Rośnie liczba oszustw finansowych polegających na wyłudzaniu danych do logowania w usługach bankowości elektronicznej. Przestępcy wykorzystują internet i telefon, podszywając się m.in. pod Komisję Nadzoru Finansowego, Biuro Informacji Kredytowej czy banki, np. PKO BP.
Według danych Związku Banków Polskich, w pierwszym kwartale 2021 r. dokonano 1790 prób wyłudzeń kredytów. Największą kwotę - 20 mln zł - próbowano wyłudzić w Wielkopolsce.
Jak wskazuje Bankowe Centrum Cyberbezpieczeństwa ZBP, metodą, którą posługują się przestępcy, są m.in. telefony, w których bliżej nieustalone osoby dzwonią do potencjalnych ofiar i podszywając się pod powszechnie rozpoznawalne instytucje finansowe, próbują pozyskiwać wrażliwe dane służące np. do logowania w bankowości elektronicznej. Oszuści mogą również nakłaniać osoby, do których telefonują, do instalacji na komputerze lub telefonie oprogramowania, które umożliwi im przejęcie kontroli nad urządzeniem ofiary i pozyskanie dalszych danych - takich jak np. loginy i hasła do usług bankowych, a także kody SMS-ów autoryzujących transakcje finansowe. W efekcie można stracić pieniądze z rachunku bankowego, ale też paść ofiarą wyłudzenia przez oszustów kredytu na dane pokrzywdzonej osoby.
W rozmowie z PAP dyrektor departamentu komunikacji społecznej Komisji Nadzoru Finansowego Jacek Barszczewski ocenił, że "obserwowana jest tendencja wzrostowa liczby oszustw", których ofiarami padają konsumenci, niejednokrotnie tracący oszczędności całego życia. "Dotyczy to zarówno osób aktywnie korzystających z nowoczesnych technologii, jak i starszych, które z usług bankowości elektronicznej korzystają sporadycznie" - podkreślił.
Barszczewski zauważył, że główną metodą ataków na klientów instytucji finansowych są obecnie działania socjotechniczne. "Korzystając z nich cyberprzestępcy podszywają się pod legalnie działające instytucje finansowe i inne organizacje, aby pozyskać dane do logowania do bankowości elektronicznej. Następnie wykorzystują je do kradzieży środków" - wytłumaczył.
Jak wskazał, działania przestępcze i ataki dokonywane są przede wszystkim przez dostępne kanały komunikacji zdalnej, tj. telefon, wiadomości SMS, e-mail oraz media społecznościowe.
Dyrektor ds. edukacji Biura Informacji Kredytowej Małgorzata Bielińska przekazała PAP, że zjawisko podszywania się przestępców kontaktujących się telefonicznie z ofiarami dotyczy wielu instytucji. "Oszuści mogą podawać się za pracownika banku, pracownika KNF, Związku Banków Polskich, ale też policjanta, funkcjonariusza np. CBA, jak i Biura Informacji Kredytowej" - powiedziała. Bielińska potwierdziła, że głównym celem takich działań jest przejęcie danych umożliwiających dostanie się do konta bankowego danej osoby i jej pieniędzy.
"Kreatywność i spryt przestępców w połączeniu ze znajomością procesów obsługowych klientów powodują, że mnożą się sposoby nieuprawnionego przejmowania danych" - stwierdziła. "Oszuści wykorzystują słabości systemów telekomunikacyjnych, które pozwalają im na podszywanie się pod dowolny numer telefonu, np. infolinię banku, infolinię instytucji państwowych lub podmiotów gospodarczych. To wszystko w zestawieniu z chwytami socjotechnicznymi, elementem zaskoczenia i ludzką naiwnością bądź nieuwagą może gwarantować sporą skuteczność po stronie przestępców" - zauważyła.
Jej zdaniem "oszuści dzwonią pod różnym pretekstem, np. weryfikacji zmyślonej transakcji, zablokowanego rachunku, identyfikacji wyłudzenia, specjalnej akcji Policji. Nakłaniają do podania danych osobowych, danych karty płatniczej, danych niezbędnych do korzystania z bankowości internetowej oraz zachęcają do instalacji dodatkowego oprogramowania, które może zdalnie kontrolować komputer lub smartfon ofiary".
Przed przestępstwami tego rodzaju ostrzega również PKO Bank Polski. Jak zastrzegła w rozmowie z PAP kierownik zespołu w departamencie komunikacji korporacyjnej PKO BP Magdalena Lejman, "konsultant (banku - PAP) nigdy nie poprosi przez telefon o dane do logowania, dane karty czy zainstalowanie na komputerze lub telefonie jakiegokolwiek oprogramowania, nawet w przypadku, gdy bank dzwoni w kwestiach związanych z bezpieczeństwem konta".
Lejman podkreśliła, że aby zablokować np. fałszywą transakcję na koncie klienta, bank nie potrzebuje, aby przekazywał on dostęp do serwisu transakcyjnego po swojej stronie lub pełne dane karty płatniczej.
"W ostatnich miesiącach nasiliły się przypadki oszustw telefonicznych" - stwierdziła przedstawicielka PKO BP. Jak wskazała jednak, to nie jedyny sposób działania przestępców. Działania mające na celu wyłudzenia danych przybierają również postać oszustw na portalach aukcyjnych, gdzie wysyłane są fałszywe linki do płatności internetowych, wysyłki fałszywych SMS-ów, które po kliknięciu w link instalują na telefonie ofiary szkodliwe oprogramowanie, a także oszustw "na kryptowaluty", gdzie cyberprzestępcy oferują szalenie atrakcyjne inwestycje i namawiają do instalowania oprogramowania, dzięki któremu możliwa ma być ich obsługa, a które w rzeczywistości służy do przejęcia kontroli nad sprzętem.
Wykorzystując podatności systemu GSM, jak zauważyła Lejman, "przestępcy są w stanie podszyć się pod dowolny numer telefonu każdej instytucji lub osoby fizycznej".
Rozmówcy PAP zgodzili się, że podstawą w działaniach zwalczających tego rodzaju przestępstwa jest edukacja.
"Urząd Komisji Nadzoru Finansowego regularnie, zarówno samodzielnie, jak i we współpracy z innymi instytucjami oraz organizacjami działającymi na rzecz edukacji w zakresie cyberbezpieczeństwa, ostrzega przed oszustwami. Edukacja i świadomość w tym zakresie są jednymi z gwarantów bezpieczeństwa środków finansowych klientów" - ocenił Barszczewski, który jako przykład działań edukacyjnych prowadzonych przez UKNF wskazał kampanię "Uwaga! Cyberoszust!" prowadzoną nie tylko na stronach internetowych, ale i w ogólnopolskich środkach masowego przekazu.
Przedstawicielka BIK poinformowała, iż instytucja ta również prowadzi wspólne działania edukacyjne z innymi podmiotami, m.in. w mediach społecznościowych, w ramach zorganizowanych kampanii informacyjnych, a także poprzez publikacje medialne.
Lejman z kolei przekazała, iż PKO BP ostrzega przed zagrożeniami swoich klientów, podobnie jak inne banki. "Od lat edukujemy klientów we wszystkich dostępnych kanałach i mediach" - powiedziała.
"Przestępcy zmieniają jednak sposób działania, a sami klienci oczekują coraz prostszych i coraz bardziej intuicyjnych rozwiązań. Wiele dzieje się na arenie międzybankowej" - wskazała. Dodała, że w sektorze bankowym działa Bankowy Zespół Cyberbezpieczeństwa, a sam PKO BP przy zagadnieniach tego rodzaju współpracuje również z zespołem CSIRT NASK.