Klasyczny system do szybkich płatności wykorzystuje fakt, że transakcje w obrębie tych samych banków rozliczane są automatycznie w kilka sekund. Firma realizująca usługę zakłada konta w najpopularniejszych bankach, na które samodzielnie dokonujesz płatności. Po otrzymaniu pieniędzy firma przelewa je docelowemu odbiorcy. Choć formularz przelewu jest wypełniany automatycznie, logowania do banku dokonujesz sam i system płatności nie ma możliwości podejrzenia twojego loginu i hasła.
Jak działa Sofort
Sofortbanking, zwany w sieci potocznie Sofortem, to działający w Polsce od lutego 2012 r. system płatności bezpośrednich, należący do niemieckiej firmy Payment Net-
work AG. Jego usługa jest akceptowana przez kilkadziesiąt sklepów internetowych m.in. Deichmann.pl.
System płatności Sofortu prosi klienta o podanie loginu i hasła do konta, sam loguje się do systemu bankowości elektronicznej, zleca przelew i prosi klienta o podanie hasła jednorazowego, jeśli jest to konieczne. Na pozór wszystko jest ok. Niestety, w efekcie tej operacji twoje wrażliwe dane (login i hasło do konta) dobrowolnie wręczasz obcej firmie, która w dodatku zgodnie z własnym regulaminem, zamierza je przechowywać na swoich serwerach podobnie jak historię twojego konta. Nawet zakładając uczciwość firmy Payment Network AG i wierząc, że nigdy nie zaloguje się ona ponownie na twoje konto i nie przeleje sobie jakiejś kwoty, musisz pamiętać, że żadna baza danych nie jest bezpieczna.
Co grozi użytkownikom
Podając Sofortowi login i hasło do konta, łamiesz regulaminy praktycznie wszystkich polskich banków, które kategorycznie zabraniają udostępniania tych danych osobom niepowołanym. Bank, dowiedziawszy się, że taka sytuacja miała miejsce, w skrajnym wypadku może nawet wypowiedzieć ci umowę, a na pewno nie uzna reklamacji, jeśli z twojego konta nagle wyparują pieniądze.
Sofort naraża na ryzyko również sklepy. Loguje się na konto klienta, z konta klienta zleca przelew bezpośrednio na konto sklepu (konto Sofortu nie uczestniczy w transakcji) i uznaje ten fakt za dokonaną płatność. Tymczasem wydanie dyspozycji przelewu i jego realizacja to nie to samo. Jeśli obie strony transakcji mają konta w różnych bankach, to przez ładnych kilka godzin po wydaniu dyspozycji przelewu pieniądze pozostają we władaniu banku klienta. W tym czasie może on bez trudu dyspozycję cofnąć i przelew nigdy nie zostanie zrealizowany. Sklep może się o tym dowiedzieć dopiero po kilku dniach, gdy przesyłka będzie już w drodze. W internecie aż się roi od poradników, w których krok po kroku opisano, jak w ten sposób praktycznie bezkarnie okradać sklepy internetowe udostępniające płatności Sofortem.
PC Format zadzwonił na infolinie kilku banków, pytając, jakie jest ich stanowisko w sprawie Sofortu. We wszystkich usłyszeliśmy ostrzeżenie, że po skorzystaniu przez klienta z usług Sofortu bank nie odpowiada za bezpieczeństwo pieniędzy zgromadzonych na koncie.
Czym jest phishing
Phishing to wyłudzanie informacji przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne.
Klasyczny phishing polega zwykle na stworzeniu strony WWW przypominającej serwis banku i skłonieniu użytkowników do zalogowania się do niej, co prowadzi do nieświadomego udostępnienia wrażliwych danych.
W przypadku Sofortu nie mamy do czynienia z podszywaniem się. Nie jest to więc klasyczny phishing, ale skutek jest taki sam. Obca firma ma dane potrzebne do zalogowania się do naszego banku.
Co zrobić, gdy już skorzystałeś z usług Sofortu
1. Natychmiast zmień hasło do systemu bankowości internetowej.
2. Jeśli tego samego hasła używasz również do innych ważnych witryn, zmień hasło również tam.
3. Przeszukaj historię konta. Po stwierdzeniu, że pojawiły się nieznane ci płatności anuluj je, jeśli jeszcze możesz. Jeśli nie, zgłoś sprawę na policję. Zostałeś okradziony.
4. Upewnij się, że masz dokumenty potrzebne do „zresetowania hasła”. Sofort raz na miesiąc lubi się logować do systemów, by pobrać historie kont klientów (uprzedza o tym lojalnie w regulaminie). Ponieważ firma wykorzystuje do tego automat, zablokuje ci dostęp do systemu wskutek wielokrotnych prób logowania przy użyciu błędnego hasła.
5. Jeśli możesz, zamknij konto. Podając hasło Sofortowi, poważnie złamałeś regulamin w zakresie bezpieczeństwa. Bank może wykorzystać to jako pretekst do odrzucenia dowolnej twojej reklamacji dotyczącej operacji na koncie.
