Co najmniej 1 bilion dolarów, a zapewne sporo więcej wynosi roczna wartość scamów na całym świecie. Nic więc dziwnego, że debatę otwierającą konferencję “Scamming Out! Summit” rozpoczęliśmy od dyskusji, jak skutecznie można walczyć o bezpieczeństwo klientów banków. Jak się okazuje, nie jest to takie proste. ”Klienci przestali już wierzyć nawet prawdziwym konsultantom” – zaznaczali paneliści.
Eksperci są zgodni: skończyły się czasy, gdy hakerami byli amatorzy działający w pojedynkę.
– Cyberprzestępczość to jest już przemysł. Mówi się, że będzie to koszt około 10 bilionów dolarów dla gospodarki. To nie jest partyzantka, to są zorganizowane działania infrastrukturalne – zauważa Mateusz Oleksy, dyrektor generalny Visa.
Zobacz także
Komentarz Partnera projektu Scamming Out! firmy VISA
Paradoksalnie próg wejścia w ten "biznes" jest niepokojąco niski. Maciej Siciarek, dyrektor CSIRT NASK, wskazywał na drastyczne obniżenie wieku sprawców.
To są grupy przestępcze, w których często identyfikujemy we współpracy z organami ścigania 15-16-latków jako hersztów – wyjaśnia.
Kradzione 100 czy 200 zł z punktu widzenia organów ścigania to niewiele, natomiast jeśli pomnożymy te kwoty przez liczbę ofiar, to okazuje się, że mamy w Polsce około 600 mln zł wyprowadzanych z gospodarki właśnie za pomocą scamów. I tak zdaniem ekspertów, kwoty te są zaniżone co najmniej o połowę.
Opóźniony zapłon i sztuczna inteligencja
Co sprawia, że cyberprzestępcy są zawsze o krok przed nami? Zmienia się ich taktyka. Przede wszystkim przestali się spieszyć, a wolą przeczekać, w ten sposób uspokajając ofiarę. Mateusz Oleksy z Visa określa to jako zjawisko "opóźnionej monetyzacji". Z analizy platformy handlu danymi BidenCash wynika, że ponad 80% skradzionych danych jest wykorzystywanych dopiero po 12 miesiącach od kradzieży. To sprawia, że trudno powiązać stratę środków z konkretnym wyciekiem danych.
Do gry wchodzi również sztuczna inteligencja. Deep fejki dotyczą już nie tylko “znanych i lubianych”. Przestępcy doskonale potrafią podrobić głos kogoś nam bliskiego. W ten sposób coraz trudniej odróżnić, co jest prawdziwe, a co wygenerowane przez AI. Jednak i banki zaprzęgają sztuczną inteligencję do pracy. Np. dzięki analizie biometrii behawioralnej AI ocenia, czy podejrzane drobne przelewy robi klient czy robot.
Hakerzy atakują "interfejs białkowy"
Spada liczba ataków na urządzenia mobilne za pomocą złośliwego oprogramowania. Kogo więc wybierają na cel cyberprzestępcy? Uderzają nie w nasze pieniądze, ale w nas samych. Okazuje się to dużo łatwiejsze.
Kiedyś chroniono infrastrukturę banku, potem komputery klientów. Dziś walka toczy się o umysł użytkownika – wyjaśnia Adam Marciniak, prezes VeloBanku, który tworzył pierwsze departamenty cyberbezpieczeństwa w Polsce. – Dochodzi do ewolucji w stronę tzw. interfejsu białkowego, czyli mózgu klienta. Klient de facto wykorzystuje środowisko banku do tego, żeby stracić pieniądze (np. robiąc przelew na rachunek przestępców – red.) – dodaje.
Potwierdza to Paweł Piekutowski z Urzędu Komisji Nadzoru Finansowego. Zwraca uwagę na paradoks: urządzenia mobilne stały się tak bezpieczne, że przestępcy rezygnują z ich atakowania na rzecz socjotechniki. – Przestępcy bardzo dobrze nauczyli się liczyć. Wolą zadzwonić, podać się za przedstawiciela znanej firmy, i nakłonić do inwestycji. To łatwiejsze niż pisanie złośliwego oprogramowania – wyjaśnia.
Poziom manipulacji bywa szokujący. Adam Marciniak przytacza historię klienta, który przyszedł do oddziału wypłacić pieniądze pod dyktando oszustów. – Mówimy temu klientowi, nawet z policją, że to jest fraud, że zostanie okradziony. A klient i tak nie uwierzył, chciał wypłacić pieniądze – relacjonuje prezes VeloBanku.
Paweł Piekutowski dodaje, że zmanipulowani klienci potrafią wierzyć bardziej "panu z telefonu", który obiecuje zyski, niż pracownikowi banku ostrzegającemu przed kradzieżą. Jeśli bank im odmawia wypłaty ze względu na czynnik fraudogenny transakcji, to jeżdżą od bankomatu do bankomatu i przekazują przestępcom reklamówkę pełną gotówki. Oszustwa inwestycyjne można zaliczyć do tych najbardziej popularnych. Warto jednak się ich ustrzec, pamiętając, że szybki zysk po prostu nie istnieje.
Z drugiej jednak strony to właśnie Unia Europejska w dyrektywie PSD3 położyła nacisk na odpowiedzialność, która spoczywa na barkach podmiotów finansowych. Zdaniem ekspertów warto znaleźć złoty środek. Powołują się przy tym na przykład Wielkiej Brytanii, która wprowadziła pojęcie “rażącego zaniedbania” – w takim przypadku środki nie muszą być zwracane przez bank na konto klienta. Sprawa jak zawsze rozbija się o definicję.
- Jeżeli klient sam przeleje pieniądze, jednocześnie będąc poinformowanym o tym, że to jest oszustwo, i 15 razy potwierdzi to transakcję SMS-em w telefonie komórkowym – czy to jest rażące zaniedbanie, czy nie? - pytają retorycznie paneliści.
Dobrze w praktyce sprawdza się także tzw. cooling. Jeśli konsument chce na przykład drastycznie zmienić limity transakcji czy wprowadzić inną ważną zmianę na swoim rachunku, to nie następuje to od razu, ale na przykład dopiero 24 godziny po aktywacji.
Edukacja nie działa? Kontrowersyjna teza UOKiK
W debacie o bezpieczeństwie jak mantra powraca słowo "edukacja". Jednak Bartłomiej Dzik z UOKiK wlewa łyżkę dziegciu do tej beczki optymizmu, powołując się na badania eksperymentalne (tzw. red teams).
Pracownicy, którzy kliknęli link phishingowy i zostali wysłani na szkolenie odnośnie do scamów, przy kolejnym teście klikają z takim samym prawdopodobieństwem. Edukacja czasami po prostu nie działa – argumentuje przedstawiciel UOKiK.
Zjawisko to nazywane jest w psychologii "dysracjonalnością", gdy nawet inteligencja i wykształcenie nie chronią przed oszustwem. Dlatego UOKiK stawia na twarde ograniczenia systemowe. Ekspert przypomina, że jeszcze niedawno w niektórych bankach "zwykły Jan Kowalski" tuż po założeniu konta miał domyślny limit przelewów na poziomie 800 tysięcy złotych, co ułatwiało czyszczenie konta w jeden dzień. Dzięki interwencji regulatora te limity zostały drastycznie obniżone.
Walka z gigantami i koniec darmowej wygody
Kolejnym istotnym wentylem bezpieczeństwa powinny być media społecznościowe. Jednak bigtechy pozostają bezczynne. Maciej Siciarek z NASK przyznaje wprost, że od roku trwa "otwarty front" z firmą Meta. – Mimo apeli, by systemowo zdejmować reklamy służące kradzieży, skutek jest żaden. Media społecznościowe nie robią sobie nic z tego, by wycinać szkodliwy przekaz – dodaje gorzko.
Jaka przyszłość czeka klientów banków? Obecnie polski sektor jest oceniany jako jeden z najbardziej zaawansowanych na świecie. Jednak Adam Marciniak nie ma złudzeń.
Trzeba uświadomić sobie, że łatwo już było. Będziemy szli w kierunku zabezpieczenia klienta kosztem pewnego rodzaju wygody – prognozuje prezes VeloBanku.
Oznacza to więcej autoryzacji, limitów i telefonów weryfikacyjnych. To cena, którą musimy zapłacić za bezpieczeństwo w świecie, gdzie po drugiej stronie ekranu czai się nie tylko haker, ale i AI.
A jak płacić? Kartą z ustalonymi, niezbyt wysokimi, limitami. Zarówno w sklepie, jak i internecie. Na zabezpieczenia płatności idą gigantyczne środki i są inwestycje, które zdają egzamin.
