Raport Antyfraudowy BIK: Polacy pod presją cyberoszustów

Tylko na przestrzeni ostatnich 12 miesięcy liczba Polaków, którzy byli bezpośrednimi świadkami przynajmniej jednej próby oszukańczej, wzrosła o 10 p.p., uzyskując rekordowy dotychczas rezultat 47%. Oszuści coraz częściej biorą na cel użytkowników aplikacji mobilnych, których według najnowszej edycji raportu Związku Banków Polskich NETB@NK jest już ponad 25 mln, z czego 18 mln komunikuje się z bankiem wyłącznie za pośrednictwem smartfonu.

– Smartfony i tablety stały się dla większości użytkowników podstawowym narzędziem kontaktu z bankiem, co czyni je szczególnie narażonymi na cyberataki – podkreśla Agnieszka ­Szopa-Maziukiewicz, wiceprezes zarządu BIK i prezes zarządu Digital Fingerprints. Aż 27% uczestników ankiety BIK miało styczność z próbą zainfekowania ich urządzenia mobilnego, a ponad 60% respondentów zdaje sobie sprawę, że problem ten będzie miał charakter narastający. W dalszym ciągu jednak przeszło jedna piąta użytkowników bankowości mobilnej nie uświadamia sobie rzeczywistej dynamiki przestępczej aktywności, co znajduje smutne potwierdzenie w praktyce. 16% uczestniczących w badaniu BIK deklaruje, że nie stosuje żadnej blokady ekranu smartfonu, zapewniając ewentualnym złodziejom swobodny dostęp do cyfrowych zasobów w przypadku utraty urządzenia.

Sprawcy żerują na emocjach

Rosnąca aktywność sprawców w kanałach mobilnych nie oznacza, że zwolennicy tradycyjnych kanałów kontaktu z bankiem mogą czuć się bezpieczni. – Oszuści nieustannie doskonalą swoje metody socjotechniczne, np. poprzez obietnice wysokich zysków z inwestycji, co rodzi wyraźnie zwiększone ryzyko dla klientów banków – przestrzega Karol Głogowski, dyrektor IT Usług Antyfraudowych w BIK. Przypomina, że – z uwagi na wolumen dokonywanego transferu – zmanipulowani posiadacze kont bankowych z reguły dokonują wpłaty na rachunek sprawców za pośrednictwem klasycznego serwisu internetowego banku.

Ustalenia BIK potwierdzają, że sprawcom nie zawsze chodzi wprost o wyłudzenie pieniędzy; głównym ich celem jest pozyskanie danych osobowych, które można wielokrotnie wykorzystywać do zaciągnięcia kredytu, pożyczki czy innego zobowiązania na cudzy rachunek. Świadczą o tym coraz częstsze próby przechwycenia numeru PESEL przez hochsztaplerów podszywających się pod instytucje publiczne (Policję, urząd skarbowy czy jednostkę samorządu terytorialnego).

Schematy te znajdują się wśród pięciu najczęściej stosowanych strategii oszukańczych, a o ich skuteczności decyduje najczęściej nieświadomość ofiar. Pomimo licznych kampanii informacyjnych, w tym tych towarzyszących uruchomieniu usługi zastrzegania PESEL, w dalszym ciągu co dziesiąty Polak nie kojarzy wycieku własnych danych z potencjalnym zagrożeniem. Sprawcy potrafią doskonale wykorzystywać nasze emocje, poczynając od chęci łatwego zysku, a kończąc na altruizmie.

Niemal co czwarty z respondentów zetknął się w tym roku z przypadkami tzw. fraudów inwestycyjnych; ich ofiarą padają z reguły ci, którym wizja ponadprzeciętnego zwrotu z inwestycji przysłania racjonalną ocenę ryzyka. Są i tacy, do których najskuteczniej trafia oferta podejrzanie korzystnej wyprzedaży w sklepie internetowym, która – jak się okazuje – jest tylko fałszywką, sprytnie zmontowaną przez oszustów. Na przeciwległym biegunie znajdują się fałszywe akcje charytatywne i zbiórki pieniędzy na szczytny cel, w których zapominamy sprawdzić, czy za budzącym odruch współczucia anonsem w internecie nie kryją się cyniczni i bezwzględni przestępcy. Tymczasem jest to zjawisko coraz powszechniejsze: o ile w roku ubiegłym jedynie co piąty Polak zetknął się z tym schematem fraudu, to obecnie odsetek ten jest już o 8 p.p. wyższy.

– Brak wiedzy, a często wręcz naiwność Polaków, to wyzwanie nie tylko z biznesowego punktu widzenia. To poważny problem społeczny, który niesie ze sobą ludzkie dramaty. Trzeba pamiętać, że przestępcy są bezwzględni – gdy tylko pojawia się możliwość, kradną oszczędności życia, a także zaciągają nowe katastrofalne w skutkach zobowiązania – wskazuje Andrzej Karpiński, dyrektor Departamentu Bezpieczeństwa BIK.

MŚP pod ostrzałem: faktury, przelewy i spear-phishing

Ofiarami socjotechnicznych kampanii padają nie tylko konsumenci. Również przedstawiciele małego biznesu coraz częściej są celem cyberataków; w tym roku niemal 35% właścicieli małych i średnich firm zetknęło się z wymierzoną w ich działalność próbą oszukańczą. Najczęściej na jednym incydencie się nie kończy: co drugi poszkodowany przedsiębiorca był atakowany przynajmniej dziesięć razy, a w kilku procentach przypadków można mówić o przeszło stu próbach oszukańczych na przestrzeni roku.

– Firmy są narażone na stratę nie „tylko” środków finansowych, ale również kradzież informacji i danych osobowych klientów, które obecnie są jednym z najcenniejszych zasobów każdej organizacji – zaznaczył Rafał Gołębiewski, menedżer ds. sprzedaży międzynarodowej produktów antyfraudowych w BIK. Niewielka firma jest tym atrakcyjniejszą ofiarą dla cybergangów, że odpowiedzialność za finanse przedsiębiorstwa nie zawsze spoczywa w rękach samego właściciela; niekiedy wystarczy zmanipulować dyrektora finansowego bądź głównego księgowego, by wyłudzić całkiem pokaźne kwoty. Te, nawet w przypadku najmniejszych podmiotów, mogą być o rząd wielkości wyższe aniżeli oszczędności tzw. Kowalskiego.

W działalności gospodarczej nie budzą też podejrzenia jednorazowe przelewy na wyższe kwoty, nawet sięgające kilkuset tysięcy złotych, z czego doskonale zdają sobie sprawę oszuści. Co trzecia próba oszukańcza bazuje na sfingowanej fakturze, a sprawcy, dysponując choćby ułamkową wiedzą na temat kontrahentów i przepływów finansowych danej spółki, są w stanie wystawić taki „dokument” tak, że wygląda on wiarygodnie. Równie częstym schematem oszustw wymierzonych w MŚP są e-maile zawierające podejrzane linki do płatności lub… informacje o zmianie rachunku bankowego kluczowego kontrahenta.

Jedynie w ¼ wszystkich przypadków mamy do czynienia z cyberatakiem sensu stricto, gdzie sprawca próbuje sforsować zabezpieczenia zasobów firmy przy użyciu złośliwego oprogramowania. Tymczasem wielu przedsiębiorców wciąż hołduje zasadzie „Polak mądry po szkodzie”, na co wymownie wskazuje fakt, że wśród podmiotów, które doznały strat w wyniku oszukańczego ataku, skłonność do zwiększenia budżetu na zabezpieczenia jest dwukrotnie wyższa niż u przedsiębiorców bez tak fatalnych doświadczeń (odpowiednio 18,2% do 9,4%). W dalszym ciągu prawie 6% firm funkcjonuje tak, jakby problem cyberprzestępczości ich nie dotyczył, nie stosując dosłownie żadnych form zabezpieczania swych zasobów cyfrowych. Z kolei jedynie co trzecie ze średnich przedsiębiorstw zdecydowało się na utworzenie wyodrębnionej komórki do spraw zapobiegania cyberoszustwom. Podobnie jak w przypadku konsumentów, również w małym biznesie nie brakuje tych, którzy odpowiedzialność za własne bezpieczeństwo najchętniej scedowaliby na banki – takie stanowisko zajęło aż 22% respondentów.

Edukacja, analiza behawioralna i wymiana informacji to warunki bezpieczeństwa

Jak skutecznie przeciwdziałać tak wielowymiarowej i zmasowanej aktywności cyberoszustów? Eksperci BIK nie mają wątpliwości: podstawą jest z jednej strony edukacja finansowa społeczeństwa, z drugiej – wymiana informacji o zagrożeniach, obejmująca nie tylko sektor bankowy. – Rozwój technik antyfraudowych zdecydowanie zmierza w kierunku zwiększania ochrony użytkowników, także poprzez proaktywne działania mające na celu ostrzeżenie klientów przed autoryzowaniem transakcji noszących znamiona oszustwa – przypomina Karol Głogowski.

Stosownych narzędzi, pozwalających realizować ten cel, dostarcza BIK: mowa tu zarówno o analizie behawioralnej, pozwalającej na bieżąco monitorować interakcję klienta z urządzeniem, by wykryć przypadki przejęcia kontroli nad zasobami ofiary przez sprawców, jak i o sukcesywnym poszerzaniu bazy informacji o zagrożeniach. – Od kwietnia 2025 r. BIK monitoruje również darknet. Klienci otrzymują informacje o wyciekach danych do darknetu i wspieramy ich poradami, co robić w tej sytuacji – podkreśla Joanna Charlińska, dyrektor ds. sprzedaży w Departamencie Rynku Detalicznego BIK.

Wnioski z raportu są jednoznaczne: bez równoczesnego podniesienia higieny cyfrowej użytkowników (zwłaszcza mobilnych), wzmocnienia ochrony w MŚP oraz systemowej wymiany informacji o zagrożeniach – także poza sektorem bankowym – skala nadużyć będzie rosła.