ZF Tech Day. Alin Becheanu, head of fraud monitoring & prevention, ING Bank România: Se vede o creştere foarte mare a atacurilor cibernetice, pentru că şi modelul de business al fraudatorilor s-a diversificat

♦ „E important ca în momentul în care o persoană începe să utilizeze un produs, un serviciu, să ştie care sunt şi riscurile sau, dacă există anumite tipologii de fraudă, să ştie despre ele şi să ştie cum ar putea să le identifice“.

Securitatea cibernetică a devenit o responsabilitate comună, iar parteneriatele strategice devin cheia pentru ca societatea să facă faţă ameninţărilor digitale, consideră Alin Becheanu, head of fraud monitoring & prevention, ING Bank România. Astfel, colaborarea activă între companiile din diverse sectoare de activitate şi autorităţile statului, cât şi schimbul de expertiză între jucătorii care dezvolă şi furnizează soluţii IT de securitate cu ceilalţi actori din economie devin elemente esenţiale pentru a anticipa şi contracara ameninţările cibernetice care devin şi ele din ce în ce mai sofisticate.

„Noi ne dorim să digitalizăm parteneriatul public-privat în zona de autorităţi cu rol de aplicare a legii penale, tocmai pentru a uşura şi componenta aceasta de investigaţii. Şi consider că şi alte industrii e important să înţeleagă că e momentul în care să facă un pas înainte şi să adere la această responsabilitate comună de a-i ajuta pe clienţi. Modul acesta de a folosi mai multe industrii pentru a veni în sprijinul clientului şi al utilizatorului cred că este cheia pe mai departe. Dacă vorbim de un mesaj de tip phishing, am dori să vedem că există mult mai multă implicare şi pe zona aceasta de monitorizare a acestor mesaje pe care le primim - SMS, WhatsApp ş.a.m.d. – din partea altor actori din economie. Aşa cum şi banca face monitorizări. Cred că trebuie găsite formule legale, dacă ele nu există deja, pentru ca ceilalţi actori să facă acelaşi lucru şi să prevină“, a spus în cadrul emisiunii ZF Tech Day Alin Becheanu.

El a adăugat că un alt pas care ar trebui făcut ar fi ca jucătorii din diverse domenii să facă parteneriate cu dezvoltatori sau furnizori de servicii şi soluţii de securitate cibernetică. Spre exemplu, ING a avut anul trecut un parteneriat cu Bitdefender - una dintre cele mai de succes companii de IT din România, care a devenit un lider la nivel global pe piaţa soluţiilor de securitate cibernetică -, pentru a oferi utilizatorilor ING o soluţie care să îi ajute în momentul în care primeau mesaje de tip phishing.

„Am făcut acel parteneriat tocmai pentru a veni către utilizatori cu o soluţie care să-i ajute în momentul în care primesc un mesaj sau un SMS care conţine un link sau un ataşament sau orice altceva. Pentru că o soluţie de genul acesta te ajută să poţi să previi, dacă eşti cumva într-o zonă de risc. Ai şanse foarte mari să previi momentul în care ai o soluţie dedicată“, a explicat reprezentantul ING.

De asemenea, unul dintre obiectivele lui Alin Becheanu este ca, la finalul anului în curs, numărul de clienţi care devin victimele unui atac cibernetic şi care pierd bani să fie în scădere faţă de anii precedenţi.

„Pentru a realiza acest obiectiv e nevoie de mai mulţi actori, pentru că o bancă singură nu poate realiza acest lucru. Noi am început o serie de demersuri în care lucrăm cu mai mulţi actori -  autorităţi ale statului. Aici vorbesc despre proiectul pe care îl avem cu cei de la DIICOT, prin care facem acest schimb de date într-un mod electronic, pentru a ajuta şi zona aceasta de investigaţii. Practic, dacă există o fraudă, ne dorim să nu mai trimitem pe hârtie acele documente, informaţii, ci să existe un mod electronic de comunicat şi în felul acesta să avem posibilitatea de a prinde cât mai repede persoana care a comis fapta respectivă şi ne dorim să extindem aceste parteneriate şi cu alţi actori. Avem pe listă şi Inspectoratul General al Poliţiei Române, Direcţia Naţională Anticorupţie.“

Pe de altă parte, investiţiile grupului ING merg şi în zona de educare a pieţei şi a utilizatorilor. „Cel mai important lucru este partea de educaţie.“

„E important ca în momentul în care o persoană începe să utilizeze un produs, un serviciu, să ştie care sunt şi riscurile sau, dacă există anumite tipologii de fraudă, să ştie despre ele şi să ştie cum ar putea să le identifice. Vorbim de investiţia de nerefuzat, vorbim de phishing, vorbim de fraude de impersonare, frauda la plata facturii. Şi nu în ultimul rând, dacă a devenit victimă, e foarte important să urmeze nişte paşi, să anunţi imediat banca, astfel încât să încerce să blocheze conturile cât mai repede şi poate să stopeze tranzacţiile respective, dacă se poate, în funcţie de tipul de tranzacţie realizat. Apoi să anunţe autorităţile – Poliţia Română, Directoratul Naţional pentru Securitate Cibernetică, astfel încât să se cunoască acest fenomen şi să se încerce, pe cât posibil, să fie prinse persoanele respective“, a transmis Alin Becheanu.

Un alt pilon important care poate reduce numărul de victime din mediul online sunt utilizarea unor soluţii şi funcţionalităţi pe care ING le dezvoltă şi le integrează în aplicaţia de home banking – precum funcţia de geolocalizare.

„Recent am lansat geolocalizarea – un instrument care ne ajută să dentificăm situaţiile în care, să spunem că suntem pe Calea Victoriei şi bem o cafea şi peste 30 de minute vedem că în contul nostru sunt realizate tranzacţii fizice în Barcelona sau Bruxelles. Genul acesta de situaţii suspecte pot fi identificate rapid cu astfel de funcţionalitate şi avem şanse ca înainte de a se realiza tranzacţiile suspecte să putem să blocăm contul respectiv şi aceste tranzacţii neautorizate să nu se mai realizeze. Dar aici e nevoie de un parteneriat. Ca în orice relaţie şi relaţia cu banca ar trebui să aibă la bază un parteneriat în care, pe de o parte, banca vine cu informaţii, cu sisteme de monitorizare, cu funcţionalităţi care să te ajute – de la notificări, blocarea cardului respectiv sau limite pe care ţi le setezi pe tranzacţiile respective, dar pe de altă parte şi utilizatorul ar trebui să privească această relaţie tot sub formă de drepturi şi responsabilităţi. Şi când zic responsabilităţi mă refer la a-şi ţine credenţialele - user, parolă, datele cardului- în siguranţă, să nu le devulge către alte persoane. Niciodată, nicio bancă nu o să trimită vreun mesaj astfel încât acest mesaj să conţină un link pe care să-ţi introduci credenţialele respective. Dar utilizatorii trebuie să adere la aceste funcţionalităţi. Momentan geolocalizare este pe bază de voluntariat. Clientul trebuie să se înroleze în serviciul respectiv astfel încât să putem să-l protejăm“, a explicat Alin Becheanu. Numărul de utilizatori care activase acest nou serviciu era de peste 200.000 la momentul realizării interviului.

Reprezentantul ING a mai spus în cadrul emisiunii că numărul de atacuri cibernetice şi de victime care sunt păcălite şi rămân fără banii de pe card a crescut, dar asta şi pentru că metodele atacatorilor s-au diversificat.

„Dacă aş lua ca reper 2022, 2020 sau 2019 ş.a.m.d. se vede o creştere foarte mare a atacurilor cibernetice, pentru că şi modelul de business al fraudatorilor s-a diversificat şi vedem că nu mai există un model de business care exista poate în urmă cu 10 ani, în care o grupare specializată se ocupa de tot procesul - de la momentul în care producea tipul de atac până la momentul în care efectiv monetiza, scotea bani din acest atac. Acuma s-au separat. Vedem o echipă care dezvoltă această tehnologie şi apoi o scoate la vânzare. Şi astfel nu mai e nevoie să fii specialist astfel încât să te ocupi mai departe de lansarea atacului respectiv, monetizare, să poţi să urmezi şi celelalte etape. Şi cred că de aici vedem această creştere alarmantă a acestor cazuri.“

 

Trei situaţii la care clienţii trebuie să fie atenţi

Dacă ne uităm la anul 2023, aş spune că un cuvânt care l-ar caracteriza foarte bine este „manipularea“. Manipularea plătitorului a fost la ordinea zilei şi aici aş nominaliza trei tipologii prin care această manipulare s-a realizat. Prima este aşa-numita „investiţie de nerefuzat“. Oferta aceea de investiţie pe care o primim stând liniştiţi şi navigând pe internet, pe contul de social media şi deodată un aşa-numit broker ne contactează şi ne spune că „am o oportunitate unică pentru tine, zero riscuri, doar să investeşti o sumă de bani şi o să vezi cum îţi dublezi bani“. Şi lucrurile astea avansează uşor-uşor, până când îţi dai seama că de la sume mici pe care le investeşti - de la 50 de lei - ajungi să pui sume foarte, foarte mari, ajungând chiar la zeci de mii de lei. Şi am văzut aici, pe fenomenul ăsta, o evoluţie. Dacă la început erau simple anunţuri în care spuneau „uite, investeşti aici, e o oportunitate unică“, lucrurile pe parcurs s-au diversificat. Au trecut la etapa următoare, care a presupus chiar instalarea unei aplicaţii de tip remote -taxes, cu acces la distanţă, iar victima era păcălită să o instaleze. Ce se întâmpla mai departe? Atacatorul prelua controlul device-ului şi făcea el tranzacţiile în numele utilizatorului. Ţinând cont de faptul că dacă ai acces la dispozitiv, primeşti şi mesajele respective, primeşti absolut toate informările, iar de cele mai multe ori victima, din păcate, nici nu vedea ceea ce se întâmpla acolo. Şi o altă modalitate este cea în care au apărut din ce în ce mai mult personalităţi şi persoane publice care recomandau aşa-numitele investiţii. Acelea erau imagini false, era schimbată vocea persoanei respective. Şi aici am văzut o grămadă de persoane publice, oameni de afaceri, oameni politici a căror identitate era folosită. Iar victimele îşi dădeau seama că erau păcălite după câteva zile, când vedeau că banii au dispărut din cont.

Cele mai multe dintre aceste „oferte“ veneau pe social media şi mă bucur tare mult că am văzut că recent a intrat în vigoare şi Digital Services Act prin care se întăreşte acest control şi în zona de social media şi sperăm să ajute şi să fie un control mai mare pe această zonă de dezinformare şi manipulare, cel puţin în zona de social media.

O altă tipologie pe care am văzut-o a fost în zona de phishing - acele mesaje care par a fi trimise de către absolut orice operator economic. Dacă înainte vedeam că păreau a fi trimise din partea băncilor, acum apar de la operatori telefonici, Poşta Română, Netflix sau orice alt agent economic care desfăşoară o activitate. Singurul lucru care ţi se cere este doar să iei măsuri rapide că astfel contul tău e suspendat sau ceva rău ţi se va întâmpla şi nu ai de făcut decât un singur lucru, să intri pe link-ul respectiv, astfel încât să introduci repede datele cardului sau să pui datele tale de utilizator bancar, user-ul şi parola sau datele cardului, numărul cardului şi data expirării, toate aceste informaţii, şi apoi totul se va rezolva. Din păcate se rezolvă, dar într-un sens rău, pentru că datele sunt preluate şi apoi apar tranzacţii pe conturile persoanelor respective. Aceste mesaje de phishing sunt de obicei prin două canale, fie pe zona de SMS, whatsapp sau poate chiar email. Şi poate un control mai bun pe ceea ce înseamnă aceste mesaje transmise la zeci de mii, poate chiar sute de milioane de utilizatori ar trebui realizat astfel încât să existe o formă de prevenţie, o formă de control pe ceea ce primesc utilizatorii.

Am primit o întrebare „de unde are numărul meu de telefon? Că nu ar fi trebuit să aibă numărul meu de telefon sau adresa de email“. Şi răspunsul cel mai simplu e chiar la îndemâna noastră. Ne introducem datele personale pe orice cont al unui comerciant care ne oferă o reducere de 10 lei, de 20 lei. Datele respective sunt datele noastre şi ar trebui să avem mare grijă unde le introducem pentru că ele mai departe pot fi vândute, pot apărea prin diverse zone şi pot fi utilizate de aceşti atacatori să primim aceste mesaje.

Iar cel de-al treilea lucru care l-am văzut a fost partea de impersonare. Iar dacă la începutul anului 2023 vedeam ceva predilect pe zona de facturi, în care într-o relaţie între doi comercianţi se interpunea un atacator şi în loc să-i trimită factura obişnuită, îi trimitea o factură cu un cont IBAN diferit. Şi atunci persoana nu ştia exact ce se întâmplă, vedea factura, făcea plata în contul greşit şi după 30 sau 60 de zile, era contactată de furnizor care îi spunea că e restant la plata respectivă, la factura. Şi atunci comerciantul se mai uita încă o dată la factură şi spunea că a achitat, sunt banii trimişi. Apoi primea informaţia că nu este contul furnizorului respectiv şi că de fapt era al unei alte persoane, un atacator care între timp reuşise să-şi scoată banii respectivi. Cam ăsta ar fi spectrul pe care l-am văzut noi cel puţin 2023.

Aruncând o scurtă privire şi la 2024, vedem că această impersonale a luat forma unor autorităţi sau poate angajaţi bancari. În mod normal nu suntem contactaţi de autorităţi pentru a ne cere să le furnizăm datele bancare, fie că vorbim aici de Banca Naţională sau poliţie sau parchet, nimeni nu ne cere prin telefon să furnizăm acele detalii. Sau chiar am văzut în ultima perioadă şi impersonare a angajaţilor băncii. Sună că şi cum ar fi un angajat al băncii şi explică faptul că persoana sunată a fost victima unei fraude şi e nevoie mare să transfere banii într-un cont securizat sau să ofere informaţiile legate de datele personale. Niciodată o autoritate, inclusiv o bancă, nu va cere astfel de informaţii.

Cred că cel mai îngrijorător vedem această tipologie de tip „investiţia de nerefuzat“, unde clientul, utilizatorul, este cel care chiar autorizează şi plăţile, face absolut toate operaţiunile respective şi avem situaţii în care ne este chiar foarte greu să îl convingem că nu este ceva real. Detectăm aceste cazuri şi avem probleme în a-l convinge pe client că este o înşelăciune. Deşi adresăm întrebările, îi spunem că e bine să se întâlnească fizic cu persoana respectivă. E bine să verifice dacă este o investiţie financiară, dacă acea companie sau reprezentantul ei sunt autorizaţi. Avem instituţii care se ocupă de autorizare - Banca Naţională, ASF - şi există site-uri unde poţi intra să verifici dacă acea companie este autorizată, ai date de contact, ş.a.m.d. Poţi să apelezi la un specialist. Ar trebui să apelăm la sfatul specialiştilor sau prietenilor.

Să ai competenţe digitale nu se referă doar la a ştii să postezi pe social media ci să ştii să foloseşti cu adevărat acel dispozitiv care până la urmă a devenit un adevărat calculator. Poţi să faci o grămadă de lucruri cu el şi trebuie să ştii foarte bine şi cum te protejezi. Din păcate, vedem aici un paradox. Dacă poate pe zona de încredere, la întâlniri fizice stăm destul de prost, ca popor, pentru că suntem ceva mai circumspecţi, nu suntem un popor atât de încrezător atunci când ne întâlnim faţă în faţă. Aici e paradoxul, că pe zona de online suntem foarte deschişi, suntem foarte disponibili să avem încredere în persoana respectivă, deşi n-am întâlnit niciodată broker-ul respectiv sau consultantul respectiv. Însă noi suntem dispuşi să oferim datele respective sau chiar să investim o sumă de bani în acea propunere. Şi aici e cumva acest paradox pe care îl vedem. În întâlnirile fizice suntem mai puţin încrezători, dar în online suntem mai disponibili şi poate aş zice că e bine să compensăm puţin, să încercăm să fim puţin mai reticenţi şi în zona de online şi în felul ăsta reuşim cumva să nu mai fim atât de disponibili când e vorba de datele noastre.