Je zúfalý – z banky mu zmizlo 89-tisíc, nechcú mu ich vrátiť
Internetbanking je pohodlný, ale môže byť aj zradný. Zistil to aj Anton Mihálik, ktorému vybielili účet. Peniaze mu banka odmieta vrátiť, transakcie z jej pohľadu prebehli bežným spôsobom. Polícia vie, kto peniaze vyberal.
Vyše stotisíc eur zmizlo dvom Slovákom z účtov cez internetbanking. Len počas prípravy článku oznámili expertovi na počítačovú kriminalitu to isté dvaja klienti v Česku – 600-tisíc korún. S najväčšou pravdepodobnosťou išlo o cielené útoky cez infikované prostredie klientov.
Banky tvrdia, že transakcie boli v poriadku, a naznačujú, že chyba nie je na ich strane. Peniaze nevyplatili.
Prípad prvý
Predstavte si, že vám z bankového účtu ukradnú celoživotné rodinné úspory, staráte sa o chorú matku a nemáte zrazu ani na život. Vaša banka vám naznačuje, že ste si to zapríčinili sami, a namiesto náhrady vám odporučí políciu alebo súd.
Nemáte ani euro na právnikov, navyše po dvoch rokoch zistíte, že naše súdy o pobočkách zahraničných bánk nerozhodujú a musíte sa súdiť v inom štáte, čo znamená ďalšie náklady. To nie je situácia pre slabšie povahy.
Živnostník, takmer päťdesiatnik, Anton Mihálik z Voznice pri Žarnovici žil bežným životom v malej dedine. Staral sa o chorú matku, niečo zdedil, niečo zarobil, niečo usporil. Platil dane, účty, žiadny milionár.
Životné úspory si uložil na účet do Unicredit Bank a spokojne spával. Koniec augusta pred dva a pol roka mu zmenil život. Presne si pamätá, kedy sa dozvedel, že na účte nemá ani euro, lebo niekto mu ho „vybielil“. Prišiel o vyše 89-tisíc eur a súdiť sa bude v zahraničí, pretože si uložil peniaze do pobočky zahraničnej banky.
Prípad druhý
Stanislav Gajdoš žije s ťažko chorou, viac ako sedemdesiatročnou mamou v Košiciach a stará sa o ňu. Na začiatku septembra uplynulého roku predali byt a peniaze si uložili na matkin účet v ČSOB. O približne tri mesiace zistili, že takmer 20-tisíc eur nemajú. Niekto im ich vybral cez internetbanking. Prípad vyšetruje polícia. Banka nedávno zrušila Gajdošovcom účet pre dlh za jeho vedenie.
Československá obchodná banka tvrdí, že prevod preverili a zistili, že transakcia prebehla riadne a korektne. Autorizačný a autentifikačný proces ani prevedenie platby podľa hovorkyne Zuzany Eliášovej nejavili známky podvodu.
Oba prípady majú veľa spoločného. Mihálik aj Gajdoš tvrdia, že identifikačné údaje nikomu nedali a nosia ich v hlave. Obom ukradli peniaze cez internetbanking bez ich vedomia, ani jednému neprišla SMS správa o výbere. Banky klientom peniaze nevyplatili. Argumentujú, že transakcie boli úplne v poriadku, a klientom navrhli totožné riešenia. Polícia alebo súdy. Obe možnosti sú na roky s otáznym výsledkom.
Vybielený účet
Chudý, bledý chlap sedí v reštaurácii v Žarnovici a listuje v kope dokumentov. Kedysi mal viac ako sto kíl. Dvaapolročná márna snaha dostať sa k svojim peniazom Antona Mihálika vyčerpala. Nedrží myšlienku, raz hovorí o živote, o Bohu, o politikoch, potom o boji s bankou, s políciou, so súdmi.
„Bojím sa už aj poštárky. Som zničený. Schudol som takmer štyridsať kilogramov. Žijem ako bezdomovec. Už dva roky nemám žiadne Vianoce. Aha, tu to je,“ vyťahuje z kopy dokumentov splátky dlhu Sociálnej poisťovni.“
„Dozvedel som sa to až 31. augusta 2013, pretože mi neprišla na mobil žiadna SMS správa o výberoch. Banka ma vôbec neupozornila na prebiehajúcu transakciu v takej obrovskej výške, hoci je to podľa mňa jej povinnosť.“
Mihálik podal reklamáciu v banke, ale odpísali mu, že platbu realizoval on a sám si vypol notifikačné SMS správy o realizovaných finančných transakciách. „Nikdy by som to neurobil. Nikdy by som si dobrovoľne neničil život, čo som magor?“
Živnostník podal trestné oznámenie, prosil banku, žaloval banku, napísal úradu vlády, prosil o pomoc dve ombudsmanky vrátane bankovej, minimálne desať politikov. Nepomohol nik. Vyše tridsať mesiacov je bez takmer 90-tisíc eur.
Ako sa to mohlo stať? Páchatelia sa neznámym spôsobom dostali k autorizačným údajom, zmenili bez Mihálikovho vedomia nastavenia SMS notifikácie, ktorou majiteľ účtu potvrdzuje finančnú operáciu cez internetbanking, a previedli peniaze na svoj účet. Následne vybrali takmer 90-tisíc eur v rôznych pobočkách banky.
„Heslo som mal futbalové. Vybral som si ho, aby som si ho ľahko zapamätal. Nikde som si ho nikdy nepísal a nikomu som ho nedával. Nikde som sa nepripájal na nezabezpečený internet, mám vlastný,“ hovorí.
Mihálik mal v čase krádeže internetbanking len štyri mesiace. Akým spôsobom sa útočníci dozvedeli, že je tu klient so sumou 90-tisíc eur na účte? To zrejmé nie je, zato je známe, kto tie peniaze fyzicky vyberal.
Vyšetrovatelia podrobne skúmali pripájanie majiteľa účtu k internetbankingu, SMS komunikáciu aj celý spôsob útoku. Podľa dôkazov sa Mihálik štandardne prihlasoval z úplne inej IP adresy ako útočníci v čase, keď pripravovali a aj vykradli jeho účet. Polícia adresy má a vie, komu patria.
Z kamerového záznamu zistila, že peniaze, ktoré previedli z Mihálikovho účtu na iný, vyberal v pobočkách bánk v niekoľkých mestách konateľ firmy Ewerlast Dunajská Streda Michal Peťko s ďalším mužom. Keď ho Mihálik požiadal doporučeným listom, aby peniaze vrátil, nereagoval. Údajne o liste nič nevie a neprebral ho.
Ewerlast a Peťko v tom čase vyše roka obchodovali s plechmi a so stavebným materiálom. Peťkova verzia príbehu je ako z nepodareného hollywoodskeho filmu. Uzavrel zmluvu o spoločnej firme s pánom Ismailom z Turecka. Spoznal ho v Bratislave náhodou a nič o ňom nevie, vypovedal Peťko pred políciou. Ani vyšetrovatelia cez Interpol o záhadnom Turkovi nič nezistili.
Ismail mu vraj poslal na účet vyše 89-tisíc eur, ale Peťko zistil, že mu zmluva nevyhovuje, a chcel ju zrušiť. Vtedy prišli za ním veľkí chlapi a donútili ho vybrať postupne na pobočkách peniaze. Odvtedy na jeho účte neprebehli žiadne transakcie.
Príbeh 38-ročného Peťka vyzerá ako z príručky pre biele kone. Býva u matky v Podbrezovej, ale ani polícia ho tam dlho nevedela nájsť. Matka tvrdila, že sa túla a doma je len sporadicky. Policajti napísali v jednom z hlásení, že „sa zatajuje a neotvára dvere“. Denníku N sa s ním nepodarilo spojiť, vychádzame z dokumentov polície. Vyšetrovateľ nechcel prípad bližšie komentovať, pretože sa ešte vyšetruje.
Zúfalý Mihálik vytrvalo kontaktoval banku a prosil o riešenie. Po viac ako roku dostal odpoveď, že počas trestného konania sa k veci nebude vyjadrovať. „Môj život je totálne zlikvidovaný, ako občan som stratil slobodu aj vieru v spravodlivosť a nedokážem zabezpečiť slušný život rodiny,“ hovorí Mihálik.
Na začiatku decembra minulého roku, teda viac ako dva roky po útoku na klientove peniaze v banke, obvinil vyšetrovateľ zo Žiaru nad Hronom Peťka z podvodu. Stále je na slobode.
Banky – všetko je o. k.
Zuzana Ďuďáková z Unicredit Bank tvrdí, že banka prešetrila prípad Mihálik a dospela k rovnakému záveru ako Národná banka Slovenska.
„Namietaná transakcia bola bankou zaznamenaná a spracovaná bez chyby… V postupe banky nezistili žiadne porušenia právnych predpisov,“ konštatovala Ďuďáková.
Na čo si dávať pozor
Autentifikačné údaje neposkytujte nikomu a už vôbec nie e-mailom alebo cez telefón.
Do internetbankingu sa prihlasujte len zo zabezpečeného počítača, nerobte to cez nezabezpečenú WiFi v kaviarni alebo inde.
Prihlasovacie údaje nezadávajte nikdy na cudzom počítači. Vírus môže čítať stlačené klávesy.
Skontrolujte si, či ste skutočne na zabezpečenej stránke banky – ikonka zámok a označenie „https“.
Používajte komplexné heslá a pravidelne ich meňte. Striedajte veľké a malé písmená, prípadne znaky. Heslo Dano1111 nie je komplexné. Dátum narodenia ako PIN nie je bezpečný.
Z internetbankingu sa vždy odhlasujte.
Je potrebné nastaviť si rozumný limit na transakcie. Limit by nemalo byť možné len tak na počkanie zmeniť cez internetbanking.
Postoj banky „to nie my, to oni“ je legitímny, ak by ochrana prihlasovacích autentifikačných a autorizačných údajov v internetbankingu bola taká jednoduchá. Pri súčasnej úrovni kybernetického zločinu to však nie je také jednoznačné.
„Haker útočí postupne. Najprv sa skúsi dostať do počítača (nový klient banky môže byť vhodnou obeťou), potom doň nepozorovane nahrá sledovací program, pokúsi sa získať informácie o mobile, ktorý si pripájate k počítaču. „Haker môže zaútočiť a vykradnúť účet pokojne po niekoľkých týždňoch až mesiacoch od prvého napadnutia počítača,“ hovorí český expert na počítačovú kriminalitu Jiří Nápravník.
Šikovní IT špecialisti, ak nie lepší ako tí, čo vymysleli pohodlný systém bankových operácií, môžu všetko čítať vo vlastnom počítači. Autorizačnú SMS odklonia, nepríde vám. Potvrdia ju zo svojho mobilu.
Expert – nič nie je o. k.
Nápravník je český špecialista na počítačovú bezpečnosť. Jeho služby využívala polícia a nedávno aj Česká televízia pri komentovaní útoku na emailovú schránku premiéra Sobotku.
Roky pracoval ako súdny znalec v oblasti odhaľovania počítačovej kriminality. Podieľal sa na vypátraní jedného z prvých vykrádačov bankových kont. Má za sebou nepríjemnú epizódu so súdnou dohrou, keď ho odsúdili trestným rozkazom za pokus o pozmeňovanie dát na pokutu 20-tisíc českých korún. Bolo to v čase, keď testoval a našiel bezpečnostné medzery v bankách. Odvolal sa a súd rozsudok potvrdil, aj keď medzičasom vyhoveli Nápravníkovej námietke, že súdny znalec nebol kompetentný.
Český špecialista patrí medzi IT skeptikov. Hovorí o slabinách operačných systémov, prehliadačov a internetu. Bezpečnosť peňazí je podľa neho relatívny pojem. Hovorí o prípadoch, keď sa vírus dostal do počítačov českého Najvyššieho štátneho zastupiteľstva.
O Nápravníkovom skeptickom postoji k internetu svedčí manažovanie vlastných peňazí. Tvrdí, že na účte s internetbankingom má okolo tisíc eur. Rodinné úspory má na druhom, bez internetbankingu a platobnej karty.
Len počas našej komunikácie o bezpečnosti internetbankingu dostal od dvoch klientov českých bánk informáciu, že im cez internet ukradli z účtov spolu vyše 600-tisíc českých korún.
„Poznal som a poznám spôsob, ako zaútočiť alebo zorganizovať útok na účet v banke, ale nechávam si to pre seba. Skutočný útok som nikdy neurobil ani neorganizoval. Ponúkal som svoje skúsenosti bankám, ale bez väčšieho úspechu,“ reagoval na hypotetickú otázku, či by dokázal „vybieliť“ napríklad vlastný účet v banke.
Nápravník tvrdí, že keď banky presviedčajú klientov, aby používali ich produkt v takom nebezpečnom prostredí, akým je internet a nedokonalé operačné systémy, tak by mali prijať aj zodpovednosť.
„Bezpečná verzia internetbankingu je taká, ktorá zabezpečí, aby sa nestrácali ľuďom z účtov peniaze. Nie je podstatné, či sa prihlasujete menom a heslom, potvrdzujete SMS správu alebo používate odtlačok prsta. Treba myslieť na to, že všetko, čo je pripojené k počítaču, môže sofistikovaný vírus skopírovať alebo prinútiť do spolupráce.“
Škodlivý kód
Dostupné dokumenty k prípadu Mihálik si preštudovali špecialisti z firmy ESET zameranej na IT bezpečnosť.
Z čiastkových informácií nedokázali presne rekonštruovať spôsob, akým Mihálik prišiel o peniaze, ale načrtli jeden z možných scenárov.
„Niekto škodlivým kódom odchytil prihlasovacie údaje do internetbankingu a zároveň získal kontrolu nad mobilným telefónom. Napríklad infikovaním telefónu škodlivým kódom, ktorý dokáže odchytávať potvrdzovacie SMS správy z banky, posielať ich útočníkovi a zároveň mazať z mobilu majiteľa účtu,“ hovorí Zuzana Hošalová z ESETu.
Takto sa útočník dostane ku všetkým potrebným prihlasovacím údajom do internetbankingu, ktorý používa na vstup do svojho internetového bankovníctva potvrdzovacie SMS.
Banky by mali byť aktívne
Banky tlačia komunikáciu s klientmi na internet a ľuďom to vyhovuje, podľa bezpečnostných expertov z ESETu však stále platí, že bezpečnejšia je komunikácia človeka s človekom. Napríklad keď si banka overí telefonicky u klienta, či nejakú transakciu urobil. „Proaktivita zo strany banky môže odhaliť potencionálny problém rýchlejšie, ako keď sa banka spolieha na to, že sa jej klient ozve sám,“ spresnila Hošalová.
Anton Mihálik hovorí, že zvykol z účtu vyberať po päťdesiat až sto eur, niekoľkokrát možno tristo. Určite nie takmer 90-tisíc eur naraz, ako mu odišlo z účtu. Banky nemajú zákonnú povinnosť informovať klienta o podozrivom vysokom prevode na jeho účte, mnohé to však robia.
Experti z ESETu vidia problém najčastejšie medzi monitorom a stoličkou. Klienti sa správajú na internete často nezodpovedne alebo zabúdajú, že aj mobil je v podstate počítač.
Anton Mihálik urobil všetko, čo mu banka odporučila. Podal trestné oznámenie a zároveň aj žalobu na banku, aby mu peniaze vrátila. Dočkal sa aj rozsudku. Vypočul si, že slovenské súdy nemôžu rozhodnúť o jeho žalobe, pretože banka je pobočkou zahraničného subjektu, a teda nemá právnu subjektivitu.
Čo to znamená? Súdiť sa v inom štáte. Človek, ktorý prišiel o všetky peniaze, bude cestovať v lepšom prípade stovky kilometrov a znášať výdavky spojené s procesom v zahraničí.
Mihálikov prípad je ojedinelý
Národná banka Slovenska Mihálikov prípad preverovala. Jana Kováčová tvrdí, že s takýmto prípadom napadnutia účtu klienta sa ešte nestretli.Národná banka vo všeobecnosti uvádza, že za platobné operácie bez riadnej autorizácie klientom nesie plnú zodpovednosť banka.
„Základným pravidlom je, že banka musí bez zbytočného odkladu klientovi vrátiť sumu neautorizovanej platobnej operácie. Ak banka tvrdí, že operáciu klient autorizoval, musí to dokázať. Nie je dostatočným dôkazom, že bola použitá platobná karta alebo že boli zadané autorizačné údaje do systému banky,“ konštatovala Kováčová.
Kedy je platobný príkaz autorizovaný? Keď dal súhlas na operáciu klient. Ak súhlas nedal klient, ale iná osoba, považuje sa za neautorizovaný. Zákon o platobných službách však uvádza aj prípady, keď banka nezodpovedá za neautorizované operácie alebo zodpovedá len čiastočne, ako napríklad pri nedbanlivosti klienta. Vôbec nezodpovedá v prípade podvodu zo strany klienta, úmyselného nesplnenia povinnosti vyplývajúcej zo zákona alebo pri hrubej nedbanlivosti.
Čo je to hrubá nedbanlivosť? Pri platobnej karte s PIN kódom napísaným na papieriku v peňaženke je to jednoduché. V internetbankingu, keďže digitálna gramotnosť ľudí je rôzna, je to zložitejšie.
NBS uvádza ukážkový príklad hrubej nedbanlivosti. Je to prípad, keď klient reaguje na podozrivý e-mail, ktorý neprišiel z domény banky a je napísaný nesprávnou slovenčinou, a postupuje podľa inštrukcií. Nevedome si nahrá malware do počítača a potom zadá údaje k účtu na inej ako internetovej stránke banky.
Ak banka už predtým informovala a varovala pred takýmto spôsobom zneužitia, môže ísť o hrubú nedbanlivosť.
Mihálik nezadal autorizačné údaje do systému banky a podľa doterajších výsledkov vyšetrovania vedome ani nevedome nespolupracoval s útočníkmi. Hoci páchateľ je známy a polícia ho obvinila, banka Mihálikovi peniaze nevyplatila.
Zuzana Murcko zo Slovenskej bankovej asociácie tvrdí, že banky robia všetko pre čo najvyššiu úroveň bezpečnosti internetbankingu a investujú do obranných mechanizmov. Pre ich účinnosť je však zásadne dôležitá aj obozretnosť klienta, aby sa nevystavoval riziku a chránil svoje zariadenia, ktorými do internetbankingu pristupuje.
„Nemáme informáciu o tom, že by došlo k priamemu prelomeniu systému banky a následnému odcudzeniu peňazí z účtu klienta. Pre útočníkov je ľahšie sústrediť svoju pozornosť na spotrebiteľa a čakať, keď urobí nejaký bezpečnostný prešľap, ktorým sprístupní svoje citlivé bankové údaje.“
Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na [email protected].
