Raport Cyberbezpieczeństwo | Raport Antyfraudowy BIK 2024 | Socjotechnika wciąż skuteczniejsza od technologii

Raport Cyberbezpieczeństwo | Raport Antyfraudowy BIK 2024 | Socjotechnika wciąż skuteczniejsza od technologii
Fot. stock.adobe.com / thodonal
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Coraz więcej Polaków deklaruje, że miało do czynienia z przynajmniej jedną próbą oszustwa, a przestępcy wcale nie musieli sięgać po zaawansowane techniki, by okraść ofiarę. Często najskuteczniejsza okazuje się… zwykła manipulacja – wynika z najnowszego Raportu Antyfraudowego BIK 2024.

Manipulacje i socjotechniki z wykorzystaniem sztucznej inteligencji to najbardziej popularne metody wyłudzania danych w 2024 r. Osoby, które padają ofiarą fraudów, najczęściej tracą pieniądze w wyniku oszustw „na BLIKA” oraz „na PIT”. Z danych zaprezentowanych w Raporcie wynika, że prawie co czwarta próba wyłudzenia tego rodzaju jest skuteczna. Na szczęście Raport wskazuje również na przeszło jedną czwartą Polaków, która w razie wyłudzenia danych sprawdza w BIK, czy ktoś nie wykorzystał tych informacji do wzięcia kredytu lub pożyczki. Świadomość w tym zakresie rośnie – jeszcze w 2022 r. ten odsetek sięgał 19%. Z kolei prawie jedna piąta małych i średnich firm planuje wdrożyć narzędzia, które pomogą im chronić się przed próbami oszustw.

Nielegalne grupy przestępcze, poszukujące łatwych zysków, często stosują nietypowe metody ataków hakerskich. Oszuści, mimo że dysponują coraz lepszymi narzędziami IT, najchętniej stosują ataki socjotechniczne. Są to rozmaite techniki manipulacji. Metody wywierania wpływu bazują w większości na wywołaniu strachu i paniki. Oszuści najczęściej zmuszają do działania pod presją czasu, by w ten sposób skłonić swoje ofiary do samodzielnego wykonania przelewu bądź udostępnienia danych, które umożliwią kradzież.

Ataki z wykorzystaniem socjotechniki bazują na efekcie skali i wywoływaniu skrajnych emocji, co okazuje się bardziej efektywnym sposobem nielegalnych zysków finansowych niż łamanie trudnych zabezpieczeń firmowych. Zjawisko to stanowi jedno z największych zagrożeń dla konsumentów, firm i instytucji. Z najnowszej edycji Raportu Antyfraudowego BIK wynika, że rośnie liczba Polaków, którzy mieli styczność z tego typu procederem.

TOP 5 skutecznych zdarzeń fraudowych

Rosnące zaangażowanie instytucji finansowych w bezpieczeństwo swoich klientów powoduje, że inwestycje w systemy antyfraudowe coraz lepiej chronią środki klientów, a także reputację rynku finansowego. Oszuści doskonale zdają sobie z tego sprawę, upatrując szans na zyski wcale nie w typowych atakach hakerskich, a w socjotechnicznych sztuczkach, by klient sam wpuścił ich do swoich kanałów bankowości elektronicznej – komentuje wyniki badań Karol Głogowski, dyrektor IT Usług Antyfraudowych w BIK. – Można przypuszczać, że wraz z rozwojem narzędzi wykorzystujących sztuczną inteligencję to zjawisko będzie się nasilać – takiego zdania jest 46% ankietowanych przedstawicieli dużych instytucji finansowych i firm telekomunikacyjnych. W tym kontekście łatwo można sobie wyobrazić tworzenie coraz bardziej zaawansowanych reklam zachęcających do fałszywych inwestycji. A to tylko jedna z możliwości.

Przestępcy niezmiennie najchętniej wykorzystują sztuczki socjotechniczne, by skłonić swoje ofiary do samodzielnego wykonania przelewu bądź udostępnienia danych, które umożliwią kradzież. Respondenci, którzy zetknęli się z próbami wyłudzeń, wskazują, że największą skuteczność mają metody „na BLIKA” (23%), gdy np. przestępca przejmuje konto w mediach społecznościowych, a następnie wysyła do znajomych użytkownika prośby o udostępnienie kodu BLIK. Jeszcze w 2023 r. odsetek skutecznych prób wyłudzeń „na BLIKA” wynosił 20%.

W 2024 r. wyraźnie wzrosła też skuteczność oszustw „na PIT” (22%), w których złodzieje, podając się za pracowników urzędów skarbowych, kontaktują się z ofiarami w sprawie rzekomej niedopłaty podatku.

Na uwagę zasługuje fakt, że na pozostałych miejscach w TOP 5 skutecznych zdarzeń fraudowych umacniają się różnego rodzaju metody wykorzystujące socjotechnikę, np. „na wnuczka”, „na policjanta”, „na akcje charytatywne” itp. Dzieje się tak pomimo kampanii społecznych prowadzonych przez instytucje finansowe i publiczne.

Aktywność przestępców wyraźnie wzrosła

Z badań wynika, że już 37% Polaków deklaruje, iż mieli styczność przynajmniej z jedną formą próby wyłudzenia. Ich odsetek wzrósł o 1 pkt proc. w porównaniu do 2023 r. i aż o 5 pkt proc. wobec 2022 r. Ankietowani wskazują duże znaczenie ataków socjotechnicznych, jak phishing, spoofing czy vishing. To również metody, których częstotliwość nasila się najbardziej – na phishing wskazało 66% ankietowanych, spoofing – 64%, a na vishing – 63%. Najpopularniejszymi kanałami kontaktu ze strony przestępców w przypadku phishingu pozostają e-maile (49%, +3 pkt proc. rdr), SMS-y (43%, +2 pkt proc.), rozmowy telefoniczne (29%, +1 pkt proc.).

Przestępcy najczęściej próbują nakłonić do przekazania im numeru PESEL w celu autoryzacji transakcji; potwierdzenia transakcji po przekierowaniu do rzekomego działu bezpieczeństwa (np. banku); przelania lub wypłacenia pieniędzy. Co warto podkreślić, w 2024 r. znacząco wzrósł odsetek odpowiedzi wskazujących na próby pozyskania loginu i hasła do konta bankowego ofiary (22%, +7 pkt proc. rdr). To potwierdzenie, że aktywność przestępców w wykorzystywaniu tej metody socjotechnicznej wyraźnie wzrosła.

Przy okazji okazało się także, iż Polska znajduje się w czołówce państw na świecie, w których użytkownicy internetu najczęściej korzystają z adblocków. Te narzędzia nie tylko wstrzymują nachalne reklamy, ale przez wielu są traktowane jako dodatkowy element poprawiający bezpieczeństwo. Zatrzymują bowiem napływ szkodliwych treści i linków, za pomocą których przestępcy namawiają np. na fałszywe inwestycje bądź wyłudzają dane – mówi Andrzej Karpiński, dyrektor Departamentu Bezpieczeństwa Grupy BIK. Wykorzystywanie przez przestępców reklam wykupionych w legalnych źródłach internetowych jest obecnie bardzo poważnym problemem, z którym trudno walczyć. Zwykle zanim takie treści zostaną zgłoszone, zweryfikowane i usunięte, to oszuści już znajdą swoje ofiary. W najbliższym czasie przestępcy z pewnością będą udoskonalać narzędzia socjotechniczne, wykorzystując sztuczną inteligencję. To wyzwanie, na które cała branża finansowa powinna być dobrze przygotowana.

Coraz częściej stosowany jest szantaż

Jak podkreślają analitycy BIK, pozytywnym zjawiskiem jest to, że coraz więcej Polaków z większym dystansem podchodzi do wiadomości otrzymywanych różnymi kanałami od nieznanych nadawców. 74% nie klika w linki w wiadomościach SMS z nieznanego źródła (+1 pkt proc. rdr), 69% nigdy nie otwiera załączników w e-mailach pochodzących z nieznanego adresu (+3 pkt proc. rdr), a 56% nigdy nie oddzwania na numery telefonów od nieznajomych (+1 pkt proc. rdr). To dowodzi, że Polacy mają coraz większą świadomość sztuczek stosowanych przez hakerów i na przykład częściej dokładnie sprawdzają adres strony internetowej, na którą wchodzą.

Ciekawą kwestią jest również forma komunikacji klientów z instytucjami finansowymi. Aż 53% Polaków, by skorzystać z bankowości elektronicznej, w pierwszej kolejności wybiera aplikację banku w smartfonie. Dopiero na drugim miejscu ze znacznie niższym wynikiem (28%) znajduje się dostęp przez stronę internetową w komputerze. Ale są i tacy, którzy wpisują adres logowania do banku, korzystając z przeglądarki internetowej w telefonie (9%). Co dziesiąta osoba nie korzysta z bankowości elektronicznej.

Tak znacząca popularność aplikacji bankowych skłania do pytania o bezpieczeństwo samych smartfonów i zabezpieczanie ich przed atakami. Tylko 44% ankietowanych wskazuje, że instaluje programy antywirusowe w telefonach. Dla porównania, w przypadku komputerów ten odsetek wynosi 57%. Za najskuteczniejszy sposób ochrony urządzeń mobilnych Polacy uznają zaś nieotwieranie wiadomości i załączników z nieznanych źródeł.

W ocenie Pawła Piekutowskiego, kierownika Departamentu Cyberbezpieczeństwa Komisji Nadzoru Finansowego, ponieważ cyberprzestępcy stale podnoszą swoje umiejętności, kluczowe staje się odpowiednie edukowanie użytkowników, aby zwiększyć ich odporność i zmniejszyć skuteczność manipulacji.

Szczególnie niepokojącym trendem jest wzrost liczby ataków typu ransomware. Przestępcy szyfrują pliki w organizacji, a następnie żądają okupu w zamian za przekazanie kluczy do ich odszyfrowania. Coraz częściej stosowany jest również szantaż, polegający na groźbie upublicznienia wrażliwych danych w internecie – podkreśla ekspert.

Firmy zdają się na… zdrowy rozsądek

Działania oszustów nie omijają również małych i średnich firm, dużych przedsiębiorstw, a nawet korporacji. 15,4% przedsiębiorstw zetknęło się z próbą oszustwa w ciągu 12 miesięcy poprzedzających badanie. Wynik jest porównywalny z 2023 r., gdy o takim doświadczeniu wspomniało 18% ankietowanych. W 2024 r. zmieniło się jednak nasilenie różnego rodzaju metod wykorzystywanych przez oszustów. O ile w 2023 r. firmy najczęściej wskazywały na problem podejrzanych e-maili z linkami kierującymi do płatności, to w 2024 r. zwracają uwagę głównie na fałszywe faktury do zapłaty: złodzieje podszywają się pod kontrahentów, a w fakturach podstawiają fałszywe numery kont.

Z problemem fałszywych faktur spotkało się 20,8% firm. Podobny odsetek twierdzi, że zdarzają się próby wyłudzenia danych potrzebnych do kradzieży środków z rachunków bądź zaciągnięcia zobowiązań finansowych – również w tym przypadku zjawisko wyraźnie nasiliło się w porównaniu do 2023 r.

Na szczęście przedsiębiorcy częściej identyfikują próby oszustw i ich unikają, niż padają ofiarą wyłudzeń – taki wniosek można wyciągnąć z porównania odpowiedzi dotyczących kwot ochronionych przed oszustwem z tymi, które firmy straciły.

W przypadku prób wyłudzeń kwot w przedziale od 5 do 10 tys. zł co piąte przedsiębiorstwo deklaruje, że udało się powstrzymać atak, a co dziesiąte – że poniosło straty tej wielkości. Jednocześnie widać, że firmy w wyniku oszustw łatwiej tracą małe kwoty (do 1 tys. zł) – straty tego rzędu deklaruje 11,7% podmiotów, podczas gdy tylko 5,2% twierdzi, że udało im się zablokować utratę takich środków. Wyniki są porównywalne z odczytami z 2023 r.

Na pytanie o techniki stosowane w celu wykrycia oszustw, przedsiębiorcy najczęściej odpowiadają, że zdają się na… zdrowy rozsądek (37,4%). Ta metoda sprowadza się np. do tego, by nie otwierać podejrzanych e-maili. Jednak o tym, że zdrowy rozsądek to za mało, firmy przekonują się, gdy już doświadczą próby wyłudzenia. W takim gronie na pierwsze miejsce wśród stosowanych zabezpieczeń wysuwa się dokładne sprawdzanie danych kontrahentów (41,6%) i analiza otoczenia (39%).

Badania realizowane na zlecenie BIK od dawna wyraźnie pokazują, że podejście przedsiębiorców do kwestii bezpieczeństwa zmienia się dopiero, gdy sami poniosą stratę w wyniku wyłudzenia. Wówczas budzi się czujność, wzmożona weryfikacja kontrahentów sięgająca nawet takich szczegółów, jak sprawdzanie poprawności numerów kont podawanych na fakturach. Warto przy tym zaznaczyć, że z problemem fałszywych faktur spotkała się już co piąta firma – zaznacza Joanna Charlińska, dyrektor ds. sprzedaży na Rynku Detalicznym w BIK. – Raport antyfraudowy BIK potwierdza, że skala zagrożenia, przed którym stoją przedsiębiorcy jest bardzo duża. Tym bardziej wciąż niezrozumiały pozostaje optymizm zarządzających firmami, wśród których trzy czwarte twierdzi, że próby wyłudzeń ich nie dotyczą.

Źródło: Raport Antyfraudowy BIK 2024. Zagrożenia i Ochrona


Trzy podstawowe rodzaje ataków:

  • Phishing – ma miejsce, gdy oszust nakłania ofiarę do kliknięcia w podstawiony, fałszywy link, np. do bankowości elektronicznej. Zwykle do przeprowadzenia oszustwa wykorzystywana jest poczta elektroniczna, media społecznościowe, komunikatory.
  • Vishing – dochodzi do niego, gdy złodziej podaje się zwykle za przedstawiciela ważnej instytucji, np. policjanta albo za pracownika banku. Nakłania rozmówcę do konkretnych działań, np. ujawnienia wrażliwych danych bądź zainstalowania na urządzeniu zdalnego pulpitu, dzięki któremu zyskuje nieograniczony dostęp do urządzenia ofiary.
  • Spoofing – to podszycie się pod dane innej osoby bądź firmy z wykorzystaniem technologii. Atakujący wykorzystuje narzędzia, które pozwalają mu podszyć się pod numery telefonów, adresy e-mailowe czy adresy stron internetowych.

OPINIA:

Jarosław Biegański,
dyrektor Zespołu Bezpieczeństwa Banków, Związek Banków Polskich:

Nie bez przyczyny banki dążą do stosowania na coraz większą skalę technologii weryfikacji behawioralnej, w której zachodzi na bieżąco analiza zachowań klienta. Np. zmiana modelu wpisywania znaków na klawiaturze czy inna wychwycona anomalia pozwala zweryfikować, czy transakcji dokonuje klient, czy ktoś, kto podszywa się pod klienta i drogą manipulacji chce zrealizować przelew. Dla lepszego zrozumienia roli tego systemu bezpieczeństwa przez klientów banków konieczna jest szeroka edukacja, wyjaśniająca, że analiza behawioralna jest bezkontekstowa i służy lepszej ochronie przed nieuprawnionym przelewem z konta albo złożeniem wniosku kredytowego.

Lepszej ochronie klientów sprzyjają też wszelkie inne elementy procesów bankowych, które pozwalają upewnić się, że czynności dokonuje klient, a nie oszust na podstawie wyłudzonych danych. Przykładem takiej bezpiecznej procedury może być dodawanie kart płatniczych do wirtualnych portfeli, wyłącznie za pośrednictwem aplikacji bankowej i po silnym uwierzytelnieniu.

Źródło: Miesięcznik Finansowy BANK