Inwestował w sieci. Ukradziono mu 100 tys. zł, XTB rozkłada ręce

XTB to platforma transakcyjna, która umożliwia kupowanie i sprzedawanie m.in. walut, surowców i akcji poprzez aplikację na smartfony. Cieszy się w Polsce dużą popularnością. W marcu 2025 r. korzystało z niej ponad 1,5 mln Polaków.

Część z nich zawierza platformie duże oszczędności. Pan Łukasz wpłacił na nią około 140 tys. zł. Inwestycje były trafione. Jak pisze w swoim wpisie w serwisie wykop.pl, po pięciu latach jego konto urosło do 200 tys. zł. Dzisiaj po większości tych środków nie ma już śladu.

Adam Haertle, założyciel strony Zaufana Trzecia Strona podkreśla, że problem nie dotyczy wyłącznie jednej platformy. Ekspert ds. cyberbezpieczeństwa tłumaczy, że przechowywanie w serwisie dostępnym online "jakiejkolwiek kwoty większej od kieszonkowego dziecka" wymaga stosowania dzisiaj odpowiednich zabezpieczeń.

Haertle zaznacza, że podstawową metodą zabezpieczania danych jest dwuskładnikowe uwierzytelnienie (2FA) wymagane do jakichkolwiek transferów wychodzących lub zawierania transakcji w ramach platformy.

Co kryje się pod tym pojęciem? W praktyce większość serwisów stosuje kombinację hasło plus kod SMS, którego treść trzeba wpisać w odpowiednie okienko na stronie. Taka metoda logowania mocno utrudnia pracę oszustom, bo do włamania nie wystarczy już poznanie samego loginu i hasła.

Choć banki już dawno nauczyły się je (dwuskładnikowe uwierzytelnianie - przyp. red.) wymuszać na swoich klientach, to niestety inne serwisy nie, jak operatorzy płatności, biura maklerskie, serwisy bukmacherskie i inne instytucje obracające środkami pieniężnymi - komentuje dla WP Finanse Haertle.

Jak doszło do samej kradzieży? Mechanizm oszustwa jest nieco skomplikowany. Na początku przestępca miał zalogować się na konto użytkownika XTB i wyłączyć powiadomienia o dokonywanej aktywności na koncie.

Serwis niebezpiecznik.pl pisze, że najbardziej prawdopodobna wydaje się wersja, w której złodzieje zdobyli hasło pana Łukasza, które służyło do logowania do innego serwisu. Jeżeli użytkownik korzysta z tego samego hasła na kilku stronach, szczególnie związanych z obracaniem pieniędzmi, przestępcy zyskują ogromne możliwości łamania prawa.

Następnie hakerzy w krótkim czasie zlecili sprzedaż instrumentów finansowych, a potem, po częściowej utracie przez nich wartości, odkupili je po dużo niższej cenie.

"Po pięciu latach spokojnych inwestycji – wszystko zniknęło w trzy-cztery godziny. Przez moje konto przeszły trzy miliony złotych w fikcyjnych transakcjach. Nie dostałem żadnego powiadomienia" – czytamy we wpisie. Na dowód użytkownik opublikował wyciąg transakcji w PDF, który liczy ponad 100 stron.

Pan Łukasz oszacował, że przez taką paniczną wyprzedaż walorów stracił 109 tys. zł. To jednak nie wszystko. Przekroczenie limitu transakcji sprawiło, że XTB zaczęło pobierać od kolejnych operacji prowizje. Według relacji użytkownika Wykopu, platforma zarobiła w taki sposób około 40 tys. zł. Rachunek użytkownika został więc uszczuplony łącznie o 150 tys. zł.

"Nieważne, jak dobre masz hasło, nieważne, gdzie inwestujesz, nieważne, czy masz 2FA – jeśli system jest dziurawy albo ktoś działa z wewnątrz – jesteś bez szans. Czy sam mogłem się lepiej zabezpieczyć? Jasne. Kawał winy i wyrzutów sumienia po mojej stronie. Ale to nie usprawiedliwia zachowania platformy w sytuacji, gdy jest tak wielu poszkodowanych!" - pisze użytkownik XTB.

Poszkodowanych ma być więcej osób. Po publikacji wpisu na Wykopie do pana Łukasza miało zgłosić się około 30 osób. Część z nich twierdzi, że miała włączoną weryfikację dwuskładnikową. Mimo tego padli ofiarą hakerów.

"Złożyłem reklamację. Dwa razy - obie odrzucone bez wyjaśnienia. Rzucono mi tylko punktem z regulaminu w twarz, sugerując, że moja wina, bo nie wpisywałem ręcznie hasła w przeglądarkę za każdym razem" – pisze pan Łukasz.

Biuro prasowe XTB zastrzega, że nie komentuje spraw dotyczących konkretnych użytkowników. Platforma przypomina, że klienci mają do dyspozycji oficjalne procedury reklamacyjne. - Każdą sytuację analizujemy indywidualnie na podstawie przepisów prawa i procedur wewnętrznych. Natomiast stanowczo zaprzeczamy przekazywanym tam informacjom o masowych atakach hakerskich na klientów XTB – czytamy w komunikacie przesłanym redakcji WP Finanse.

XTB przypomina, że w 2024 roku w serwisie wprowadzono uwierzytelnianie dwuskładnikowe. Do tej pory miało z niego skorzystać 10 proc. polskich użytkowników.

"W związku z tym, kierując się troską o bezpieczeństwo inwestorów, w drugiej połowie lipca rozpoczniemy proces stopniowego włączania uwierzytelniania dwuskładnikowego dla wszystkich obecnych klientów. Co więcej, od IV kwartału 2025 każdy nowy klient będzie miał aktywowane 2FA już w momencie zakładania konta" - deklaruje platforma.

Zdaniem Adama Haertle, taka procedura powinna być standardem i być obowiązkowo wdrożona w każdym serwisie przechowującym jakiekolwiek środki finansowe swoich klientów.

Inaczej prędzej czy później internetowi złodzieje znajdą sposób na okradanie kolejnej grupy internautów - przekonuje ekspert.

"Zdajemy sobie sprawę, że metody stosowane przez oszustów czy hakerów stają się coraz bardziej wyrafinowane, dlatego aktywnie monitorujemy działania cyberprzestępców i prowadzimy działania prewencyjne, takie jak monitorowanie dark webu w celu identyfikacji potencjalnych zagrożeń. Na podstawie zebranych informacji na bieżąco dostosowujemy nasze procesy i procedury, wdrażając odpowiednie środki zaradcze" - zapewnia XTB.

Adam Sieńko, dziennikarz WP Finanse i money.pl