W ostatnich dniach kaliski Sąd Okręgowy podtrzymał wyrok Sądu Rejonowego w Pleszewie z dnia 16 listopada 2022. Na mocy tamtej decyzji ING Bank Śląski S.A. miał wypłacić swojej klientce równowartość środków skradzionych z jej rachunku przez oszusta internetowego.
Suma skradzionych pieniędzy wynosi 33.691 złotych. Dodatkowo poszkodowana miała otrzymać odsetki ustawowe za opóźnienie oraz zwrot całości kosztów procesu.
Wygrana sprawa o phishing
Sprawa dotyczyła przestępstwa phishingu, którego ofiarą padła klientka banku. Wystawiła ona przedmiot na sprzedaż za pośrednictwem portalu OLX. W wyniku manipulacji ze strony oszusta, podszywającego się pod potencjalnego nabywcę, kliknęła w fałszywy link, próbując sprawdzić cenę sprzedawanego przedmiotu. Złodziej przejął wówczas dane logowania do bankowości elektronicznej klientki i wykorzystał je do wyprowadzenia zgromadzonych na jej rachunku oszczędności.
Oszust uzyskał dostęp do konta, podszywając się pod strony serwisu internetowego OLX oraz banku. Jak się później okazało, klientka nieświadomie potwierdziła dodanie telefonu, jakim posługiwał się złodziej, jako "zaufanego urządzenia" w aplikacji bankowej. Dzięki temu przestępca mógł wykonać błyskawiczny przelew na rachunek prowadzony za granicą – bez wiedzy i zgody kobiety.
Sądy obu instancji skupiły się na ustaleniu, czy w niniejszej sprawie zaniedbania po stronie klientki miały cechy rażącego niedbalstwa. Sąd I instancji, a za nim także Sąd Okręgowy, wskazały, że o stopniu niedbalstwa świadczy stopień staranności, jakiego w danych okolicznościach można wymagać od klienta banku. Po przeprowadzeniu postępowania ustalono jednak, że zachowaniu klientki nie można przypisać cech rażącego niedbalstwa. Tym samym, argumentacja banku uzasadniająca odmowę przyjęcia odpowiedzialności za zaistniałą sytuację okazała się chybiona.
Wyrok w sprawie oszustwa na OLX jest więc prawomocny. Klientka odzyskała już swoje pieniądze.
Sprawę prowadziła Kancelaria Prawna ANSWER r.pr. Bartosz Wojciechowski oraz r.pr. Michał Sobczak.
źródło: materiały prasowe
Komentarze
11problem jest taki, że ludzie NIE CZYTAJĄ komunikatów i klikają bezmyślnie
sędzia kalosz
Banki udają że zabezpieczają nasze pieniądze - Każde potwierdzenie do zmiany numeru telefonu powinno być wyłącznie w banku i osoba musi mieć dwa dowody stwierdzające toższamość...
A nie że ktoś kliknie jeden czy dwa razy i pieniądze znikają...
Zacznimy od samej telefonii komorkowej. Siec komorkowa nie ma zadnego obowiazku uwierzytelniania w stosunku do wlasciciela karty SIM. A protokol umozliwia podlozenie dowolnego numeru/textu jako nadawce SMSa. Czesc operatorow wymaga rejestracji nazwy nadawcy, ale nie wszyscy. Jak w takiej sytuacji bank ma wysylac wiarygodne SMSy? Nie ma innej opcji jak tylko zmuszac do uzywania 2FA z poziomu aplikacji.
Nastepny rak to homoglify. Jakis dzbanek stwierdzil, ze fajnie byloby miec domeny ze znakami diaktrycznymi. No i zaczely sie scamy z domenami zapisanymi w punycode wygladajacymi identycznie jak domena, poslugujacymi sie jakimis darmowymi certami SSL ale nie majacymi nic z oryginalna domena wspolnego.
A moze email? Takiego wala. Tu jest kolejna schizofrenia z mozliwoscia wpisania dowolnego From niezaleznego od SMTP envelope RCPT TO. O ile serwer pocztowy na ktorym ma skrzynke klient banku nie sprawdza sygnatury DKIM i nie aplikuje polityki DMARC to wszystko bedzie wchodzilo do inboxa widziane jako od dowolnego nadawcy. Tutaj banki tylko moga podpisac MIME part, ale ilu uzytkownikow maila wie jak taka sygnature zwalidowac? I calkowicie osobna kwestia sa trudnosci szyfrowania end-to-end komunikacji mailowej, bo odbiorca maila musialby sobie manualnie instalowac np. cert PGP.
Takze mnie troche wyrok dziwi. Bank nie jest odpowiedzialny za luki logiczne w powszechnie uzywanych technologiach.