Jedna decyzja, która może kosztować cię wszystkie oszczędności

Elektroniczne płatności są bezpieczne, kwestionowane płatności to zwykle skutek lekkomyślnej decyzji właściciela karty lub użycia jej przez kogoś z rodziny; gotówka pozostaje potrzebna, np. w razie awarii – to wnioski z debaty o bezpieczeństwie w świecie bezgotówkowym zorganizowanej w ramach konferencji Cyber24Day.
Świat bezgotówkowy jest nam dziś dobrze znany. Płatności kartą, BLIK-iem czy też zegarkiem towarzyszą nam w codziennych zakupach. Wirtualne płatności są wygodne, ale czy są bezpieczne?
W panelu dyskusyjnym„Bezpieczeństwo w świecie bezgotówkowym – nowa jakość ochrony naszych oszczędności”, moderowanym przez Dorotę Kwaśniewską, redaktor portalu CyberDefence24, uczestniczyli:
- dr Wojciech Iwański - adwokat, partner w SK&S;
- Sebastian Lasek, Prezes Zarządu Aplikacje Krytyczne Sp. z o.o.;
- Karol Paciorek, Kierownik Zespołu CSIRT KNF;
- Wojciech Zaskórski General Manager w Lenovo Polska.
Systemy są zabezpieczone
Kierownik zespołu reagowania na incydenty komputerowe (CSIRT) KNF Karol Paciorek podzielił zagrożenia bezgotówkowe na te, które uderzają w systemy bankowe, i takie, które godzą w klientów.
Systemy bankowe są bardzo dobrze zabezpieczone, ale trzeba pamiętać o łańcuchu dostaw – wystarczy, że jedna firma świadcząca usługi danemu podmiotowi padnie ofiarą ataku ransomeware, a złośliwe oprogramowanie może się przedostać do tego podmiotu
Karol Paciorek, Kierownik CSIRT KNF
Mówiąc o zagrożeniach dla klientów podkreślił, że np. sama płatność blikiem jest bezpieczna, może się natomiast stać narzędziem – nie metodą – wyłudzenia.

Pokusa zarobku
Wojciech Zaskórski z Lenovo zaznaczył, że choć nie ma doskonałych zabezpieczeń, to do kłopotów prowadzą zwykle złe decyzje klientów, klikających w niebezpieczne linki i podających wrażliwe dane. Dlatego, w jego opinii obowiązkiem branży IT jest edukacja i uświadamianie użytkownikom konsekwencji ich działań.

Partner w SK&S adw. Wojciech Iwański wskazał na prowadzone od kilku lat postępowania UOKiK wobec banków w związku z obsługą transakcji nieautoryzowanych i w efekcie tych postępowań badania nad malwersacjami. Wykazały one, że zagrożenia po stronie systemów to margines, ponieważ – podkreślił Iwański – polski sektor bankowy dba o bezpieczeństwo i ma dobrych dostawców.
Istotne okazały się „problemy konstrukcyjne” samego systemu płatniczego. 15-20 proc. przypadło na „oszustwa kartowe” – rozliczenia transakcji offline dokonywanych w Azji, których systemy nie wyłapały z uwagi na częstość takich transakcji w tej części świata. Wobec braku silnego uwierzytelnienia użytkownika, klienci w większości takich przypadków od ręki dostają zwrot pieniędzy.
W przypadku transakcji, za które odpowiada klient banku, zdarza się, że zgłasza bankowi nieznane operacje, które – jak się okazuje – sam zlecił, klikając w podany link.
Oszutwa rodzinne i socjotechniczne
Kilkanaście procent reklamowanych płatności przypada na „family fraud” – ubytek na koncie to dzieło małżonków lub dzieci używających karty właściciela. Z prawnego punktu widzenia odbywa się to nielegalnie. Kolejny rodzaj to z kolei wykorzystywanie uwierzytelnień, gdy właściciel karty podaje komuś innemu PIN.
Największa i rosnąca grupa – zaznaczył Iwański - to „oszustwa socjotechniczne”, z którymi mierzą się banki i instytucje państwa strzegące bezpieczeństwa klientów. To przypadki, gdy wprowadzony w błąd klient sam potwierdza, że chce dokonać transakcji, skuszony np. obietnicą przelewu kryptowalut z rzekomo odnalezionego jego konta pod warunkiem dokonania opłaty.
Zdarza się, że młodzi ludzie, zwiedzeni wizją rzekomych inwestycji, dokonują płatności używając kart rodziców.
Nowym sposobem działania przestępców wyspecjalizowanych w przechwytywaniu sygnału przy płatnościach zbliżeniowych jest kradzież PIN-ów do kart, gromadzenie ich na telefonie i sprzedaż urządzenia z kolekcją numerów do kilkunastu kart. Zysk z kradzieży jest mniejszy, ale złodzieje PIN-ów czują się mniej narażeni na zatrzymanie niż gdyby sami wypłacali pieniądze.

Wśród „mnóstwa zagrożeń dla nieprofesjonalnych uczestników rynku finansowego” szef CSIRT KNF wskazał nagrania sporządzone z wykorzystaniem sztucznej inteligencji. Mogą to być filmiki, w których rzekomy piłkarz Robert Lewandowski namawia do inwestycji. Kilkunastosekundowa próbka głosu gwiazdora boisk, wystarczająca, by podkładać podrabiane kwestie w pełnometrażowym filmie, kosztuje kilka centów.
Czytaj też
Edukacja, roztropność, prawo

Nie ma całkowicie bezpiecznego systemu, na końcu zawsze jest człowiek.
Sebastian Lasek, prezes spółki Aplikacje Krytyczne
W odpowiedziach na pytanie, jak zapobiegać nadużyciom, dyskutanci najczęściej wskazywali na konieczność uświadomienia zagrożeń i potrzebę rozsądku.
Iwański zwrócił uwagę na toczącą się na poziomie UE debatę o nowych przepisach dotyczących transakcjach płatniczych i pojawiające się głosy, by odpowiedzialność banków rozszerzyć także na transakcje autoryzowane przez użytkownika w wyniku spoofingu - przynajmniej w przypadku pierwszej takiej płatności. Jak zaznaczył, dyskusja ta wciąż znajduje się na wczesnym etapie.
Według Zaskórskiego, najważniejszy w cyfrowym świecie jest rozsądek, nakazujący np. korzystanie z filtrów prywatyzacyjnych czy zasłanianie kamer w laptopach. Sprzyjają temu – dodał – szkolenia z cyberbezpieczeństwa, organizowane przez Lenovo, z których skorzystało w Polsce 300 tys. osób.
”Dzieci sprawnie poruszają się w świecie internetu, umieją scrollować i oglądać. Brakuje programów nauki krytycznej oceny i weryfikacji treści. Kluczowe jest, by sprawdzić źródło, wiedzieć, czego używamy i świadomie wybierać urządzenia” – zaznaczył Lasek. Zwrócił też uwagę, jak rozpowszechniły się płatności kartą, przed kilku laty niemożliwe np. na warzywnym bazarku.
„Bezgotówkowy świat bardzo mi się podoba i dużo ułatwia, ale wierzę, że jakiś procent obrotu powinien się odbywać w gotówce” – podsumował Paciorek. Przypomniał awarię jednego z operatorów płatności kartami, która uniemożliwiła wiele zakupów; była ona błędnie brana za hybrydowy atak związany z rosyjskim ćwiczeniem wojskowym Zapad.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?