Plaga wyłudzeń danych do logowania

Oszustwa finansowe polegające na wyłudzaniu danych do logowania w usługach bankowości elektronicznej stają się coraz większym problemem dla sektora finansowego, a pandemia mocno zaaktywizowała przestępców do podejmowania takich prób. Jakimi sposobami próbują z tym walczyć banki?

BIZNES INTERIA na Facebooku i jesteś na bieżąco z najnowszymi wydarzeniami

W opublikowanym latem badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów pod patronatem Urzędu Ochrony Danych Osobowych prawie co czwarty Polak (24 proc.) przyznał, że w czasie pandemii rozmawiał przez telefon z kimś, kto poprosił go o podanie numeru PESEL, serii dowodu osobistego lub danych do logowania w bankowości elektronicznej. Kto o to pytał? Ponad połowa (52 proc.) respondentów wskazała na osoby podające się za pracownika banku. Co ciekawe, blisko 18 proc. takich przypadków dotyczyło banku, w którym rozmówca nawet nie miał konta. Dodatkowo prawie co piąty taki telefon był z firmy gazowniczej, energetycznej lub od dostawcy internetu. O numer PESEL, dane z dowodu osobistego lub hasło do logowania w banku respondentów badania pytali również przedstawiciele firm, którzy twierdzili, że wygrali nagrodę w jakimś konkursie (16 proc. wskazań) oraz pracownicy koordynujący bezpłatne badania medyczne (13 proc.).

Reklama

- W takich sytuacjach warto zachować zimną krew. Przede wszystkim musimy wiedzieć, że pracownicy banku nie będę pytali nas o numery dokumentów czy dane do logowania. Sama taka prośba powinna wzbudzić nasze wątpliwości. Dlatego najlepiej zawsze samemu zadzwonić do swojego banku i zapytać, czy rzeczywiście mamy powody do niepokoju. Jeśli nie, powinniśmy poinformować instytucję o tym, że ktoś się pod nią podszywa i dzwoni do klientów próbując ich oszukać. Sprawę powinniśmy też zgłosić na policję, ponieważ może to świadczyć o tym, że ktoś gdzieś wyłudził nasze dane osobowe. Warto sprawdzić również w biurze informacji gospodarczej, czy ktoś nie próbował już wykorzystać naszego numeru PESEL - radzi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Tymczasem blisko co piąty ankietowany (18,4 proc.) przyznał się do tego, że mogło mu się zdarzyć przekazać dane do logowania osobom trzecim. Wprost deklarował to to 11 proc. badanych, pozostali nie mieli pewności. Co zastanawiające, najczęściej dotyczyło to osób młodych w wieku między 18 a 24 rokiem życia (29 proc. w tej grupie). Wraz z wiekiem ta tendencja spada. Najrzadziej dane do logowania przekazują respondenci w najstarszych grupach wiekowych.

Bogate portfolio metod cyberoszustów

Michał Tkaczuk, ekspert w Departamencie Komunikacji Korporacyjnej PKO BP  potwierdza, że oszustwa polegające na wyłudzaniu danych logowania to poważny problem, który dotyka klientów wszystkich banków.

- Od lat regularnie ostrzegamy i edukujemy klientów o pojawiających się zagrożeniach. Robimy to we wszystkich dostępnych kanałach i mediach - na naszych stronach, w serwisach, aplikacji mobilnej i mediach społecznościowych. Wdrażamy też nowe rozwiązania, które podnoszą bezpieczeństwo, np. dodawanie urządzeń do zaufanych, czy mobilną autoryzację, dzięki której wszystkie operacje zatwierdza się w aplikacji mobilnej IKO - mówi Michał Takczuk.

W jaki sposób cyberoszuści najczęściej próbują wyłudzać dane do logowania od klientów PKO BP? Nie tylko podszywają się pod bankową korespondencję e-mail (phishing) czy zamieszają spreparowane linki do fałszywych stron płatności internetowych, które służą wyłudzeniu danych logowania od klienta na portalach aukcyjnych. Klientów banku próbują też naciągać na fałszywe smsy z linkami do płatności lub instalującymi szkodliwe oprogramowanie. Popularne są też oszustwa na kryptowaluty polegające na obietnicy wysokich zysków. Oszuści nakłaniają do zainstalowania oprogramowania przejmującego kontrolę nad komputerem ofiary.

- Coraz częstsze stają się ostatnio oszustwa telefoniczne i podszywanie się pod pracowników banku. Niestety, oszuści wykorzystują słabość technologii GSM, która pozwala im się podszyć pod dowolny numer. Można oczekiwać, że będą pojawiać się kolejne scenariusze ataków polegające na podszywaniu się pod firmy, instytucje publiczne, czy służby - nie ma wątpliwości Michał Tkaczuk z PKO BP.

Problem dostrzegał m.in. Związek Banków Polskich, który na początku czerwca opublikował ostrzeżenie, że do Bankowego Centrum Cyberbezpieczeństwa ZBP zaczęły wpływać zgłoszenia o próbach wyłudzania danych osobowych osób fizycznych. Odbywa się to zaś tak, że bliżej nieustalone osoby, dzwonią na telefony potencjalnych pokrzywdzonych a ich połączenie identyfikowane jest jako połączenie z numeru centrali telefonicznej Związku Banków Polskich.

ZBP ostrzega, że jest to oszustwo, którego celem jest próba wyłudzenia danych nasilające się w Polsce od pewnego czasu. Oszuści zaś zmieniają jedynie pretekst, pod którym dzwonią, nazwę instytucji, pod którą się podszywają oraz jej numer telefonu. ZBP podaje też, że w II kwartale tego roku odnotowano 1 914 prób wyłudzeń kredytów i przyznaje, że to stosunkowo wysoki poziom, który utrzymuje się od ostatnich czterech kwartałów (14 proc. wzrostu r/r).

Banki aktywnie przeciwdziałają

Konrad Korczak, dyr. Departamentu Kontroli i Zapobiegania Przestępstwom w  Santander Bank Polska potwierdza, że liczba scenariuszy i form kontaktu w atakach w ostatnich miesiącach staje się coraz bogatsza, a celem przestępców jest m.in. wyłudzenie danych do logowania w usługach bankowości elektronicznej. Przy czym oszuści atakują cały sektor, a nie tylko wybrane banki.

- Stale rozwijamy nasze systemy analizujące i blokuje podejrzane transakcje, by przeciwdziałać próbom oszustw. Mamy jednocześnie świadomość, że wielomilionowe nakłady na mechanizmy zabezpieczające nie wystarczą, jeżeli klienci także nie zadbają o bezpieczne bankowanie. W związku z tym zależy nam na efektywnym budowaniu świadomości zagrożeń wśród naszych klientów. Dlatego na bieżąco, w kanałach zdalnych, ostrzegamy przed możliwymi atakami - mówi Konrad Korczak.

Santander Bank zaproponował np. ostatnio klientom możliwość szybkiego samodzielnego sprawdzenia poziomu swojej wiedzy w zakresie pięciu podstawowych zasad bezpieczeństwa. Dodatkowo swym klientom oferuje bezpłatnie na okres 12 miesięcy "Pakiet bezpieczeństwa w sieci", w ramach którego dostępna jest usługa CyberRescue polegająca na wsparciu ekspertów od cyberbezpieczeństwa. Celem tej oferty jest zwiększenie świadomości i wiedzy klientów oraz budowaniu bezpiecznych nawyków używania internetu w naszych codziennych sprawach.

- Pamiętajmy również, że do kradzieży środków klienta nie wystarczy jedynie login i hasło. Potrzebna jest również autoryzacja smsKodem lub za pomocą aplikacji Santander mobile. To w tym momencie kluczowe jest zachowanie użytkownika - zawsze należy czytać z uwagą smskody i wiadomości push. Nigdy nie należy zatwierdzać transakcji, której nie realizujemy. Niestety, z naszych analiz wynika, że wiele osób nie czyta treści komunikatów, lub robi to wybiórczo, i samodzielnie zatwierdza dyspozycje, które składają przestępcy - mówi Konrad Korczak.

W ING Banku Śląskim także przyznają, że podobnie jak cały sektor bankowości na świecie boryka się z także z problem. oszustw finansowych. I oczywiście aktywnie stara się przeciwstawiać oszustwom.

- Zauważamy jednak, że w głównej mierze skuteczność tych ataków zależy również od świadomości i podejmowanych działań przez klientów. Bank prowadzi monitoring zdarzeń finansowych i niefinansowych w bankowości elektronicznej. Monitoring działa w czasie rzeczywistym w trybie detekcji i prewencji. Wszystkie przelewy i wiele zdarzeń niefinansowych w bankowości elektronicznej są w ten sposób monitorowane i jest oceniane ich ryzyko. Na podstawie tej oceny ryzyka transakcji mogą być w trybie automatycznym uruchomione dodatkowe mechanizmy bezpieczeństwa np. odrzucenie transakcji. Prowadzone są prace nad wykorzystaniem dodatkowych narzędzi m.in. nad wykorzystaniem szerzej metod biometrii behawioralnej w tym procesie - mówi Magdalena Klejment, starszy menedżer ds. komunikacji w ING Banku Śląskim.

Pekao SA stara się natomiast uczulać swych klientów, aby byli ostrożni i zwracali uwagę na różnego rodzaju aktywności oszustów mające na celu wyłudzenie pieniędzy. Komunikaty z prośbą o zachowanie czujności regularnie publikowane są w serwisie internetowym Pekao24 oraz w aplikacji PeoPay. Również na stronie banku na bieżąco aktualizowane są informacje o nowych metodach oszustów i wskazówki jak się przed nimi ustrzec. Pekao uczula klientów, aby w sytuacji, gdy podejrzewają, że mogli paść ofiarą oszustwa, to powinni przekazać taką informację do banku. To bowiem pozwala na podjęcie dalszych kroków. Ponadto Bank Pekao w mediach społecznościowych prowadzi kampanię informacyjną #Cyberczujni, w której przestrzega klientów przed angażowaniem się w kontakty i sytuacje budzące wątpliwości.

Bank Millennium zapewnia, że jego pracownicy reagują na każdy sygnał, który może być próbą wyłudzenia informacji lub środków od klientów, a firma jest w stałym kontakcie z organami ściągania. Doświadczenia Banku Millennium pokazują jednak, że w większości przypadków sytuacje, w których klienci padają ofiarą różnego rodzaju oszustów i wyłudzaczy wynikają z braku przestrzegania przez nich podstawowych zasad bezpieczeństwa w sieci, takich jak np. niepodawanie danych do logowania lub danych karty płatniczej podejrzanym osobom i na podejrzanych stronach czy nieściąganie aplikacji z nieznanych źródeł. Ponieważ w każdym z tych przypadków kluczowa jest świadomość klientów, banki, w tym Bank Millennium, wspólnie z ZBP oraz indywidualnie prowadzą intensywną edukację swoich klientów. Bank informuje klientów o zagrożeniach, również tych związanych z inwestycjami w kryptowaluty, działalnością nieuczciwych brokerów inwestycyjnych oraz osób podających się za takich brokerów.

mBank natomiast przed tegorocznymi wakacjami opublikował wyniki badania na temat bezpieczeństwa, które zlecił. 58 proc. Polaków przyznało w nich, że oni sami lub osoby z ich otoczenia spotkały się z próbą oszustwa w internecie. I chociaż coraz lepiej radzimy sobie z rozpoznawaniem potencjalnych przestępstw, nieuwaga i podatność na socjotechniki stosowane przez oszustów sprawiają, że między naszymi deklaracjami a rzeczywistością jest spory rozdźwięk. I tak 43 proc. Polaków i ich bliskie lub dalsze otoczenie doświadczyło wyłudzeń w oparciu o fałszywe smsy. Drugim najpowszechniejszym typem zdarzeń w internecie jest próba kradzieży danych lub pieniędzy podczas zakupów w fałszywym sklepie internetowym. Z taką metodą oszustów zetknął się co trzeci Polak. Rośnie również popularność wyłudzeń metodą "na BLIK" w mediach społecznościowych. Z taką próbą kradzieży kodu lub wyłudzenia danych spotkała się blisko jedna trzeci respondentów. Aż jeden na pięciu Polaków zadeklarował, że doświadczył osobiście lub zna osoby, których dotknęło oszustwo polegające na podszywaniu się pod pracownika banku lub policjanta.

W mBanku podkreślają, że właśnie dlatego już od 2015 r. bank regularnie prowadzi kampanie na temat bezpieczeństwa w internecie. Tegoroczna odsłona odbyła się pod szyldem "Ludzie są niesamowici". Bank systematycznie też informuje klientów o najnowszych zagrożeniach w sieci (pushe w aplikacji mobilnej, na blogu firmowym, portalach społecznościowych i stronach www). Ponadto klienci mBanku mogą skorzystać z bezpłatnej usługi CyberRescue, w ramach której nie tylko uzyskają ostrzeżenia o najnowszych atakach ale także przez 24 godziny na dobę pomoc ekspertów w zakresie cyberbezpieczeństwa.

Inwestycje w systemy zabezpieczeń

By dać odpór oszustom banki inwestują też oczywiście w najnowsze rozwiązania informatyczne z zakresu cyberbezpieczeństwa.

- Proces monitorowania bezpieczeństwa transakcji elektronicznych w Banku Ochrony Środowiska jest procesem złożonym, na który ma wpływ wiele czynników. Bank w ramach świadczenia usług płatniczych wdrożył szereg mechanizmów bezpieczeństwa zgodnych z wytycznymi organów nadzorczych (Europejskiego Urzędu Nadzoru Bankowego - EBA i komisji Nadzoru Finansowego - KNF) oraz rekomendacji PSD2 w zakresie silnego uwierzytelniania klienta - podkreśla Krzysztof Trela, dyrektor Departamentu Cyberbezpieczeństwa w Banku Ochrony Środowiska.

Zauważa on, że obecnie w procesie monitorowania bezpieczeństwa transakcji elektronicznych bank obserwuje diametralną zmianę w sposobie przeprowadzanych przez cyberprzestępców ataków na klientów banku. Częściej są ataki polegające na podszywaniu się pod pracowników banku i mające na celu przekonanie ofiary do zainstalowania oprogramowania do zdalnego zarządzania komputerem czy telefonem. Spadała natomiast liczba ataków wykorzystujących różnego rodzaju szkodliwe oprogramowanie wnikające w infrastrukturę klienta.

- Walka z atakami telefonicznymi jest bardzo trudna, ponieważ w scenariuszu ataku przestępca kontaktuje się bezpośrednio z klientem i stosując metody socjotechniki nakłania klienta do podania swoich poufnych danych lub zainstalowania oprogramowania typu zdalny pulpit i przejęcia kontroli nad urządzeniem klienta w wyniku czego te dane przechwytuje.

Bank przeciwdziałając tego typu atakom, oprócz stosowania swoich zabezpieczeń i reguł, kładzie szczególny nacisk na podnoszenie świadomości klientów o cyberzagrożeniach.

Bank działając na rzecz bezpieczeństwa swoich klientów podejmuje również indywidualnie działania adekwatne dla danego zagrożenia oraz współpracuje z innymi bankami w ramach Bankowego Centrum Cyberbezpieczeństwa ZBP - mówi Krzysztof Trela.

Tomasz Wilczyński, dyrektor Biura Projektowania i Architektury Rozwiązań CyberSecurity w Banku BNP Paribas podkreśla, że bank przykłada ogromną wagę do bezpieczeństwa swoich klientów, ich danych, środków pieniężnych oraz systemów informatycznych. Dlatego też systemy bankowe są regularnie testowane pod kątem bezpieczeństwa, a działanie podejmowane przez bank coraz bardziej podnoszą wysokie już standardy zabezpieczeń.

- Co więcej, liczne zespoły specjalistów w banku dbają o to, by nasi klienci mogli bezpieczne korzystać z usług bankowych również przez internet. Aby ograniczyć ryzyko nieautoryzowanych działań na kontach klientów, nasze systemy bankowości posiadają m.in. mechanizmy silnego uwierzytelnienia oraz autoryzacji transakcji (logowanie za pomocą hasła maskowanego i kodu SMS oraz autoryzacja transakcji kodem SMS lub aplikacją mobilną; logowanie i autoryzacja transakcji podpisem elektronicznym). Systemy bankowości elektronicznej posiadają limity kwotowe dla transakcji oraz schematy akceptacji transakcji w systemach dla firm, a także obrazki bezpieczeństwa, w celu łatwiejszego potwierdzenia, że logujemy się na poprawną stronę banku. Dodatkowo, dzięki strategicznej współpracy naszego banku w obszarze technologii z firmą IBM, nasi klienci biznesowi mogą korzystać za darmo z dodatkowego zabezpieczenia, jakim jest aplikacja IBM Trusteer Rapport, wykrywająca zarażenie komputera złośliwym oprogramowaniem i usuwająca niebezpieczne pliki - mówi Tomasz Wilczyński.

W stale trwającym wyścigu technologicznym z przestępcami banki starają sie być o krok do przodu, ale bez zdrowego rozsądku u klienta nawet najbardziej wyrafinowana technika nie wystarczy, by nie poniósł straty.

Marek Jaślan

***

Gazeta Bankowa
Dowiedz się więcej na temat: dane osobowe | wyłudzenie danych osobowych
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »