BANK 2024/12

Raport Cyberbezpieczeństwo | BIK S.A. | Weryfikacja behawioralna – sektorowa tarcza przeciw cyberprzestępcom

| Biuro Informacji Kredytowej / BIK
Raport Cyberbezpieczeństwo | BIK S.A. | Weryfikacja behawioralna – sektorowa tarcza przeciw cyberprzestępcom
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Polacy coraz lepiej rozpoznają podejrzane zachowania w sieci. Dość powszechnie unikamy otwierania załączników z podejrzanych źródeł i klikania w linki, zamieszczone w SMS-ach przychodzących z niezaufanych numerów – podkreślono w najnowszej edycji Raportu Antyfraudowego BIK. Niestety, przestępcy ciągle doskonalą swoje metody.

Dzięki wykorzystaniu nowoczesnych technologii i socjotechnik oszuści są w stanie naśladować dowolne osoby, do złudzenia przypominające autentycznych urzędników, np. pracowników banków. Funkcje sztucznej inteligencji umożliwiają takie ataki obliczone na masową skalę. Z cyklicznych badań przeprowadzanych przez BIK wynika, że kolejne lata przyniosą dynamiczny rozwój oszukańczego procederu.

Weryfikacja behawioralna – najskuteczniejszy sposób, by postawić tamę nowoczesnym oszustwom

Sukcesywna poprawa wiedzy Polaków w zakresie bezpiecznego korzystania z usług finansowych online stanowi w znacznej mierze efekt kampanii informacyjnych, realizowanych przez przedstawicieli branży bankowej i finansowej, jak również z organami ścigania czy środowiskiem akademickim.

Niemałe znaczenie ma też świadomość skali zagrożeń, z jakimi stykamy się na co dzień. Z Raportu Antyfraudowego BIK 2024 wynika, że korzystając z usług finansowych online, ponad połowa respondentów wybiera aplikacje mobilne, gwarantujące wyższy poziom bezpieczeństwa niż dostęp do bankowości elektronicznej przez przeglądarkę. Aż 37% uczestników badania osobiście zetknęło się z przynajmniej jedną próbą oszustwa, przy czym sprawcy w zdecydowanej większości posługiwali się sztuczkami socjotechnicznymi. Oznacza to wzrost o 5 pkt. proc. na przestrzeni zaledwie dwóch lat, ze szczególnym wskazaniem na takie schematy oszustw jak phishing i jego specyficzne formy, czyli vishing (podszywanie się sprawców pod osoby bliskie lub pracowników zaufanych instytucji, jak banki, urzędy czy dostawcy mediów) oraz spoofing (wyświetlanie na ekranie odbiorcy numeru telefonu należącego do zaufanego podmiotu).

W 2024 r. znacząco wzrósł odsetek odpowiedzi wskazujących na próby pozyskania loginu i hasła do konta bankowego ofiary – zaznaczono w Raporcie Antyfraudowym BIK 2024.

Tej formie przestępczych działań poddanych było 22% respondentów, co oznacza wzrost aż o 7 pkt. proc. w zestawieniu z rokiem poprzednim.

Oszustwa na PIT, na powodzian, na uchodźców…

Cyberprzestępcy stale nadążają za rosnącą świadomością zagrożeń wśród Polaków, wprowadzając nowe, nieznane dotąd schematy oszukańcze w miejsce tych, które nasi rodacy już nieźle rozpoznają. Przykładem może być malejąca skuteczność spamu, rozsyłanego pocztą elektroniczną lub za pośrednictwem SMS – niemal ¾ respondentów unika klikania w podejrzane linki zamieszczone w wiadomościach tekstowych, podobny odsetek nie otwiera załączników, o ile nie pochodzą one z zaufanego źródła. Równocześnie jednak w miejsce jednego rozpoznanego rodzaju oszustwa pojawia się co najmniej kilka nowych, nierzadko wykorzystujących nowe kanały płatnościowe.

Przykładem może być wyłudzenie metodą na BLIK, kiedy to oszuści przejmują kontrolę nad kontami użytkowników mediów społecznościowych, by następnie atakować ich znajomych prośbami o pilne wsparcie finansowe. Inny z przestępczych patentów wykorzystuje obawę Polaków przed zaległościami wobec instytucji publicznych – rzekomy urzędnik skarbowy kontaktuje się z ofiarą pod pretekstem rzekomej niedopłaty z tytułu PIT. Wejście w interakcję z przestępcą prowadzi z reguły do przejęcia kontroli nad rachunkiem, a niekiedy również zaciągnięcia na nieświadomą ofiarę kredytu lub pożyczki.

Sprawcy doskonale wczuwają się też w aktualne nastroje, w zależności od sytuacji proponując wsparcie dla powodzian lub uchodźców. Np. symulują wyspecjalizowaną kancelarię prawną, wspierającą poszkodowanych przez cyberprzestępców w odzyskiwaniu wyłudzonych środków.

Coraz bardziej wyrafinowane techniki wyłudzeń powodują, że ofiarą oszustów może paść każdy – wystarczy splot kilku czynników, jak chwila nieuwagi, presja czasu czy pośpiech – przestrzega Agnieszka Szopa-Maziukiewicz, dyrektor zarządzająca obszarem IT w Grupie BIK, prezes zarządu Digital Fingerprints S.A.

Rola AI w udoskonalaniu oszustw inwestycyjnych

Wiele wskazuje, że kolejne lata przyniosą dynamiczny rozwój oszukańczego procederu. A to za sprawą nowoczesnych technologii, które pozwalają do złudzenia naśladować dowolne osoby. Już dziś niektóre domy mody rezygnują z tradycyjnych sesji zdjęciowych, zastępując je „modelkami” wygenerowanymi przez AI. Na podobnej zasadzie sprawcy są w stanie stworzyć wizualizację bankowego doradcy bądź urzędnika, który skontaktuje się z nami pod pretekstem rzekomej niedopłaty podatku bądź konieczności przetestowania zabezpieczeń w bankowości elektronicznej.

Można przypuszczać, że wraz z rozwojem narzędzi wykorzystujących sztuczną inteligencję to zjawisko będzie się nasilać – takiego zdania jest 46% ankietowanych przedstawicieli dużych instytucji finansowych i firm telekomunikacyjnych – podkreśla Karol Głogowski, dyrektor IT Usług Antyfraudowych BIK.

Zwraca on uwagę, iż potencjał AI pozwala na tworzenie znacznie doskonalszych ofert fałszywych inwestycji, które już dziś są prawdziwą plagą. 60% uczestników badania BIK zauważyło rosnącą aktywność przestępców w tym obszarze.

Tymczasem wielu Polaków w dalszym ciągu liczy wyłącznie na własną czujność, która w starciu z uzbrojonym w AI sprawcą może być mocno niewystarczająca. Dość przypomnieć, że mniej niż połowa respondentów instaluje programy antywirusowe na swych telefonach. To zdecydowanie zbyt mało, zwłaszcza jeśli wziąć pod uwagę, iż dla ponad 16,5 mln Polaków to właśnie smartfon stanowi jedyny kanał kontaktu z bankiem. Nadal też prawie co piąty Polak nie używa żadnych blokad ekranu w urządzeniach mobilnych, co oznacza pełny dostęp do zasobów cyfrowych w przypadku kradzieży lub zagubienia smartfonu. Nawet kiedy już zmaterializuje się czarny scenariusz, nie wszyscy wykazują się należytą przezornością – dla co dziesiątego respondenta wyciek jego danych nie stanowi impulsu do podjęcia jakichkolwiek działań, co oznacza faktyczne zdanie się na łaskę i niełaskę sprawców. To niepokojąca konstatacja nie tylko dla potencjalnych ofiar oszustów, ale i instytucji finansowych.

Procedowane obecnie przez Komisję Europejską pakietu regulacyjnego dla rynku płatniczego, na który składają się m.in. dyrektywa PSD3 czy rozporządzenie PSR, które w znacznej mierze zastąpią obecnie obowiązującą dyrektywę PSD2, przewiduje istotne rozszerzenie odpowiedzialności finansowej dostawców usług płatniczych za nieautoryzowane transakcje. O ile dotychczas podstawą do uznania reklamacji klienta była wyłącznie niewłaściwa autentykacja, czyli wykonanie operacji bez zastosowania formalnej procedury uwierzytelnienia, to w myśl projektowanych przepisów taką przesłanką będzie również np. ustawienie przez cyberoszustów zdalnego pulpitu, za pośrednictwem którego będą logować się na cudze konta bankowe, korzystając z wykradzionych danych ofiary. Warto przypomnieć, że w polskich warunkach przepisy takie funkcjonują już od kilku lat za sprawą treści PSD2.

Technologia weryfikacji behawioralnej – wyższy poziom ochrony banków i ich klientów

Najskuteczniejszym sposobem, by uchronić klientów banku przez coraz bardziej wyrafinowanymi próbami oszukańczymi bazującymi na socjotechnice, samą zaś instytucję finansową przed odpowiedzialnością odszkodowawczą za nieautoryzowane transakcje, jest analiza behawioralna.

W przeciwieństwie do klasycznych metod autentykacji, które umożliwiają weryfikację tożsamości zazwyczaj jedynie w momencie wejścia do bankowości elektronicznej bądź aplikacji mobilnej, metody behawioralne pozwalają na monitorowanie interakcji użytkownika z urządzeniem przez cały czas użytkowania zdalnego kanału. Dostarczana bankom przez BIK Platforma Weryfikacji Behawioralnej wykorzystuje algorytmy uczenia maszynowego, by poznawać unikalne zachowania każdego z klientów korzystających z bankowości internetowej czy mobilnej.

System jest w stanie nauczyć się tempa wciskania klawiszy na klawiaturze, sposobu używania myszy, posługiwania się ekranem dotykowym i wielu innych, charakterystycznych i unikalnych zachowań użytkownika sprzętu elektronicznego. W momencie gdy prawowitego użytkownika aplikacji bądź bankowości elektronicznej zastąpi przestępca, korzystający np. ze zdalnego pulpitu, platforma wygeneruje odpowiednie ostrzeżenie do dostawcy usług finansowych. Ten zaś na tej podstawie może podjąć odpowiednie kroki, np. zablokować dostęp do rachunku i powiadomić klienta o podejrzanej aktywności.

To nowatorskie rozwiązanie nie funkcjonuje jeszcze w powszechnej świadomości przeciętnego Kowalskiego – według analiz przeprowadzonych na zlecenie BIK, jedynie 13% respondentów słyszało o weryfikacji behawioralnej – jednak jego upowszechnienie oznaczać będzie prawdziwy przełom w walce z phishingiem, vishingiem, spoofingiem i innymi przestępczymi schematami bazującymi na socjotechnice.

W tego rodzaju rozwiązaniach tkwi klucz do zwiększania bezpieczeństwa klientów oraz zminimalizowania następstw ewentualnych ataków socjotechnicznych. Warto ich w tym zakresie uświadamiać, a przy tym zachęcać do wzmożonej ostrożności i ograniczonego zaufania w cyberprzestrzeni – przekonuje Karol Głogowski.

Źródło: Miesięcznik Finansowy BANK