Jedna decyzja, która może kosztować cię wszystkie oszczędności

Świat bezgotówkowy jest nam dziś dobrze znany. Płatności kartą, BLIK-iem czy też zegarkiem towarzyszą nam w codziennych zakupach. Wirtualne płatności są wygodne, ale czy są bezpieczne?

W panelu dyskusyjnym„Bezpieczeństwo w świecie bezgotówkowym – nowa jakość ochrony naszych oszczędności”, moderowanym przez Dorotę Kwaśniewską, redaktor portalu CyberDefence24, uczestniczyli:

• dr Wojciech Iwański - adwokat, partner w SK&S;
• Sebastian Lasek, Prezes Zarządu Aplikacje Krytyczne Sp. z o.o.;
• Karol Paciorek, Kierownik Zespołu CSIRT KNF;
• Wojciech Zaskórski General Manager w Lenovo Polska.

Systemy są zabezpieczone

Kierownik zespołu reagowania na incydenty komputerowe (CSIRT) KNF Karol Paciorek podzielił zagrożenia bezgotówkowe na te, które uderzają w systemy bankowe, i takie, które godzą w klientów.

Systemy bankowe są bardzo dobrze zabezpieczone, ale trzeba pamiętać o łańcuchu dostaw – wystarczy, że jedna firma świadcząca usługi danemu podmiotowi padnie ofiarą ataku ransomeware, a złośliwe oprogramowanie może się przedostać do  tego podmiotu
Karol Paciorek, Kierownik CSIRT KNF

Mówiąc o zagrożeniach dla klientów podkreślił, że np. sama płatność blikiem jest bezpieczna, może się natomiast stać narzędziem – nie metodą – wyłudzenia.

Pokusa zarobku

Wojciech Zaskórski z Lenovo zaznaczył, że choć nie ma doskonałych zabezpieczeń, to do kłopotów prowadzą zwykle złe decyzje klientów, klikających w niebezpieczne linki i podających wrażliwe dane. Dlatego, w jego opinii obowiązkiem branży IT jest edukacja i uświadamianie użytkownikom konsekwencji ich działań.

Partner w SK&S adw. Wojciech Iwański wskazał na prowadzone od kilku lat postępowania UOKiK wobec banków w związku z obsługą transakcji nieautoryzowanych i w efekcie tych postępowań badania nad malwersacjami. Wykazały one, że zagrożenia po stronie systemów to margines, ponieważ – podkreślił Iwański – polski sektor bankowy dba o bezpieczeństwo i ma dobrych dostawców.

Istotne okazały się „problemy konstrukcyjne” samego systemu płatniczego. 15-20 proc. przypadło na „oszustwa kartowe” – rozliczenia transakcji offline dokonywanych w Azji, których systemy nie wyłapały z uwagi na częstość takich transakcji w tej części świata. Wobec braku silnego uwierzytelnienia użytkownika, klienci w większości takich przypadków od ręki dostają zwrot pieniędzy.

W przypadku transakcji, za które odpowiada klient banku, zdarza się, że zgłasza bankowi nieznane operacje, które – jak się okazuje – sam zlecił, klikając w podany link.

Oszutwa rodzinne i socjotechniczne

Kilkanaście procent reklamowanych płatności przypada na „family fraud” – ubytek na koncie to dzieło małżonków lub dzieci używających karty właściciela. Z prawnego punktu widzenia odbywa się to nielegalnie. Kolejny rodzaj to z kolei wykorzystywanie uwierzytelnień, gdy właściciel karty podaje komuś innemu PIN.

Największa i rosnąca grupa – zaznaczył Iwański - to „oszustwa socjotechniczne”, z którymi mierzą się banki i instytucje państwa strzegące bezpieczeństwa klientów. To przypadki, gdy wprowadzony w błąd klient sam potwierdza, że chce dokonać transakcji, skuszony np. obietnicą przelewu kryptowalut z rzekomo odnalezionego jego konta pod warunkiem dokonania opłaty.

Zdarza się, że młodzi ludzie, zwiedzeni wizją rzekomych inwestycji, dokonują płatności używając kart rodziców.

Nowym sposobem działania przestępców wyspecjalizowanych w przechwytywaniu sygnału przy płatnościach zbliżeniowych jest kradzież PIN-ów do kart, gromadzenie ich na telefonie i sprzedaż urządzenia z kolekcją numerów do kilkunastu kart. Zysk z kradzieży jest mniejszy, ale złodzieje PIN-ów czują się mniej narażeni na zatrzymanie niż gdyby sami wypłacali pieniądze.

Wśród „mnóstwa zagrożeń dla nieprofesjonalnych uczestników rynku finansowego” szef CSIRT KNF wskazał nagrania sporządzone z wykorzystaniem sztucznej inteligencji. Mogą to być filmiki, w których rzekomy piłkarz Robert Lewandowski namawia do inwestycji. Kilkunastosekundowa próbka głosu gwiazdora boisk, wystarczająca, by podkładać podrabiane kwestie w pełnometrażowym filmie, kosztuje kilka centów.

Edukacja, roztropność, prawo

Nie ma całkowicie bezpiecznego systemu, na końcu zawsze jest człowiek.
Sebastian Lasek, prezes spółki Aplikacje Krytyczne

W odpowiedziach na pytanie, jak zapobiegać nadużyciom, dyskutanci najczęściej wskazywali na konieczność uświadomienia zagrożeń i potrzebę rozsądku.

Iwański zwrócił uwagę na toczącą się na poziomie UE debatę o nowych przepisach dotyczących transakcjach płatniczych i pojawiające się głosy, by odpowiedzialność banków rozszerzyć także na transakcje autoryzowane przez użytkownika w wyniku spoofingu - przynajmniej w przypadku pierwszej takiej płatności. Jak zaznaczył, dyskusja ta wciąż znajduje się na wczesnym etapie.

Według Zaskórskiego, najważniejszy w cyfrowym świecie jest rozsądek, nakazujący np. korzystanie z filtrów prywatyzacyjnych czy zasłanianie kamer w laptopach. Sprzyjają temu – dodał – szkolenia z cyberbezpieczeństwa, organizowane przez Lenovo, z których skorzystało w Polsce 300 tys. osób.

”Dzieci sprawnie poruszają się w świecie internetu, umieją scrollować i oglądać. Brakuje programów nauki krytycznej oceny i weryfikacji treści. Kluczowe jest, by sprawdzić źródło, wiedzieć, czego używamy i świadomie wybierać urządzenia” – zaznaczył Lasek. Zwrócił też uwagę, jak rozpowszechniły się płatności kartą, przed kilku laty niemożliwe np. na warzywnym bazarku.

„Bezgotówkowy świat bardzo mi się podoba i dużo ułatwia, ale wierzę, że jakiś procent obrotu powinien się odbywać w gotówce” – podsumował Paciorek. Przypomniał awarię jednego z operatorów płatności kartami, która uniemożliwiła wiele zakupów; była ona błędnie brana za hybrydowy atak związany z rosyjskim ćwiczeniem wojskowym Zapad.