Kdo (naj) nosi posledice spletnih prevar?

2. februar 2023

Plačilne kartice Elektronske komunikacije Osebni podatki in zasebnost
Kdo (naj) nosi posledice spletnih prevar?

Na ZPS smo v zadnjih mesecih prejeli povečano število primerov spletnih prevar. Kot kaže, majhna Slovenija ni več zunaj radarja mednarodnih kriminalnih združb, zato je previdnost na spletu pomembnejša kot kadar koli. Kako pa je in bo porazdeljeno finančno breme naraščajočega števila zlorab? Je res večina uporabnikov hudo malomarnih in s(m)o sami krivi, ko postanemo žrtev spletne prevare?

Dodaj vsebino med priljubljene

Za dodajanje vsebine med priljubljene potrebujete uporabniški profil. Brezplačna registracija

KAZALO

Pandemija je dala pospešek spletu in spletnim prevaram

Vsi podatki kažejo, da je epidemija povzročila skokovito uporabo spleta. In ker je na spletu vse več ljudi, tudi tistih, ki jih tam prej ni bilo in so morda manj digitalno pismeni, je to raj za prevarante.

Še posebej družbena omrežja, a v uporabi so tudi množična pošiljanja e-sporočil, SMS-ov in uporaba aplikacij za sporočanje. Prevare se selijo na naše mobilne naprave, saj jih najpogosteje uporabljamo.

V postpandemičnem svetu smo priča t. i. scandemiji – epidemiji prevar.

Od začetka leta 2022 do novembra 2022 je policija prejela 790 prijav spletnih goljufij, skupna škoda je znašala 13,7 milijona evrov. Najpogostejše so investicijske prevare, skrb vzbujajoč pa je porast  t. i. phishinga oziroma ribarjenja podatkov elektronskih bank.

Prek e-pošte ali SMS-ov (smishing) prevaranti pošljejo povezave do lažnih spletnih strani, kamor z zvijačami speljejo uporabnike. V prepričanju, da gre za njegovo spletno banko, uporabnik vpiše podatke, ki goljufu omogočijo dostop do sredstev na računu. Prijav tovrstnega phishinga je bilo lani 33, oškodovanje je znašalo 2 milijona evrov, veliko žrtev je najverjetneje izgubilo vse svoje prihranke.

Phishing lahko cilja tudi na podatke plačilnih kartic in druge finančne podatke in pri nas predstavlja že okrog 37 odstotkov vseh prijav, globalno je drugo četrtletje 2022 doseglo rekord.

Do novembra 2022 je policija prejela 790 prijav spletnih goljufij, skupna škoda je znašala 13,7 milijona evrov. 

Psihologija – ključ do uspeha spletnih zlorab

Na Si-Certu, nacionalnem odzivnem centru za kibernetsko varnost, opozarjajo, da je pri večini spletnih zlorab uporabljena preprosta tehnologija in da goljufi stavijo predvsem na psihologijo. Njihov uspeh temelji na manipulaciji in uporabi družbenega inženiringa. Poglejmo taktike, ki jih goljufi uspešno uporabljajo.

kdo naj nosi posledice spletnih prevar-3

Strah

Najboljša taktika je prestrašiti uporabnika, na primer, da je njegov bančni račun blokiran ali kartica preklicana, kar lahko uredi s klikom na povezavo.

Nujnost 

Iluzija časovne omejitve, ki ustvari pritisk, da je treba ukrepati takoj. Kadar se nam mudi, delamo napake, brez razmisleka sprejemamo nagle in zato pogosto slabe odločitve. Obenem nam hitro ukrepanje daje občutek, da smo stvar uredili in si povrnili nadzor nad položajem.

Avtoriteta

Goljufi se predstavljajo kot uslužbenci bank, policije, finančne uprave in drugih institucij, ki jim žrtve zaupajo. Marsikdo ne podvomi v avtoriteto (morda smo preveč boječi in ubogljivi), to pa lahko sproži paniko in (pre)hiter odziv.

Preobremenjenost

Danes v enem dnevu prejmemo toliko podatkov, kot smo jih v preteklosti v dveh letih. Preobremenjeni smo s podatki, prejemamo e-pošto, SMS-e, druga sporočila. V takem okolju hitro podležemo paniki in ukrepamo naglo ter nepremišljeno.

Pohlep 

Najpogostejši sprožilec pri investicijskih prevarah, kjer goljufi obljubljajo in lažno prikazujejo, včasih celo izplačajo visoke donose. Nato pa izginejo z denarjem. Vložki so izjemno visoki, v posameznih primerih tudi 200.000 evrov. 

Kdo so ljudje, ki izvajajo spletne prevare?

Večinoma ne gre za osamljene posameznike, temveč dobro organizirane kriminalne združbe, ki delujejo kot klicni centri, tudi z več kot sto zaposlenimi. Na spletu lahko vidimo posnetke, ki so jih etični hekerji pridobil iz vdorom v nadzorne kamere teh "poslovnih prostorov".

kdo naj nosi posledice spletnih prevar5

Šokantno je videti klasično organiziran klicni center, kamor goljufi hodijo na delo. Več denarja ukradejo, več ga lahko vložijo v nove klicne centre, nadgradnjo tehnologije, kadrov in samih prevar.

Pogosto delujejo v državah, kjer mednarodni policijski pregon ni mogoč zaradi geopolitičnih razmer (Rusija) ali zato, ker ni vzpostavljen mehanizem mednarodnega sodelovanja (podsaharska Afrika). Leta 2021 so v Litvi in Latviji odkrili dva taka centra, prek katerih so bili oškodovani tudi slovenski državljani. 

Primeri spletnih prevar

Primeri, ki so nam jih posredovale žrtve prevar (imena so spremenjena), naj služijo kot ponazoritev, kaj vse se lahko zgodi, nikakor niso popoln seznam tveganj. Osredotočili smo se na tipe phishing prevar, ki smo jih prejeli največ, a seveda niso edina nevarnost.

Poti izgubljenega denarja so največkrat nesledljive – kriminalne združbe uporabljajo račune bančnih mul ter nakazila s kripto valutami in drugimi nesledljivimi metodami. V vseh spodnjih primerih žrtve prevar menijo, da krivda ni (ali pa vsaj ne izključno) na njihovi strani. Sredstva želijo dobiti povrnjena.

kdo naj nosi posledice spletnih prevar-6

1. SMS, v katerem se je pošiljatelj predstavljal za prejemnikovo banko

Andrej je na svoj pametni telefon prejel SMS, v katerem se je pošiljatelj predstavljal za njegovo banko. Njegov račun naj bi bil začasno blokiran, aktivira pa ga lahko s klikom na povezavo. Ker ni podvomil o pristnosti sporočila, je kliknil na povezavo in vnesel želene podatke – davčno številko in SMS-kodo.

Čez nekaj minut je prejel varnostni SMS, da je bilo več spletnih nakupov zavrnjenih zaradi prenizkega limita na kartici. Iz banke je prejel klic, da gre za zlorabo, kartica je bila blokirana. A goljufom je uspelo opraviti nakup bitcoinov v vrednosti 470 evrov.

2. Elektronska pošta s pozivom, naj prejemnik nemudoma dokonča registracijo mobilne denarnice

Simona je prejela elektronsko pošto s pozivom, naj nemudoma dokonča registracijo mobilne denarnice pri svoji banki, ki je v resnici pred kratkim ni zaključila. Kliknila je na povezavo in vpisala osebne podatke, vključno z davčno številko in PIN-kodo kartice. S tem so goljufi pridobili podatke za aktivacijo aplikacije za potrjevanje spletnih plačil in opravili nakupe v višini 2500 evrov.

3. Ime lažne spletne banke podobno pravemu imenu 

Marjan in Petra sta v lažno spletno banko vstopila neposredno iz spletnega iskalnika, pokazala se je med zadetki. Spletnega mesta zaradi podobnosti s pravim nista prepoznala kot lažnega. Oba sta po navodilih vnesla svojo davčno in telefonsko številko ter PIN. Obema so do limita zlorabili plačilne kartice v višini 2000 in 2400 evrov.

4. Elektronska pošta lažne Pošte Slovenije o zadržani pošiljki

Jerneja je v svoj e-nabiralnik prejela sporočilo, v katerem se je pošiljatelj predstavljal za Pošto Slovenije. Ker je tako kot mnogi, ki kupujemo po spletu, zares pričakovala paket, je sporočilo imela za pristno.

Njena pošiljka naj bi bila zadržana zaradi napačnega naslova, pravega lahko vnese prek priložene spletne povezave. Kliknila je nanjo in dobila sporočilo, da mora zaradi spremembe naslova plačati 2,85 evra. Ob plačilu je po navodilih vnesla še avtorizacijsko kodo.

Naslednji dan je bila njena kartica v trgovini zavrnjena, račun je bil prazen. Na banki je izvedela, da so si prevaranti poskusili nakazati 2000 evrov z njenega bančnega računa, a na njem ni bilo toliko sredstev.

Nato so uspešno opravili plačilo v višini 1000 evrov ter z več manjšimi plačili še preostali znesek. Oškodovana je bila za 1380 evrov. Nenavadno je, da je bil denar nakazan na račun fizične osebe v Sloveniji, ime Jerneja vidi v aplikaciji banke. 

Prepričana je, da bi jo banka morala opozoriti na sumljive transakcije in čeprav delno priznava krivdo, meni, da bi ta morala biti vsaj deljena.

Uporabnik čaka na pošiljko in dobi sporočilo o paketu. Nekdo ni dokončal registracije aplikacije in dobi poziv, naj jo zaključi. Tretji dobi sporočilo pošiljatelja, ki se predstavlja prav za njegovo banko. 

Ali goljufi res toliko vedo o nas?

V večini primerov ne. Poznajo pa splošne navade uporabnikov (veliko naročamo po spletu in čakamo na pošiljke), ciljajo na pogoste situacije (marsikomu verjetno ne uspe namestiti aplikacije za potrjevanje spletnih plačil ali pa s tem odlaša), vedo, katere banke imajo največ komitentov. Ciljajo na širok krog uporabnikov in upajo, da jih bo čim več ugriznilo v vabo. 

Kako se zaščititi pred spletnimi prevarami

Veliko (a ne vse) lahko za spletno varnost naredimo uporabniki. V EU kar 44 odstotkov državljanov ne obvlada osnovnih digitalnih veščin. Prostora za učenje je veliko in (naj) se nikoli ne zaključi. Goljufi namreč ne spijo, zato tudi mi ne smemo.

kdo naj nosi posledice spletnih prevar-stop

3P – preveri pošiljatelja, povezavo, priponko

Kratica 3P prihaja s Si-Certa. Opozarja in opominja nas, da moramo vedno preveriti, kdo je pošiljatelj (e-pošte, SMS-a …), ali se povezava (domena oziroma naslov URL) ujema z institucijo, ki naj bi nam jo poslala, ter kakšna je priponka. Kadar pošiljatelj zahteva takojšno akcijo ali nas zmoti kaj drugega, se ustavimo in pokličemo domnevnega pošiljatelja (banko, pošto, Furs …).

Nikoli ne pošiljamo osebnih podatkov

Po elektronskih kanalih nikoli ne pošiljamo uporabniških imen, gesel, PIN-številk za plačilne kartice in drugih občutljivih finančnih podatkov. Če nekdo to od nas zahteva, gre zagotovo za prevaro. Banka tega ne bo nikoli zahtevala.

Ne dovolimo dostopa do svojega računalnika

Nikomur, ki ga ne poznamo osebno in mu ne zaupamo stoodstotno, ne dovolimo dostopa do svojega računalnika. To je enako, kot če bi neznanca spustili v svoje stanovanje ali mu dali ključe. Pogosto prevaranti prek oddaljenega dostopa s programsko opremo, kot sta AnyDesk in TeamViewer, vstopijo v uporabnikov računalnik in spletno banko ter mu izpraznijo račun.

Uporabljajmo varnostne SMS-e

Uporabljajmo varnostne SMS-e, ki opozorijo na plačila, dvige s karticami in aktivnosti v spletni banki.

Preverimo limite 

Preverimo limite za plačevanje s karticami: dnevne, mesečne, za dvige, spletna plačila … Višina limita je omejitev za goljufe, zato naj ne bo po nepotrebnem previsok. Bolje, da ga po potrebi zvišamo, kot da imamo "za vsak primer" previsokega glede na naše običajne navade. Opozarjamo, da nekatere banke samovoljno povišajo limite za plačila s karticami.

Spremljajmo Si-Certov Varninainternetu.si

Si-Certov Varninainternetu.si je največja zbirka znanja o informacijski varnosti pri nas. Na voljo je več kot 500 prispevkov primerov zlorab, nasvetov, avdiovizualnih učnih pripomočkov. Dejavni so tudi na družbenih omrežjih. Na voljo je brezplačni spletni tečaj Varnivpisarni.si, ki je specializiran za poslovne uporabnike na različnih delovnih mestih.

Na drugem mestu po številu prijav so namreč prevare BEC (business email compromise) oziroma vrivanje v elektronsko poslovno komunikacijo, kjer prevaranti na primer spremenijo številko računa za nakazilo. Oškodovanja so lahko zelo velika. 

Kaj se zgodi, ko se na spletu pojavi lažna spletna stran?

Na Si-Certu pojasnjujejo, da po zaznavi phishinga poskušajo z različnimi ukrepi omejiti dostop do lažne spletne strani. Kot zelo učinkovit ukrep so se izkazali blokirni seznami, ki jih uporabljajo različni spletni brskalniki.

V prvi fazi poskušajo lažne spletne strani uvrstiti na te sezname, kar pomeni, da brskalnik ob obisku strani čez celotno okno prikaže rdeče opozorilo, da gre za lažno stran. To prepreči skoraj vse nadaljnje obiske lažne strani.

kdo naj nosi posledice spletnih prevar8

Postopek je lahko precej hiter, pogosto traja le nekaj ur, včasih tudi manj kot uro. V drugi fazi obvestijo ponudnike, katerih infrastruktura se uporablja v napadu (administratorje spletnega strežnika, registrarja domene, ponudnika poštnih storitev ipd.).

Hujših ukrepov (v smislu blokade prometa) pri phishing napadih praviloma ne uporabljajo. Svoje interne postopke imajo tudi banke in ponudniki spletnih storitev. 

Kdo (naj) nosi odgovornost in posledice spletnih prevar?

Metode spletnih prevarantov so vedno bolj prefinjene in če smo jih pred nekaj leti razmeroma preprosto prepoznali po polomljeni slovenščini in tujih telefonskih številkah klicateljev, danes ni več tako. Pasti so vedno bolje postavljene in težje prepoznavne. Zato ni primerno in tudi ne pošteno, da bi morale žrtve prevar nositi vse finančne posledice.

V tujini nekatere banke, na primer angleška TSB, nudijo garancijo vračil pri spletnih goljufijah. Zavedajo se, da ljudje lahko izgubijo življenjske prihranke (tudi zato so starejši pogoste žrtve, saj prihranke imajo), s tem pa tudi zaupanje v banke in plačilne sisteme. Najprej so se v TBS bali, da se bodo zaradi garancije uporabniki vedli bolj tvegano, a se to ni zgodilo. Odkar so leta 2019 uvedli garancijo, so sredstva povrnili 97 odstotkom žrtvam.

Odgovornost za spletne zlorabe po našem mnenju nosijo vsi tisti, ki jih lahko tako ali drugače preprečijo. To pa niso in ne smejo biti le uporabniki, temveč tudi ustvarjalci spletnih storitev: banke, drugi ponudniki plačilnih storitev, telekomunikacijski operaterji, spletni iskalniki in trgovci, družbena omrežja. Za boj proti spletnim zlorabam želimo ustvariti okolje, v katerem vsi vpleteni prevzemajo odgovornost in finančne posledice. 

Ste bili hudo malomarni ali zgolj malomarni?

Uporabnike v primeru spletnih zlorab ščiti Zakon o plačilnih storitvah, storitvah izdajanja elektronskega denarja in plačilnih sistemih (ZPlaSSIED). Če je do neodobrene plačilne transakcije prišlo zaradi ukradenega ali izgubljenega plačilnega instrumenta ali z zlorabo, uporabnik krije izgubo do največ 50 evrov.

Celotno izgubo pa krije v primeru uporabnikove prevare ali goljufije ter kadar naklepno ali zaradi hude malomarnosti ni izpolnil ene ali več obveznosti v zvezi z uporabo plačilnih instrumentov.

Zastavlja se vprašanje, kaj je huda malomarnost?

V mnenju IPRS (izvensodno reševanje potrošniških sporov, ki ga izvaja Združenje bank Slovenije) so zapisali, da je huda malomarnost nedoločen pravni pojem, ki ga je opredelila sodna praksa. Pomeni ravnanje, ko je oseba ravnala z manjšo skrbnostjo od skrbnosti, ki se v posameznem primeru lahko pričakuje od povprečno skrbnega človeka.

Vrhovno sodišče je v enem od postopkov pojem hude malomarnosti razložilo kot ravnanje, ki ne upošteva niti tistega, kar bi v dani situaciji upošteval vsakdo, torej ne samo skrben, ampak tudi manj skrben uporabnik.

Tako v nekaterih primerih žrtve prevar niso ravnale hudo malomarno – šlo je za okoliščine, ki lahko zapeljejo povprečnega manj skrbnega (malomarnega) uporabnika. Manj skrbni ali malomarni uporabniki torej niso hudo malomarni, upoštevati je treba tudi osebne okoliščine in ločeno obravnavati ranljive uporabnike.

Zapisali so tudi, da sodna praksa nemških sodišč kaže, da se pošiljanje podatkov na lažne spletne strani večinoma ne šteje za hudo malomarnost, še celo tedaj ne, ko je uporabnik posredoval več osebnih varovalnih elementov. 

Kaj o malomarnosti/skrbnosti pravi slovenska sodna praksa?

Slovenska sodna praksa se še ni izrekla o tem, kakšna skrbnost se zahteva od potrošnika pri ravnanju s plačilnimi karticami in podatki, ki predstavljajo varnostne elemente.

Obstaja pa sodba Višjega sodišča v Ljubljani, ki je v konkretnem primeru izreklo, da zgolj vpisovanja podatkov na lažno spletno stran ni mogoče šteti za hudo malomarnost. Za to bi lahko šlo kvečjemu, če bi bila lažna stran opazno drugačna od prave. Za lažje in hitrejše uveljavljanje pravic potrošnikov je očitno potrebna dodatna sodna praksa. 

Pogled v prihodnost

Izobraževanje uporabnikov je pomembno in nujno, a ne sme biti izgovor, da prevalimo finančne posledice spletnih prevar na posameznike po načelu "saj smo vam rekli". Na ravni EU se pojavljajo predlogi in ponekod že izvajajo ukrepi, ki odgovornost porazdeljujejo med vse, ki imajo moč vplivati na spletne zlorabe.

Uporabnik mora biti v svetu, ki digitalno postavlja na prvo mesto in ga usmerja, pogosto celo sili k uporabi tehnologij, tudi ustrezno zaščiten.

kdo naj nosi posledice spletnih prevar4

Sistematična povračila

Na ravni EU je za kar 68 odstotkov prevar ugotovljena uporabnikova huda malomarnost. Taki primeri so po našem mnenju izjemni in naj ne bi presegali 10 odstotkov. Izkušnje kažejo, da povračila škode potrošnikov ne spodbujajo k neodgovornemu ravnanju.

Transparentnost

Ponudnikom plačilnih storitev naj bo v interesu beležiti in javno objavljati število zlorab ter delež povračil. Tako bodo uporabniki lahko presodili, kje je varnost najboljša in katerim podjetjem lahko zaupajo upravljanje svojega denarja ter jim s tem omogočili preživetje.

Takojšnje povračilo

Žrtev bi morala nemudoma dobiti povrnjeno škodo, nato se lahko ugotavlja njena morebitna odgovornost.

Dokazovanje

Ponudnik plačilnih storitev in ne uporabnik bi moral dokazovati, da je naredil vse, da bi preprečil prevaro.

Definicija hude malomarnosti 

Potrebujemo definicijo hude malomarnosti, ki je trenutno preveč odprta za interpretacijo s strani ponudnikov plačilnih storitev.

Deljena odgovornost med obema ponudnikoma plačilnih storitev

Tako podjetje, ki izvede plačilo, kot podjetje, ki prejemniku omogoči prevzem sredstev, bi morala prevzemati odgovornost.

Sklad

Vanj bi sredstva za povračilo škod žrtvam vplačevali ponudniki plačilnih storitev, višina vplačil bi bila odvisna od njihovega vlaganja v preprečevanje prevar in števila zlorab.

Nadzor, blokade transakcij 

Potrebne so hitre blokade sumljivih nakazil, omejitev števila transakcij in opozorila v primeru nenavadnih transakcij s strani ponudnika plačilnih storitev.

Na področju spletne varnosti lahko in moramo vsi še veliko narediti. Žrtve pogosto krivijo sebe, se sramujejo, izgubijo zaupanje in se pozneje bojijo uporabljati sodobne načine plačevanja.

A žrtev spletne prevare lahko danes postane kdor koli, tako dobro so zamišljene in izvedene. Banke in drugi ponudniki nas spodbujajo in vabijo k uporabi sodobnih načinov plačevanja, ko nastopijo težave (ki pripadajo celotnemu sistemu), pa krivda največkrat pade na uporabnika.

Smo dovolj zrela družba in je tudi pri nas čas za zaobljube ponudnikov plačilnih storitev, da bodo uporabnikom (kadar ti ne bodo hudo malomarni) samodejno povrnili škodo, nastalo zaradi spletnih zlorab?

Avtorica: Alina Meško

Sveže e-novice ZPS, vsak petek

Ste z zanimanjem prebrali ta članek?
Prijavite se na e-novice ZPS za še več aktualnih in koristnih vsebin.

Politika varovanja osebnih podatkov

Sorodne objave

Nazaj na seznam objav

Postanite član Zveze potrošnikov Slovenije

ZPS je neodvisna in neprofitna organizacija, že
več kot 30 let na strani potrošnikov.

Zakaj postati član-ica?

Pridobite dostop do kakovostnih vsebin:

  • Revija ZPStest: 12 številk v 10 izvodih, dostop le prek spleta ali z dostavo na dom
  • Dostop do vseh testov in drugih plačljivih vsebin
  • Pravno svetovanje pri potrošniških težavah
  • Svetovanje o kakovosti in varnosti gospodinjskih aparatov ter zabavne elektronike

Že od 69,60 € / na leto

Zakaj so vsebine ZPS plačljive?

Primerjalne teste izdelkov in storitev financirajo člani ZPS s plačilom članarine. S plačilom posameznega testa tako tudi vi omogočate izvedbo primerjalnih testov. Zaradi zagotavljanja popolne neodvisnosti ZPS kot potrošniška, organizacija ne sprejema donatorskih in sponzorskih prispevkov podjetij.

Želim se včlaniti

 

Potrošniško svetovanje ZPS

Ste v potrošniški zagati?

Pokličite nas. Svetovali vam bodo izkušeni pravni strokovnjaki. Brezplačno za člane in članice ZPS.

 

Več o svetovanju