BZWBK wyrówna straty finansowe klientów

Przeczytaj także: Uwaga na fałszywe maile z BZWBK

W świąteczny poniedziałek 24 marca 2008 r. na skrzynki mailowe tysięcy internautów z Polski trafiły fałszywe wiadomości z linkiem do formularza, na którym, pod pozorem aktywacji konta, proszono o podanie numerów kart płatniczych, dat ich ważności i numerów PIN, czyli danych, o podanie których bank nigdy klientów nie prosi. Wiadomości były wysyłane przez kilka następnych dni. Był to klasyczny przypadek phishingu, czyli przestępstwa internetowego polegającego na wyłudzaniu danych, dzięki którymi można uzyskać dostęp do pieniędzy innych osób.

Bank Zachodni WBK powiadomił o tym fakcie policję i wspólnie z nią rozpoczął akcję blokowania serwerów służących oszustom do ściągania danych. Łącznie w ramach akcji zablokowano około 20 serwerów, których większość zlokalizowana była zagranicą, nawet w tak odległych krajach, jak Brazylia i Kolumbia, czy w takich miejscach jak Falklandy. Serwery w tych państwach zablokowano jako pierwsze. Oszuści włamywali się na nie w godzinach nocnych czasu lokalnego, próbując tym samym utrudnić polskim specjalistom nawiązanie kontaktu z ich administratorami. Jak pokazują efekty kilkudniowej akcji – prawie bezskutecznie. Mimo wysłania łącznie kilkudziesięciu tysięcy maili, których adresatami byli nie tylko klienci BZWBK, udało im się uzyskać dane zaledwie 180 kart. Tyle bowiem osób wypełniło fałszywe formularze. „Zyski” oszustów są jeszcze bardziej mizerne – dane tylko 20 kart posłużyły im do wypłacenia pieniędzy. Łączne straty posiadaczy kart BZWBK wyniosły około 14,5 tys. złotych. We wszystkich pozostałych przypadkach bank w porę dokonał blokad. Co ciekawe, skradzione dane zostały wykorzystane do przeprowadzania transakcji w Rumunii, Bułgarii i USA.

Zarząd Banku Zachodniego WBK podjął decyzję o wyrównaniu strat wszystkim osobom, które przekazały dane i poniosły z tego powodu straty finansowe. To wyjątkowa decyzja, gdyż w tej sytuacji bank nie ma obowiązku zwracania poszkodowanym pieniędzy. Zgodnie z zapisami ustawy o elektronicznych instrumentach płatniczych nie wolno bowiem przekazywać osobom postronnym tak wrażliwych danych, jak numery PIN. BZWBK wziął jednak pod uwagę wyjątkowe okoliczności, w jakich wyłudzono dane oraz trudną sytuację, w jakiej znaleźli się niektórzy z poszkodowanych. W siedmiu przypadkach oszuści wypłacili bowiem przy pomocy danych niemal wszystkie środki znajdujące się na kontach, do których wydano karty.

Wszystkie osoby, które przekazały dane oszustom otrzymają od BZWBK bezpłatnie nowe karty. Dodatkowo bank wyśle im specjalne powiadomienie o zasadach bezpieczeństwa przy korzystaniu z internetu. Podobne komunikaty już od kilku lat umieszczane są na witrynie banku, stronach bankowości elektronicznej oraz w korespondencji wysyłanej do klientów.

Część danych kart, z których nie udało się skorzystać przestępcom zablokowano jeszcze przed ich zastrzeżeniem przez właścicieli.