Cyberbezpieczeństwo

Oszustwa na szkodę banków i ich klientów w czasach pandemii

Grzegorz Florczuk | Zbigniew R. Wierzbicki | BI INSIGHT SA| Betacom SA
Oszustwa na szkodę banków i ich klientów w czasach pandemii
Fot. stock.adobe.com / wladimir1804
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Globalnie i w Polsce pandemia COVID-19 przynosi niestety szybko rosnące negatywne konsekwencje nie tylko zdrowotne, ale też w zakresie bezpieczeństwa w cyberprzestrzeni. Zauważalna jest korelacja między dynamiką zakażeń, a rosnącą dynamiką cyberataków na obywateli, przedsiębiorstwa i instytucje publiczne, zwłaszcza służby zdrowia, piszą Grzegorz Florczuk, Zbigniew R. Wierzbicki.

#Banki muszą konsekwentnie stosować zasadę, że bezpieczny #klient to bezpieczny bank, i że #ryzyko klienta jest też jednocześnie ryzykiem banku #Cyberbezpieczeństwo #COVID19 #Cyberzagrożenia #BIInsight @BetacomSA

Według informacji przekazanych przez SecDevGroup w okresie marca dynamika zachorowań na COVID-19 we Włoszech, Francji, Hiszpanii i USA wyniosła 15‒20%, a dynamika przestępstw w zakresie cyberzagrożeń rosła aż o 25‒30%.

Od marca z powodu ograniczeń związanych z pandemią koronawirusa również w Polsce większość z osób, firm i instytucji przeszła do komunikowania się w sprawach zawodowych i prywatnych w elektronicznych kanałach i aplikacjach mobilnych oraz mediów społecznościowych.

Ruch w sieci wzrasta z dnia na dzień, ponieważ uaktywniło się w sieci wiele osób, które do tej pory nie używały aplikacji mobilnych czy elektronicznych kanałów do załatwiania swoich spraw w urzędzie, banku, poczcie czy zrobienia podstawowych zakupów.

Część z osób i podmiotów nie ma wystarczającego doświadczenia w korzystaniu z elektronicznych kanałów komunikacji, co generuje dodatkowe rodzaje ryzyka. W warunkach pandemii COVID-19 i rosnącej aktywności cyberprzestępców mamy do czynienia zarówno z coraz większym ryzykiem po stronie banków, jak też po stronie klientów banków.

Zmiana zachowań klientów

Banki europejskie doświadczyły gwałtownego wzrostu wypłat gotówki i rosnącego korzystania z cyfrowych usług finansowych przez te grupy klientów, które zazwyczaj  korzystają z nich sporadycznie.

Według www.moneylaundering.com tradycyjne przelewy bankowe spadły o prawie jedną czwartą od początku lutego 2020 r. przede wszystkim z powodu zakłóceń w światowej gospodarce, a jednocześnie ma miejsce wzrost wypłat gotówki, zwiększenie obrotu w bankowości internetowej, jak też zwiększenie ilościowe i wartościowe operacji kryptowalutami.

Spanikowani klienci czując zagrożenie konsekwencjami osobistymi, społecznymi i ekonomicznymi pandemii COVID-19 często wycofują pieniądze z rachunków bankowych i funduszy inwestycyjnych.

Utrudnienia w przeciwdziałaniu praniu pieniędzy i oszustwom

Zmiany zachowań klientów utrudniają personelowi przeciwdziałającemu praniu pieniędzy w instytucjach finansowych rozróżnianie między legalną działalnością w czasie kryzysu, a nielegalnymi transakcjami, w tym działaniami na szkodę klientów.

Czytaj także: Cyberprzestępczość – poważny skutek uboczny kryzysu

W warunkach pandemii banki i inne instytucje finansowe oraz GIIF mogą otrzymywać wiele raportów o podejrzanych aktywnościach, które nie do końca będą się odnosiły do prawdziwych działań oszustów związanych z próbami wyprania pieniędzy, bądź transakcjami nielegalnymi lub oszukańczymi.

Krytycznie ważne w wykrywaniu pojawiających się nowych schematów prania pieniędzy i oszustw jest posiadanie przez instytucje finansowe odpowiednich systemów analitycznych opartych na BI (Business Intelligence) i AI (Artificial Intelligence).

Czytaj także: Na ile chmura obliczeniowa może wspierać cyberodporność sektora finansowego?

Jednak  zbyt wiele instytucji finansowych nadal stosuje tradycyjne podejście progowe. Naruszanie tych progów wywołuje alerty dotyczące podejrzanych transakcji, gdy ich klienci modyfikują swoje zachowanie finansowe w odpowiedzi na pandemię. Liczba tych alertów stopniowo rośnie, co może stwarzać trudności we właściwym reagowaniu.

Niestety, nie wszystkie instytucje posiadają odpowiednie zaplecze w postaci rozbudowanych zespołów analityków AML (Anti Money Laundering), korzystających z zaawansowanych systemów detekcyjnych. Co więcej, nie zawsze systemy mogą być szybko, z dnia na dzień, dostosowane do nowej rzeczywistości, gdy bank nie ma wsparcia ze strony wyspecjalizowanych firm IT.

Dopiero teraz część z banków dostrzega zalety systemów typu CFRM (Cyber Fraud & Risk Management), które posiadają zazwyczaj elastyczne moduły AML oraz antyfraudowe. Wykorzystując rozwiązania typu CFRM można dynamicznie reagować na zmieniające się warunki i zachowania klientów instytucji finansowych, aby właściwie identyfikować próby prania pieniędzy i inne nieodpowiednie zachowania klientów i pracowników, a także próby prowadzenia nieuczciwej działalności na szkodę klientów banku ‒ indywidualnych, przedsiębiorstw i instytucji.

Czytaj także: Temat Numeru | Bezpieczeństwo Instytucji Finansowych | Nadzór i cyberprzestępstwa w sektorze finansowym

Wiele banków traktuje znaczne zwiększenie płatności cyfrowych (ilościowe i wartościowe) jako normalne, po ograniczeniu dostępu klientów do klasycznych bezpośrednich usług w swoich oddziałach. Wiąże się to jednak z nowymi rodzajami ryzyka.

Wkraczamy bowiem na mniej znane obszary ryzyka. Kryzys będzie postrzegany przez środowiska przestępcze i osoby nieuczciwe jako okazja dla wzmożonych prób prania pieniędzy oraz większej aktywności w zakresie oszustw.

W bankach powstają zespoły, współpracujące z organami ścigania, które zajmują się oszustwami związanymi z COVID-19. Banki podejmują również kroki w celu ochrony swoich pracowników, którzy z uwagi na zagrożenie pandemią, częściowo lub w 100% pracują zdalnie z domu. Jednak wiele instytucji finansowych posiadających ograniczoną infrastrukturę informatyczną, może mieć problemy z umożliwieniem pracownikom, zwłaszcza AML, zdalnej efektywnej i bezpiecznej pracy.

Mogą więc wystąpić problemy z wykrywaniem podejrzanych transakcji i raportowaniem SAR. Przy problemach kadrowych oraz niedostatecznego wsparcia informatycznego, niektóre instytucje finansowe stają przed dylematem wartościowania zadań regulacyjnych, koncentrując swoje zasoby na sankcjach, następnie na oszustwach, chroniąc swoje pieniądze i swoich klientów, a w trzeciej kolejności na AML. Jest to niestety specyficzny, czasowo wymuszony hazard ryzyka.  

Nowe obszary ryzyka w instytucjach finansowych

Kraść mogą przestępcy, ale co gorsze, niekiedy także pracownicy, będący pod presją utraty lub zmniejszenia swoich dochodów, w tym pracownicy instytucji finansowych. Ryzyko polega na tym, że posiadają dostęp do rachunków oraz do pieniędzy i mogą wykonywać przelewy oraz inne operacje na rachunkach klientów.

Częstym motywem popełniania czynów na szkodę pracodawcy są również problemy związane z życiem prywatnym pracowników oraz zapotrzebowaniem na dodatkowe środki pieniężne.

Czytaj także: Temat Numeru | Bezpieczeństwo Instytucji Finansowych | Oszczędzanie na bezpieczeństwie to skręt w ślepą uliczkę

Odrębną kategorią motywów są działania pracowników wynikające z nadarzających się okazji, a te okazje w warunkach pandemii niestety pojawiają się. Świadomość słabszej zdalnej kontroli i nadzoru może być przyczyną oszustw i wyłudzeń. W związku z tym zmowy pracowników mogą być coraz  większym zagrożeniem.

W tej sytuacji brak odpowiednich kontrolnych systemów informatycznych nadzorujących działania pracowników pozwala im działać w sposób niemalże niezauważony. Te rodzaje ryzyka wymagają coraz bardziej złożonych systemów ochrony, takich jak CFRM.

Zmiany w otoczeniu klientów banków. Jak atakują oszuści?

W Polsce ma miejsce znaczny wzrost liczby złośliwych ataków zawierających oprogramowanie ransomware (szyfrujące dane i domagające się okupu).

Ponadto według informacji z firmy Check Point jednym z głównych niebezpieczeństw jest obecnie m.in. trojan Dridex, atakujący użytkowników bankowości elektronicznej. Zainfekował już wiele przedsiębiorstw i instytucji.

Coraz częściej w Internecie pojawiają się, wyłudzające loginy i hasła, fałszywe strony z mapami rozprzestrzeniania się pandemii i z nieistniejącymi lekami na COVID-19.

Jak działa oszustwo np. na mapy zasięgu koronawirusa? Hakerzy tworzą fałszywe strony internetowe, na których podają informacje i mapy obrazujące zachorowania na COVID-19. Mapy oraz dane są prawdziwe, ale te strony oferują również aplikacje informujące na bieżąco o rozprzestrzeniającym się wirusie. Pobierając taką aplikację np. na smartfona, ściągamy złośliwe oprogramowanie szpiegujące. Dzięki niemu hakerzy mogą mieć wgląd do loginów i haseł, również do bankowości internetowej i mobilnej, a także numerów kart kredytowych.

Oszustwa związane z podszywaniem się pod instytucje publiczne i „na leki przeciw COVID-19”

Niestety, pojawiają się też próby oszustw w celu sprzedaży fałszywych lekarstw, zbierania funduszy na nieuczciwe organizacje charytatywne lub próby oszustw celem przekazania pieniędzy przez podszywanie się pod instytucje bądź urzędników państwowych.

Hakerzy próbują wyłudzać pieniądze także poprzez Facebook i metodą na BLIK, o czym ostrzega CERT Polska. Wykorzystują do tego rosnące zainteresowanie informacjami na temat COVID-19.

W tym celu tworzą sensacyjne i nieprawdziwe informacje, podszywając się pod znane portale informacyjne lub strony agend rządowych. Często udostępniany jest film, którego obejrzenie wymaga jednak zalogowanie się danymi z Facebooka. Wpisując login i hasło, przekazujemy nasze dane cyberprzestępcom, którzy za pośrednictwem naszego konta na Facebooku są w stanie przesyłać dalej zainfekowaną stronę. Mogą także przesyłać naszym znajomym prośbę o pilny przelew pieniędzy za pośrednictwem BLIK-a.

Czytaj także: Bankowanie i zakupy online: 12,2 proc. Polaków loguje się do swojego banku za pomocą telefonu, najbezpieczniejsze smartfony młodych

Strach przez COVID-19 próbują także wykorzystywać oszuści oferujący leki i testy na koronawirusa. W wielu rejonach rozdzwaniają się telefony zapraszające na prezentacje leków przeciw COVID-19 oraz testów wykrywających wirusa SARS-CoV-2.

W Polsce obowiązuje stan zagrożenia epidemiologicznego. Według zespołu powołanego do reagowania na zdarzenia naruszające bezpieczeństwo w Internecie ‒ CERT Polska ‒ rośnie liczba ataków, wyłudzeń, akcji phishingowych w sieci, a cyberprzestępcy wykorzystują ważne społecznie tematy do tego, by wyłudzić dane od osób chcących dowiedzieć się więcej o pandemii.

Eksperci przypominają, że oficjalne informacje i komunikaty o koronawirusie znajdują się  na https://gov.pl/koronawirus. Natomiast podejrzane wiadomości e-mail, SMS, adresy stron, które mogą wyłudzać dane można zgłaszać przez https://incydent.cert.pl/.

Poniżej przedstawiamy kilka dodatkowych przykładów, jak oszuści próbują wyciągnąć od klientów dane osobowe i pieniądze.

Fake news o blokadzie środków i wsparciu żywnościowym

CERT Polska prosi, żeby nie reagować np. na wiadomość o blokadzie środków na rachunku na poczet specjalnych rezerw krajowych w NBP. Na ten sposób oszustwa zwrócił uwagę również największy bank w Polsce ‒ PKO BP SA. Apeluje więc „Nie klikajcie w przesłane linki!”.

Ponadto nie należy reagować klikaniem w podane linki w powiadomieniach o rzekomym zadłużeniu, o potrzebie dopłaty do przesyłki ze sklepu lub przesyłki kurierskiej itd.

„Ministerstwo Zdrowia nie rozsyła żadnych SMS-ów dotyczących wsparcia żywieniowego w związku z epidemią koronawirus. Prosimy nie wchodzić na podaną w sms stronę internetową” ‒ taki apel wystosował resort zdrowia na Twitterze.

Sposób działania przestępców w tym przypadku opisał Santander Bank Polska SA. Informuje o tym na portalu społecznościowym, że rozsyłane są fałszywe SMS-y o treści: „Ministerstwo Zdrowia: Dla każdego obywatela przysługuje wsparcie żywieniowe w związku z Koronawirusem. Zapisz się na: (…)”.

W wydanym komunikacie Ministerstwo Zdrowia ostrzega „(…) przestępcy namawiają do wykorzystania logowania do urzędu (Ministerstwa Zdrowia) poprzez Bank (usługa Zaufany Profil), a w rzeczywistości wykradają Wasze dane do logowania. Strona, do której jesteście zachęcani, żeby się zalogować, nie jest stroną Ministerstwa Zdrowia”.

„Nie wierzcie w te wiadomości! Nie klikajcie w link, ani nie logujcie się danymi do bankowości internetowej” ‒ apeluje Santander Bank Polska SA.

Oszustwa na szczepionki i talizmany

CERT Polska ostrzega również przed informacjami o „możliwości skorzystania ze szczepionki na koronawirusa po dokonaniu dopłaty do refundacji„.

Eksperci firmy CyberRescue informują również o tym, że oszuści oferują w sieci fałszywe szczepionki na COVID-19. Ich zakupu można też dokonać w ramach transakcji kryptowalutowej. CyberRescue zauważa, że popularność tej metody działania oszustów ma swoje źródło w pojawiających się w sieci teoriach spiskowych na temat COVID-19, zgodnie z którymi szczepionka została wynaleziona już kilka lat temu i od tego czasu jest globalnie ukrywana przed społeczeństwem.

Czytaj także: Bezpieczny portfel na wakacjach

Hakerzy często próbują oszukać swoje ofiary poprzez phishing, chcąc w ten sposób wyłudzić ich dane np. do logowania w usługach płatniczych z użyciem specjalnie spreparowanych, fałszywych formularzy bądź wiadomości SMS.

CyberRescue ostrzega również przed nieprawdziwymi e-mailami rozsyłanymi przez cyberprzestępców, do których pod pozorem obietnicy informacji na temat ochrony przed koronawirusem, mogą być dołączane złośliwe pliki infekujące komputer lub smartfon ofiary złośliwym oprogramowaniem lub wykradające jej dane.

Z kolei Policja ostrzega też przed fałszywymi aukcjami internetowymi i domokrążcami, którzy oferują talizmany, amulety i specjalną żywność podnoszącą odporność.

Oszuści prowadzą swoje działania dwutorowo. Z jednej strony działają w kontakcie bezpośrednim, a z drugiej ‒ w Internecie. Pojawia się mnóstwo aukcji, gdzie oferuje się tego typu produkty, a domokrążcy pukają od drzwi do drzwi, licząc przede wszystkim na uzyskanie zaufania osób starszych oraz  osób, które przebywają w kwarantannie.

Czytaj także: Trzy lata po WannaCry – czy ransomware nadal jest groźny?

Podstawowe zasady ostrożności indywidualnego klienta oraz pracowników firm i instytucji w czasie pandemii

‒ Nie udostępniaj i nie powielaj wiadomości, które nie pochodzą z oficjalnych źródeł (gov.pl, policja.pl itp.). W ten sposób zatrzymasz rozprzestrzenianie się fake newsów;

‒ Nie przekazuj spontanicznie darowizn na cele charytatywne i apele o pomoc (np. na leczenie osoby zarażonej COVID-19), zawsze weryfikuj wiarygodność organizacji;

‒ Nie odpowiadaj na podejrzane wiadomości (szczególnie oferty „cudownych” leków, szczepionek itp.);

‒ Nie otwieraj linków i załączników od adresatów, których nie znasz lub budzą twoje wątpliwości (dotyczy to skrzynki poczty elektronicznej i wiadomości SMS);

‒ Korzystając ze zdalnych zakupów kupuj tylko od sprawdzonych dostawców i weryfikuj ich wiarygodność;

‒ Używaj kart płatniczych (pozwalają ograniczyć ew. straty, ponadto transakcje dokonywane kartami kredytowymi są ubezpieczone);

‒ Nie daj się ponieść emocjom, jeśli jakaś oferta brzmi zbyt pięknie, to prawdopodobnie nie jest prawdziwa.

Czytaj także: Cyberbezpieczeństwo: atak ułatwia dowolny sprzęt podłączony do Internetu

Regularnie sprawdzaj stan swojego konta, co pozwoli szybko wychwycić wszelkie nieprawidłowości i podejrzane operacje, a jeśli masz jakiekolwiek wątpliwości, niezwłocznie skontaktuj się ze swoim bankiem.

Konieczne działania po stronie banków

Trzeba też spojrzeć na społeczno-ekonomiczne i techniczne konsekwencje pandemii jako na test odporności banków i ich klientów na różne rodzaje ryzyka. Szereg działań banków i klientów wymuszonych pandemią będzie musiało być kontynuowanych w okresie po pierwszej fali pandemii i w okresach następnych.

W związku z tym konieczne są z jednej strony działania zmierzające do doskonalenia serwisów informacyjnych dla klientów banków i innych instytucji finansowych, a także wielu innych przedsiębiorstw oraz instytucji publicznych.

Obywatele i przedsiębiorstwa oraz pozarządowe organizacje społeczne muszą otrzymać ze strony banków i instytucji rządowych wsparcie informacyjne pomagające w ochronie przed przestępcami działającymi w cyberprzestrzeni. Banki muszą konsekwentnie stosować zasadę, że bezpieczny klient to bezpieczny bank, i że ryzyko klienta jest też jednocześnie ryzykiem banku.

Czytaj także: Bankowcy dla Edukacji: Zasady cyberbezpieczeństwa

Jednocześnie po stronie systemu bankowego muszą być podjęte kompleksowe systemowe działania na rzecz podniesienia bezpieczeństwa. CERT to bardzo ważne rozwiązanie systemowe, ale jeszcze niewystarczające dla odpowiedniej efektywnej mitygacji różnego rodzajów ryzyka związanego z ekspansją cyberprzestępczości.

Banki powinny jednocześnie dokonać weryfikacji swoich systemów w zakresie Data Governance, bo współcześnie bez wysokiej jakości rozwiązań i systemów Data Quality Management oraz Data Discovery trudno sobie wyobrazić skuteczność rozwiązań w zakresie bezpieczeństwa wewnętrznego banku i odpowiedniej jego odporności w obszarze cyberbezpieczeństwa zewnętrznego.

Rozwiązania powyższe tworzą odpowiednie środowisko dla efektywnego uruchomienia kolejnych działań w zakresie BI, tj. Business Intelligence, w tym zwłaszcza systemów analityczno-raportowych.

Kolejnym równoległym działaniem w ramach koniecznej transformacji systemowej banków jest doskonalenie systemów zapobiegania oszustwom i praniu pieniędzy w oparciu o nowe generacje rozwiązań typu CFRM. W sektorze IT w Polsce są odpowiednie, nowoczesne i efektywne rozwiązania, a więc jest zasadne, żeby banki i inne instytucje finansowe szerzej je wykorzystywały.


Grzegorz Florczuk, doświadczony ekspert z kilkunastoletnią praktyką bankową w zarządzaniu ryzykiem operacyjnym, ryzykiem braku zgodności, AML, oszustwami oraz kontrolą wewnętrzną. W BI Insight odpowiedzialny za obszar AML, przeciwdziałanie fraudom i analitykę CX.

Zbigniew R. Wierzbicki, menedżer z ponad 30-letnim doświadczeniem w sektorze finansowym i korporacyjnym, w tym prezes, wiceprezes, dyrektor zarządzający w bankach i innych instytucjach finansowych, członek wielu rad nadzorczych. Obecnie przewodniczący RN w giełdowej spółce BETACOM S.A. oraz członek Rady Forum Strategii Bankowych.

Źródło: aleBank.pl