W zeszłym tygodniu ekscytowaliśmy się "atakiem" na mBank, którego klienci byli z jednej strony masowo "częstowani" e-mailami namawiającymi do odblokowania rzekomo zablokowanego dostępu do konta (a więc klasycznym phishingiem), a z drugiej strony zalewani postami, SMS-ami i e-mailami mówiącymi o nadchodzącym w ciągu najbliższych godzin bankructwie mBanku. Połączenie tych dwóch incydentów, któremu mocy dodały media społecznościowe i potęga plotki, spowodowało zaskakująco groźny efekt - ludzi, którzy realnie zaniepokoili się bezpieczeństwem swoich pieniędzy było znacznie więcej, niż zwykle. I nie wiadomo czy sytuację uratowało szybkie dementi banku, rozsądna reakcja dziennikarzy (którzy albo zrezygnowali z podbijania bębenka, albo opisywali historię jako niedorzeczną), czy fakt, iż twórcom plotki nie udało się osiągnąć masy krytycznej przestraszonych klientów. Bo tylko przejście paniki ze świata wirtualnego (posty, czaty, mejle, SMS-y) do realnego (kolejki w bankach i wysuszone bankomaty) mogłoby spowodować efekt kuli śniegowej i możliwość utraty przez bank płynności (choć na pewno jeszcze nie niewypłacalnym).

Czy takie ataki będą się w przyszłości powtarzały? Zapewne tak, zwłaszcza że - jak pisałem w blogu - są ku temu coraz lepsze warunki w postaci kaca branży bankowej po upadłości SK Banku oraz naderwanego zaufania z powodu "afer frankowych". Scenariusze tego typu "ataków" na banki z wykorzystaniem mediów społecznościowych były już zresztą opisywane nie tylko na Zachodzie, ale i w Polsce. Bardzo podobny do "mBankowego" atak rok temu opisała np. firma Apostołowie Opinii, która zajmuje się internetowym PR-em i "czyszczeniem" sieci z niekorzystnych dla jej klientów komentarzy. I nie mogę wykluczyć, że jej za to nie lubię, bo co innego walczyć z płatnym hejtem, a co innego wycinać w pień wszystkie krytyczne opinie (nawet te prawdziwe i uzasadnione), fałszując wizerunek firm i utrudniając "karanie" przez opinię publiczną złych praktyk. Mam nadzieję, że tego ostatniego Apostołowie się nie imają. Ale wracając do rzeczy: zdaniem Apostołów "społecznościowy" atak na banki w Polsce jest możliwy, gdyż...

"banki praktycznie nie reagują na potrzeby swoich klientów, co może oznaczać, że w momencie kryzysowym to właśnie klienci będą największym katalizatorem i przekaźnikiem w rozprzestrzenianiu kryzysu, a co za tym idzie, zamiast bronić wizerunku instytucji której ufają, będą świadomie lub nieświadomie ją atakować"

Scenariusz ataku opisanego przez Apostołów wygląda następująco. O godzinie "X" na profilu banku na Facebooku lub Twitterze wynajęci przez złych ludzi "klienci" zaczynają publikować posty, z których wynika, że w bankomatach nie ma pieniędzy i nie da się wypłacić z konta ani grosza. Rzecz dzieje się np. w piątek wieczorem, gdy oddziały banku są już zamknięte. Jednocześnie w sieci powstaje fan-page o nazwie "Bank nie ma już kasy", na którym "klienci" opisują swoje problemy z dostępem do gotówki. Fan-page jest oczywiście promowany, a dzięki kontrowersyjnej tematyce się ładnie rozprzestrzenia (np. tysiąc polubień na godzinę). Z trzeciej strony w wątkach poświęconych bankowości na forach internetowych, w komentarzach pod wpisami blogowymi pojawiają się zachęty do tego, by sprawdzić czy da się z konta wyjąć pieniądze. Według Apostołów da się w ciągu trzech godzin osiągnąć zasięg rzędu miliona userów.

Czytaj: Ujawnienie danych klientów Plus Banku zmieni nasze relacje z bankami?

Czytaj: Złodzieje zdalnie okradają nam konta, a banki mówią, że... to nie ich wina

Potem do gry wchodzą portale internetowe, agregaty informacyjne (wykop.pl, kwejk.pl itp.) i serwisy oraz blogi finansowe w sieci, które opisują niepokojące sygnały w mediach społecznościowych i niechcący przyczyniają się walnie do zbudowania większego zasięgu niepokojów - nawet do 4 mln userów. Z kolei osoby, które polubiły lub "szerowały" posty dotyczące rzekomych kłopotów z bankomatami, zaczynają dostawać kolejne informacje, które mają je utwierdzić w przekonaniu, że dostęp do pieniędzy może być ograniczony lub niemożliwy. Apostołowie piszą też o możliwości rozprzestrzenienia się kryzysu na inne banki, bo mając już "społecznościową infrastrukturę kryzysową" można przecież "infekować" inne banki. Sukces w postaci destabilizacji jednego lub więcej banków (w skrajnym scenariuszu całego systemu bankowego) przyjdzie wtedy, gdy uda się przekonać wystarczająco dużo osób, żeby poszły do bankomatów i wycofały pieniądze. Najlepiej - z punktu widzenia "atakujących" - byłoby, gdyby te pieniądze w bankomatach w końcu się skończyły i gdyby akurat był środek weekendu :-).

WARTO ZOBACZYĆ: Jak nie dać się okraść przez internet z pieniędzy na koncie? Wystarczy przestrzegać tych pięciu zasad. Poświęć dwie minuty swojego życia, żeby je poznać. Albo żeby sprawdzić czy je już znasz :-)

Taki jest przepis na kryzys bankowy. Ile brakuje do jego realizacji? To nie tylko pytanie o rozsądek ludzi i odporność mediów na rodzące się w mediach społecznościowych histerie. To także pytanie o to czy banki są przygotowane na atak "społecznościowy". Czy przeprowadzają audyty e-wizerunku, żeby sprawdzić jak podatni są ich klienci na "infekcje" przychodzące od manipulatorów z zewnątrz? Czy mają system wczesnego ostrzegania (m.in. dzięki monitoringowi sieci i mediów społecznościowych)? Czy mają procedury pozwalające stłumić wizerunkowy kryzys, zanim rozleje się na miliony użytkowników sieci? Czy mają odpowiednio wyszkolonych pracowników, którzy będą prowadzili komunikację antykryzysową w sieci, kierując uwagę zaniepokojonych klientów do wiarygodnego źródła, a tam przekazywali "scentralizowaną", rzetelną informację jako rodzaj "odtrutki"? Czy mają procedury, dzięki którym mogą sprawnie "czyścić" sieć z kłamliwych wpisów, postów, komentarzy i artykułów? Scenariusz katastrofy jest już znany, opisany i - co więcej - wstępnie przetestowany przez złych ludzi na mBanku. Efekty były obiecujące dla "złych", ale coś nie zagrało. Na miejscu bankowców przygotowałbym się na to, że kolejne tego typu próby będą jeszcze lepiej przygotowane, przeprowadzone w lepszym momencie, a ich budżet będzie pozwalał na większą skalę "ataku". I nie liczyłbym na to, że procedury antykryzysowe zastąpi zbiorowa mądrość klientów oraz rozsądek mediów internetowych.