Przestępcy w sieci działają jak biznes. Oszustwa się profesjonalizują, a w ewolucji ich schematów dużą rolę odgrywa ekonomiczna kalkulacja. O kierunkach zmian w przestępczym fachu i najważniejszych zasadach bezpieczeństwa online rozmawiamy z Wojciechem Kordasem, dyrektorem odpowiedzialnym za działania antyfraudowe w ING Banku Śląskim.
Michał Kisiel, Bankier.pl: O internetowych oszustwach mówi się zwykle w kontekście ataków na konsumentów – klientów banków, kupujących w sklepach online. Na ich celowniku są jednak także przedsiębiorcy. Jaka jest specyfika tego typu przestępstw? Czy schematy działania różnią się znacząco od tych wycelowanych w konsumentów?
Wojciech Kordas, Dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim*: Specyfika oszustw internetowych wymierzonych w przedsiębiorców różni się w zależności od wielkości firmy. W średnich i dużych przedsiębiorstwach dominują oszustwa związane z fałszywymi fakturami – przestępcy włamują się na konta mailowe dostawców i informują o rzekomej zmianie numeru rachunku bankowego. Statystyki pokazują, że to właśnie ten typ fraudów jest najczęstszy w przypadku większych firm.
Małe przedsiębiorstwa padają natomiast ofiarą podobnych ataków co konsumenci – głównie phishingu, vishingu czy smishingu. Przestępcy próbują wyłudzić dane lub środki poprzez fałszywe maile, SMS-y lub rozmowy telefoniczne, podszywając się pod banki, regulatorów czy inne instytucje.
Ta różnica wynika przede wszystkim z procedur. W większych firmach płatności zazwyczaj wymagają autoryzacji kilku osób – na przykład księgowa przygotowuje przelew, a prezes go zatwierdza. Złapanie dwóch osób jednocześnie na phishing jest niezwykle trudne, szczególnie że oszuści nie znają wewnętrznej struktury firmy.
Obserwujemy też wzrost liczby oszustw inwestycyjnych, które dotykają zarówno małe, jak i większe przedsiębiorstwa. W przypadku dużych firm pojawia się również tzw. CEO fraud, który polega na tym, że przestępca podszywa się pod członka zarządu i wydaje pracownikom polecenia dotyczące operacji finansowych. Skuteczność tego typu ataków zależy głównie od tego, jakie są procedury w firmie.
Nowym zjawiskiem jest wykorzystanie technologii deepfake, szczególnie w dwóch obszarach. Po pierwsze, w atakach typu CEO fraud, gdzie przestępcy potrafią już podrobić głos prezesa czy członka zarządu. Po drugie, w reklamach fałszywych inwestycji, w których wykorzystywane są spreparowane wizerunki znanych osób – sportowców czy polityków – zachęcających do rzekomo zyskownych inwestycji.
Problem jest na tyle poważny, że rozpoczęliśmy rozmowy z dostawcami mediów społecznościowych. W kontekście nowych regulacji unijnych, w tym dyrektywy PSD3, środowisko bankowe postuluje szersze spojrzenie na cały łańcuch fraudowy. Kluczowe jest zaangażowanie wszystkich podmiotów – nie tylko banków, ale też mediów społecznościowych czy firm telekomunikacyjnych – w walkę z cyberprzestępczością.
Wśród najczęściej spotykanych oszustw online badani wymieniali phishing. Ten schemat ma już kilkanaście lat historii. W jaką stronę ewoluują działania przestępców? Czy doskonalone są raczej sztuczki socjotechniczne, czy może technologiczne aspekty oszustwa?
Ewolucja oszustw internetowych, szczególnie phishingu, zmierza w dwóch głównych kierunkach. Pierwszy to coraz dokładniejsze odwzorowywanie rzeczywistych procedur bankowych. Skuteczność ataku wzrasta, gdy przestępcy potrafią wiarygodnie naśladować autentyczną komunikację banku z klientem.
Weźmy przykład vishingu, czyli fałszywych rozmów telefonicznych. Oszuści nie ograniczają się już do pojedynczego telefonu – tworzą złożony scenariusz uwiarygodniający kontakt. Najpierw wysyłają SMS z nagłówkiem banku, informujący o planowanym połączeniu. Wcześniej mogą też zasiać niepokój, wysyłając wiadomość o rzekomej próbie włamania na konto czy nieuprawnionej próbie zaciągnięcia kredytu. Budują w ten sposób kontekst, który sprawia, że ofiara jest bardziej skłonna uwierzyć w autentyczność późniejszego kontaktu.
Drugi kierunek to profesjonalizacja działań przestępczych. Nie mamy już do czynienia z pojedynczymi hakerami, lecz z zorganizowanymi grupami działającymi na zasadach biznesowych – maksymalizacja zysków przy minimalizacji kosztów. Ponieważ zaawansowane rozwiązania techniczne wymagają większych nakładów, przestępcy skupiają się na socjotechnice. Jest ona nie tylko tańsza, ale też nadal bardzo skuteczna, szczególnie gdy połączona jest z precyzyjnym odwzorowaniem procedur bankowych.
To właśnie dlatego obserwujemy rozwój przede wszystkim metod socjotechnicznych – są one efektywne kosztowo z perspektywy przestępców, a jednocześnie pozwalają osiągać wysoką skuteczność ataków.
Wśród przedsiębiorców (i nie tylko) nadal popularne jest przekonanie, że wystarczy program antywirusowy i „kłódka” w serwisie internetowym, by uniknąć zagrożenia. Dlaczego ten mit jest niebezpieczny dla użytkowników sieci?
Program antywirusowy i "kłódka" w przeglądarce to tylko podstawowe elementy bezpieczeństwa, które chronią przed konkretnymi zagrożeniami. Kłódka informuje o szyfrowaniu transmisji danych, zapobiegając podsłuchaniu, ale jej rola jest często niedoceniana. Klikając w nią, możemy sprawdzić certyfikat strony i zweryfikować, czy faktycznie łączymy się z właściwym serwisem, np. bankiem, czy może z fałszywą witryną. Z kolei program antywirusowy chroni przed złośliwym oprogramowaniem, co jest niezbędne, ale niewystarczające w obecnych realiach cyberzagrożeń.
Jakie więc kroki powinien podjąć każdy przedsiębiorca, by ograniczyć ryzyko związane z obszarem cyberbezpieczeństwa? Co jeszcze powinno mieścić się wśród „żelaznych zasad” zachowania ostrożności?
Kluczowe znaczenie ma zdrowy rozsądek i sceptyczne podejście do komunikacji online. Należy dokładnie weryfikować źródła maili i SMS-ów, pamiętając, że nagłówek banku w wiadomości czy wyświetlany numer telefonu można sfałszować. Trzeba też unikać otwierania załączników z nieznanych źródeł i sprawdzać adresy stron internetowych. W przypadku próśb o pieniądze od znajomych w mediach społecznościowych, warto zweryfikować je innym kanałem komunikacji. Należy też zachować szczególną ostrożność wobec ofert inwestycyjnych obiecujących nierealistyczne zyski.
Wśród "żelaznych zasad" bezpieczeństwa musi znaleźć się również edukacja. Banki i inne instytucje prowadzą liczne kampanie informacyjne, publikują komunikaty i wskazówki dotyczące rozpoznawania oszustw. Problem polega na tym, że użytkownicy często ignorują te materiały, zapoznając się z nimi dopiero po tym, jak padną ofiarą przestępstwa. Dlatego tak ważne jest, by regularnie śledzić informacje o nowych zagrożeniach i metodach ochrony przed nimi.
Większość stykających się z próbą oszustwa zachowuje się biernie, ignoruje takie zdarzenia. Jak powinniśmy zareagować, gdy trafia do nas fałszywa faktura czy propozycja podejrzanej inwestycji?
Należy pamiętać, że większość cyberataków ma charakter masowy – przestępcy wysyłają fałszywe maile, SMS-y czy wykonują połączenia do setek tysięcy potencjalnych ofiar. Nawet jeśli tylko niewielki procent osób da się oszukać, dla przestępców jest to opłacalne działanie.
Istnieją jednak skuteczne mechanizmy reagowania na tego typu zagrożenia. CERT Polska, działający w instytucie badawczym NASK dysponuje narzędziami pozwalającymi na zamykanie stron phishingowych czy blokowanie numerów telefonów wykorzystywanych przez oszustów. Problem polega jednak na tym, że większość osób nie zgłasza prób oszustwa, często poprzestając na satysfakcji, że sami nie dali się nabrać.
To podejście jest szkodliwe, ponieważ brak zgłoszenia oznacza, że tysiące innych potencjalnych ofiar pozostaje narażonych na ten sam atak. Dlatego tak ważne jest, by aktywnie reagować na każdą próbę oszustwa i zgłaszać je do CERT Polska. Dzięki takim zgłoszeniom możliwe jest szybkie zamykanie fałszywych stron i blokowanie numerów wykorzystywanych przez przestępców, co skutecznie ogranicza zasięg ich działania.
Z badania ING wynika, że jedna z częstych reakcji na próbę oszustwa jest zgłoszenie jej do banku, najczęściej w przypadku phishingu (19%) i spoofingu (27%). Jak na te zgłoszenia reaguje bank, co się z nimi dzieje?
Bardzo ważne jest natychmiastowe powiadomienie banku w sytuacji, gdy już padliśmy ofiarą oszustwa i doszło do utraty środków. W takiej sytuacji bank podejmuje szereg działań – może zatrzymać środki będące jeszcze w trakcie transferu lub współpracować z innymi bankami w celu zablokowania środków na koncie oszusta. Istnieją dedykowane systemy międzybankowej wymiany informacji, które umożliwiają szybką reakcję. Dlatego tak ważne jest, by nie zwlekać ze zgłoszeniem – im szybsza reakcja, tym większa szansa na odzyskanie pieniędzy.
W przypadku prób oszustwa, które nie doprowadziły do strat finansowych, banki również podejmują działania. Współpracują z firmami zajmującymi się zamykaniem fałszywych stron internetowych. Jednak możliwości banków są tu ograniczone – pełnią one rolę pośrednika i nie dysponują narzędziami do bezpośredniego działania.
Dlatego najbardziej skutecznym miejscem zgłaszania prób oszustwa jest CERT Polska, który posiada odpowiednie kompetencje i narzędzia do podejmowania konkretnych działań.
Jakie są najbardziej prawdopodobne scenariusze rozwoju cyberzagrożeń w najbliższej przyszłości? Które schematy będą zyskiwać na znaczeniu? Jaką rolę może odegrać bank w ograniczeniu ryzyka grożącego klientom-przedsiębiorcom?
Wszystko wskazuje na to, że trend oszustw socjotechnicznych utrzyma się jeszcze przez długi czas. Już teraz cyberprzestępcy działają jak profesjonalne firmy, dokładnie kalkulując stosunek nakładów do potencjalnych zysków. Dlatego dominują oszustwa socjotechniczne – są stosunkowo tanie w przeprowadzeniu, a jednocześnie bardzo skuteczne.
To właśnie sprawia, że są one tak trudne do powstrzymania. O ile w przypadku ataków technicznych banki mogą reagować własnymi rozwiązaniami (jak choćby skuteczne wykrywanie prób instalacji zdalnego pulpitu), o tyle oszustwa socjotechniczne rozgrywają się głównie poza systemami bankowymi. Weźmy przykład fałszywych inwestycji – przestępcy najpierw zdobywają zaufanie ofiary, zwracając jej niewielką kwotę początkową, by później wyłudzić znacznie większą sumę. Bank widzi tylko końcowy przelew, nie mając wglądu w cały proces oszustwa.
W tej sytuacji rola banków będzie się koncentrować na dostarczaniu klientom jak najpełniejszej informacji o kontekście realizowanych transakcji. Trwają już prace nad nowymi regulacjami (PSR, PSD3), które mogą wprowadzić obowiązek informowania użytkownika o rzeczywistym odbiorcy przelewu, nawet jeśli różni się on od danych wprowadzonych przez klienta. Ma to pomóc w świadomym podejmowaniu decyzji o realizacji transakcji.
Dziękuję za rozmowę.
*Wojciech Kordas – Dyrektor Centrum Eksperckiego Przeciwdziałania Oszustwom w ING Banku Śląskim. Od wielu lat związany z obszarem ryzyka i bezpieczeństwa banków. Ekspert IT Risk oraz Antyfraud. Działa na forum międzybankowym w ramach Związku Banków Polskich. Od kilku lat pełni funkcję przewodniczącego Prezydium Rady Bezpieczeństwa Banków. W ING wcześniej pełnił funkcję szefa ryzyka operacyjnego, a od 2021 odpowiada za działania Antyfraud.
