Wyłudzenia z serwisów pożyczkowych – faktyczna nowość?
Data: 24 kwietnia 2013 | Autor: Mikołaj Rutkowski | Brak komentarzy »
Dzisiejsza prasa (m.in. „Dziennik” i „Puls Biznesu”) dość szeroko rozpisuje się o wyłudzaniu pieniędzy z sieciowych serwisów pożyczkowych, określając go jako „nowy patent”. W moim odczuciu jest to nadmierne uhonorowanie schematu bazującego na znanych od wielu lat technikach oszustw. To, co faktycznie zrobili przestępcy, to proste połączenie możliwości, jakie daje odmiejscowione zaciąganie zobowiązań z oszukańczym pozyskaniem danych potwierdzających wiarygodność klienta. Do tego ostatniego celu wykorzystywany jest w nim obecny wszak od wielu lat w sektorze bankowym proceder otwierania rachunków bankowych na dane, które zostały skradzione, wyłudzone bądź pozyskane od „słupa”.
Jako klucz do całego procesu media odkrywają usługę świadczoną przez coraz większą grupę banków, a polegającą na otwarciu rachunku niemal w całości on-line. Osoby pamiętające początki mBanku i Inteligo na pewno kojarzą, że w tamtym okresie przy „otwarciu rachunku on-line” w sieci tak naprawdę wypełniało się jedynie sam wniosek, a następnie i tak należało podpisać umowę i pozostałe dokumenty, które przywoził do nas kurier. Do jego zadań należało także potwierdzenie tożsamości klienta (dodatkowo banki wymagały zresztą dostarczenia z dokumentami kopii dowodu osobistego). Jednak od mniej więcej dwóch-trzech lat proces ten przeszedł rzeczywiście praktycznie w całości do sieci i reklamowany jest jako „otwarcie rachunku przelewem”.
Z czego wynika taka możliwość (o czym nie napisały media)? Jak można się domyślić, przy otwarciu rachunku bank zobowiązany jest upewnić się, że klient otwierający rachunek (ale także kupujący każdy inny produkt lub usługę) jest rzeczywiście tym, za kogo się podaje. W przypadku, kiedy otwarcie ma miejsce w oddziale, nie ma z tym problemu, jako że pracownik banku dostaje do ręki dowód tożsamości klienta, a jego samego ma przed sobą (a przynajmniej w większości przypadków…). W przypadku zakupu / otwarcia dodatkowych produktów w instytucji, gdzie mamy już rachunek, ponownie nie ma problemu, bo jako klient posiadamy już odpowiednie formy potwierdzania naszej tożsamości (hasła, kody itp.). Problem pojawia się w momencie, kiedy operację taką chcemy przeprowadzić całkowicie zdalnie, ponieważ bank musi w jakiś sposób potwierdzić, że rzeczywiście jesteśmy tym, za kogo się podajemy.
Możliwość taką stwarza pewien zapis w Ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Stanowi on, że w sytuacji, w której klient nie jest obecny do celów identyfikacji, jednym z dopuszczalnych scenariuszy postępowania jest „ustalenie, że pierwsza transakcja została przeprowadzona za pośrednictwem rachunku klienta w podmiocie świadczącym usługi finansowe” (art.9e, ust.2, pkt.3 Ustawy). Przekładając to na język zrozumiały dla laika, chodzi tutaj niejako o przeniesienie obowiązku identyfikacji i weryfikacji tożsamości klienta na inną instytucję finansową, funkcjonującą w ramach tego samego lub zbliżonego reżimu prawnego. Ustawodawca założył, iż należyta weryfikacja klienta została dokonana przez bank A, w którym otwarto rachunek, z którego pochodzi przelew potwierdzający otwarcie rachunku w banku B. Przyjmuje się zatem, że osoba zlecająca ten przelew jest tym, za kogo się podaje (bo zostało to sprawdzone przy otwieraniu przez tą osobę rachunku w banku A). Oczywiście trzeba pamiętać, że system ten funkcjonuje tak długo, jak długo wszystkie instytucje stosują jednolite zasady identyfikacji i weryfikacji tożsamości klientów i robią to z należytą starannością. Ale to temat na osobny wpis.
Wracając do przypadku wyłudzeń pożyczek z serwisów pożyczkowych, można w zasadzie powiedzieć, że powyższy mechanizm weryfikacji tożsamości działa zgodnie z założeniami jego twórców. Problemem jest jedynie fakt, że ofiara jest nieświadoma tego, że jej dane są wykorzystywane przez przestępców. Dla osób, które nie miały okazji zapoznać się z ww. artykułami, spieszę wyjaśnić, że szczegółowe dane osobowe ofiar są pozyskiwane od osób w ramach fikcyjnych ofert zatrudnienia. Następnie scenariusz wygląda podobnie:
- na wyłudzone dane otwierany jest rachunek w banku, który umożliwia jego „aktywację” w drodze przelewu z innego banku;
- ofiara jest proszona o wykonanie przelewu na nowo otwarty rachunek, rzekomo w celu „weryfikacji posiadania przez nią rachunku bankowego”, a w rzeczywistości do aktywacji rachunku stworzonego przez przestępców. Warto tutaj jeszcze zauważyć spryt przestępców – wysyłając bowiem przelew, musimy podać dane beneficjenta, którym jesteśmy wszak my sami (inaczej bank odrzuci przelew, ponieważ dane posiadacza obu rachunków muszą być zgodne). Oszuści obchodzą to w prosty sposób, twierdząc, że jest to subkonto ofiary w ramach rachunku ich firmy, stąd też przelew wysyłany jest na dane ofiary;
- za pomocą aktywowanego rachunku bankowego przestępcy aktywują tym razem swoje konto w serwisie pożyczkowym, potwierdzając, że rachunek należy do nich;
- przestępcy używając danych ofiary składają wniosek o pożyczkę (mogą to zrobić także przed aktywacją rachunku w serwisie pożyczkowym) i jeśli ją otrzymają, to na rachunek kontrolowany przez siebie;
- nieświadomy niczego „kandydat do pracy” zostaje ze zobowiązaniem i zazwyczaj musi udowadniać, że to nie on jest wielbłądem…
Biorąc pod uwagę dostępne kwoty pierwszych pożyczek, z pewnością nie jest to skok życia, ale przy odpowiedniej skali działalności można zapewne z tego „wyżyć”. Zupełnie sensownie zaprojektowany system został zatem zaprzęgnięty do pracy na rzecz oszustów – działa tak jak go zaprojektowano, z tym, że na bazie fałszywych pobudek.
I w tym momencie docieramy do kwestii wielokrotnie poruszanej na łamach Fraud IQ – edukacji. Jak zauważyłem powyżej, system sam w sobie jest poprawny, nakierowany na wygodę i uproszczenie pracy oraz na unikanie dublowania czynności. Podobnie jednak jak z nożem, który może służyć tak do krojenia chleba, jak i wymuszeń rozbójniczych, jego wykorzystanie zależy od intencji jego uczestników, które w tym przypadku są dalekie od ideału. Nie znaczy to jednak, że trzeba od razu wywracać do góry nogami cały system, a jedynie edukować jego uczestników. Co więcej, to nie jest wiedza specyficzna, tylko element świadomości ekonomicznej społeczeństwa, która powinna być powszechna (inna sprawa, jak jest w rzeczywistości). Nie chcę wskazywać tutaj palcem, kto za nią odpowiada, ale z pewnością w interesie tak państwa, jak i podmiotów komercyjnych oraz samych obywateli jest to, aby tego rodzaju przypadków było jak najmniej.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.