Jak wygląda dziś problem nieautoryzowanych transakcji i przestępstw w sektorze finansowym, które dotyczą np. klientów banków?
To dosyć palący problem i zjawisko bardzo niepożądane, które – niestety – rozwija się intensywnie nie tylko w Polsce, ale na całym świecie. Mamy do czynienia zarówno z transakcjami nieautoryzowanymi, jak i oszukańczymi, czyli de facto autoryzowanymi przez klientów, którzy zostali przekonani przez przestępców – różnymi metodami – do przekazania im swoich środków.
Takie ataki łączą elementy socjotechniki: phishing, spoofing... Co dziś jest najpopularniejsze? Można wytypować dominujące metody?
Jak najbardziej, choć to się zmienia, ponieważ przestępczość bankowa ewoluuje. Historycznie mieliśmy wiele ataków phishingowych, gdzie spreparowany e-mail służył do wyłudzenia danych logowania do konta klienta. Obecnie dominują już typowo socjotechniczne metody, w których klienci są manipulowani tak, by samodzielnie przekazać dostęp do aplikacji bankowej albo dokonać przelewu na rzecz przestępców.
Jak banki mogą się chronić, by takich sytuacji było jak najmniej?
Banki robią bardzo dużo, by zapobiegać tego typu oszustwom. Przede wszystkim intensywnie inwestują w technologie, w systemy antyfraudowe, które pozwalają wykrywać takie transakcje i albo je blokować, albo dają bankom szansę na ostrzeżenie klientów – zwłaszcza w przypadku transakcji autoryzowanych pod wpływem manipulacji socjotechnicznej – zanim zostaną one ostatecznie zrealizowane.
Jednak technologia to nie wszystko. Banki inwestują również sporo czasu i środków w edukację klientów. W aplikacjach i na stronach internetowych regularnie pojawiają się przypomnienia i ostrzeżenia dotyczące bezpiecznego korzystania z bankowości – np. jak zachować czujność, gdy ktoś dzwoni i podaje się za pracownika banku. Istnieją też akcje edukacyjne w przestrzeni publicznej, prowadzone np. przez Związek Banków Polskich.
Pojawia się pytanie także o rolę sztucznej inteligencji. Z jednej strony sektor finansowy już z niej korzysta, z drugiej – AI może posłużyć przestępcom. Czy to wyścig po obu stronach?
W praktyce przestępcy zazwyczaj pierwsi sięgają po nowe technologie – tak też jest z generatywną sztuczną inteligencją. Tzw. deepfejki były już wykorzystywane w celu wyłudzenia pieniędzy. Najsłynniejszy przypadek dotyczył pracownika korporacji, który został „wdzwoniony” na spotkanie w całości wygenerowane przez przestępców i przelał im znaczną sumę.
Przestępcy są o krok przed bankami, ale te również wdrażają systemy oparte na AI, by wykrywać tego typu oszukańcze transakcje i odpowiednio wcześnie reagować.
Jak Polska wypada na tle innych krajów i rynków finansowych?
Problem dotyczy wszystkich rynków. Natomiast globalnie takim zagłębiem scamowym czy fraudowym, jeśli chodzi o oszustwa bankowe, jest Azja Południowo-Wschodnia. Tam jest największe nagromadzenie tych zjawisk.
Co ważne, przestępczość ta mocno się globalizuje. Dobrym przykładem są tzw. oszustwa romantyczne (romance scam), w których użytkownicy aplikacji społecznościowych przez wiele tygodni są przekonywani, że nawiązują jakąś romantyczną relację, która z czasem zamienia się w prośby o przelewy. Ta działalność w całości jest zarządzana właśnie z Azji Południowo-Wschodniej, gdzie zorganizowane grupy przestępcze prowadzą ją na szeroką skalę i w wielu językach.
Czy banki również mogą ograniczać takie oszustwa dzięki technologiom?
Jak najbardziej. Jedną z technologii, która działa na skalę globalną, wykorzystywaną przez banki do zapobiegania nadużyciom, jest tzw. digital fingerprinting. Firmy tworzące bazy „cyfrowych odcisków palca” umożliwiają bankom weryfikację, czy dane urządzenie, z którego loguje się klient, jest rzeczywiście tym, z którego zwykle korzysta. To bardzo skuteczne narzędzie, które wykorzystują również banki w Polsce.
Czy Polacy są otwarci na edukację w zakresie bezpieczeństwa cyfrowego?
To bardzo ciekawe pytanie. W badaniach, w warstwie deklaratywnej klienci odpowiadają, że są bardzo otwarci na edukację i chcieliby jej jeszcze więcej. Ale gdy pytamy, kto powinien się nią zająć, większość uważa, że to banki powinny tak zaprojektować swoje usługi, by były one w 100 proc. bezpieczne.
Jest tu więc pewien dysonans. Natomiast ta edukacja absolutnie musi być adresowana do wszystkich grup społecznych, począwszy od dzieci w szkołach, skończywszy na emerytach.
Dlaczego właśnie do tych grup?
Najbardziej podatne na oszustwa socjotechniczne są grupy mniej świadome, słabiej wyedukowane, z ograniczonymi kontaktami społecznymi. Szczególnie narażone są osoby starsze, które nie mają dostępu do naturalnych źródeł informacji i często nie są w stanie samodzielnie rozpoznać próby oszustwa. Dlatego to właśnie wśród nich edukacja powinna być najbardziej intensywna.
Rozmawiał Paweł Czuryło
Współpraca Jakub Mikulski
