień użytkownika do uruchamiania pobranych z sieci aplikacji albo uprawnień do instalacji itp.
Wie ktoś jak to jest w przypadku przekrętów “na policjanta”? (“policjant” dzwoni i mówi że trzeba wpłacić kasę za człona rodziny bo inaczej ten pójdzie do więzienia). W takiej sytuacji ofiara sama przelewa pieniądze na konto oszusta, nie dochodzi do nieautoryzowanego dostępu do konta. Da się wtedy coś ugrać z bankiem?
Nie. Osoba wypłacająca (a raczej właścicielka konta) ma prawo dysponować swoimi pieniędzmi jak chce. To, że ktoś ją do tego namówił to inna sprawa. Dlatego pilnujcie swoich starszych rodziców/ dziadków, bo z wiekiem człowiek jest bardziej ufny i daje się łatwo manipulować.
Najsmutniejsze w tej historii jest to, że banki mimo OBOWIĄZKOWI zwrotu idzie w zaparte i klient musi 4 lata walczyć (ponosząc koszty opłat sądowych oraz kosztów pełnomocnika) i to w momencie, gdy został “spłukany”.
Tym bardziej wina, czy może rażące niedbalstwo jest zwykle po stronie banku właśnie (brak wsparcia przy logowaniu/dodaniu aplikacji na nowym urządzeniu dla kluczy fido/ podpisu kwalifikowanego/podpisu z eDowodu/podpisu mObywatelem etc oraz nie wyłapanie rosyjskiego IP i dziwnych akcji na koncie (zmiana odbiorców, nowa aplikacja w krótkim czasie).
Sami sobie odpowiedzcie, czy bank – który ma obowiązek autoryzować transakcje “widzi” dodanie nowych obiorców, dodanie nowej aplikacji mobilnej, zerowanie kont, a wszystko to z rosyjskiego IP – nie jest rażąco niedbały?
Zacznę od końca. Czy sugerujesz, że transakcje wykonywane z adresem IP Rosji powinny być wszystkie zablokowane? Ponieważ dodanie nowych obiorców, dodanie nowej aplikacji mobilnej, zerowanie kont to nie są wyjątkowe operacje. Pracuję w banku i wiem, że klienci normalnie takie operacje robią na co dzień jest ich tysiące dziennie tego typu. Dalej jeśli ktoś zadzwoni do Ciebie i powie, że jest z policji i masz mu wysłać wszystkie pieniądze bo są zagrożone i to zrobisz to czy bank też musi Tobie oddawać pieniądze? Tak samo jeśli dokładnie informujesz klienta na czym polega bankowość internetowa i żeby pod żadnym pozorem nie podawał hasła, identyfikatora ani SMSów a klient mimo to wszystko przekaże jak leci to bank też ma oddawać te pieniądze? Z tego wynika, że powinno wejść prawo, które wymaga przejścia testów psychologicznych dla właścicieli kont ponieważ klienci są bardzo naiwni i nieostrożni a płacić ma za to bank bo ma pieniądze tak?
Hmmm ciekawe jak w ING można przeczytać SMS autoryzacyjne. Bardzo chciałbym móc to zrobić, niestety ING ma “super nowoczesny algorytm” który decyduje kiedy operacje potwierdzić a kiedy nie.
Niestety problem dotyczy nawet przelewów wysokokwotowych (okolicie 100 000 zł) na kilka wysłanych takich przelewów tylko jeden wymagał przepisania kodu z SMS. ING działa bardzo dziwnie bo nie ważne czy wysyłamy przelew do zapisanego odbiorcy czy na całkowicie obcy numer rachunku to często nie wymaga ZADNEJ autoryzacji!!!.
Wysyłacie przelew i wyskakuje komunikat “ta operacja NIE WYMAGA potwierdzenia”. Przy czym później robisz jakąś pierdołę typu BLIK na 10 groszy i nagle poza PIN do aplikacji dodatkowo każą przepisać kod z SMS!!!
Jeszcze pół biedy jak mamy ustawiony klucz U2F bo przynajmniej logowanie trzeba potwierdzić kluczem. Ale w przypadku autoryzacji logowania przez aplikacje w momencie jak dodamy przeglądarkę do zaufanych to każdy użytkownik komputera znając hasło może wysłać przelew…
W każdym innym banku nawet jak się nie wyloguje i w ciągu 5 min jakiś domownik spróbowałby wysłać przelew to nic nie zrobi bo każdy przelew wymaga potwierdzenia (zakładając brak odbiorców zaufanych).
W ING jest inaczej, tam wyślesz przelew bez potwierdzenia. Testowałem ze znajomymi na kilku kontach i jedyne co w ING chroni to ustawienia niskiego limitu. Bo do zwiększenia limitów przelewów za każdym razem trzeba przepisać kod SMS.
Ja już wycofałem wszystkie środki z ING, niby wprowadzili U2F do logowania ale za to autoryzacja operacji u nich leży totalnie. Nie ma żadnej możliwości zmienić autoryzacji na aplikacje mobilną tylko ich algorytm wybiera czy to ma być potwierdzone w aplikacji / przez sms / brak autoryzacji. 0 kontroli nad tym.
Nie znam żadnego innego banku z takim podejściem.
@Niebezpiecznik w artykule pisze żeby czytać SMS, ale co zrobić jak ING wysyła przelew na konto nie zapisane jako odbiorca bez autoryzacji w aplikacji i bez autoryzacji przez SMS ?
A ING na skłądane reklamacje odpisuje, że to algorytm decyduje czy operacje potwierdzić czy nie.
W każdym innym banku mozna potwierdzić kwotę i numer konta w aplikacji mobilnej banku / w SMS wysłanym przez bank. A w ING jak algorytm uzna, że nie trzeba potwierdzać to nic się nie da zweryfikować bo przelew po prostu wyjdzie :(
Inna sprawa dlaczego tylko Velobank oferuję możliwość ograniczenia krajów z których można się logować ? Jak nie wyjeżdżam za granicę to mam ustawione tylko PL i w sytuacji opisanej w artykule nikt z Rosji by się nie zalogował za pomocą tego adresu IP. Oczywiście VPN itd i blokada zostałaby ominięta, ale w artykule jest info o IP z Rosji
Jeśli bank nie wymaga potwierdzenia operacji, to łatwiej będzie Ci w sądzie się z niej wybronić. Ale dopiero w sądzie.
No wiesz udostępnianie innej osobie danych do logowania do komputera innej osobie, to również rażące niedbalstwo.
Sam nie korzystam z ING, ale znam kogoś kto używa i też mnie ich polityka bardzo zdziwiła. Płatność zbliżeniowa (chyba BLIKiem) na 3 zł i uwierzytelnienie hasłem z SMSa (nie poprzez podanie pinu w aplikacji banku, tylko właśnie kodem z SMS). Za innym razem przelew na 1000 zł nie wymaga autoryzacji dodatkowej.
W PKO jest tak, że każdy przelew potwierdzasz w aplikacji, albo kodem z SMSa, nie dotyczy to tylko odbiorców zaufanych w których zaznaczyłeś, że przelew nie będzie wymagał potwierdzenia. Ale nawet przy odbiorcy zdefiniowanym możesz dalej ustawić tak, że będzie trzeba wszystko potwierdzać. Więc oni są na drugim biegunie i tak to user ma większą kontrolę nad tym.
@Bartek oczywiście w idealnym świecie każdy użytkownik komputera ma swoje konto, zresztą nawet nie trzeba udostępniać danych do logowania do PC, wystarczy zostawić odblokowany na chwilę PC i ktoś z domowników może zrobić przelew.
Prosta sytuacja używasz menedżera haseł, korzystasz z komputera, dodajesz przeglądarkę do zaufanych w ING (bo to w końcu Twój komputer…), odblokowujesz menedżer haseł bo z niego cały czas korzystasz następnie wydarza cię cokolwiek chociażby dzwonek do drzwi, odchodzisz od PC, zapomnisz go zablokować to w każdym banku z wyjątkiem ING inny domownik nic nie zrobi bo aby wysłać przelew trzeba go autoryzować, więc dalej nic nie zrobi. W przypadku ING zaloguje się bo login i hasło ma w menedżerze haseł który został wcześniej odblokowany, potwierdzać logowania nie musi bo to zaufana przeglądarka, a i przelewu potwierdzić nie musi bo ultra, świetny, mega, super, extra algorytm ING uznał po raz kolejny, że przelewu nie trzeba niczym autoryzować.
Po wszystkim na telefon zostajesz push, że masz zmniejszony stan konta.
I oczywiście komputer powinno się blokować, menedżer haseł tym bardziej, jakieś limity czasowe ustawić na automatyczne blokowanie itd
Tylko dlaczego ING jest jedynym bankiem z którego korzystałem (a konta miałem we wszystkich z wyjątkiem spółdzielczych) w którym w takim scenariuszu domownik bez naszej zgody wyśle przelew ?
W innym banku tylko pod warunkiem dodania odbiorcy do zaufanych będzie mógł wysłać przelew. Ale to zupełnie inna sprawa.
W ING przelew bez autoryzacji idzie wysłać w dowolne miejsce.
Założyłem konto w ING tylko dla kluczy U2F, bo zależało mi na bezpiecznym banku. Niestety wdrożenie U2F całkowicie zepsuli, a autoryzacja operacji w ING to DNO.
Na szczęście mój rachunek w ING jest już w okresie wypowiedzenia. A konto wyczyszczone (na szczęście przeze mnie … ale widząc jak świetnie działają ich systemy to była duża szansa że zrobi to ktoś inny)
Od zawsze wszędzie się mówi “czytaj co autoryzujesz”, gorzej jak takie ING nie wyśle ani sms ani push tylko wyświetli komunikat ta operacja nie wymaga dodatkowej autoryzacji.
Najlepsze, żeby zamknąć puste konto musiałem operacje autoryzować kodem SMS, ale żeby wyczyścić konto z pieniędzy wysyłając przelewy nawet w okolicach 100 000 zł nie musiałem nic autoryzować.
Inna sprawa ING jest chyba jedynym bankiem który narzuca limity. W innych bankach jest pole i wpisuje się limit jaki nas interesuje (z ograniczeniem max kwoty), a w ING jest kilka opcji do wyboru i samemu nie da się tego skonfigurować. Totalnie bez sensu bo przez większość czasu musiałby mieć ustawioną opcję limit “do wysokości salda” co nie jest zbyt bezpieczne :(
Mi kilka lat temu wyprowadzili kasą przez kartę kredytową, gdy jeszcze nie było kodów autoryzujących. Na policji powiedzieli mi, że generowali losowo numery aż trafili. Trochę dziwne to było. Na szczęście kupowali coś przez PayPal, który bez problemu zwrócił pieniądze. Nie mam pojęcia czy PayPal coś na tym stracił, ale środki zwrócił po 2 dniach.
Ten tajemniczy bank od millnetu to powinien zacząć od wprowadzenia haseł. Trochę słabo jak klient chce ustawić swoje zaplanowane hasło, a system pozwala mu użyć tylko cyferek z niego… i to jeszcze nie wszystkich. Wymuszanie na klientach by używali 8 cyfrowych haseł jest trochę jak gwałt na poczuciu cyberbezpieczeństwa.
Takie hasła są bezpieczne, bo logowanie jest dodatkowo zabezpieczone numerem PESEL xD
Z jednej strony nasz rację robienie takich limitów to kpina, z drugiej pewnie po kilku nieudanych próbach zablokuje konto, więc brute-force odpada. Nie chyba, że user używa hasła takiego samego wszędzie, ale to już jego wina w tym momencie.
Ja sam sobie na samym początku konto w PKO zablokowałem bo użyłem niedozwolonego znaku (chyba spacji pomiędzy znakami) przy ustawianiu hasła i stronka zamiast wyświetlić błąd to po prostu wycięła ten znak. Potem 3 razy użyłem poprawnego hasła z tym wyciętym znakiem i musiałem iść z dowodem do banku, żeby mi odblokowali. ;-)
Bank ma udowodnić, że klient przekazał login, hasło i kod z SMSa. Czyli co, przedstawiciel banku ma chodzić 24h na dobę za klientem i pilnować co ten komu przekazuje?
Niech sądy dalej tak orzekają to się okaże, że poza placówką banku, będzie można cokolwiek zrobić tylko za pomocą aplikacji mającej uprawnienia do wszystkiego i potwierdzając wszystko do kamery i mikrofonu :(
Tak, Bank ma udowodnić rażące niedbalstwo, a nie klient, że nie jest wielbłądem. Wytłumaczył bym ci dlaczego tak ma być, ale obawiam się po Twoim komentarzu, że nie zrozumiesz. Wybacz bezpośredniość, albo i nie…
Prawdę mówiąc to te przepisy są niesprawiedliwe i premiują ignorancję I niedbalstwo, więc osobiście nie dziwię się, że banki niechętnie je wykonują. Takie prawo po prostu zrzuca na nich wysiłek i koszty dbania o bezpieczeństwo i jednocześnie zrzuca na nich odpowiedzialność za każdy incydent nawet jeśli nie był on z ich winy, albo wręcz oni podjęli kroki aby przeciwdziałać danemu zagrożeniu, a to użytkownik miał to gdzieś i zignorował środki bezpieczeństwa. W takiej sytuacji obwinianie banku jest wręcz niemoralne, bo po pierwsze dlaczego wszyscy klienci mają ponosić koszty cudzego niedbalstwa, a po drugie to wręcz uczy ludzi, że mogą mieć to wszystko gdzieś, bo to nie oni poniosą odpowiedzialność.
I nie wyrafinowany phishing, czy infekcja urządzenia nie są jeszcze niedbalstwem same w sobie, o ile użytkownik stosował podstawowe środki bezpieczeństwa.
Banki co do zasady mają certyfikaty EV, więc nie musisz się zastanawiać, czy jesteś na prawdziwej stronie, bo jeśli jesteś, to będziesz miał jak byk napisane że certyfikat wystawiony dla banku x. Proste do nauczenia, zajmuje 5s do sprawdzenia.
Banki w większości przypadków podpisują e-maile. Niestety dalej zdarza się, że bardziej wyspecjalizowane części banku np. biura maklerskie, bądź indywidualni konsultanci tego nie robią, ale to pewnie też wynik tego, że podpisy sprawdza setna część promila użytkowników. Zresztą zwykle nie piszą bezpośrednio konsultanci, tylko email idzie z głównego adresu banku i jest podpisany. Weryfikacja podpisu w mejlu jest nieznacznie trudniejsza, bo trzeba mieć albo klienta poczty (Thunderbird, Outlook) oficjalny klient Gmaila na Androida też wspiera, albo porządnego webmaila (Gmail, Outlook). Do nauczenia w mniej niż godzinę. I prosta zasada mejl z banku niepodpisany z automatu traktowany jako phishing.
Nie robisz tego? Nie czytasz co uwierzytelniasz? Siedzisz dalej na dziurawym Win XP/7? To masz problem i wrazie włamu to będzie twoja wina a nie banku, jego klientów, ai, informatyków i całego świata. I tak powinno być.
Prawo powinno premiować włożony wysiłek, a nie ignorancję, spychologię i myślenie że ja mam to w dupie, od tego są informatycy. A tak za każdym razem jak powiesz komuś, że robi źle, że na wszędzie jedno hasło i powinien używać menadżera haseł, że może uwierzytelnienie dwuskładnikowe. I słyszysz śmiech, że po co, że to by trzeba było usiąść na godzinkę i coś zrobić, a mnie się nie chce, że jak się włamią, to są informatycy i ejaj od tego, że i tak się nic nie stanie i po co się nartwić. I z punktu widzenia naszego prawa to oni, a nie my mają rację.
Szkoda, że nie wszystkie wiadomości i nie wszystkie banki stosują podpisywanie @.
Nawet banki takie jak Santander wysyłają @ z nieprawidłowym podpisem.
Co do certyfikatów EV niestety antywirusy często podmieniają certyfikat na swój, więc jak się nie doda strony banków do wyjątków to nie da się tego w prosty sposób w przeglądarce sprawdzić.
Wymuszanie przez państwo płatności elektronicznych i coraz niższe limity płatności gotówkowych oraz rejestracja kart sim miały ograniczyć przestępczość i pranie brudnych pieniędzy. Tymczasem jak widać przestępcy radzą sobie doskonale, zaś przeciętny obywatel traci wolność i jeszcze się z tego cieszy vide Uśmiechnięta Polska.
Warto czytać wszystko, tylko codziennie jestem tym tak zalewany, że musiałbym kogoś do tego zatrudnić, żeby nie zaniedbywać własnych obowiązków. A jeszcze pisane to jest tak, że nie wystarczy rzucić okiem a trzeba to przeanalizować na spokojnie.