Do rozmowy o wpływie cyberprzestępczości na rynek bankowy zasiedli szefowie instytucji finansowych (Velobank i Visa), eksperci z kluczowych zespołów reagowania na incydenty w sieci (NASK i KNF) oraz przedstawiciel UOKiK. Eksperci są zgodni: skończyły się czasy, gdy oszustami byli amatorzy działający w pojedynkę.
– Cyberprzestępczość to już przemysł. Mówi się, że będzie to koszt około 10 bilionów dolarów dla gospodarki. To nie jest partyzantka, to są zorganizowane działania infrastrukturalne – zauważył Mateusz Oleksy, dyrektor generalny firmy Visa.
Paradoksalnie próg wejścia w ten "biznes" jest niepokojąco niski. Maciej Siciarek, dyrektor CSIRT NASK, wskazywał na drastyczne obniżenie wieku sprawców.
– To są grupy przestępcze, w których 15-16-latki są w roli hersztów – wyjaśnił Maciej Siciarek.
Opóźniony zapłon i sztuczna inteligencja
Ściganie przestępców jest trudne, ponieważ cały czas zmieniają taktykę. Przede wszystkim przestali się spieszyć. Mateusz Oleksy z Visy określa to jako zjawisko "opóźnionej monetyzacji". Z analizy platformy handlu danymi BidenCash wynika, że ponad 80 proc. skradzionych danych jest wykorzystywanych dopiero po 12 miesiącach od kradzieży. To sprawia, że trudno powiązać stratę pieniędzy z konkretnym wyciekiem.
Do gry wkracza również sztuczna inteligencja. Coraz trudniej odróżnić, co jest prawdziwe, a co wygenerowane przez AI.
Hakerzy atakują "interfejs białkowy"
Spada liczba ataków na urządzenia mobilne za pomocą złośliwego oprogramowania, natomiast rośnie rola manipulacji. Dziś walka toczy się o umysł użytkownika – wyjaśnia Adam Marciniak, prezes VeloBanku, menedżer, który tworzył pierwsze departamenty cyberbezpieczeństwa w Polsce.
– Klient de facto wykorzystuje środowisko banku do tego, żeby stracić pieniądze [np. robiąc przelew na rachunek przestępców – red.] – powiedział szef VeloBanku.
Potwierdził to Paweł Piekutowski, wicedyrektor departamentu bezpieczeństwa KNF, zwracając uwagę na paradoks: urządzenia mobilne stały się tak bezpieczne, że przestępcy rezygnują z ich atakowania na rzecz socjotechniki.
– Przestępcy bardzo dobrze nauczyli się liczyć. Wolą zadzwonić, podać się za przedstawiciela znanej firmy i nakłonić do inwestycji. To łatwiejsze niż pisanie złośliwego oprogramowania – powiedział Paweł Piekutowski.
Poziom manipulacji bywa szokujący. Adam Marciniak przytoczył historię klienta, który przyszedł do oddziału wypłacić pieniądze pod dyktando oszustów.
– Pracownicy placówki, policja, przekonywali, że to jest fraud, że zostanie okradziony. A klient i tak nie uwierzył, chciał wypłacić pieniądze oszustom – relacjonował prezes VeloBanku.
Paweł Piekutowski dodał, że zmanipulowani klienci potrafią wierzyć bardziej "panu z telefonu", który obiecuje zyski, niż pracownikowi banku ostrzegającemu przed kradzieżą.
Rażące zaniedbanie klienta
Z drugiej jednak strony dyrektywa PSD3 położyła nacisk na odpowiedzialność podmiotów finansowych za skutki scamów. Eksperci uważają, że warto bardziej wyważyć problem. Powołują się na przykład Wielkiej Brytanii, gdzie wprowadzono pojęcie "rażącego zaniedbania". Klientowi, który się go dopuścił, bank może odmówić zwrotu pieniędzy.
Wszystko jak zawsze rozbija się o definicję. Jeżeli klient sam przeleje pieniądze, będąc poinformowanym, że to oszustwo, i 15 razy potwierdzi transakcję SMS-em w telefonie komórkowym – mamy do czynienia z rażącym zaniedbaniem czy nie? - pytali retorycznie paneliści. W takich sytuacjach dobrze sprawdza się tzw. cooling. Jeśli konsument chce na przykład drastycznie zmienić limity transakcji czy wprowadzić inną ważną zmianę na rachunku, nie następuje to od razu, ale na przykład dopiero 24 godziny po aktywacji.
Edukacja nie działa? Kontrowersyjna teza UOKiK
W debacie o bezpieczeństwie jak mantra powraca słowo "edukacja" jako antidotum na ataki oszustów. Bartłomiej Dzik z UOKiK przywołał jednak badania eksperymentalne (tzw. red teams), które nie potwierdzają jej skuteczności.
– Pracownicy, którzy kliknęli link phishingowy i zostali wysłani na szkolenie z wykrywania scamów, przy kolejnym teście klikają ponownie w podejrzanego mejla. Edukacja czasami po prostu nie działa – stwierdził przedstawiciel UOKiK.
Zjawisko to nazywane jest w psychologii "dysracjonalnością", gdy nawet inteligencja i wykształcenie nie chronią przed oszustwem. Dlatego UOKiK stawia na twarde ograniczenia systemowe. Ekspert przypomina, że jeszcze niedawno w niektórych bankach zwykły Kowalski tuż po założeniu konta miał domyślny limit przelewów na poziomie 800 tysięcy złotych, co ułatwiało czyszczenie konta w jeden dzień. Dzięki interwencji regulatora te limity zostały drastycznie obniżone.
Walka z gigantami i koniec darmowej wygody
Maciej Siciarek uważa, że w walkę z oszustwami muszą włączyć się platfromy społecznościowe. Z tym jest jednak słabo. Między NASK a Metą od roku trwa bitwa o scam.
– Mimo apeli, by systemowo zdejmować reklamy służące kradzieży, skutek jest żaden. Media społecznościowe nie robią nic, żeby wycinać szkodliwy przekaz – powiedział szef CERT NASK,
Jaka przyszłość czeka klientów banków?
– Trzeba sobie uświadomić, że łatwo już było. Będziemy szli w kierunku zabezpieczenia klienta kosztem pewnego rodzaju wygody – prognozował prezes VeloBanku.
Oznacza to więcej autoryzacji, limitów i telefonów weryfikacyjnych. To cena, którą musimy zapłacić za bezpieczeństwo w świecie, gdzie po drugiej stronie ekranu czai się nie tylko haker, ale też AI.
