Klient banku stracił 60 000 USD po tym, jak wpadł w wysoce wyrafinowaną symulację oszustwa IRD i ostrzegł swój bank, aby był czujny online.
Był to znak rosnącego wyrafinowania internetowych oszustw phishingowych, powiedział rzecznik bankowy Nikolas Sladen. Dane bankowe wskazują, że rocznie z powodu oszustw traci się około 200 milionów dolarów.
Mówi się, że Kiwi powinni kontaktować się bezpośrednio z bankami lub IRD, korzystając z numerów podanych na giełdzie, zamiast przechodzić przez linki w wiadomościach tekstowych lub e-mailach.
„Kliknięcie linku lub wybranie numeru z wiadomości tekstowej jest zdecydowanie nie-nie. Apelujemy do klientów banków, aby uważali na wszelkie e-maile lub próby proszące ich o wykonanie działania online za pośrednictwem połączenia telefonicznego lub wiadomości tekstowej”.
Klient banku, który nie chciał być nazwany, powiedział, że otrzymał wiadomość e-mail z działu podatkowego z prośbą o zalogowanie się na swojej stronie MyIR i zweryfikowanie danych konta bankowego w celu uzyskania zwrotu podatku.
E-mail zawierał link do czegoś, co wyglądało na stronę internetową jego banku, gdzie zalogował się do bankowości internetowej i wprowadził kod SMS.
Później odkryto, że cała interakcja była fałszywa i że oszuści wykorzystali jego dane bankowe i kod SMS do skonfigurowania bankowości mobilnej na swoim urządzeniu i pobrania 60 000 USD z jego konta w ciągu kilku dni.
Sladen powiedziała, że bank odrzucił prośbę klienta o zwrot straty, ale uznała, że klient działał rozsądnie w tych okolicznościach.
Program Rzecznika Bankowego powiedział, że klient mógł zostać ostrzeżony o oszustwie, gdyby wiadomość SMS wyjaśniała cel kodu — skonfigurować bankowość mobilną na nowym urządzeniu, a nie, jak sądził, zalogować się do swojej bankowości internetowej.
Sladen kontynuował: „Banki są zwykle odpowiedzialne za straty klientów w wyniku nieautoryzowanej transakcji – zwykle oszustwa – jeśli klient dołożył należytej staranności, aby chronić swoją bankowość”.
Banki są zobowiązane do zrekompensowania strat wynikających z oszustw poniesionych przez klienta, w wyniku których ktoś uzyskał dostęp do jego usług bankowych bez zezwolenia, o ile klient nie był nieuczciwy lub niedbały i podjął rozsądne kroki w celu ochrony swoich usług bankowych.
„W tym przypadku złożoność oszustwa była taka, że uznaliśmy, że klient wykazał należytą staranność w danych okolicznościach” – powiedział rzecznik bankowy.
„Stwierdziliśmy więc, że bank powinien zapłacić klientowi pełne 60 000 USD.
„Niestety, jest to tylko jeden z rosnącej liczby przypadków phishingu, takich jak niedawne oszustwo skryptu opłat drogowych, które polega na nakłanianiu klientów do ujawnienia ich danych bankowych, a tym samym umożliwieniu oszustom kradzieży ich pieniędzy”.