Klienti Vodafonu dostávají při zařizování tarifu automaticky i přístup do internetové samoobsluhy, kde si mohou nastavovat služby. Přístup je na heslo. Tepličan Petr Bužo s družkou Nikolou Horváthovou na webu operátora zadávali smyšlená mobilní čísla a k nim zkoušeli heslo 1234. Až se trefili. Pak objednali službu, díky které převáděli peníze na svá konta u sázkových kanceláří.
Na herních účtech podvodníků tak přistálo 667 tisíc korun. Vodafone žádá, aby škodu zaplatili klienti, protože měli slabé heslo. Ti namítají, že jim ho tak nastavil operátor. Od roku 2012 už systém banální číselné kombinace nedovoluje.
Nákup na cizí účet
„Někdy to trvalo týden, jindy to vyšlo hned na první pokus,“ líčil Bužo minulý týden u soudu v Teplicích. Času na to měl dost, nikde nepracoval a nebyl ani veden na úřadu práce, nepracovala ani Horváthová, byla na mateřské. Oba již byli trestaní. Bužo dokonce pětkrát. Poprvé se jim povedlo vniknout do cizího účtu 2. dubna 2017. Využívali zranitelnosti systému.
Každý, kdo si u Vodafone zřídil účet, získal automaticky internetovou aplikaci „Můj Vodafone – internetová samoobsluha“ a přístupové heslo. V „samoobsluze“ si klienti mohou nabíjet minuty volání sobě i svým blízkým, objednávat ke stejnému číslu duplicitní SIM kartu pro případ, že tu první ztratí, nebo nakupovat různé služby. A právě o to podvodníkům šlo.
Jakmile se někomu dostali do „samoobsluhy“, objednali si novou SIM kartu, kterou si vyzvedávali na pobočkách v Teplicích, Mostě, Ústí nad Labem a Praze. Nikdo neověřoval, jestli jsou skutečnými majiteli účtu, stačilo, že znají telefonní číslo a heslo 1234. SIM kartu aktivovali, dobíjeli si vlastní telefony a prostřednictvím platební brány a prémiových SMS převáděli peníze podvedených klientů na herní účty v sázkových kancelářích Tipsport a Chance.
Operátor mu převedl tarif na nový, šestkrát dražší. Podle ČTÚ neoprávněně |
Pak už jen stačilo zajít do sázkové kanceláře a vklady vybrat. „Byla to pračka peněz,“ přiznal Bužo. Napoprvé ukradli klientce Vodafone 1 500 korun. Když zjistili, že to jde, chtěli víc. Od dubna 2017 do října 2017 pronikli do účtů třiceti lidí a vytáhli z nich 137 912 korun. Za to je soud v Teplicích před několika dny poslal do vězení - Buža na tři roky, Horváthovou na dva.
Okradených je však mnohem víc, policie dál shromažďuje důkazy a už nyní ví o dalších 60 zákaznících Vodafone. A vyšší je i částka. Ukazují to platby, které jim až do letošního dubna chodily na herní účty – u Tipsportu měli celkem 526 tisíc, u Chance 141 tisíc.
Původ hesla 1234? Nejasný
Většinu peněz, které podvodníci získali, Vodafone žádá od zákazníků zaplatit. Marné byly jejich reklamace, operátor namítal, že ve všeobecných obchodních podmínkách stojí, že za sílu hesla odpovídají oni. Měli si nastavit složitější. A kde se heslo 1234 vzalo?
Mluvčí Vodafone Adriana Dergam tvrdí, že ho operátor nikdy automaticky nenastavoval. Připustila jen, že to mohli dělat zaměstnanci na pobočkách jako prozatímní variantu, když se klient při zřizování účtu zrovna nemohl rozhodnout, které složitější heslo zvolit, ale s upozorněním, aby si ho později sám změnil.
Jenže v obžalobě se píše, že obžalovaní „zkoušeli zadávat společností Vodafone přednastavené bezpečnostní heslo 1234“. A také klienti, jimž kvůli primitivní kombinaci 1234 Bužo s Horváthovou vnikali do účtů, na policii prohlašovali, že oni si takové heslo nezadávali. Dokonce vypovídali, že o něm nic nevědí, a někteří ani netušili, že nějakou „samoobsluhu“ mají. To zjistili, až když se dozvěděli o vloupání do účtu.
„Nenavštěvovala jsem webovou samoobsluhu, tak předpokládám, že zde bylo nastavené původní heslo operátora,“ sdělila jedna z okradených a podobně vypovídali i další.
Operátor nejednal férově
Soud v Teplicích kvůli tomu kritizoval nejen chování podvodníků, ale i postup operátora. „Tento příklad ukazuje, jak operátoři jednají z pozice silnějšího a alibisticky se schovávají za všeobecné obchodní podmínky,“ poznamenal soudce Miroslav Čapek. „Je to neetické chování, operátor nejednal férově. Pokud by nezřizoval ‚samoobsluhu‘ automaticky i lidem, kteří o ni nestojí a nevyužívají ji, ale zřizoval ji jen na výslovné požádání zákazníka, který by si hned nastavil složitější kód, nikdy by k trestné činnosti obžalovaných nedošlo,“ řekl.
Zároveň upozornil, že škody mohly být mnohem větší, neboť obžalovaní se v samoobsluze dostávali také k osobním údajům klientů – k datu narození, bydlišti, bankovnímu účtu a kompletnímu výpisu volání.
Důchodce zapomněl své heslo, operátor na něj poslal vymahače dluhů |
Okradení klienti se zlobí, že je Vodafone neochránil. Jedním z nich je Martin Koubek z Prahy. Rodinný tarif pro čtyři lidi zakládal už před mnoha roky. „Tehdy se na internetovém účtu dalo sledovat jen vyúčtování,“ řekl. Proto internetovou samoobsluhu nevyužíval, a to ani později, když v ní začalo přibývat služeb. Připomněla se mu až letos v březnu, kdy mu do ní přes naivní přednastavené heslo 123456 někdo vnikl. Zda to byl rovněž Bužo s Horváthovou, zatím není jasné, ale scénář byl stejný, podvodník si nechal poslat SIM kartu a přes M-platby si posílal peníze.
„Stihli odčerpat přes 10 tisíc korun, než automat vyhodnotil transakce jako podezřelé a zablokoval je,“ říká Koubek. Nejvíc mu vadí, že operátor už několik měsíců věděl, že zákazníci jsou terčem útoků. „Jak je možné, že něco neudělal?“ zlobí se.
Škodu vymáhejte na pachateli, říká operátor
Vodafone se hájí tím, že upozorňoval klienty na slabá hesla, která někdo může snadno uhádnout. Jenže varoval na webu, kam zákazníci nemají důvod chodit, nebo v „samoobsluhách“, které mnozí nevyužívali. Koubek s reklamací neuspěl a ukradených deset tisíc nakonec operátorovi, byť nerad, zaplatil. „Já bych si ty služby nikdy neobjednal,“ dodává.
Někteří další okradení však vytrvale platit odmítají. Vodafone o své peníze přijít nechce a poslal na ně vymahačskou firmu. „Pokud došlo ke zneužití účtu neznámým pachatelem, je správným postupem to, že zákazník situaci nahlásí na Policii ČR a podá trestní oznámení. Bohužel nemůžeme naúčtovanou částku kompenzovat. V případě, že policie pachatele dohledá a bude usvědčen, je možné vzniklou škodu následně vymáhat po něm,“ sdělila k tomu mluvčí Vodafone.
Všechny úspěšné útoky podvodníků se týkají starších účtů, od roku 2012 si zákazníci volí vlastní šestimístná hesla sami při zřizování účtu na prodejně, nebo je generuje automat tak, aby nikdy nevznikla číselná řada nebo aby se neopakovaly stejné číslice.
Jednoduchá hesla už systém nepovolí.Je otázka, jestli je šestimístné heslo dostatečné. U ostatních operátorů si zákazníci zařizují přístup k internetovým účtům sami nebo je mohou i odmítnout.