Kończymy drugą edycję akcji Scamming out!, ale nie znaczy to że tematyka przestanie istnieć w „Pulsie Biznesu”. Będziemy pisać o nowych zjawiskach w tej dziedzinie, o konkretnych sprawach i systemowych rozwiązaniach.
Pięć miesięcy intensywnej edukacji, a to jeszcze nie koniec
Przez pięć miesięcy co tydzień publikowaliśmy raporty i wywiady ze specjalistami o rozmaitych rodzajach oszustw, skali problemu na świecie i w Polsce, metodach przestępców i psychologicznych uwarunkowaniach sprawiających, że ludzie stają się ofiarami oszustów. Informowaliśmy o nowych kampaniach phishingowych, oszukańczych reklamach i innych formach ataków w ramach Scam Alertu. Nagraliśmy serię 14 podcastów, które zamieszczamy na naszym kanale PB Podcasty i na profilu youtubowym „Pulsu Biznesu”. Z ekspertami od cyberbezpieczeństwa rozmawialiśmy o psychologicznych skutkach ataków scamerskch, atakach ransomware, romanse scamach, o tym, kim są haulerzy, czyli wyłudzacze danych, czy i jak AI wpływa na metody oszustów,i o wielu innych sprawach.
W ramach tegorocznej akcji udało się nam zorganizować pierwszą w Polsce konferencję o oszustwach finansowych, ransomware’ach i manipulacji – Scamming Out! Summit. W auli Starej Biblioteki Uniwersytetu Warszawskiego przez cały dzień rozmawialiśmy o zagrożeniach w cyberprzestrzeni z wybitnymi specjalistami od bezpieczeństwa, finansów, komunikacji oraz ścigania cyberprzestępczości.
Nowym elementem tegorocznej kampanii jest konkurs plastyczny na najlepszą pracę o cyberbezpieczeństwie. Rozstrzygnięty zostanie w styczniu przyszłego roku.
Kampania nie osiągnęłaby takich rozmiarów bez partnerów i patronów. Dzięki nim docieramy do coraz większej grupy odbiorców. Ich ogromne wsparcie merytoryczne i zaangażowanie w propagowanie wiedzy o oszustwach finansowych sprawiły, że Scamming Out! jest coraz bardziej rozpoznawalną i skuteczną akcją.
Jesteśmy przekonani, że najlepszą bronią w walce z cyberprzestępcami jest wiedza, znajomość technik manipulacyjnych. Hasłem naszej akcji niezmiennie brzmi: Każdy może paść ofiarą scamu.
Scamming groźniejszy od skimmingu
Zjawisko cyberprzestępczości z każdym rokiem przybiera na sile. Kiedy rozpoczęliśmy przygotowania do kampanii przeciwko oszustwom finansowym w sieci wiosną 2024 r. nie było jeszcze statystyk opisujących skalę problemu. Przez lata Narodowy Bank Polski publikował raporty o oszustwach kartowych, za każdym razem z satysfakcją odnotowując niski, najniższy w Europie wskaźnik strat (w relacji do obrotów) z tytułu transakcji kartami kradzionymi, zgubionymi, podrobionymi – 0,0025 proc. Jest to efekt wieloletnich prac nad ciągłym ulepszaniem zabezpieczeń kartowych. Czasy skimmingu, czyli metody polegającej na sczytywaniu danych zapisanych na pasku magnetycznym karty za pomocą urządzeń instalowanych przez przestępców głównie w bankomatach, odeszły w przeszłość. Karty chipowe załatwiły problem. Podobnie jak autoryzacje 3D Secure praktycznie wyeliminowały ryzyko płatności w internecie.
Problem oszustw nie skończył się jednak. Przestępcy zmienili metody działania. Na bardziej skuteczne i kosztowne dla ofiar. Od początku 2024 r. NBP, zgodnie z zaleceniami Europejskiego Banku Centralnego, zbiera od banków i agentów rozliczeniowych dane o oszukańczych transakcjach zrealizowanych w skutek manipulacji płatnikiem przez przestępców. Przed rokiem bankowcy szacowali straty klientów spowodowane przez scamy na około 50 mln zł kwartalnie. Rzeczywiste dane okazały się znacznie wyższe. Kwartalnie Polacy tracą po 150 mln zł. W całym 2024 r. wartość oszustw wyniosła niemal 0,5 mld zł. W tym roku idziemy na rekord - według statystykiz a pierwsze półrocze można założyć, że w całym roku grubo przekroczą 600 mln zł.
Nowe oszustwo kartowe też jest związane ze scammingiem
W dziedzinie wyłudzeń przy użyciu kart też pojawiła się nowa kategoria oszustw, odporna na technologiczne zabezpieczenia. NBP raportuje, że w II kwartale tego roku z tytułu transakcji kradzionymi kartami straty wyniosły 2,5 mln zł, kartami sfałszowanymi 231 tys. zł, skradzionymi z danymi kart z 7,9 mln zł. Ale już 5,7 mln zł strat było skutkiem „nakłonienia płatnika do dokonania płatności kartą”. To nowy sposób wyłudzeń, który pojawił się w statystykach dopiero od 2024 r. NBP nie wyjaśnia dokładnie, na czym ona polega, ale prawdopodobnie na manipulacji, wskutek której ofiara wypłaca pieniądze z bankomatu i przekazuje oszustom – rzadko osobiście, zazwyczaj wpłacając je na wskazane konto. Jest to klasyczny atak scamerski z wykorzystaniem metody na bankowca, policjanta czy prokuratora. Oszuści przekonują ofiarę podczas rozmowy telefonicznej, że jej pieniądze w banku są zagrożone w związku z atakiem hakerskim, działaniem szajki nieuczciwych pracowników itp. i nakłaniają ją do wypłaty oszczędności i zdeponowania na „bezpiecznym” rachunku.
Skala tego typu oszustw kartowych szybko rośnie. W I kwartale 2024 r. było ich 869, straty wyniosły 1,9 mln zł. Kwartał później liczba wzrosła do 1,4 tys., wartość szkód nie zmieniła się. W II kwartale ubiegłego roku nastąpił spadek liczby oszustw do 993, zmniejszyła się też ich wartość – do 1,8 mln zł. Ale już kwartał później wyłudzeń było 1,6 tys. na kwotę 2,1 mln zł. Na początku tego roku liczba osób wyniosła już 2,8 tys., a wartość wzrosła do 3,7 mln zł.
Polska na czwartym miejscu pod względem fraudów
Wartość fraudów i wyłudzeń rośnie w całej Europie. EBA (European Banking Authority), europejski nadzorca bankowy, opublikował na początku grudnia raport o oszukańczych transakcjach w Europejskim Obszarze Gospodarczym, który pokazuje stały wzrost wartości strat z tytułu wyłudzeń i kradzieży danych kartowych. W 2022 r. wyniosły one 3,4 mld EUR, rok później było już 3,5 mld EUR, a w ubiegłym roku 4,2 mld EUR. W podziale na kategorie płatności straty w 2024 r. wyglądały następująco: 2,2 mld EUR z tytułu wyłudzonych przelewów (wzrost o 16 proc. r/r), 1,3 mld EUR z tytułu płatności kartowych (plus 29 proc.), 239 mln EUR wyłudzono za pomocą poleceń zapłaty, wypłat gotówki i pieniądza elektronicznego (plus 64 proc.).
Według EBC połowa oszukańczych transakcji została zrealizowana przez zmanipulowanego płatnika. Najwięcej tego typu oszustw pod względem wielkości strat odnotowały Niemcy – 474 mln EUR, dalej są Francja z 350 mln EUR i Belgia z 216 mln EUR. Polska znalazła się na czwartym miejscu z sumą strat 163 mln EUR, przed Włochami (158 mln EUR) i Holandią (142 mln EUR).
Warto zauważyć, że w Polsce proporcje fraudów kartowych i oszustw z zastosowaniem manipulacji są zupełnie inne niż w Europie, gdzie ataki socjotechniczne na ofiarę odpowiadają za połowę oszukańczych transakcji. Według NBP, w Polsce w II kwartale bieżącego roku oszustwa kartowe spowodowały straty w wysokości 24 mln zł wobec 174 mln zł jakie przepadły z kont klientów w skutek przelewów zleconych przez zmanipulowanego płatnika. To pokazuje, że Polska pod względem bezpieczeństwa płatności kartowych jest dość wyjątkowym krajem w Europie.
Banki centralne nie widzą problemu
O ile w przypadku kart problem fraudów, w każdym razie w Polsce, można uznać za rozwiązany, to oszustwa z wykorzystaniem socjotechniki budzą poważna zaniepokojenie banków, instytucji i organizacji konsumenckich. Co zastanawiające, nie widać tego w bankach centralnych. Charakterystyczną cechą raportów NBP i EBA o oszukańczych transakcjach jest konstatacja, że choć wartość i liczba wyłudzeń rosną, to skala zjawiska w porównaniu do wielkości obrotów bezgotówkowych jest niewielka.
W grupie pięciu krajów europejskich o największych stratach spowodowanych przez wyłudzone przelewy odsetek fraudowych transakcji to zaledwie 0,001 proc. całego rynku. Rzeczywiście są to wartości marginalne. Jeśli jednak spojrzeć na fraudy nie tylko z perspektywy statystycznej, ale przez pryzmat realnych strat finansowych generowanych przez przestępców, ocena może i powinna być inna.
Warto brać przykład z Brytyjczyków
Brytyjczycy scamy, fraudy i wyłudzenia uważają za jedno z najważniejszych wyzwań społecznych. Skala zjawiska oszustw finansowych jest na Wyspach większa niż na kontynencie, ale różnice nie są aż tak wielkie. W 2024 r. wartość wszystkich scamów zaraportowanych przez UK Finance wyniosła 1,17 mld GBP. W tym przelewy zrealizowane przez zmanipulowanego płatnika miały wartość 450 mln GBP. To poziom porównywalny do Niemiec.
Nadzór finansowy Wielkiej Brytanii, rząd, organizacje społeczne oraz media bardzo mocno angażują się w walkę z oszustwami, ponieważ ludzie tracą realne pieniądze (choć statystycznie mało istotne), przestępcy podkopują zaufanie do systemu płatniczego i generalnie instytucji państwa i zarabiają ogromne pieniądze napędzające pralnie pieniędzy i czarny rynek.
Nie do oszacowania są skutki psychologiczne dla ofiar scamów, okradzionych z pieniędzy, poczucia godności i bezpieczeństwa. Brytyjczycy wszystkie te elementy biorą pod uwagę. Podobnie jak Australijczycy, którzy stworzyli najbardziej skuteczny na świecie system walki z cyberoszustwami, w którym zaangażowane są banki, telekomy, policja, nadzór i rząd. Efekty są widoczne: w 2024 r. nastąpił spadek wartości oszustw w Australii po wielu latach nieustannych wzrostów.
Jednym z celów kampanii Scamming Out! jest zbudowanie w Polsce platformy wymiany wiedzy o oszustwach finansowych i docelowo stworzenie centralnego ośrodka koordynującego walkę z cyberprzestępczością. Kompetencje w kraju są bardzo duże, ale znajdują się w rozproszonych ośrodkach. Warto je skonsolidować. Zajmiemy się tym w przyszłorocznej edycji Scamming Out!.
Oszustwa oparte na emocjach – romance scam – stały się przestępstwem o globalnych zasięgach, za którymi często stoją zorganizowane grupy przestępcze.
Kluczowa do walki z oszustami jest tu edukacja, w dobie AI coraz trudniej bowiem odróżnić fikcję od prawdy. Skuteczność „romansowych oszustów” to efekt przemyślanych scenariuszy, które są starannie dopasowane do emocji i potrzeb ofiary. To pozwala sprawcom budować poczucie zaufania i emocjonalną więź, zanim przejdą do fazy wyłudzenia pieniędzy.
Scenariusze przestępców
„Amerykański żołnierz”, „marynarz” czy „lekarka na misji” – to popularne motywy, których używa oszust rozpoczynający konwersację z potencjalną ofiarą. W ten sposób łatwiej wzbudzić zaufanie i jest to uzasadnienie dla ograniczonego kontaktu. Takie historie tłumaczą też niemożność spotkania czy przerwy w komunikacji. Pozwalają łatwo wprowadzić wątek nagłej potrzeby finansowej. Jednocześnie przy pomocy deepfake’ów oszuści podszywają się też pod osoby publiczne lub znane postacie, np. aktorów czy celebrytki.
Łowcy serc w sieci
W Polsce skuteczne ataki najczęściej inicjowane są na portalach społecznościowych, przede wszystkim na Facebooku. Jak działa oszust? Zanim podejmie próbę kontaktu, analizuje potencjalną ofiarę – publiczne informacje o niej, aktywność w komentarzach, reakcje na posty. Następnie nawiązuje kontakt w sposób, który wydaje się naturalny – na przykład odpowiadając na komentarz pod popularnym wpisem lub wysyłając wiadomość prywatną. Pierwszą próbą kontaktu może być też zaproszenie do grona znajomych.
