Koszty oszustw i wyłudzeń na świecie są znaczące i średniorocznie przekraczają 5 bln dolarów, co można porównać z globalnymi wydatkami na ochronę zdrowia wynoszącymi 7,4 bln dolarów.

Analiza firmy badawczej Crowe i Uniwersytetu Portsmouth wskazuje, że w latach 1997-2018 cyberoszustwa stanowiły równowartość 6,05 proc. światowego PKB. Od 2009 r. wywoływane przez nie straty wzrosły ponad 60 procent. W przypadku handlu internetowego w 2018 r. wynosiły 57,8 mld dolarów. Powstały poprzez przejęcie kont klientów, co dawało możliwość zajęcia towaru lub płatności.

Nagły atak bota

LexisNexis, wydawnictwo oferujące dostęp do prawniczych baz danych, przeanalizował skalę oszustw i wyłudzeń na świecie w pierwszej połowie 2020 r. w różnych sektorach gospodarki. Przebadano 22,5 mld transakcji. Dwie trzecie z nich dotyczyło urządzeń mobilnych, a jeszcze 5 lat temu było ich zaledwie 20 proc.

Reklama

Dla przestępców to obiecujący ze względu na skalę obszar, choć oczekiwane profity ogranicza niski limit transakcji dokonywanych bez PIN. Tempa nabiera działalność polegająca na podmianie karty SIM urządzenia, a to droga do konta bankowego klienta.

Największy wzrost oszustw, bo ponad 13 proc. więcej w stosunku do analogicznego okresu ubiegłego roku, wystąpił w otwieraniu rachunków u różnych operatorów na podstawie fałszywych lub wykradzionych danych osobowych. Następnie wykorzystywano je do kumulowania środków pochodzących z nielegalnej działalności.

Częstym obiektem wyłudzeń stały się rozmaite bonusy w mediach społecznościowych w postaci darmowego streamingu treści internetowych, punktów na platformach lojalnościowych, wirtualnych kart podarunkowych i cyfrowych portfeli, a nawet promocyjnych usług przewozowych, które można było zmonetyzować płacąc nimi w internecie. Do zdobycia, a następnie sprzedaży darmowych świadczeń opiewających na relatywnie niewielkie sumy na masową skalę używano botów, co przekładało się na wielotysięczne zyski.

Największy wzrost tych ataków, bo aż o 38 proc., nastąpił w sektorze finansowym. Boty zastępowały ataki przeprowadzane przez człowieka, których skala spadła o 23 proc.

Przestępczość związana z botami miała charakter transgraniczny i w największym stopniu dotyczyła Azji. Ataki pochodziły głównie z Japonii, Indii, Australii i Filipin. Z kolei hinduscy hackerzy byli w największym stopniu sprawcami ataków w USA, Wielkiej Brytanii, Kanadzie i Australii.

Wzrostu ataku botów, mierzonym wartością wyłudzonych kwot (o 32 proc.), doświadczyły też sklepy internetowe. Największe straty przyniosło wyłudzanie zwrotu środków (chargeback) i przejęcia kont klientów. W zeszłym roku w USA każdy dolar stracony w wyniku cyberoszustwa generował sprzedawcom koszt w wysokości 3,13 dolara, również z powodu zaniechanych przez klientów transakcji i utraconej reputacji.

Złośliwi hakerzy

Drugim pod względem wzrostu skali oszustw (4 proc.) był obszar związany z wyłudzeniami płatności lub przelewów na konta założone przez tzw. słupy, z których środki były transferowane na rachunki przestępców. Fałszywe konta zakładane były m.in. w słabiej zabezpieczonych przed cyberprzestępczością nowych, cyfrowych bankach i fintechach.

Wzrastającym na znaczeniu, w związku z rozwojem eCommerce, przestępstwem jest wciąż e-skimming czyli wykorzystanie przejętych danych kart kredytowych do dokonywania zakupów. Straty tylko w USA w roku 2018 wyniosły 9,5 mld dolarów, na świecie 24,2 mld.

Negatywne nastroje społeczne, poczucie zagubienia i zagrożenia sprawiły, że ludzie stali się bardziej podatni na cyberoszustwa.

Pandemia okazała się żyzną glebą dla oszustów. Negatywne nastroje społeczne, poczucie zagubienia i zagrożenia, praca zdalna, społeczna izolacja, korzystanie z zakupów online przez niedoświadczonych klientów, sklepy, które pośpiesznie uruchamiały takie usługi, sprawiły, że ludzie i firmy stali się bardziej podatni na cyberoszustwa.

Oferta sprzedaży podróbek medykamentów, masek, fałszywych szczepionek i testów na koronawirusa, a także tworzenie fałszywych stron internetowych i kont w mediach społecznościowych należały do najczęściej wykorzystywanych przez przestępców narzędzi, szczególnie w trakcie lockdownu. Towarzyszyła temu fala dezinformacji, która potęgowała poczucie zagrożenia. Światowa Organizacja Zdrowia (WHO) ostrzegała przed fałszywymi mailami wysyłanymi w jej imieniu, których celem była kradzież pieniędzy lub pozyskanie wrażliwych informacji.

Hakerzy, dzięki złośliwemu oprogramowaniu, przejmowali kontrolę nad domowymi routerami wifi przekierowując internautów na fałszywe strony organizacji, zachęcając do dokonywania wpłat na poczet walki z wirusem. W okresie wypłat rządowej pomocy oszuści rozpoczynali za pomocą maili, działania mające na celu wyłudzenie opłat związanych z przelewem środków lub danych.

Wyłudzaniu lub przechwytywaniu danych pomagała praca zdalna, bo domowa infrastruktura IT jest znacznie słabiej zabezpieczona niż w firmach, a ograniczenia w komunikacji z pracodawcą dodatkowo temu sprzyjają. Procedury związane z przeciwdziałaniem wyłudzeniom i praniu brudnych pieniędzy nie wszędzie zostały szybko dostosowane.

Skok na konto

Wyspecjalizowani przestępcy rozwinęli techniki psychologiczne, by uzyskać dostęp i komunikować się z ofiarami za pomocą służbowych maili (tzw. BEC czyli business email compromise). W tych warunkach łatwiej było wyłudzić przelew za fałszywą fakturę, tym bardziej, że oszuści zaczęli korzystać z biometrii głosowej, która daje możliwości imitowania głosu, np. prezesa firmy czy dyrektora działu. Zwłaszcza że próbki głosu często są dostępne w mediach społecznościowych.

W takich warunkach trudno odzyskać transferowane na podstawione konta przelewy, bo były oparte na prawidłowym uwierzytelnieniu klienta, a konta szybko zostały wyczyszczone. Ten typ przestępstw nazywa się APP (autoryzowana płatność wymuszona). W zeszłym roku w Wielkiej Brytanii straty z powodu APP wynosiły w przypadku osób fizycznych 317 mln funtów, a firm 139 mln. W tym mogą być znacznie wyższe.

Głównym sposobem oszustw i wyłudzeń były ataki phishingowe (kradzież tożsamości) oraz fałszywa reklama internetowa.

W kwietniu w czasie lockdownu na Wyspach odnotowano gwałtowny wzrost prób oszustw obejmujących praktycznie wszystkie produkty finansowe w porównaniu z przeciętną dla poprzednich miesięcy. Jak podaje firma badawcza Experian najwięcej z nich dotyczyło finansowania zakupu samochodów i zarządzania aktywami (181 proc.), rachunków bieżących (35 proc.) i oszczędnościowych (28 proc.). Głównym sposobem oszustw i wyłudzeń były ataki phishingowe (kradzież tożsamości) oraz fałszywa reklama internetowa.

Interesującą analizę dotyczącą technik oszustw dokonywanych na rynku europejskim zawiera raport Europolu. Podstawą nadal pozostaje phishing i inżynieria społeczna, a cyberprzestępczość staje się składnikiem większości kryminalnych działań.

Sam phishing jest coraz bardziej wyrafinowany i sprofilowany. Przychodzące wiadomości email sprawiają wrażenie wysłanych przez znane osoby lub organizacje, treści są językowo poprawne i wiarygodne, bo umieszczane w kontekście kulturowym bliskim adresatowi.

Oszuści wykorzystują do tego informacje z mediów społecznościowych. Taka strategia zachęca ofiary do mniej refleksyjnego, impulsowego działania i spełnienia rekomendacji czy próśb przestępców.

Hackerzy nie muszą już być specjalistami od IT – korzystają z technologii wykorzystujących sztuczną inteligencję (AI), która jest dostępna na dedykowanych platformach w darknecie (sieci dostępnej tylko za pomocą specjalnego oprogramowania). Technologia nazywana crime as a service (CaaS – przestępstwo jako usługa) umożliwia obchodzenie zapór bezpieczeństwa na komputerach i telefonach oraz tworzenie profili ofiar na podstawie ich aktywności w mediach społecznościowych.

Rozliczenia w kryptowalucie

W ten sposób sztuczna inteligencja ułatwia wejście w krąg cyberprzestępczości. Przykładem takich działań może być InfinityBlack, grupa przestępcza, która do maja działała w Polsce i Szwajcarii, zarządzając dwoma cyfrowymi platformami w oparciu o 170 mln rekordów danych.

Miała wszystkie cechy technologicznego start-upu. Deweloperzy stworzyli narzędzia do testowania wykradzionych przez hackerów danych, analitycy badali ich przydatność do autoryzacji różnych transakcji, a menedżerowie projektów tworzyli modele ich subskrypcji w darknecie w oparciu o kryptowaluty.

Te ostatnie, dzięki anonimowości i nieodwracalności transakcji, stały się główną walutą rozliczeniową, choć stanowią niewiele ponad procent całkowitej liczby transakcji opiewających na kryptowaluty. Sztuczna inteligencja umożliwia szybsze i tańsze tworzenie złośliwego oprogramowania (malware), wdrażanie technik inżynierii społecznej, tworzenie treści wiadomości email i SMS, czy identyfikowanie haseł do kont oraz rachunków.

Istotne jest też ukrycie komunikacji między cybergangami, a to można osiągnąć dzięki szyfrowanym sieciom połączeń i telefonom niedostępnym na oficjalnym rynku. W lipcu Europol poinformował o przechwyceniu milionów wiadomości generowanych w sieci Encrochat, wykorzystywanej przez wiele grup przestępczych. Przestępcy mogą ukrywać swoją komunikację internetową także opierając się na dedykowanych usługach hostingowych (tzw. bulletproof hosting).

Przestępcy grożą wykasowaniem pamięci, zaszyfrowaniem dostępu do komputerów, publikacją lub sprzedażą wrażliwych danych.

W wielu przypadkach techniki szyfrujące pozwalają na bezkarność. Ma to miejsce w przypadku szantażu i żądań okupu (ransomware) od firm, agencji rządowych, szpitali, a także wybranych osób fizycznych. Przestępcy grożą wykasowaniem pamięci, zaszyfrowaniem dostępu do komputerów bądź baz danych, publikacją lub sprzedażą wrażliwych lub niewygodnych danych. I często robią to, mimo zapłacenia żądanych kwot. To szybko rosnąca forma cyberprzestępczości, mogąca wprowadzić chaos i podważyć funkcjonowanie wielu organizacji, szczególnie opartych na złożonych łańcuchach dostaw.

Połączenia poszczególnych ogniw łańcucha mogą być wyjątkowo podatne na ataki, bo nie znajdują się w centrum uwagi jednostek odpowiedzialnych za cyberbezpieczeństwo. Złośliwe oprogramowanie np. grupy Maze może przez długi czas monitorować komunikację w firmie czekając na właściwy, tzn. najbardziej opłacalny moment do ataku. Może nim być opiewający na setki milionów przetarg, przejęcie czy spotkanie z kluczowymi klientami.

To gang, który w czasie pandemii „wsławił się” atakiem na centrum pomocy doraźnej w Teksasie i brytyjskie Hammersmith Medicines Research, pracujące nad antywirusową szczepionką. Przestępcy najczęściej posługują się wirusami typu Trojan, aby przejąć kontrolę nad zainfekowanymi komputerami.

Z pomocą sztucznej inteligencji

Oparta o cyfrowe technologie przestępczość jest wyzwaniem. Wg Globalnego Badania Bezpieczeństwa Informacji EY w ciągu ostatnich 12 miesięcy aż 60 proc. organizacji miało do czynienia z cyberatakami. Przeprowadzone w połowie zeszłego roku przez Stowarzyszenie Certyfikowanych Audytorów ds. Wyłudzeń (ACFE) badanie pokazało, że tylko 13 proc. ankietowanych organizacji stosuje sztuczną inteligencję i uczenie maszynowe do wykrywania oszustw, a 25 proc. planowało je wdrożyć w ciągu dwóch lat. Metody biometryczne stosowało z kolei 26 proc. podmiotów. EY podkreśla, że prawie połowa zarządów badanych firm nie rozumie zagrożenia.

Znaczenie tych technologii widać od strony inwestycji – ponad jedna czwarta wartości finansowania venture capital w zastosowania AI w bankowości dotyczy obszaru oszustw i wyłudzeń. Według ACFE do najczęściej stosowanych technik ochronnych należą: detekcja anomalii, czyli wykrywanie danych, które odbiegają od standardu (64 proc. organizacji), automatyczne alerty o nieprawidłowościach (54 proc.), wizualizacja danych (35 proc.), analityka predyktywna (30 proc.), analiza relacji w mediach społecznościowych (22 proc.), mapowanie geolokalizacji, a nawet analiza emocjonalna klienta w czasie rozmowy telefonicznej albo w trakcie wypełniania formularzy kredytowych.

Stosowanie technologii cyfrowych, w szczególności AI, nabiera dodatkowego znaczenia w dobie rozwoju otwartej bankowości, bo ekosystemy finansowe mogą być narażone na nowe, innowacyjne formy cyberataków.

Mirosław Ciesielski, wykładowca akademicki; specjalizuje się w rynkach finansowych, opisuje zmiany na rynku fintechów i startupów