Cyberbezpieczeństwo | Wydarzenia

Forum Usług Płatniczych: transakcje oszukańcze – gdzie leży problem?

Bohdan Szafrański | aleBank.pl
Forum Usług Płatniczych: transakcje oszukańcze – gdzie leży problem?
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Technologia na straży bezpieczeństwa, ścieżki klienta w procesach w bankowości elektronicznej i mobilnej była tematem wystąpienia Małgorzaty Domagały, dyrektorki ds. rozwiązań cyfrowych i cyberbezpieczeństwa oraz Łukasza Krzykwy, Managera, Digital Solutions w Mastercard. Ich prezentacja rozpoczęła drugą sesję Forum Usług Płatniczych zatytułowaną: "Cyberbezpieczeństwo i aspekty prawne w świecie płatności".

Aplikacje mobilne powinny być wygodne i bezpieczne, mówili prelegenci. Jest obecnie wiele modeli phishingowych i pojawiły się nowe zagrożenia takie jak tzw. zdalny pulpit.

Wspomnieli o problemach związanych ze zdalnym onboardingiem. Jak sprawdzić, czy robi to prawdziwy użytkownik, czy ktoś wykorzystuje obce dane?

Technologia umożliwia dziś weryfikację behawioralną. Banki mogą rozpoznać, czy klient wykonuje np. polecenia osoby podającej się za pracownika banku. Pomaga w tym wykorzystanie sztucznej inteligencji.

Prelegenci mówili także o sytuacji, w której klient zapomniał danych do logowania. Co zrobić, żeby nie miał on kłopotu z korzystaniem z aplikacji banku? Okazuje się, że Mastercard ma gotowe rozwiązania, które rozwiązują ten problem.

Jak cyberprzestępcy atakują klientów banków?

„Cyberprzestępczość związana z transakcjami oszukańczymi – zidentyfikowane problemy” to temat wystąpienia Piotra Balcerzaka, dyrektora Zespołu Bezpieczeństwa Banków w ZBP.  

Zwrócił on uwagę na możliwość oszukańczego prezentowania numerów telefonów np. banków przez przestępców przy kontaktach z klientami.

Dużym problemem są linki do fałszywych stron banków wysyłane pocztą elektroniczną.

Wspomniał o zagrożeniach typu BEC, business e-mail compromise. W tym przypadku tracą przedsiębiorcy przekonani, że korespondują ze swoimi kontrahentami biznesowymi.

Do przestępstw są wykorzystywane tożsamości znanych osób w celu zachęcenia do udziału w oszukańczych pseudo inwestycjach, mających przynieść duże zyski. Pojawiają się próby wykorzystania takich marek jak np. Orlen.

Ostatnio są popularne oszustwa typu „na policjanta”, nakierowane na osoby duchowne. Przestępcy prowadząc rozmowy z klientami manipulują nimi tak, że same te osoby prawidłowo potwierdzają transakcje przelewając środki na konta przestępców.

„Cyberbezpieczeństwo płatności elektronicznych w świetle wybranych rekomendacji Rady ds. Systemu Płatniczego” ‒ ten temat omówił dr Tadeusz Białek, wiceprezes ZBP.

Jak zauważył problemem jest wymiana informacji np. z telekomami.

Nadal są utrudnienia we współpracy z Policją i Prokuraturą. Często do podania informacji przez banki konieczna jest zgoda sądu.

Wiceprezes ZBP mówił o walce z grupami przestępczymi i o geoblokowaniu transakcji.

Powiedział, że powstaje baza informacji skompromitowanych i podkreślił wagę edukacji w budowaniu odporności na zagrożenia cyberprzestępczością.

Panel dyskusyjny: Transakcje oszukańcze – gdzie leży problem?

Debatę moderował dr Tadeusz Białek, wiceprezes, ZBP. Panelistami byli: Katarzyna Urbańska, dyrektor Zespołu Prawno-Legislacyjnego w ZBP, Rafał Winnicki, Head of Operational & Fraud Risk Department w Getin Noble Bank, mec. Aleksandra Księżak, Kancelaria Sołtysiński Kawecki & Szlęzak, Łukasz Ślęzak, dyrektor Departamentu Bezpieczeństwa w Banku Millennium i Krzysztof Słotwiński, dyrektor zarządzający Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania w BNP Paribas Bank Polska.

Jak mówił Krzysztof Słotwiński, dawniej problemem były programy typu malware, a w bankowości internetowej zabezpieczeniem były login i hasło.

Dopiero później pojawiło się dodatkowe zabezpieczenie np. przez SMS.

Z czasem przestępcy zaczęli stosować metody socjotechniczne, żeby ominąć te zabezpieczenia. Teraz na przykład próbują obejść fingerprinting urządzeń.

Jak ocenił Łukasz Ślęzak, zwykle najsłabszym ogniwem systemu bezpieczeństwa jest człowiek. Klient gubi dane, są mu one kradzione lub jest poddany manipulacji.

Pracownikom banku przypomina się czy zapytali klienta o wszystkie sprawy związane z danym przelewem.

Przedstawiciel Banku Millennium wspomniał o informacjach, które otrzymuje klient podczas korzystania z aplikacji bankowej. To między innymi informacje ostrzegające przed możliwym fraudem. Mówił też o wysyłanych informacjach Push. Jeśli są wysyłane za często, to denerwują klientów ‒ zauważył dyskutant.

Jak stwierdziła Aleksandra Księżak, najnowsze wyroki sądów wskazują, co jest rażąco niedbałym zachowaniem płatnika i czy płatnik do fraudu się przyczynił, i w jakim zakresie. Sądy uznają na przykład, że phishing jest już na tyle znanym sposobem oszustwa, że klienci powinni być na to przygotowani. Dla sądu ważne jest to jakie ostrzeżenia klient dostaje ze strony banku i kiedy je dostaje.

Rafał Winnicki mówił jak ważne jest żeby bank wykazał, że podjął wszystkie możliwe działania.

W innej sytuacji znajduje się klient, który jest aktywnym użytkownikiem bankowości elektronicznej. Zwrócił uwagę na problem tzw. false positive – np. jeśli zablokowana transakcja dotyczyła promocji na bilety, a bank zablokował ją z powodu nietypowego czasu jej wykonania, czyli środek nocy.

Jak stwierdziła Katarzyna Urbańska, przepisy o zwrocie środków dotyczą tylko transakcji nieautoryzowanych.

Mówiła o tym, jak dotrzeć z informacją do klienta, który nie zawsze czyta komunikaty.

Wspomniała również o przekazach kierowanych przez UOKiK do klientów banków, że zawsze bank musi oddać od razu pieniądze klientom, bez względu na to, czy klient przyczynił się do danej sytuacji czy nie, co budzi poważne wątpliwości sektora bankowego.

W trakcie dyskusji przedstawiono też wiele przykładów fraudów i nieodpowiedzialnych zachowań klientów banków.

Źródło: aleBank.pl