Polska rajem dla złodziei internetowych

steal-theft-identity-phishing-ss-1920

BEC to skrót od angielskiego terminu Business E-mail Compromise, pod którym kryją się przestępstwa polegające na przechwytywaniu pieniędzy z dokonywanych drogą internetową transakcji. Aby do tego mogło dojść, przestępcy muszą wcześniej włamać się do konta mailowego osoby, która przelewa pieniądze w ramach zawartej transakcji i niemal równolegle założyć w jakimś banku konto, na które skierują z tej transakcji pieniądze. Konto zakłada się na tak zwanego „słupa”, czyli osobę, której jedyny majątek stanowi zazwyczaj ubranie, które ma na sobie. W razie wpadki pieniądze z przestępczego procederu są nie do odzyskania, ponieważ nie ma ich już na koncie „słupa”, a konta przestępców, na które zostały przelane z konta „słupa”, pozostają zazwyczaj nieznane.

Zadanie włamania się do konta mailowego wykonuje dobrze opłacony haker, z założeniem konta też nie ma większego problemu, jeśli się wie, w jakim kraju banki załatwiają takie sprawy chętnie i bez zadawania zbędnych pytań. W polskich bankach zbędnych pytań się nie zadaje, toteż zajmujący się tym procederem przestępcy bardzo chętnie zakładają konta właśnie w bankach działających w Polsce. Polskie banki, które, jak mówi zajmujący się tego typu przestępczością wysoki oficer policji, w udostępnianiu danych dotyczących posiadaczy kont są „bardziej papieskie niż sam papież” i jakąkolwiek informację ciężko od nich wydobyć. Przestępcy doskonale o tym wiedzą, ponieważ do każdego skoku perfekcyjnie się przygotowują, korzystając między innymi z informacji fachowych doradców. Brytyjska policja twierdzi, że wiedza ta jest wśród środowisk przestępczych powszechna i według danych tejże policji, w ostatnich latach przestępcy założyli w polskich bankach kilkaset kont. Co interesujące, większość specjalizujących się w tego typu przestępstwach stanowią Nigeryjczycy mieszkający w Wielkiej Brytanii. Sam zaś „skok” wygląda następująco:

Któregoś dnia na lotnisku na przykład w Warszawie ląduje samolot z Londynu. Wysiadają z niego dwaj panowie. Obaj elegancko ubrani, przy po jednym widać, że owa elegancja sprawia mu wyraźny kłopot. To specjalnie na tę okazję wymyty, ufryzowany i odziany menel z jakiejś podrzędnej londyńskiej dzielnicy, któremu powiedziano, że za przelot do polskiej stolicy, dwudniowy tamże pobyt, założenie konta w banku dostanie kilkaset funtów. Pod warunkiem oczywiście, że musi mieć paszport.

Panowie poszli do kilku banków, w których założyli konta. Ani jeden, ani drugi nie mówili po polsku, ale pracownikom banku, którzy są wynagradzani za „sprzedaż” (założenie konta i co oczywiste pojawienie się na nim pieniędzy jest „sprzedażą”) to nie przeszkadzało. Podobnie jak nie przeszkadzało i to, że „słup” miał tylko jeden dokument tożsamości i że założył puste konto, ale natychmiast zlecił podwyższenie limitu wypłat z tego pustego konta do 500 tys. zł, a w ciągu następnych godzin do kilku milionów złotych.

Mniej więcej w tym samym czasie emerytowany irlandzki finansista przygotowywał się do kupna kilku apartamentów w Dubaju, za które miał zapłacić w przeliczeniu na złote kilka milionów. Gdy transakcja była już dopięta otrzymał maila od zajmującego się sprawą swojego prawnika, że pieniądze trzeba przelać nie na konto jednego z banków mających siedzibę w Dubaju, a na konto innego banku w Warszawie. Nie spodobało się to Irlandczykowi i natychmiast wysłał maila z zapytaniem, co spowodowało zmianę. Otrzymał uspokajającą odpowiedź, że taka jest decyzja dewelopera, który od pewnego czasy wszystkie swoje transakcje realizuje przez bank w polskiej stolicy. Nie mógł oczywiście wiedzieć, że maila z dyspozycją przekierowania przelewu na konto w polskim banku wysłali mu oszuści, którzy włamali się do jego internetowego konta. Irlandczyk przelał pieniądze na konto w polskim banku, nie mając oczywiście pojęcia, że jest to konto założone przez „słupa”. Z konta warszawskiego banku pieniądze zostały szybko przelane do jednego z banków w Chinach.

Gdy po kilkunastu godzinach przekręt wyszedł na jaw chiński bank poradził Irlandczykowi, by zgłosił sprawę policji i odmówił zwrotu pieniędzy, argumentując, że adresat przelewów (czyli oszuści) nie wyraża na to zgody. Odesłany z kwitkiem z Chin Irlandczyk złożył pozew przeciwko polskiemu bankowi domagając się zwrotu wyłudzonych pieniędzy wraz z odsetkami, ale bank odrzucił roszczenie, argumentując, że dotrzymał procedur przy weryfikacji rachunku, z którego i na które miał przelać pieniądze.

To oczywista nieprawda, ponieważ bank zweryfikował rachunek jedynie na podstawie numeru konta, ale za tarczę ochronną służą mu unijne dyrektywy z lat 2006 i 2007 (a więc jeszcze z okresu poprzedzającego dynamiczny rozwój bankowości internetowej), które formułują, że do identyfikacji odbiorcy przelewu wystarczy jedynie numer jego konta. Ta dyrektywa ma ulec w najbliższym czasie zmianie. Brytyjska policja po wnikliwym śledztwie dotarła do prawdopodobnych sprawców tego jednego oszustwa, mimo że spotykała się z dużą niechęcią współpracy ze strony polskiego banku, a także prokuratury. Ale w tysiącach podobnych spraw przestępcy stają się nieuchwytni.

BEC to w tej chwili numer jeden na świecie spośród przestępstw internetowych. Specjaliści z amerykańskiej FBI twierdzą, że w roku 2016 przestępcy skradli w ten sposób ok. 5 mld dolarów, a szacunki dotyczące roku ubiegłego oscylują już wokół 9 mln dol.

Aby postawić tym przestępstwom tamę albo przynajmniej próbować ją postawić, trzeba w policjach wielu krajów utworzyć wydziały wyspecjalizowanych funkcjonariuszy, nade wszystkie zmusić do błyskawicznej reakcji banki i służby śledcze krajów, które stanowią bazą dla tego typu oszustw. Brytyjska policja, która w walce z tego typu przestępczością odnosi już sukcesy uważa, że ze strony polskich banków i organów ścigania zbyt wielkich chęci takiej współpracy nie ma.

Marek Kober