Kradzież tożsamości

Józef Kruk w czasie, gdy był u rehabilitanta, stracił z konta 1,1 mln zł. To samo może przydarzyć się tobie

Dokument ‚kolekcjonerski’ jest nie do odróżnienia od prawdziwego

Ukradną ci nie milion, ale 30 tys. zł. I tożsamość, którą wykorzystają do zaciągania chwilówek i kredytów w innych bankach. To nowy typ przestępstw, na które nasze państwo jest kompletnie nieprzygotowane.

Był 3 grudnia, 12.24. Na numer telefonu warszawskiego przedsiębiorcy Józefa Kruka przyszedł SMS: „Dzień dobry, przyjęliśmy zlecenie wymiany karty SIM dla numeru…”.

Kruk spojrzał zdziwiony na telefon. Nie składał tego zlecenia. Chciał to sprostować, ale nie mógł. Telefon zamienił się w cegłę.

Pięć minut później w pośpiechu opuścił biuro. Jak co tydzień szedł na zajęcia z fizjoterapeutą i rehabilitantką. Do salonu Play dotarł o 15.10. Pokazał dowód i poprosił o duplikat karty. Pracownik – wyraźnie zdenerwowany, bo zdał sobie sprawę z tego, że to kolejny duplikat jednego dnia – wydał mu ją. Kruk włożył kartę SIM do telefonu, spojrzał na ekran i zrobiło mu się słabo.

To była wiadomość z banku: „Na twoje konto nastąpiło logowanie z zainfekowanego komputera”.

To był napad. Tyle że cyfrowy

Kruk spróbował się zalogować na swoje konto w mBanku. Dostęp do serwisu transakcyjnego był zablokowany.

Zadzwonił na infolinię banku, aby wyjaśnić sprawę. Procedura jego identyfikacji (że Kruk to faktycznie Kruk) polega na tym, że pracownik mBanku oddzwania na jego numer telefonu. Na infolinii Kruk zaznaczył, że „sprawa jest niezwykle pilna”.

Nic to nie dało. Godzinę później Kruk zadzwonił na infolinię po raz drugi, zrobił awanturę i ponownie zamówił oddzwanianie. Bezskutecznie (pracownicy mBanku oddzwonili następnego dnia).

Kruk coraz bardziej zestresowany pojechał do pobliskiego oddziału mBanku. Tam się dowiedział, że z jego konta zostało dziś przelane 1,1 mln zł na konto kantoru w Poznaniu. Później się okazało, że pieniądze zostały zamienione na euro i od razu wypłacone.

Już po wizytach w komendzie, złożeniu reklamacji u operatora komórkowego oraz w banku, zastrzeżeniu dowodu osobistego pan Józef wyjął ze skrzynki dwa listy. Jeden z banku X z datą 5 grudnia. Była to umowa kredytu na kwotę 7 tys. zł. Drugie pismo było z banku Y z datą 3 grudnia. Był to kredyt na zakup iPhone’a o wartości również 7 tys. zł.

Teraz kredytów jest dziewięć. Na kwotę 40 tys. zł.

– Żadnej z tych umów nie zawarłem – mówi pan Józef.

Ile ich będzie? – Nie wiadomo. Może 15. Może 30. A może 50 – mówi.

Sprawdził. Różnego rodzaju banki i parabanki pytały o zdolność kredytową pana Józefa w sumie 58 razy. Do tego dochodzą umowy z operatorami telekomunikacyjnymi, które zawarto na jego nazwisko. Zawarto je jeszcze w listopadzie. Złodzieje do cyfrowego napadu na Kruka szykowali się, jak widać, długo. Z Play, Plus (telefon Huawei Mate 20 Pro z ratą 115 zł) oraz Orange (telefon Huawei Mate 20 Pro, rata 115 zł).

Jak to wszystko było możliwe?

Kluczem do konta Kruka była karta SIM. To na nią przychodziły SMS-y, którymi zatwierdzano przelewy. Złodzieje do salonu Play przyszli z tzw. dowodem kolekcjonerskim z danymi osobowymi pana Józefa i zdjęciem całkowicie innej osoby.

Co to jest ‚dowód kolekcjonerski’? To kopia prawdziwego dowodu osobistego. Firm, które robią takie dowody, istnieje w internecie całe mnóstwo. Dowód z hologramem kosztuje od 548 zł do 850 zł. Można w ten sposób zamówić również ‚kolekcjonerskie’ prawo jazdy, także zagraniczne

Ich posiadanie jest legalne. Posługiwanie się nimi już nie.

Kradzież tożsamości to nowy rodzaj przekrętu. Potrafi być wyjątkowo bolesny dla ofiary, a przy jego wykonaniu używa się luk w systemach bankowych i operatorów komórkowych.

– Mam coraz więcej zgłoszeń – mówi Aleksandra Falana, radca prawny, która specjalizuje się w tego typu sprawach. Prowadziła ich co najmniej kilkadziesiąt.

Falana twierdzi, że przypadek Kruka jest wyjątkowy, bo ukradziono mu wysoką kwotę. Złodzieje zazwyczaj kradną dużo mniej. – W takich sytuacjach często klienci rezygnują z dochodzenia swoich spraw w sądzie z uwagi na obawę o koszty, czas trwania – opowiada.

Co to oznacza w praktyce? Po prostu spłacają nie swoje długi. Przestępcy często ulatniają się bez śladu. Policja bywa bezradna.

Przestępcy zadzwonili na numer Józefa Kruka jeszcze 27 grudnia, czyli długo po zastrzeżeniu przez niego dowodu osobistego. Chcieli sprawdzić, czy ma wyłączony telefon. Chwilę wcześniej, identyfikując się za pomocą numeru PESEL pana Józefa oraz NIP jego firmy, zablokowali mu połączenia wychodzące i przychodzące. W jakim celu? Nie wiadomo.

Wykorzystali do tego numer telefonu zarejestrowany na jego imię i nazwisko.

Pieniądze pobrał słup. I słup jest ścigany

Józef Kruk po raz pierwszy na policji pojawił się w dniu kradzieży. Nie miał jeszcze pojęcia, że istnieje coś takiego jak „dowód kolekcjonerski”. To była pierwsza z serii wizyt tutaj. Kruk wracał do komendy za każdym razem, kiedy w skrzynce znajdował kolejne pisma z informacją, że na jego nazwisko brane są kredyty.

– Za trzecim razem to już się awanturowałem, żeby mnie przesłuchali – mówi.

– Nie chcieli?

– Nie, bo nie umówiłem się na spotkanie. W końcu się zgodzili i w ramach kompromisu dogadaliśmy się, że ja będę, jak coś się wydarzy, przynosił pisma z opisem sytuacji i sygnaturą sprawy – wyjaśnia.

W jego sprawie są dziesiątki, a nawet setki dowodów. Materialnych i niematerialnych. Billingi. IP. Logowania.

Tyle że korzystać z nich trzeba szybko. Kradzieży tożsamości dokonują profesjonaliści obeznani z procedurami bankowymi i nowoczesnymi technologiami. Przykład? Pod panel logowania do mBanku Józefa Kruka podpięte były trzy konta prywatne i firmowe. Złodzieje wpierw przelali w ramach przelewu wewnętrznego 550 tys. zł z konta na konto (co nie wymagało żadnej autoryzacji) i dopiero wtedy zrobili przelew na 1,1 mln. Wiedzieli, że algorytmy banku zablokują dostęp do rachunku już po pierwszym przelewie na dużą kwotę. A chcieli ukraść jak najwięcej. Owszem, przy komendach są wydziały do walki z cyberprzestępczością, ale na jakich zasadach dobierane są tam sprawy? Nie wiadomo.

– Policja nie była nawet zainteresowana, czy i gdzie są założone na moje nazwisko konta bankowe – twierdzi Kruk.

Jeśli policja złapałaby złodziei (a w procesie karnym by ich skazano), to byłoby mu łatwiej odzyskać w procesie cywilnym pieniądze od banku. Kruk złudzeń co do skuteczności sił prawa i porządku jednak nie ma. – Według policjanta, który sprawę prowadzi, nie ma związku między kradzieżą pieniędzy a wyłudzeniami kredytów – opowiada Kruk.

– Jak to nie ma? – pytam. – Przecież wyłudzenia pożyczek wiążą się z kradzieżą pieniędzy?

– Nie ma. On już swoją sprawę zamknął. Ustalili dane osoby, która podjęła pieniądze w kantorze w Poznaniu. Przypuszczam, że jest to słup, który za flaszkę wódki podjął reklamówkę z kantoru i oddał komuś za rogiem. Ale policji to wystarcza. Sprawa została przekazana do prokuratury.

Sprawcy? Odnajdują się za granicą

„Przekazanie akt do Prokuratury nie kończy wykonywania czynności przez Policję. W prowadzone postępowanie poza funkcjonariuszami Komendy Rejonowej Policji Warszawa I zaangażowani są policjanci Wydziału do walki z Cyberprzestępczością KSP i Wydziału do walki z Przestępczością Gospodarczą KSP. (…) Nadal prowadzone są czynności. Zarówno procesowe, jak i operacyjne. Ze względu na dobro tych czynności szczegółowe informacje w chwili obecnej nie mogą zostać upublicznione. Mogę zapewnić, że jesteśmy w kontakcie z pracownikami departamentów bezpieczeństwa banków. (…) Akta sprawy zostały przez policję przekazane do Prokuratury z wnioskiem o wszczęcie śledztwa oraz zwolnienie banków i operatorów telefonii komórkowej z tajemnicy bankowej/służbowej”. Podpisano: asp. sztab. Mariusz Mrozek, Wydział Komunikacji Społecznej KSP.

Złodzieje zazwyczaj pozostają bezkarni. – Znaczna większość znanych mi spraw karnych została umorzona wobec niewykrycia sprawców. W niektórych sprawach organy ściągania ustaliły potencjalnych sprawców, ale sprawy te nie zostały zakończone, bowiem osoby te przebywają za granicą – nie były obywatelami RP – opowiada radca prawny Aleksandra Falana. Pieniądze wyciekały za granicę. – W mojej ocenie odzyskanie środków od sprawcy [w takich przypadkach] jest nierealne – twierdzi Falana.

Dowód kolekcjonerski nie do odróżnienia

Kradzież tożsamości jest możliwa dzięki dziurawym (bądź – jak kto woli – elastycznym) procedurom w bankach i sieciach komórkowych oraz łatwemu dostępowi do „dowodów kolekcjonerskich”.

– „Dowodu kolekcjonerskiego” nie jest w stanie odróżnić nawet policja – mówi Kruk.

– Naprawdę?

– Tak mi powiedzieli. Nieoficjalnie oczywiście. Sam zamówiłem taki dowód. Przyszedł kilka dni temu. Nie jestem w stanie go odróżnić od swojego prawdziwego – przekonuje.

Dowód faktycznie nie różni się niczym. Przynajmniej przez pierwsze 10 sekund, kiedy ktoś podaje go do identyfikacji.

Dzięki podrabianemu dowodowi złodzieje zyskują dostęp do karty SIM ofiary.

– Jak państwo weryfikują tożsamość osoby przy wydawaniu duplikatów kart SIM? – pytam rzecznika sieci Play.

Marcin Gruszka odpowiada, że wymiana karty SIM możliwa jest jedynie w punkcie obsługi sprzedaży, a tożsamość osoby uprawnionej (zgodnie z danymi zapisanymi w systemach P4) do wymiany karty SIM weryfikowana jest przez pracownika na podstawie dokumentu tożsamości (dowód osobisty lub paszport).

– Należy w tym miejscu zaznaczyć, że potocznie używane określenie „duplikat” jest błędne – abonentowi zostaje wydana nowa karta, do której przypisywany jest ten sam numer telefonu, a stara karta zostaje dezaktywowana – zaznacza Gruszka.

Dzięki karcie SIM złodzieje mogą się wedrzeć na czyjeś konto w banku. Mogą również przejąć kontrolę nad dostępem do poczty e-mail czy serwisów społecznościowych (odzyskiwanie haseł do kont bardzo często opiera się na kodach/hasłach przesyłanych na numer telefonu komórkowego).

Dostęp do Facebooka czy Instagrama ofiary może być zaś czasami dużo więcej wart niż dostanie się na jej konto bankowe. I posłużyć np. do szantażu.

Sieci komórkowe, wydając duplikaty kart SIM, bezbrzeżnie wierzą w magię dowodu osobistego. Wprowadzenie dodatkowych procedur weryfikacyjnych (pytanie zresztą jakich) mogłoby sprawić, że klienci się zniechęcą do ich sieci.

Jeszcze w sierpniu ubiegłego roku do sieci komórkowych oraz Związku Banków Polskich apelował Urząd Komunikacji Elektronicznej, aby podjąć działania w celu eliminacji kradzieży pieniędzy z kont bankowych z użyciem cudzych kart SIM.

Play twierdzi, że po liście prezesa UKE przedsiębiorcy telekomunikacyjni wprowadzili zmiany w procedurach wymiany kart SIM.

– W P4 wprowadzono m.in. powiadomienie SMS-em przed aktywacją nowej karty z tym samym numerem w celu umożliwienia abonentowi zatrzymania procesu – opowiada Marcin Gruszka.

Jak stracić mieszkanie?

„Dowód kolekcjonerski” pozwala nie tylko wyłudzić kredyt, ale również sprzedać czyjąś nieruchomość.

Takie przypadki już się zdarzają.

Księgi wieczyste są jawne. Można np. sprawdzić przez internet, po adresie, dane właściciela lokalu. Co ma zalety i wady. Anatomia przekrętu w przypadku nieruchomości wygląda tak: złodziej szuka mieszkania do wynajęcia. Czynsz? Bez znaczenia. Z właścicielem podpisuje oczywiście umowę. Bardzo przy tym dokładnie spisuje jego dane z dowodu.

Złodziej zamawia „dowód kolekcjonerski” z danymi właściciela. Ma numer księgi wieczystej oraz dokumenty z urzędu niezbędne do sprzedaży.

A później idzie do notariusza i mieszkanie szybko sprzedaje. Za gotówkę, poniżej ceny rynkowej. Kupującemu zostawia oczywiście klucze. Po czym znika.

Gdy sprawa wychodzi na jaw, okazuje się, że przy podpisywaniu umowy najmu złodziej posługiwał się czym? „Dowodem kolekcjonerskim” z imieniem, nazwiskiem oraz PESEL-em prawdziwej osoby, niemającej jednak o niczym pojęcia.

W grudniu ubiegłego roku serwis Bankier.pl opisywał, jak w taki właśnie sposób kawalerkę wartą niemal 300 tys. zł kupiła od złodzieja… agencja nieruchomości.

Co na to notariusze?

Rejent Szymon Kołodziej, rzecznik prasowy Krajowej Rady Notarialnej, wpierw tłumaczy, że w obecnym stanie prawnym w Polsce nie jest zakazane wytwarzanie i posiadanie dokumentów „kolekcjonerskich”. – Natomiast ich wykorzystanie, w tym przy czynnościach urzędowych, do których należy obrót nieruchomościami, jest przestępstwem – zaznacza.

Według Kołodzieja oczywiście notariusz jest obowiązany stwierdzić tożsamość osób biorących udział w czynności na podstawie przedstawionych dokumentów.

– Najlepszą ochroną byłoby prawne zakazanie wytwarzania dokumentów „kolekcjonerskich” bądź wymóg, by dokument taki miał stosowne oznaczenie, ponieważ techniki produkcji stosowane przez firmy komercyjne są tak zaawansowane, że niekiedy nawet wysokiej klasy profesjonaliści mają problem z odróżnieniem dokumentu oryginalnego od fałszywego – przyznaje notariusz.

I dodaje, że sytuacja zmieni się w momencie wejścia w życie ustawy o dokumentach publicznych z 22 listopada 2018 r., w której zawarty jest przepis sankcjonujący wytwarzanie i zbywanie replik dokumentów publicznych. Ustawa wchodzi w życie dopiero w lipcu tego roku.

Tyle że za wytwarzanie, oferowanie, zbywanie lub przechowywanie w celu sprzedaży replik dokumentu publicznego będzie groziła kara góra dwóch lat pozbawienia wolności.

Nowe przepisy dotyczą tylko Polski, a tajemnicą poliszynela jest, że część takich dowodów robiona jest za granicą. Ustawa nie zakazuje również samego posiadania tzw. dowodów kolekcjonerskich. Może więc z nimi być trochę podobnie jak z dopalaczami. Dopalacze są niby zakazane, ale jednak dostępne.

Jak odzyskać pieniądze ukradzione z banku?

Na Kruka zostały założone rachunki bankowe w różnych bankach. W ilu i gdzie? Tego nie wiadomo. Wiadomo jednak, że zostały założone, bo złodzieje brali na jego nazwisko pożyczki w parabankach. A te stosują jako metodę uwierzytelniania klienta (że Józef Kruk to Józef Kruk) przelew, np. jednogroszowy, z jego konta.

To dla nich dowód na to, że ta osoba istnieje. Bo skoro ma konto w banku, to przecież ktoś ją sprawdził, zanim je założyła, nieprawdaż?

– Ile pan ma tych kredytów?

– Na ten moment dziewięć. Ale zapytań o moją zdolność kredytową było 58. Nie wiem więc, ile z tych dziewięciu kredytów się zrobi. Może 15? Może 30? Instytucji parabankowych są setki. A tylko część z nich korzysta z Biura Informacji Kredytowej.  Mam zastrzeżony numer PESEL, mam zastrzeżony dowód, a kredyty w parabankach dalej są zaciągane.

– Jak to jest możliwe? – dziwię się.

Kruk się śmieje.

– Mam wrażenie, że instytucjom parabankowym nie przeszkadza udzielanie kredytów na fałszywe dowody osobiste. Ponieważ olbrzymia część klientów, którzy zostali wrobieni tak jak ja, tyle że na kwoty rzędu 500 czy 1 tys. zł, woli spłacić te kredyty, niż walczyć w sądzie – wyjaśnia. – Co z tego, że mają rację? Więcej pieniędzy się na prawnika wyda i czasu się straci, niż ten dług jest wart. Mój pierwszy pomysł również był taki. Że skoro ujawniło się tych kredytów na 40 tys. zł, to spłacę je i nie będę przez lata się włóczył po sądach. Ale nie mogę tego zrobić – mówi Kruk.

– Dlaczego? – pytam.

– Ponieważ byłbym przegrany w najważniejszej sprawie z mBankiem. Zostałoby to potraktowane jako przyznanie się do winy. Będę się więc procesował przez kilka lat z parabankami – twierdzi.

Prawnicy powiedzieli Krukowi, że jeden proces będzie go kosztował średnio kilka tysięcy złotych.

Co na to wszystko mBank?

Tylko w grudniu, zaraz po zgłoszeniu Kruka, do tej samej komendy przyszły kolejne dwie zamożne osoby, którym w podobny sposób wyprowadzono pieniądze z mBanku.

– W okresie ostatnich kilku miesięcy odnotowano kilka spraw wpisujących się w przytoczony scenariusz. W większości przypadków próba kradzieży pieniędzy z wykorzystaniem takiego sposobu ataku została udaremniona przez bank – mówi Piotr Rutkowski z mBanku.

Czy mieli państwo w ostatnim okresie wyciek danych zamożnych klientów, tzw. klientów z dużym osadem? – pytam. 

– Bank nie odnotował wycieku danych – twierdzi Rutkowski. 

Jego zdaniem procedura prewencyjna w banku wygląda tak: bank prowadzi całodobowo monitoring podejrzanych transakcji płatniczych. Grono specjalistów zajmuje się tylko i wyłącznie tym. – W wielu przypadkach dzwonimy w celu potwierdzenia zlecanej płatności lub w sytuacji wykrycia kradzieży, informując klienta o zdarzeniu. Ważna jest również szybka reakcja po stronie klienta, w szczególności pilny kontakt z bankiem w przypadku otrzymania wiadomości SMS od operatora telefonicznego o wydaniu karty SIM, której klient nie zamawiał – twierdzi Rutkowski.

Jeśli klient zareaguje wystarczająco szybko, istnieje szansa, że pieniądze da się jeszcze zatrzymać.

Szanse na wygraną?

– Banki stawiają opór i obwiniają klienta nawet wtedy, gdy wiadomo, że to przestępcy dokonali spornych transakcji. Często banki nie wiedzą, jak dokładnie doszło do nieautoryzowanych transakcji, a i tak obwiniają klienta  – mówi radca prawny Aleksandra Falana. A po kilkudziesięciu tego typu sprawach (przed sądem wygrała wszystkie) twierdzi, że zdarza się, że banki nie monitorują skutecznie działań na rachunkach swoich klientów.

– Przykładowo, w jednej sprawie przestępcy w ciągu jednego dnia wyprowadzili z rachunku bankowego mojego klienta ponad 140 tys. zł poprzez ponad 30 przelewów, podczas gdy mój klient nigdy nie dokonywał takich przelewów na takie kwoty. Nikt z banku nie zareagował. Wyczyszczono wszystko, konto bieżące, lokaty, karty kredytowe, limity w rachunku – opowiada.

To nie znaczy jednak, że w sądzie jest łatwo wygrać. Wręcz przeciwnie. Sprawy trwają średnio łącznie w obu instancjach około dwóch-trzech lat. Jeśli się wygra, bank zwróci pieniądze.

– Co pan czuje? – pytam Kruka.
– Wie pan, ja całe życie jestem człowiekiem czynu. I teraz jestem przerażony, że żyjemy w kraju, w którym to może spotkać każdego. Może na mniejsze kwoty, ale każdego! Mogą w każdej chwili sprzedać komuś twoje mieszkanie i wziąć na ciebie kredyty. Na 30 tys. Albo 10 tys. 
– Zna pan takie powiedzenie: „Na biednego nie trafiło”?
– Znam. 
– Wie pan, że ludzie właśnie to będą pisać w komentarzach pod tekstem?
– To były moje rachunki firmowe. Te pieniądze miały iść na pensje dla pracowników. 

PS Pewnych rzeczy w tekście celowo nie ma. Nie chcieliśmy, aby był to szczegółowy instruktaż do popełniania przestępstw. Dlatego niektóre fragmenty, np. o tym, w jaki sposób złodzieje dostali się na konto czytelnika, usunęliśmy.

Imię i nazwisko głównego bohatera zostały zmienione.

***

JAK CHRONIĆ SIĘ PRZED KRADZIEŻĄ TOŻSAMOŚCI?

  1. Pilnuj dowodu osobistego. Jeśli komuś uda się poznać wszystkie dane na nim zapisane, może zrobić „dowód kolekcjonerski”.
  2. Wykup usługę z powiadomieniami SMS, które dostaniesz, gdy ktoś złoży zapytanie kredytowe o twoją zdolność. Taką usługę ma Biuro Informacji Kredytowej czy Chronpesel.pl.
  3. Ustaw w bankowości internetowej powiadomienia o zdarzeniach na koncie wysyłane za pośrednictwem wiadomości e-mail, push lub SMS na inny numer niż ten służący do autoryzacji transakcji.
  4. Jeśli dostajesz SMS, że został wydany duplikat twojej karty SIM, od razu kontaktuj się ze swoim bankiem. Masz bardzo niewiele czasu, aby zapobiec kradzieży.
  5. Nie klikaj w żadne linki przesyłane ci pocztą e-mail, nie otwieraj żadnych załączników, jeśli masz wątpliwości, że są od twojego banku. Podobnego rodzaju wiadomości służą do przejęcia kontroli nad twoim komputerem, a przez to również twoim kontem bankowym.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *