Cyfryzacja zwiększa skalę oszustw na rynku finansowym
Pandemia przyśpieszyła digitalizację płatności, w których główną rolę odgrywają urządzenia mobilne. Na ich wykorzystaniu skupiają się także sprawcy wyłudzeń i oszustw na rynku finansowym. Do najczęstszych oszustw należą przejęcia tożsamości klienta i posługiwanie się jego hybrydową tożsamością.
Grupa Polsat Plus i Fundacja Polsat razem dla dzieci z Ukrainy
Globalna wartość strat wynikających z oszustw we wszystkich obszarach światowej gospodarki przekracza 5 bln dol. To ponad 6 proc. światowego PKB i - dla porównania - dwa razy więcej niż dochód narodowy Wielkiej Brytanii - szacuje raport firmy Crowe i University of Portsmouth. Praktycznie nie ma działalności wolnej od oszustw i wyłudzeń, tylko niektóre są słabiej rozpoznane pod tym względem. Do lepiej zbadanych niewątpliwie zalicza się rynek finansowy, na którym pod wpływem narastającej digitalizacji zachodzą istotne zmiany.
Pod koniec zeszłego roku 60 proc. ataków, których celem było przejęcie środków finansowych, dotyczyło urządzeń mobilnych, a 40 proc. komputerów stacjonarnych i laptopów. Tak wynika z analizy firmy LexisNexis przeprowadzonej na podstawie ponad 35 mld transakcji na świecie. Aż trzy czwarte z nich zrealizowano za pomocą urządzeń mobilnych, podczas gdy trzy lata wcześniej wskaźnik ten wyniósł 55 proc. W drugim półroczu zeszłego roku zanotowano aż 63-procentowy wzrost ataków na urządzenia mobilne; głównie były to próby przejęcia loginu do aplikacji banku lub operatora finansowego. Działania te odnotowały 138-procentową dynamikę wzrostu. Wyłudzenia płatności mobilnych zwiększyły się o 57 proc. w ciągu roku, ataki na loginy o 24 proc., natomiast płatności ogółem zanotowały wzrost jedynie o 8 proc. Skala aktywności oszustów jest naprawdę duża, bo co dziesiąte otwarcie konta bankowego i co ósma zmiana hasła do konta nastąpiły na skutek ich działalności. Dla porównania w pierwszym półroczu 2020 r. tylko za dwoma procentami resetów haseł kryło się przestępstwo. Głównym narzędziem hakowania kont i płatności są boty - liczba ataków za ich pomocą wzrosła w ciągu roku o 77 proc.
Największy wzrost ataków nastąpił na rynkach wschodzących, na których transformacja cyfrowa znacznie przyspieszyła w postaci ekspansji banków cyfrowych i fintechów oraz zwiększenia się liczby ich klientów. Największy wzrost liczby cyfrowych transakcji - aż o 473 proc., do 5 miliardów - zanotowano w Ameryce Łacińskiej. Było to głównie pochodną ich niskiego poziomu wyjściowego, bo jedynie w Argentynie, Brazylii, Kolumbii i Meksyku większość dorosłej populacji korzysta z cyfrowych płatności (ponad 80 proc.), podczas gdy w biedniejszych krajach blisko połowa mieszkańców pozostaje nieubankowiona. Liczba ataków w tym regionie była rekordowa w skali globu - za sprawą botów zwiększyła się aż o 455 proc. w porównaniu z poprzednim rokiem, a liczba ataków inicjowanych przez człowieka wzrosła o 135 proc. Z kolei w rejonie Azji i Pacyfiku (APAC) było to odpowiednio 135 proc. i 5 proc. przy wzroście liczby transakcji za pomocą urządzeń mobilnych o 90 proc. rok do roku. Ataki dotyczyły głownie banków i graczy wyłącznie cyfrowych, w szczególności oferujących odroczone płatności w handlu internetowym, oraz giełd kryptowalut.
Najmniejszą dynamikę wzrostu aktywności hakerów i oszustów zanotowały rynki dojrzałe, gdzie transakcji mobilnych przybywa znacznie wolniej - w rejonie EMEA (Europa, Bliski Wschód, Afryka Północna) o 16 proc. i w Ameryce Północnej o 22 proc. W tych regionach ataki inicjowane przez człowieka wzrosły odpowiednio o 7 proc. i 50 proc. W przypadku botów liczba ich ataków w EMEA wzrosła jedynie o 16 proc., a w Ameryce Północnej wręcz spadła - o 7 proc. Instytucje finansowe są tam znacznie lepiej chronione, a klienci bardziej świadomi i ostrożni. Mimo to liczba ofiar wyłudzeń i kradzieży w sieci wciąż jest tam znaczna. W USA w zeszłym roku zgłosiło je 2,8 mln osób, a w Wielkiej Brytanii prawie pół miliona; przeciętna wysokość straty wyniosła 5,7 tys. funtów - wynika z danych brytyjskiego National Fraud Intelligence Bureau.
Ataki oszustów na różne instytucje są coraz bardziej wyrafinowane i kompleksowe. Typowe rozpoczynają się od uzyskania, za pomocą fałszywych lub zdobytych danych, nowego numeru smartfona używanego w bankowości mobilnej, co może prowadzić do przejęcia powiązanego z nim rachunku bankowego, do którego hasło zostaje zresetowane. Umożliwia to transfery pieniężne i otwieranie linii kredytowch w wielu instytucjach jednocześnie oraz robienie drogich zakupów na platformach e-commerce, także z zastosowaniem odroczonego mechanizmu płatności, która nigdy nie zostaje zrealizowana. Pozyskane dane mogą też służyć do wyłudzania odszkodowań od firm ubezpieczeniowych.
Według danych LexisNexis jedna skradziona cyfrowa tożsamość służy średnio do zaatakowania 35 organizacji, 44 prób zakupów w sklepach internetowych i 100 prób otwarcia rachunku bankowego, aplikacji o kartę kredytową lub pożyczkę.
Szczególnym obszarem dokonywania oszustw pozostaje ciągle e-commerce, którego znaczenie w czasie pandemii znacznie wzrosło. Jak wynika z badania Cybersource, platformy i sklepy internetowe w zeszłym roku utraciły wskutek wyłudzeń średnio 3,1 proc. wartości przychodów i spodziewają się, że w bieżącym roku straty te mogą wzrosnąć do 3,6 proc. wartości sprzedaży. Straty w regionie APAC i Ameryki Łacińskiej są relatywnie wyższe niż na rynkach dojrzałych - o 3,6 proc. i 4 proc. Środki utracone wskutek działania oszustów są jednak dużo wyższe niż straty bezpośrednie, bo należy do nich doliczyć wartość inwestycji w cyberbezpieczeństwo i inne działania prewencyjne, a te na przykład w Ameryce Północnej w zeszłym roku podwoiły się i stanowiły 10 proc. wartości przychodów. Do głównych działań prewencyjnych należy odrzucanie podejrzanych zamówień, szczególnie międzynarodowych, w przypadku których wskaźnik odmów (6-7 proc.) jest dwa razy wyższy niż na rynkach lokalnych. Jednak nie wszystkie muszą być oszustwem, występują też zamówienia błędnie uznane za oszustwo (false negative). Zastosowanie sztucznej inteligencji i uczenia maszynowego może obniżyć wskaźnik takiego odrzucania transakcji, ale inwestycje w nie również obciążają przychody operatorów e-commerce.
- phishing, czyli wyłudzanie danych i innych wrażliwych informacji, oraz whaling - jego forma adresowana do decydentów,
- przekierowanie użytkowników na fałszywe witryny (pharming),
- tzw. przyjazne oszustwo (friendly fraud), czyli żądanie od operatora płatności zwrotu zapłaty z uwagi na otrzymanie rzekomo innego towaru od zamówionego lub brak autoryzacji płatności,
- przejęcie tożsamości klienta (ciągle popularne).
Na niektórych rynkach mamy do czynienia ze specyficznymi rodzajami oszustw finansowych wynikającymi z uwarunkowań prawnych i istniejących procedur. Dotyczy to przede wszystkim USA, gdzie od kilku lat rośnie zagrożenie związane ze stosowaniem fałszywej tożsamości (synthetic identity). Straty z tego tytułu w 2020 r. osiągnęły około 20 md dol., podczas gdy cztery lata wcześniej wynosiły 6 mld dol. - wynika z analizy Rezerwy Federalnej. Metoda ta polega na tworzeniu nowej tożsamości klienta, kiedy autentyczne dane kilku osób, wykradzione z różnych instytucji, łączy się z danymi zupełnie fikcyjnymi. Najistotniejsze jest przy tym, by prawdziwy był numer ubezpieczenia społecznego (SSN). Nową tożsamość wykorzystuje się do wyłudzania środków z instytucji finansowych, agencji rządowych i dokonywania zakupów w internecie. Przestępcy często posługują się danymi osób, w przypadku których istnieje niskie prawdopodobieństwo, że zainteresują się swoją historią kredytową i aplikacji o kredyt, a do takich należą osoby starsze, bezdomne i dzieci. Z tego powodu wykrycie wyłudzeń jest znacznie trudniejsze i może zająć nawet kilka lat.
Posługując się hybrydową tożsamością, przestępcy mogą wielokrotnie występować o niewielkie kwoty kredytu. Ich aplikacje w wielu przypadkach są odrzucane, bo niektóre dane budzą wątpliwości, jednak instytucje mniej czujne, mniej wrażliwe na ryzyko mogą wydać pozytywną decyzję kredytową. Przestępcy nie muszą jednak korzystać z przyznanych środków albo przykładnie je spłacają, bo chodzi im o zbudowanie wiarygodnej historii kredytowej potrzebnej do sięgnięcia po znacznie wyższe kwoty w wielu instytucjach finansowych jednocześnie. Analiza Rezerwy Federalnej wskazuje, że w przypadku aż 70 proc. rachunków utworzonych przez oszustów zachowania płatnicze przez wiele miesięcy są typowe i nie budzą podejrzeń.
Zabiera to więcej czasu, ale sprawia, że ten rodzaj wyłudzenia staje się bardziej atrakcyjny, szczególnie dla zorganizowanych grup przestępczych, które jednocześnie mogą zarządzać dużą liczbą fałszywych tożsamości. Wspierają je obecnością w mediach społecznościowych, prowadząc fikcyjne biznesy, a także korzystając z użyczonych przez inne osoby punktów odbioru zakupionych dóbr (tzw. drop address).
Wielkość szkód będących następstwem tego typu przestępstw nie wynika tylko z wyłudzonych pieniędzy, ale również ze środków i czasu poświęcanego przez wiele firm i instytucji na ściganie nieistniejących osób o sfabrykowanej tożsamości. Ofiarami działań przestępców są nie tylko instytucje finansowe, lecz również sklepy internetowe, szpitale, agencje rządowe, a także podmioty oferujące zakłady bukmacherskie. Przeciętna wartość środków wyłudzonych za pomocą sztucznej tożsamości wynosi od 81 tys. do 97 tys. dol. - wynika z analizy FiVerity.
W najbliższych latach można się spodziewać wzrostu przestępstw finansowych opartych na coraz doskonalszych technologiach. Firma analityczna Experian szacuje że do 2025 r. straty z tego tytułu na świecie przekroczą 200 mld dol. Sztuczna inteligencja umożliwiająca podrobienie obrazu twarzy i głosu (tzw. deepfake) uczyni wykrywanie wyłudzeń jeszcze trudniejszym.
Sprzyjać im będzie także coraz większa powszechność płatności w czasie realnym i płatności odroczonych oraz mniejsze doświadczenie i słabsze zabezpieczenia takich nowych graczy, jak banki wyłącznie cyfrowe i fintechy. Przestępcy już teraz dzięki technologiom dostępnym w darknecie (np. usługa fraud-as-a-service) będą mogli znacznie zwiększyć skalę i szybkość wyłudzeń oraz przejęć aktywów, a nieświadomi klienci coraz częściej mogą uczestniczyć w nielegalnych transakcjach. Aby ograniczyć tego rodzaju zagrożenia, nie wystarczą działania poszczególnych podmiotów na rynku finansowym - potrzebna jest międzynarodowa współpraca.
W Unii Europejskiej ma ona doprowadzić do wdrożenia silnej i bezpiecznej tożsamości cyfrowej, którą będzie można wykorzystywać w publicznych i prywatnych usługach offline i online na obszarze całej wspólnoty. Najsłabszym ogniwem w sferze cyberbezpieczeństwa pozostanie jednak człowiek.
Autor: Mirosław Ciesielski
Wykładowca akademicki, opisuje rynki finansowe, zmiany na rynku fintechów i startupów
więcej publikacji autora Mirosław Ciesielski
Biznes INTERIA.PL na Twitterze. Dołącz do nas i czytaj informacje gospodarcze