850 tysięcy – tyle stracił klient Revoluta. Zabezpieczenia? Pusty rytuał

Revolut znalazł się pod ostrym ostrzałem, gdy media opisały historię klienta, który stracił równowartość 850 tys. zł po tym, jak dał się podejść przestępcom podszywającym się pod pracownika infolinii tego fintechu. Takie sytuacje zdarzają się w innych instytucjach finansowych, ale w nagłośnionej przez BBC sprawie problemem okazały się mizerne zabezpieczenia Revoluta przed wyprowadzaniem pieniędzy z konta seryjnymi przelewami, a wymagane przez apkę zrobienie sobie selfie okazało się pustym rytuałem.

Revolut cieszy się olbrzymią popularnością właściwie w całej Europie, ale o firmie jest głośno nie zawsze z powodów, z których może być dumna. W Wielkiej Brytanii, gdzie ma aż 9 mln klientów, jest instytucją finansową, na którą płynie rekordowa liczba skarg. Tylko w zeszłym roku do brytyjskiego Biura Rzecznika ds. Finansowych wpłynęło aż 3,5 tys. skarg klientów – więcej niż na jakikolwiek bank czy firmę finansową.

Nie wiemy, na co skarżą się klienci Revoluta, ale jedną z historii opisało BBC. Właściciel rachunku firmowego o imieniu Jack (nazwiska nie ujawnia publicznie) został okradziony przez cyberprzestępców na łączną kwotę 165 tys. funtów, czyli około 850 tys. zł. Scenariusz ataku scamerów był dość typowy i polegał na podszywaniu się pod pracowników infolinii, ale zabezpieczenia Revoluta przed wyłudzeniami okazały się – przynajmniej w tym przypadku – papierowe.

Autorzy programu Panorama w BBC opisują, że do klienta Revoluta zadzwoniła osoba przedstawiająca się jako pracownik tego fintechu i ostrzegła, że bezpieczeństwo jej konta mogło zostać naruszone przez to, że Jack zalogował się do publicznej sieci WiFi. Ponieważ faktycznie przebywał wówczas w strefie coworkingowej, telefon wydał mu się wiarygodny.

W toku rozmowy Jack nieświadomie podał hakerom wystarczająco dużo szczegółów, by mogli na jego dane uruchomić apkę Revolut na własnym smartfonie. Przestępcy zajrzeli do historii transakcji i poprosili go o potwierdzenie, że kupował coś w serwisie e-commerce Etsy. Po chwili przyszedł SMS z prośbą o potwierdzenie wydanych sum za pomocą 6-cyfrowego kodu.

Dlaczego nazwa Etsy ma tu znaczenie? Ponieważ oszuści tak samo nazwali własne konto, na które zaczęli seryjnie przelewać pieniądze z konta Jacka, który myślał, że tylko potwierdza transakcje w amerykańskim sklepie internetowym. Z konta zaczęły znikać tysiące funtów w błyskawicznym tempie i Jack w końcu zorientował się, że dał się oszukać, ale zaalarmowanie obsługi Revoluta i szybkie zablokowanie rachunku okazało się niewykonalne.

Klient Revoluta nie był w stanie zadzwonić na infolinię, a jedynie znaleźć w aplikacji funkcję czatu, na którym napisał, że został zaatakowany przez hakerów i prosi o natychmiastowe zamrożenie konta. Dopiero po 23 minutach sprawa trafiła do właściwego działu w Revolucie, a w tym czasie z konta wypłynęło kolejne 67 tys. funtów. Łączne straty zamknęły się kwotą 165 tys. funtów.

Trudności ze skontaktowaniem się z działem ds. nadużyć to i tak mniejszy z problemów. Trudniej wyjaśnić fakt, że system Revoluta automatycznie nie zamroził wykonywanych seryjnie dziesiątek czy setek transakcji wykonywanych na te same konta – w aplikacji bankowej takie operacje zostałyby szybko wychwycone jako podejrzana działalność i poddane analizie właściwego działu. Nic takiego tu nie nastąpiło.

To jeszcze nie koniec. Kompletną fikcją okazało się zabezpieczenie w postaci selfie, które jest wymagane przy zakładaniu konta w Revolucie. Przestępcom wystarczyły dane, które wyłudzili od klienta i na etapie logowania nie musieli dodatkowo autoryzować się za pomocą selfie. Okazało się, że zdjęcie, które Jack zrobił podczas zakładania konta, nie było przechowywane na serwerach Revoluta, czyli firma nawet nie miałaby do czego ewentualnie porównać zdjęcia zrobionego podczas logowania na innym sprzęcie.

Czytaj więcej o Revolucie:

Sprawę klienta Revoluta rozpatruje Biuro Rzecznika ds. Finansowych. Fintech na razie odmawia zwrotu pieniędzy na jego konto. Dopiero od października w Wielkiej Brytanii obowiązuje prawo, które nakazuje bankom i fintechom zwrot połowy kwoty wyłudzonej przy pomocy autoryzacji typu push w aplikacji. Maksymalny limit takiego zwrotu to 85 tys. funtów.

Fintech od początku swojej działalności siedzibę ma w Londynie, wciąż nie ma w tym kraju licencji bankowej. Revolutowi dotąd udało się zdobyć taką licencję na Litwie, ale obowiązuje ona w całej Unii Europejskiej, do której Wielka Brytania już nie należy.

Z danych organizacji pozarządowej Payment Systems Regulator wynika, że Revolut zdecydowanie króluje pod względem sum, które są wyłudzane z kont jego klientów przez potwierdzenie push w apce. W przypadku Revoluta na każdy milion funtów wyłudzanych jest średnio 756 funtów, a dla innych instytucji finansowych jest to około 100-200 funtów.