Innlent | mbl | 13.10.2023 | 21:55

Segir bankann ekki geta firrt sig ábyrgð

Svikahrapparnir stofnuðu reikning í nafni Ingvildar hjá íslensku Bitcoin-fyrirtæki og keyptu Bitcoin fyrir fjárhæðina sem síðan var millifærð á reikning í Lundúnum. AFP

Ingvild Ryde, danskur doktorsnemi í líffræði við Háskóla Íslands, varð fyrir þeirri óskemmtilegu reynslu að svikahrappar komust yfir fé á bæði tékkareikningi hennar og sparnaðarreikningi.

Segir hún farir sínar ekki sléttar í samskiptum við Landsbankann, sem hún vill meina að beri meiri ábyrgð í málinu en hann vilji gangast við.

Rúnar Pálmason, upplýsingafulltrúi bankans, sagði í samtali við mbl.is bankann ekki geta tjáð sig um mál einstaka viðskiptavina.

Bankinn sendi mbl.is skriflegt svar vegna málsins þar sem ítrekuð er nauðsyn þess að fólk fari varlega þegar það notar rafrænu skilríkin sín. Í svarinu, sem fylgir með í heild sinni neðst í fréttinni, lýsir bankinn meðal annars kunnri aðferðafræði svikara og veitir innsýn í öryggisráðstafanir sínar vegna svikamála.

Frétt af mbl.is

Tapaði 1,3 milljónum

Afhending pakka gegn 500 króna gjaldi

Ingvild fékk á dögunum orðsendingu með sms-skilaboðum, sem virtust vera frá póstþjónustu, um að sendlafyrirtæki gæti afhent sér pakka gegn greiðslu 500 íslenskra króna.

Þar sem hún átti von á sendingu í pósti hafði hún ekki varann á og elti hlekk sem vísaði á vefsvæði þar sem hún fyllti út kortaupplýsingar sínar. Í kjölfarið fékk hún meldingu í gegnum rafræn skilríki sín um að samþykkja færsluna sem hún og gerði.

Skömmu síðar fékk hún aðra meldingu um að samþykkja færslu upp á 33 þúsund krónur.

„Ég kannaðist ekki við þá færslu og hafnaði henni, þar sem það var í mínum huga ljóst að hún ætti ekki rétt á sér. Á þeim tímapunkti áttaði ég mig á að svikahrappar hefðu komist yfir kortaupplýsingar mínar og tekist að stela af mér 500 krónum.“

Frétt af mbl.is

Dæmi um að fólk tapi tugum milljóna

Heimilaði aðeins eina færslu

Segist Ingvild þá hafa hugsað að hún væri örugg þar sem henni hefði tekist að hafna hærri færslunni og stóð í þeirri trú að ekki væri hægt að framkvæma færslur án hennar samþykkis í gegnum rafræn skilríki.

Hún hugsaði ekki meira um atvikið fyrr en nokkrum dögum síðar, þegar hún fékk símtal frá Landsbankanum um að tvær háar úttektir hefðu verið gerðar af reikningum hennar í bankanum.

„Önnur úttektin var að fjárhæð 190 þúsund krónur af tékkareikningi mínum og hin að fjárhæð 790 þúsund krónur af sparnaðarreikningi. Bankinn vildi vita hvort ég hefði heimilað færslurnar og ég neitaði því.“

Frétt af mbl.is

Hópur sérhæfðra brotamanna að verki

Leið sem hún væri í góðum höndum

Þá segir Ingvild að bankastarfsmaðurinn hafi lokað korti hennar og pantað nýtt og kvaðst ætla að gera allt sem hann gæti til að hjálpa henni að fá peningana sína til baka. Á þeim tímapunkti hafi henni liðið sem hún væri í góðum höndum.

„Degi síðar hringdi bankinn aftur og tilkynnti mér að búið væri að færa fjárhæðina sem stolið var af mér með stærri færslunni af sparnaðarreikningnum yfir í Bitcoin í gegnum íslenskt fyrirtæki. Svikahrapparnir stofnuðu reikning í mínu nafni hjá þessu íslenska Bitcoin-fyrirtæki og keyptu Bitcoin fyrir fjárhæðina sem síðan var millifærð á reikning í Lundúnum.“

Ingvild segist hafa talað við íslenska fyrirtækið, sem hafi tjáð henni að margir Íslendingar hefðu lent í svipuðum atvikum.

„Starfsmaðurinn sagði mér að þeim hefði tekist að frysta færslur einhverra Íslendinga en ekki allra og að ekki hefði tekist að frysta færsluna sem gerð var í mínu nafni. Þannig væru mínir peningar því miður glataðir. Ég hafði samband við bankann sem sagði það sama. Peningarnir væru glataðir og ekki væri hægt að gera neitt í málinu.“

Frétt af mbl.is

Í kappi við háþróað netsvindl

Öryggismálum ábótavant

Bankinn sagði Ingvild hafa samþykkt færslurnar með rafrænum skilríkjum sínum, sem hún segir alls kostar ekki rétt.

„Ég samþykkti aðeins þessa einu færslu upp á 500 krónur. Það er augljóst að öryggismálin í bankanum eru ekki í lagi. Ég hef reynt að fá upplýsingar og útprentanir frá bankanum sem hefur ekki verið sérlega samvinnuþýður. Ég óskaði eftir útprentuðu færsluyfirliti en bankinn segir að ég þurfi að fá það í gegnum lögreglu eða lögfræðing.“

Ingvild hefur leitað til lögreglu og bíður þess að gefa skýrslu. Hún segist verulega ósátt við Landsbankann sem hún vill meina að geti ekki firrt sig ábyrgð í málinu.

Frétt af mbl.is

Notendur lokkaðir inn á falsaðan netbanka

Ítrekar nauðsyn þess að fólk noti rafræn skilríki með gát

mbl.is leitaði eftir viðbrögðum Landsbankans vegna málsins en Rúnar Pálmason, upplýsingafulltrúi Landsbankans, sagði bankann ekki geta tjáð sig um mál einstaka viðskiptavina.

Skriflegt svar bankans:

Í sumar hefur verið mikið um SMS-svik sem byggja á því að einstaklingar hafa verið blekktir til að veita svikurum aðgang að appi í gegnum rafræn skilríki. Svikin byggja í mörgum tilfellum á því að fólk les ekki nægilega vandlega skilaboð sem berast í gegnum rafræn skilríki um það sem til stendur að samþykkja. Ef fólk samþykkir aðgerðina án þess að gæta nægilega að því sem kemur fram í skilaboðunum geta svikararnir fengið aðgang að appinu og svikið peninga af reikningum. Okkur þykir mjög miður að fólk hafi tapað peningum með þessum hætti og ítrekum nauðsyn þess að fólk fari varlega þegar það notar rafrænu skilríkin sín.

Svikin í sumar hafa í mörgum tilfellum farið þannig fram að einstaklingur fær svika-SMS í nafni flutningafyrirtækis eða banka og er beðinn um að smella á hlekk þar sem óskað er eftir kortaupplýsingum eða símanúmeri. Smelli fólk á hlekkinn er það leitt yfir á falska vefsíðu sem lítur nánast alveg eins út og raunverulegar vefsíður flutningafyrirtækqja og/eða banka. Ef fólk slær inn kortanúmer eða símanúmer, taka svikararnir þessar upplýsingar og reyna að nota þær til að blekkja fólk til að greiða fyrir vörur eða skrá svikarana inn í netbanka/app. Svikin verða möguleg ef fólk samþykkir innskráningu svikaranna með rafrænum skilríkjum.

Það hefur komið fyrir að svikarar noti símanúmer einstaklinga til að blekkja þá til að nota rafræn skilríki til að virkja lífkenni (t.d. fingrafar) svikaranna sem innskráningarleið í appið á símtæki svikaranna.

Til að svikara takist þetta þarf einstaklingurinn að samþykkja að nýtt tæki (símtæki svikarans) fái heimild til auðkenningar með því að einstaklingurinn slái inn leyninúmerið sitt í rafrænum skilríkjum, sem hann einn veit hvað er. Þegar svikarinn reynir að skrá nýtt tæki, fær einstaklingurinn eftirfarandi skilaboð í gegnum rafræn skilríki:

„Ég samþykki nýtt tæki til auðkenningar hjá Landsbankanum. Auðkennisnr: xxxx“. Ef netbanki/app er stillt á ensku eða pólsku koma skilaboðin á þeim tungumálum.

Frétt af mbl.is

Fórnarlamb fjársvika rankaði við sér á fræðslufundi

Svikararnir vonast eftir því að fólk lesi ekki þessi skilaboð, heldur samþykki þau í hugsunarleysi, af því að það telur sig vera að samþykkja greiðslur. Samþykki fólk skilaboðin, þá eru svikararnir komnir með aðgang að appinu hjá viðkomandi.

Landsbankinn starfar í samræmi við lög um greiðsluþjónustu frá árinu 2021 sem skylda bankann til að krefjast sterkrar auðkenningar (sannvottunar) við ákveðnar aðstæður, meðal annars þegar viðskiptavinur skráir sig í appið. Þegar viðskiptavinur skráir sig í fyrsta sinn í appið á nýju tæki er alltaf krafist sterkrar auðkenningar með rafrænum skilríkjum sem eru persónuskilríki og notuð í þeim tilgangi að sanna deili á viðskiptavinum.

Þar sem rafræn skilríki eru persónuskilríki verður að fara varlega við notkun þeirra og gæta þess sérstaklega að verið sé að staðfesta og sannvotta aðgerðir sem fólk ætlar sér sannarlega að framkvæma. Til þess að aðstoða viðskiptavini við að gæta öryggis eru upplýsingar í textaskilaboðum í rafrænum skilríkjum sem lýsa þeirri aðgerð sem viðskiptavinur er að fara að staðfesta. Það er því mjög mikilvægt að viðskiptavinir lesi þessi skilaboð og slái ekki inn fjögurra stafa öryggisnúmer rafrænu skilríkjanna ef þeir kannast ekki við aðgerðina. Vakni grunur um svik er mikilvægt að hafa strax samband við þjónustuver bankans eða svikavakt Rapyd.

Öryggiskerfi bankans getur í mörgum tilfellum komið í veg fyrir svik. Það getur hins vegar verið erfitt ef viðskiptavinur fellur fyrir blekkingu svikara og staðfestir aðgerðir með rafrænum skilríkjum. Þó er í sumum tilvikum hægt að endurheimta peningana, sérstaklega ef nægilega hratt er brugðist við. Samkvæmt lögum um greiðsluþjónustu, þá ber viðskiptavinur ábyrgð á þeim aðgerðum sem hann samþykkir með sterkri auðkenningu (s.s. rafrænum skilríkjum).

Okkur þykir að sjálfsögðu afar miður að fólk skuli verða fyrir tjóni af völdum svikara sem sífellt beita nýjum aðferðum. Við leitumst við að uppfæra og bæta öryggiskerfi okkar í sífellu. Við leggjum mikla áherslu á fræðslu um netöryggi og höfum ítrekað vakið athygli á nauðsyn þess að lesa öll skilaboð sem varða greiðslur eða netbanka/app mjög vel, hvort sem þau berast með SMS-um eða í gegnum rafræn skilríki. Við höfum m.a. birt fréttir, fræðslugreinar og færslur á samfélagsmiðlum, á íslensku, ensku og pólsku.

Varðandi reikningsyfirlit, þá hafa viðskiptavinir ávallt aðgang að þeim í netbankanum og appinu og geta fengið þau afhent útprentuð. Í sumum tilvikum óska viðskiptavinir eftir upplýsingum um IP-tölur á tölvum sem svikararnir notuðu en bankinn hefur ekki heimild til að afhenda þær á grundvelli sjónarmiða um persónuvernd, nema að beiðni lögreglu í rannsóknartilgangi.