W badaniu Złoty Bankier sprawdzaliśmy przygotowanie systemów bankowych na ataki zewnętrzne. Ważnym elementem oceny były jednak również kwestie związane z aktywnością banków w edukowaniu klientów w zakresie cyberbezpieczeństwa. Debata jest kontynuacją tego wątku. O ile polskie banki są doskonale przygotowane do walki z cyberatakami, to w zakresie zwalczania oszustw finansowych są tak odporne jak ich klienci. Inaczej mówiąc, same banki nie są w stanie ochronić pieniędzy swoich klientów bez ich zaangażowania i udziału. Cały sektor jest na tyle odporny, na ile wyedukowane mamy społeczeństwo w zakresie metod stosowanych przez oszustów. Jak duża jest skala oszustw finansowych, po jakie metody sięgają przestępcy, jak skutecznie zwalczać scamy – o tym rozmawialiśmy z wybitnymi ekspertami od cyberbezpieczeństwa: Marcinem Bizoniem, partnerem EY, Małgorzatą Domagałą, VP dyrektorką ds. produktów i rozwiązań Mastercard na Polskę, Czechy i Słowację, Pawłem Piekutowskim, zastępcą dyrektora departamentu bezpieczeństwa KNF i Maciejem Siciarkiem, dyrektorem CSiRT NASK.
O rozmiarach szkód powodowanych przez oszustów finansowych można wyrobić sobie pewną opinię na podstawie danych NBP, który od początku 2024 r. publikuje informacje o liczbie i wartości oszustw finansowych, do jakich dochodzi w wyniku przestępstw. Problem polega na tym, że statystykom brakuje historycznej głębi. Przez lata NBP raportował tylko dane o oszustwach kartowych. Nie podawał informacji o szkodach spowodowanych w skutek manipulacji płatnikiem, czyli klientem. Obecnie jest to główna przyczyna strat spowodowanych przez przestępców, którzy stosując metody socjotechniczne manipulacji, sprawiają, że niczego nie podejrzewające ofiary przelewają pieniądze na oszukańcze konta. Według danych NBP w 2024 r. skala szkód finansowych, do jakich doszło w wyniku manipulacji płatnikiem, wyniosła blisko 400 mln zł. Liczba oszustw przekroczyła 40 tys.
Zjawisko oszustw finansowych w statystykach
Maciej Siciarek przyznaje, że skala zjawiska oszustw finansowych rośnie – widać to w statystykach. W 2024 r. CERT Polska odnotował i obsłużył ponad 100 tys. tzw. incydentów cyberbezpieczeństwa, czyli zdarzeń związanych z nielegalną i podejrzaną działalnością w sieci. To o 29 proc. więcej niż rok wcześniej. Lawinowo przybywa przestępstw finansowych. W 2022 r. CERT odnotował 2 tys. takich przypadków. Rok później już 15 tys. W 2024 r. ponad 40 tys.
- Liczba przestępstw rośnie, ale obserwujemy rosnący poziom świadomości społecznej co do potrzeby zgłaszania tego typu incydentów – mówi Maciej Siciarek.
W 2025 r. CERT odebrał 600 tys. zgłoszeń, czyli aż o 62 proc. więcej niż w 2023 r.
Wzrost przestępstw inwestycyjnych
Pomimo rosnącej świadomości i uważności społecznej na działalność przestępczą w sieci, Paweł Piekutowski z KNF zauważa istotny wzrost tzw. przestępstw inwestycyjnych, polegających na mamieniu ofiar super atrakcyjnymi okazjami zarobku na kupnie różnych aktywów. W tym celu przestępcy masowo tworzą fałszywe strony internetowe, służące do wyłudzania danych osobowych zainteresowanych oszukańczymi ofertami. Mając kontakt do ofiary, stosując różne psychologiczne chwyty, skłaniają je do wpłacania pieniędzy na zakup fikcyjnych aktywów.
Paradoksem jest to, że w Polsce, kraju, w którym zainteresowanie inwestycjami indywidualnymi jest bardzo niskie, kwitną przestępstwa inwestycyjne.
- Przestępcy potrafią w odpowiedni sposób podejść do ofiar, sprzedawać marzenia – mówi wicedyrektor departamentu bezpieczeństwa KNF.
W ubiegłym roku nadzór zablokował ponad 50 tys. stron phishingowych, czyli służących do wyłudzania danych. Z tego ponad 40 tys. to były fałszywe strony inwestycyjne.
Małgorzata Domagała zwróciła uwagę na jeszcze jeden aspekt funkcjonowania oszustw finansowych: stoi za nimi potężny, dobrze zorganizowany biznes przestępczy.
- To jest już trzecia gospodarka świata. Cyberprzestępczość przynosi miliardy dolarów zysków rocznie. Ogromne pieniądze są przeznaczane na doskonalenie technik manipulacyjnych, typowania odpowiednich grup społecznych do ataków przestępczych – mówi Małgorzata Domagała.
Biznes, dodaje, jest tak dobrze zorganizowany jak największe firmy. Wokół oszustw powstał cały rynek usługowy, np. platformy oferujące rozwiązania crime-as-a-service, w ramach którego można w abonamencie wykupić skrypty do rozmów z ofiarami, system IT, wsparcie call center.
Światowym centrum oszustw finansowych od kilku lat jest Azja. Wcześniej, przez wiele lat znajdowało się ono w Afryce, gdzie powstał znany pod każdą szerokością model wyłudzenia na afrykańskiego księcia. Obecnie metody manipulacyjne są znacznie doskonalsze, a natężenie działań przestępczych nieporównanie większe. Według szacunków ONZ w przemyśle scamowym pracuje około 0,5 mln osób na całym świecie. Część z nich to pracownicy przymusowi, ofiary uprowadzeń i handlu ludźmi. W krajach takich jak Mjanma, Laos, Kambodża, Tajlandia powstały gigantyczne kompleksy biurowe z centrami handlowymi, restauracjami, trudniące się wyłącznie działalnością przestępczą. Zimą tego roku rząd Tajlandii wyłączył dopływ prądu do kilku takich ośrodków, żeby czasowo przynajmniej przerwać działalność oszustów.
Azjatyckie centra scamowe atakują przede wszystkim mieszkańców krajów anglojęzycznych. Najpopularniejsze metody to, jak w Polsce, naciąganie na nieistniejące inwestycje, lub tzw. romans scamy, czyli oszustwa polegające na wciągnięciu ofiary w fikcyjny związek uczuciowy w celu wyłudzenia pieniędzy.
Polska sporadycznie jest celem ataków z Azji ze względu na barierę językową. Wektorem ataków są bliskie nam kulturowo kraje wschodnie – Białoruś, Rosja, Ukraina. Tu trzeba dodać, że z kolei przestępcy z Polski wyłudzają pieniądze od Niemców.
Deep fajekowe reklamy
Sztuczna inteligencja w coraz większym zakresie jest wykorzystywana do generowania reklam fałszywych inwestycji z wykorzystaniem skradzionych wizerunków znanych osób. Natomiast sam repertuar, czyli rodzaj oszustw, pozostaje właściwie bez zmian. Przestępcy kuszą nieprawdopodobnymi zyskami z inwestycji w kryptowaluty lub akcje znanych firm.
- Ataki są dosyć powtarzalne, no bo po co zmieniać zawodnika, który tak naprawdę dobrze gra. Przestępcy bardzo dobrze nauczyli się liczyć pieniądze i dopasowują swoje sposoby działania do takich ataków, które przynoszą największy zwrot z danego oszustwa – mówi Paweł Piekutowski.
Z nowych metod, jakie ostatnio się pojawiły, wymienia oszustwa z wykorzystaniem czytnika NFC w telefonie. Polega ono na tym, że fałszywy konsultant z banku dzwoni do ofiary z informacją, że jej karta wymaga aktualizacji i w tym celu należy ją przyłożyć do czytnika NFC. Wcześniej trzeba zainstalować w telefonie specjalną aplikację.
- Na szczęście sektor bankowy szybko reaguje na nowe scamy. Ten też już zidentyfikowano i procesy bankowe są już uszczelniane. Co należy podkreślić: żeby doszło do oszustwa, niezbędna jest aplikacja – mówi Małgorzata Domagała.
Kluczowa rola edukacji
Tu dochodzimy do kluczowej kwestii dotyczącej przeciwdziałania oszustwom finansowym – edukacji.
- Jak mantrę będziemy powtarzać: czy twój bank powiedział, że możesz instalować aplikację do usług bankowych, czy masz podać login i hasło trzeciej osobie, czy naprawdę wierzysz, że jakaś firma da ci zarobić 3 tys. zł dziennie? Tu jest właśnie ten element manipulacji klientem. Dlatego tak ważne jest informowanie społeczeństwa o metodach przestępców – mówi Małgorzata Domagała.
- Wdrukowana nieufność wobec wszystkiego co dotyczy dyspozycji naszymi finansami ma kluczowe znaczenie. Niestety, to jest przykra wiadomość, musimy budować w sobie brak zaufania – mówi Maciej Siciarek.
Oporność na działania przestępcze
W większości krajów świata, zaangażowanych w walkę z oszustwami, odpowiedzialność i zaangażowanie platform internetowych jest przedmiotem żywej dyskusji społecznej.
- Jeśli chodzi o reklamy, to bez bardzo jasnej legislacji, wdrożonej na poziomie europejskim i polskim, nie będziemy sobie w stanie z nimi poradzić – uważa Marcin Bizoń.
Znamienny jest przykład incydentu z jesieni ubiegłego roku związanego z usunięciem wpisu na profilu facebookowym NASK. CERT zachęcał do zapoznania się z raportem o metodach stosowanych przez oszustów finansowych. Meta zablokowała wpis ze względu na… szkodliwą treść. Algorytm najwyraźniej błędnie odczytał intencje NASK. Z czasem Meta zdjęła blokadę. NASK wysłał do niej pismo z listą postulatów, co trzeba zrobić, żeby usprawnić walkę ze scamami na Facebooku. Sprawa jeszcze się nie zakończyła. Mówiąc kolokwialnie – business is business.
- Widzimy, że skuteczność naszych postulatów jest bardzo niska, co oznacza, że najprawdopodobniej biznes działa skutecznie, reklamy nadal mają swoich sponsorów i jest niska motywacja do ochrony zasobów finansowych polskich obywateli – mówi Maciej Siciarek.
Zachęca platformy społecznościowe do wykorzystania narzędzi, które są w polskim systemie prawnym, czyli listy ostrzeżeń prowadzonej przez CERT NASK. Istnieje ona od dwóch lat.
Działania antyscamowe w Australii
Małgorzata Domagała przywołuje pozytywny przykład działań podejmowanych w Wielkiej Brytanii w walce z oszustwami na platformach internetowych. Na Wyspach od roku reklamy usług i produktów finansowych mogą zamieszczać tylko podmioty posiadające autoryzację nadzoru finansowego.
- Chyba najdalej w tym kierunku poszła Australia, gdzie jest bardzo bliska współpraca międzysektorowa w zakresie przeciwdziałania oszustwom finansowym. Dużo rozmawialiśmy na ten temat podczas EKF i doszliśmy do konsensusu, że konieczna jest bliska kooperacja platform cyfrowych, instytucji finansowych, ale też telekomów. Jeżeli będziemy działać tylko sektorowo, czyli np. wyłącznie sektor finansowy, to osiągniemy pewne sukcesy. Ale efekt będzie wykładniczo wyższy, jeżeli zaczną współpracować wszystkie instytucje – mówi Marcin Bizoń.
W Australii działania antyscamowe zostały podjęte przed dwoma laty w ramach specjalnej rządowej strategii mającej na celu ograniczenie skali oszustw finansowych. Efekt? W 2024 r. zanotowano istotny spadek oszustw finansowych.
Dobre przykłady z Polski
Maciej Siciarek do pozytywnych przykładów działań rządowych dodaje też Polskę, która przed rokiem wdrożyła ustawę o zwalczaniu nadużyć w komunikacji elektronicznej.
- To jest krok w bardzo dobrą stronę, bo ona wprowadza listę ostrzeżeń, na którą trafiają strony internetowe blokowane przez operatorów telekomunikacyjnych – mówi szef CSiRT NASK.
Paweł Piekutowski mówi, że najskuteczniejszym narzędziem w walce z oszustwami jest podnoszenie kosztów działalności przestępczej. Taki efekt daje wspomniana ustawa.
- Przestępców średnio interesuje zwykłe prawo, ale prawo ekonomii tak. Im bardziej działalność przestępcza się opłaca, tym większa jest skala tej działalności. Zatem im bardziej podniesiemy koszty realizacji ataków scamerskich, tym mniejsza będzie chęć do ich dokonywania. Bardzo dobrym przykładem takich działań jest ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, bo nie tylko wprowadza listę ostrzeżeń, ale również mechanizm blokowania fałszywych kampanii SMS-owych. Dlatego w wiadomościach od oszustów pojawiają się różne nietypowe znaki, bo muszą podejmować próby obejścia blokady. To osłabia skuteczność kampanii – mówi zastępca dyrektora departamentu bezpieczeństwa KNF.
Przypomina, że ustawa wykuwała się właśnie w ramach współpracy różnych interesariuszy w trakcie trwających kilka lat prac legislacyjnych.
- Nie musimy też wszystkiego regulować. Ja myślę, że możemy postawić na współpracę. Dobry jest przykład Wielkiej Brytanii, gdzie już w 2018 r. pięć banków postanowiło wymieniać się informacjami o scamach. Potem dołączyły kolejne. Obecnie współpraca obejmuje 12 banków, które wzajemnie się informują o podejrzanych transakcjach. Liczba oszukańczych transakcji spadła o dodatkowe 21 proc. – mówi Małgorzata Domagała.
Wrażliwość małych i średnich przedsiębiorstw
Na koniec debaty uczestnicy zwrócili uwagę na wrażliwość cybernetyczną małych i średnich przedsiębiorstw. Zwrócili uwagę na możliwość korzystania z darmowych narzędzi dla firm, zwiększających odporność na ataki z sieci, udostępnianych przez NASK.
- Zachęcam do rejestrowania się w systemie mojecert.pl, gdzie po rejestracji można uzyskiwać stale informacje o tym, co się zmienia w infrastrukturze, w serwisach, udostępnianych przez firmę – mówi szef CSiRT NASK.