Przeciwdziałanie oszustwom i wyłudzeniom staje się wyzwaniem dla instytucji finansowych w obliczu łatwiejszego dostępu do nowych technologii

12/01/2021

Polska nie doświadczyła wysokiego wzrostu oszustw i nadużyć w czasie pandemii, ale możliwości technologiczne w ich zakresie rosną. Powstaje nowa klasa graczy dostarczających narzędzi opartych o sztuczną inteligencję umożliwiających dokonywanie przestępstw na masową skalę.

Z badań ZPF i firmy konsultingowej EY w 2020 roku wynika, że pierwsza fala pandemii nie miała znacznego wpływu na poziom nadużyć i oszustw w polskim sektorze finansowym. Jedynie 15 proc. respondentów, do których należały banki, firmy leasingowe i pożyczkowe oraz zakłady ubezpieczeniowe zanotowało wzrost intensywności tych negatywnych zjawisk. Badane instytucje w sposób wyraźny łączą wzrost poziomu fraudów z wybuchem pandemii. W znacznym stopniu ich przyczyny leżały po stronie klientów – to aż 40 proc. zidentyfikowanych przypadków. Można postawić tezę, że pandemia w dużej mierze zmniejszyła ich ostrożność powodując dezorientację wynikająca z przeniesienia aktywności do sfery wirtualnej i niespotykanej do tej pory liczby fałszywych informacji. To sprzyjało słabej ochronie danych osobowych, udostępnianiu loginów i haseł a także wchodzeniu na fałszywe strony internetowe. Według badanych firm największe zagrożenie stanowi wyłudzanie produktów kredytowych i pożyczek (50 proc. wskazań), choć jego poziom nie jest znacznie wyższy niż we wcześniejszym okresie. Mniej wskazań dotyczyło nieautoryzowanych transakcji na rachunkach klientów, cyberataków lub fałszowania sprawozdania finansowego oraz kart kredytowych i prania brudnych pieniędzy. Do najczęściej stosowanych metod przeciwdziałania oszustwom i wyłudzeniom respondenci zaliczyli wewnętrzne bazy danych, rejestry informacji gospodarczej, pisemne procedury i polityki wewnętrzne oraz analizy jakościowe portfela klientów. Za najbardziej efektywne uznano natomiast weryfikację danych klientów przed podjęciem decyzji sprzedażowych oraz czynności podejmowane przez samodzielny zespół wewnętrzny zajmujący się wykrywaniem i zwalczaniem nieprawidłowości. Duża część badanych instytucji stosuje jednocześnie wiele metod przeciwdziałania nadużyciom.

Fakt, że polskie podmioty finansowe dobrze sobie radzą w procesie identyfikacji i przeciwdziałania oszustwom może wynikać z dobrego poziomu przygotowania tych instytucji twierdzą autorzy raportu. Mogą być jednak także inne przyczyny  – zwraca uwagę dr Mirosław Ciesielski, koordynator Komisji Stałej ds. Fintech w ZPF. Być może polski rynek nie jest jeszcze atrakcyjny dla międzynarodowych grup przestępczych, a niektóre technologie ułatwiające kryminalną działalność do nas jeszcze nie dotarły. Warto bowiem zwrócić uwagę, że w czasie pandemii w wielu państwach zjawisko nadużyć i oszustw finansowych miało znacznie większą skalę.

Motorem wzrostu przestępczości finansowej w czasie pandemii był rosnący poziom digitalizacji, która wg analizy McKinsey na wielu rynkach doznała trzyletniego przyśpieszenia w sektorze bankowym. To otworzyło nowe możliwości przestępcom. Według danych firm VMware z czerwca zeszłego roku cyberataki na amerykańskie instytucje finansowe wzrosły w okresie luty-kwiecień o 238 procent, a każda próba fraudu opiewała na kwotę o 5,5 proc. wyższą niż przed pandemią. Z kolei platforma oferujące rozwiązania antyfraudowe Arkose Labs w pierwszym półroczu 2020 roku  zidentyfikowała i przeciwdziałała 1,1 mld ataków a to o 25 proc. więcej niż w analogicznym okresie roku poprzedniego. W Wielkiej Brytanii w czasie pierwszego lockdownu również odnotowano drastyczny wzrost prób oszustw i wyłudzeń obejmujący praktycznie wszystkie produkty finansowe. Jak podaje firma badawcza Experian najwięcej z nich dotyczyło finansowania zakupu samochodów i zarządzania aktywami (wzrost o 181 proc.), rachunków bieżących (35 proc.) i oszczędnościowych (28 proc.).

Głównym metodą oszustw były ataki phishingowe (kradzież tożsamości) oraz fałszywa reklama internetowa. Masowy charakter tych ataków jest możliwy dzięki zastosowaniu botów, czemu towarzyszy spadek o prawie jedną czwartą przestępczych działań przeprowadzonych przez człowieka. To zjawisko ma charakter transgraniczny i w największym stopniu występuje w państwach azjatyckich. Tu ataki pochodziły głównie z Japonii, Indii, Australii i Filipin. Z kolei hinduscy hackerzy w największym stali za atakami w USA, W. Brytanii, Kanadzie i Australii. Wzrost ataku botów, mierzonym wartością wyłudzonych kwot (o 32 proc.), zanotowały też sklepy internetowe. Największe straty przyniosło wyłudzanie zwrotu środków (chargeback) i przejęcia kont klientów. Specyfika botów polega na tym, że mogą one jednocześnie generować ataki na dziesiątki, a nawet setki tysięcy kont próbując wyłudzić wydawało się nieistotne kilkudolarowe kwoty, ale sumy przejęte na przykład z różnych programów lojalnościwych mogą dawać przestępcom wielomilionowe zyski. Najgroźniejszym sposobem dokonywania oszustw jest przejęcie rachunku, coraz częściej po uprzednim przejęciu kontroli nad ich telefonem komórkowym (tzw. SIM swapping) w wyniku stosowania socjotechniki. Dzięki temu grupy kryminalne mogą dysponować danymi personalnymi do dokonywania dalszych wyłudzeń. W takich sytuacjach klientom trudno też odzyskać transferowane na podstawione konta przelewy, gdyż opierają się one na prawidłowym uwierzytelnieniu klienta, a konta szybko mogą zostać wyczyszczone. Ten typ przestępstwa to tzw. autoryzowana płatność wymuszona (APP). Wyspecjalizowani przestępcy mogą też stosować techniki psychologiczne, aby wymusić firmowy przelew czy płatność za fałszywą fakturę stosując narzędzia biometrii głosowej, która daje możliwości imitowania głosu prezesa czy dyrektora działu, których próbki dostępne są w social mediach.

Badania Interpolu przeprowadzone w 48 krajach wskazują że najczęstszą formą wyłudzeń w czasie pandemii były oszustwa w Internecie, w tym głównie phishing (59 proc.), stosowanie złośliwego, szyfrującego oprogramowania (36 proc.) wymierzonego w instytucje odpowiedzialne za infrastrukturę, agencje rządowe a także szpitale i centra medyczne, co związane było często z wymuszaniem okupu (ransomware). W 2020 roku wzrosła też służąca oszustwom i przejęciu danych liczba fałszywych stron internetowych, często zawierających w nazwie słowa odnoszące się do pandemii jak „corona” czy „covid”. W badanych 80 krajach zidentyfikowano ich ponad 200 tysięcy.

Przestępcy dokonujący oszustw i wyłudzeń nie muszą być specjalistami IT, bo nowe rozwiązania obniżyły znacznie próg umożliwiający wykorzystanie nowych technologii, głównie opartych o zastosowanie sztucznej inteligencji, bez posiadania kompetencji i technicznej wiedzy – wynika z raportu Europolu pod tytułem Internet  Organised Crime Threat Assessment 2020. To otwiera drogę do szybkiej identyfikacji haseł do kont, tworzenia kontentu do fałszywych wiadomości i różnym socjotechnikom. Komercyjne rozwiązania umożliwiające taką działalność funkcjonują już w darknecie, sieci dostępnej za pomocą specjalnego oprogramowania. Technologia nazywana crime as a service (CaaS – przestępstwo jako usługa) umożliwia obchodzenie zapór bezpieczeństwa na komputerach i telefonach oraz tworzenie profili ofiar na podstawie ich aktywności w mediach społecznościowych. Przykładem takiej działalności na masową skalę była grupa InfinityBlack, która do połowy zeszłego roku funkcjonowała w Polsce i Szwajcarii. Pierwszy krok w tym dobrze zorganizowanym przedsięwzięciu polegał na przejęciu danych setek tysięcy osób, następnie specjalna grupa deweloperów stworzyła narzędzia do ich testowania, w kolejnym etapie analitycy weryfikowali ich przydatność do autoryzacji różnych typów transakcji, a specjaliści od sprzedaży tworzyli modele ich subskrypcji w darknecie w oparciu o rozliczenia w kryptowalutach. W ten sposób inni przestępcy – ich klienci bez specjalistycznej wiedzy otrzymywali narzędzia do dokonywania wyłudzeń i oszustw. Można więc powiedzieć – wnioskuje dr Mirosław Ciesielski – że nowy etap rozwoju finansowej cyberprzestępczości polega na wyodrębnieniu się grup specjalistów tworzących i udostępniających zaawansowane, przestępcze technologie. Z tego punktu widzenia wiele dużych, rynkowych podmiotów, w tym instytucji finansowych może oczekiwać nasilenia ataków na masową skalę, a wojna technologiczna między nimi a uzbrojonymi w nowe możliwości przestępcami wkroczy w nowy etap. Z pewnością dotrze ona także w dobie otwartej bankowości na polski rynek finansowy,  

Wyzwanie dla wielu podmiotów finansowych polegać może na tym, że obecne systemy antyfraudowe opierają się na danych historycznych nie uwzględniających nowych scenariuszy zachowań przestępców.  To prowadzić może do fałszywie pozytywnych decyzji w zakresie weryfikacji tożsamości klienta lub przyznania kredytu. Potrzebne jest wprowadzenie analiz i reakcji w czasie rzeczywistym w oparciu o dane z różnych źródeł, często poza wykorzystywanymi do tej pory bazami danych, w oparciu o sztuczną inteligencję, uczenie maszynowe i predyktywne modelowanie. Tylko w ten sposób można uzbroić się przeciwko zaawansowanym technicznie zagrożeniom.