ARB Talks, Ramona Rusu, președintele Comisiei Antifraudă ARB: Trebuie să fim atenți pe ce linkuri ne introducem datele bancare. Nu dăm curs solicitărilor venite pe e-mail în care se transmite sa actualizam datele bancare prin accesarea unui link

Seria ARB Talks continuă cu Ramona Rusu, președintele Comisiei Antifraudă din cadrul Asociației Române a Băncilor. Aflăm, în cadrul unui interviu, despre metodele de fraudare, investment scam, phishing, dar vorbim și despre inteligența artificială printre metodele de fraudare și ce putem face ca să nu cădem victime ale fraudelor. „Aceste metode încep oarecum simplu. Vedem pe site-urile de socializare anunțuri de tipul „Vrei să investești?” și dăm click”, spune Ramona Rusu.

Ramona Rusu, Asociația Română a Băncilor Foto:  HotNews

Metode de fraudare

Vorbim despre antifraudă și despre o perioadă în care metodele de fraudare înfloresc poate puțin mai mult. E o perioadă cu multe cumpărături. A fost Black Friday, acum vine perioada cumpărătorilor pentru sărbătorile de iarnă. Ce se întâmplă în această perioadă cu escrocii? Stau alerți, pare-se, nu?

Da. Din păcate, metodele de înșelătorie în perioada sărbătorilor sau într-o perioadă care, să zicem așa, este cumulată cu anumite evenimente – fie că vorbim de sărbători, fie perioade de vacanță – nu putem spune că sunt diferite, însă într-adevăr, se observă o frecvență mai mare, numărul persoanelor fraudate crescând pe un fond al timpului limitat, asociat cu multitudinea de oferte pe care noi le întâlnim în ceea ce privește cumpărăturile, astfel că poate determina o atenție mai puțin sporită când accesăm anumite site-uri, când primim diferite link-uri, fie pe telefonul personal, fie pe adresele de email.

Din punct de vedere al tipologiilor de fraudă, există niște tipologii și metode care sunt mai des folosite sau care au fost mai des folosite în perioada asta?

Tipologiile de fraudă sunt diferite și cunosc o anumită dinamică, însă întâlnim metode de înșelătorie de la cele mai simple – și aici vorbim de la anunțuri postate pe internet, vânzări de produse, servicii – până la metode de înșelătorie, am spune, un pic mai sofisticate – și aici vorbim despre metodele de înșelătorie investment scam, o tipologie de fraudă mai nouă, să zicem așa, însă in cazul căreia, de foarte multe ori, consecințele de ordin patrimonial sunt mult mai mari și rezultatul în ceea ce privește fraudarea clienților ca și număr, este destul de mare, poate și prin prisma faptului că metoda utilizată, respectiv de a lăsa impresia că într-adevăr face o investiție și că practic banii tăi se vor înmulți. Normal, apetitul la câștig, investind poate o sumă destul de mică, este foarte mare.

Această metodă de fraudare, de înșelătorie este un pic mai complexă față de un simplu anunț pe care îl vezi, îl citești. „Da, vreau să cumpăr. Cum trebuie să procedez?”

Investment scam

Haideți să discutăm un pic de această investment scam, care tradusă ar suna ca o escrocherie bazată pe dorința omului de a-și înmulți puțini banii. Să câștige, dacă se poate, mulți bani într-un timp scurt sau cu puțini bani. Cum arată, de fapt, schema?

Aceste metode încep oarecum simplu; Vedem pe site-urile de socializare anunțuri de tipul „Vrei să investești?”, fie că vorbim despre cumpărarea de criptoactive, fie că vorbim despre cumpărarea de acțiuni, acțiuni ale unor instituții, care sunt cunoscute. Astfel, acestea prezintă credibilitate și in momentul în care vedem aceste anunțuri fie că dăm un like, fie că-l accesăm pur și simplu, dintr-odată ne apar informații suplimentare: „uite, te ajut să investești”. Și practic ajungem în situația în care, urmare accesării unui astfel de link să intrăm de cele mai multe ori într-o corespondență, la început pe site-urile de socializare, cu diferite persoane care se prezintă a fi reprezentanți ai unor firme de investiții, persoane care ar avea toate cunoștințele necesare să ne ajute să efectuăm astfel de tranzacții, respectiv investiții.

Ne spun „bun, uite, te ajut” si tot ceea ce trebuie să faci este fie să intri pe diferite platforme pe care le accesezi prin link-urile pe care eu le transmit sau o altă metodă în care se furnizează datele. Cu privire la prima metodă, accesăm un link în care ni se spune că pentru achiziția de criptoactive sau acțiuni vei intra pe această platformă de tranzacționare, pe care o vei descărca pe telefon , urmând să ți se solicite datele pentru a efectua tranzacția.

Acum, că ne descărcăm aplicația de tranzacționare e una, însă sub pretextul că îți oferă suportul tehnic ca să accesezi această aplicație de tranzacționare ți se solicită să mai descarci o aplicație de tip remote control care practic preia controlul telefonului; preluându-ți controlul telefonului, tu dai acces la posibilitatea de a tranzacționa, de a efectua plăți – fie transferuri din conturile personale, fie plăți cu cardul, in numele tau.

Ajungi la final să îți dai seama că tu nu ai vrut să efectuezi acele tranzacții, poate de același volum sau pur și simplu nu ai cunoștință absolut deloc de tranzacțiile care s-au efectuat în numele tău, pentru că tu ai dat control total asupra serviciilor bancare pe care le ai disponibile pe telefonul mobil .

Ca si metoda de fraudare privind aceasta tipologie , o reprezintă si furnizarea de date, in cazul persoanelor care , poate, nu sunt atât de digitalizate. Și în acest caz, fraudatorii spun că nu este nevoie decât să-ți furnizezi datele personale și datele bancare – numărul cardului, numărul de pe spatele cardului, codurile de autorizare pentru efectuare plăți. Practic, tu furnizând aceste date ai dat acces total la cardul tău să se efectueze tranzacții Este ca și cum ai înmâna cardul cuiva cu codul PIN, urmând ca persoana respectivă să-l utilizeze în numele tău.

Sau e ca și cum aș da cheia de la casa de bani.

Exact. Or, în acest caz, având în vedere că toate aceste tranzacții – deși tu ajungi ulterior să le reclami și să spui că nu le-ai efectuat tu – sunt autorizate corespunzător cu codurile de autorizare pe care numai tu ar trebui să le cunoști, pentru că orice instituție bancară, în momentul în care achiziționezi un produs, fie că vorbim de produs de card, fie că vorbim de produse online (internet banking, mobile banking), îți furnizează anumite coduri și îți comunică în egală măsură că aceste coduri sunt cele care îți dau acces la aceste produse și numai prin utilizarea acestor coduri vei putea efectua tranzacții, este clar că acele coduri de autorizare, odată furnizate, dau acces ca și cum ai fi tu persoana, titularul care efectuează aceste operațiuni. Deci modul în care noi ne utilizăm și asigurăm confidențialitatea datelor ce dau acces la aceste produse bancare este foarte important. Poate cuiva i se pare așa, de neconceput. Dacă nu am efectuat eu tranzacția, nu am utilizat eu cardul, cum să facă operațiuni în numele meu? Păi face operațiuni în numele tău pentru că, practic, tu ai dat accesul, posibilitatea prin furnizarea acestor coduri de autorizare să efectueze tranzacții în numele tău. E adevărat, această tipologie de fraudă investment scam, să zicem așa, mai nouă pentru spațiul nostru, creează așa un miraj de investiții. „Wow, o să investesc o sumă minimă”, pentru că încep cu sume destul de mici, 200-300 euro.

Nu chiar puțin, totuși.

Da, dar în contextul în care spune că tu investești 200 euro și câștigi 18.000-19.000 lei, atunci ți se pare investiția minimă și spui că merită. Uite, investesc 200 euro și o să câștig… și într-un timp scurt, pentru că nu se prezintă că investești acum și investiția ți-o recuperezi peste un an. Nu. Investițiile sunt cu sume minime, într-un timp foarte scurt, iar câștigul pe care îl poți obține este de ordinul a câteva zeci de mii de lei, ceea ce bineînțeles că atrage. Însă, trebuie să ne gândim că de cele mai multe ori aceste investiții mici, într-un timp foarte scurt, nu sunt decât înșelătorii. Este imposibil să te gândești că, la câte persoane se prezintă acest tip de investiție, toți pot să câștige dintr-o dată cu 200 euro, 19-20.000 lei.

Deci investițiile, ați putea putea spune că sunt chiar modice, raportat la venitul care se presupune a fi câștigat, trebuie să ne dea foarte mult de gândit și să apreciem că de cele mai multe ori aceste persoane care se prezintă drept investitori sunt persoane care nu au cum efectiv să fie credibile, din moment ce sumele sunt atât de mici și câștigurile sunt mari într-un interval foarte scurt. Deci trebuie să fim atenți, să vedem în ce măsură acea ofertă este reala sau nu, să încercăm să ne documentăm, să solicităm informații la persoane care efectiv sunt avizate, pe care le găsim pe site-uri independente de link-urile care ni se transmit pentru a le accesa, să facem aceste investiții. Așa cum știm, pe site-uri, indiferent inclusive site-urile de socializare, multitudinea de informații ne oferă posibilitatea și sa facem verificări de natura sa ne ajute sa ne informam in mod corect.

O documentare corespunzătoare, să ne asigurăm că sumele pe care noi dorim să le investim chiar vor reprezenta investiții și nu sume pe care le pierdem din momentul în care se efectuează aceste tranzacții.

Phishing

O altă metodă de care ați pomenit – phishing-ul, furtul de date personale de toate felurile, probabil și serii de buletin, adrese, date de carduri ș.a.m.d. Pare că, în ciuda avertismentelor care vin și de la sistemul bancar și de la autorități, ele nu se mai opresc. Lumea cade pradă acestei metode de ani de zile. În continuare mai merge?

Da, din păcate, da. Și phishingul, așa cum e cunoscut, furtul de date, pescuitul de date se realizează prin metode diferite, prin canale diferite, în sensul că de cele mai multe ori, această solicitare de informații, de a introduce datele personale, datele bancare pe anumite link-uri se transmit în numele unor instituții de cele mai multe ori financiare.

Astfel că, sub pretextul că dacă nu-ți actualizezi datele, nu vei mai avea acces la conturile bancare sau cardul va fi blocat sau nu vei mai putea face tranzacții utilizând plastic cardul, îți creează impresia că neintroducerea datelor pe acel link transmis clar îți va bloca accesul total la produsele și serviciile bancare. Or, acest lucru se speculează, astfel că nu de puține ori – și de-a lungul timpului, poate și în această perioadă că suntem în perioada de sărbători, cu atât mai mult încât, așa cum spuneam, poate atenția este mai puțin sporită – și suntem bombardați de tot felul de mesaje, fie pe adresele de mail personale, fie pe sms-uri, în care ni se spune „nu ți-ai actualizat datele. Pentru actualizarea datelor accesează acest link”. Și poate, din neatenție nu citim corect, nu citim, eu știu, până la final, nu suntem atenți la adresele de mail de pe care vin aceste link-uri, pentru că și adresele de pe care se transmit aceste mesaje seamănă destul de mult cu adresele instituțiilor, cu mențiunea că sunt anumite diferențe pe care dacă suntem atenți le putem detecta, astfel că ajungem pur și simplu să accesăm aceste link-uri și să furnizăm datele. În niciun caz, nicio instituție bancară nu-ți solicită prin transmiterea unui link să-ți actualizezi datele. Fiecare instituție bancară are pe site-ul propriu canalele prin care pot fi actualizate datele bancare, care este modalitatea de actualizare a datelor, fie prin prezentarea într-o unitate teritorială, fie prin posibilitatea de ați actualiza datele în mediul online; în niciun caz să nu dăm curs unor asemenea mesaje care ne sunt transmise – „Actualizează-ți datele în decurs de 24-48h, pentru că altfel nu vei mai avea acces; dacă știm că nu ne-am actualizat datele, apelam instituția bancară. Sunt numere de telefon pe care le avem fie pe site-ul instituției, fie dacă avem card, pe spatele cardului sunt diverse numere de telefon. Accesăm direct instituția respectivă și vedem concret cum ne putem actualiza datele personale. Dar în niciun caz nu dăm curs acestor solicitări venite pe mail.

Ca să recapitulez repede. Două metode simple, stimați utilizatori, când primiți un link din asta care pare panicos, fie sunați direct la bancă și întrebați dacă e cazul să vă actualizați datele, fie verificați site-urile legitime, site-urile reale ale instituției bancare cu care lucrați, să vedeți dacă e un canal oficial acolo. Personal as suna la telefon. Eu am rămas cu povestea asta cu telefonul. Mi se pare că e mai simplu.

Este foarte bine. Fiecare instituție bancară are un call center care poate fi apelat 24 din 24. Cu siguranță găsim o persoană care să ne comunice, care să ne spună concret cum putem actualiza datele în cazul în care suntem în situația de a fi necesar să actualizăm datele. Pentru că aceste mesaje se transmit multor persoane, unele dintre acestea, posibil sa devină victime si să furnizeze datele .

Există un portret robot al victimei, există un anumit tip de persoană care cade victimă?

Nu putem vorbi despre o tipologie sau alta, despre o încadrare în vârstă sau alta. În ceea ce privește această digitalizare a produselor și serviciilor, clar că poate prezintă oarecum dificultăți pentru o categorie de persoane, să zicem așa mai în vârstă, care nefiind atât de digitalizate, nefiind atât de obișnuite cu tehnologia, să aibă nevoie de suportul unei alte persoane. Or, în acest caz, în momentul în care, așa cum spuneam, ești contactat de o persoană și spune „descarcă-ți aplicația din magazin și o să ai posibilitatea să faci investiția pe care tu o o dorești”, e clar că persoanei respective îi este mult mai comod să spună „uite, îți dau datele cardului și astfel poți să efectuezi tranzacția”. Din acest punct de vedere, da, poate persoanele peste o anumită vârstă să fie mai expuse.

Însă pe tipologiile de fraudă, nu este tiparul pe categoria X cu vârsta cuprinsă între și între. Nu. Din păcate, pe zona de investment scam cred că media de vârstă este de la cele mai… să zicem așa, persoanele care se află în câmpul muncii până la persoanele destul de în vârstă.

Inteligența artificială

A intrat inteligența artificială printre metodele de fraudare?

Se observă un fenomen cu privire la Deep fake, practic se utilizează fie imaginea unor persoane cunoscute, fie imaginea unor instituții publice. Se utilizează, vedem tot mai des, și vocea care poate fi modificată / asimilată persoanelor. Da, este un fenomen și clar că tehnologia, inclusiv din punct de vedere al metodelor și mijloacelor de fraudare, se face destul de simțită.

Dacă ne gândeam, acum 2-3-4 ani, în ceea ce privește această tipologie de fraudă, Investment scam, clar că nu ți-ai fi imaginat că este posibil ca folosind imaginea unor instituții ce sunt cunoscute pe aceasta zone de tranzacționare acțiuni / criptoactive, să âștigi încrederea persoanelor sa investească. Da, este o realitate, tehnologia a avansat foarte mult și, din păcate consecințele utilizării nu sunt doar pozitive.

Produsele și serviciile bancare tind foarte mult spre această zonă de digitalizare și astfel, conștientizarea asupra riscurilor pe care noi le asimilăm, să zicem așa, odată cu aceste produse și servicii bancare, trebuie să ne determine să fim responsabili în ceea ce privește utilizarea credențialelor, utilizarea datelor confidențiale pe care banca ni le furnizează în momentul în care achiziționăm aceste produse și servicii și să le utilizăm cu maximă atenție, să nu le furnizăm persoanelor necunoscute. Aceste date trebuie să le cunosc doar eu și nimeni altcineva. Și astfel, da, este o metodă de prevenție care ne ferește, să zicem așa, de astfel de tentative de înșelăciune,. Deschidem internetul și avem tot felul de anunțuri în care noi trebuie să identificam ce este real și ce nu, să nu cădem victime ale acestor fraudatori.

De reținut

Dacă ar fi să sumarizăm, ați amintit câteva dintre metodele pe care le putem folosi ca să nu picăm în plasa escrocilor. Care ar fi câteva dintre ele care chiar ne țin la adăpost?

Pentru că suntem în perioada sărbătorilor și, știm cu toții, cumpărăturile în această perioadă, sunt pe agenda fiecăruia dintre noi, trebuie să fim foarte atenți în momentul în care accesăm site-urile pentru cumpărături, în momentul în care ne introducem datele când utilizăm ca și metodă de plată cardul. Trebuie să fim atenți în ceea ce privește introducerea datelor, dar în egală măsură să avem un grad de complexitate a parolelor pe care noi le utilizăm… dacă se poate, să le schimbăm mai des. În egală măsură, să utilizăm doi factori de autentificare în momentul în care efectuăm plățile online cu cardul: parolă dinamică și parolă statică. Acele parole ne asigură grad sporit securitate a plății

Pastrarea confidențialității parolelor, schimbarea acestora cu frecventa utilizarea a doi factori de autentificare, ne ajută in efectuarea de plăți in siguranța.

În ceea ce privește furtul de date, trebuie să fim atenți pe ce linkuri ne introducem datele bancare. Nu dăm curs solicitărilor venite pe email în care ni se cere actualizarea de date, introducerea de date bancare, de date personale. Iar în ceea ce privește investment scam, nu descărcăm aplicații pe telefonul personal la solicitarea unor persoane pe care noi nu le-am văzut niciodată, nu le cunoaștem, doar că se prezintă la telefon sau pe site-urile de socializare ca fiind experți în investiții.

Pentru că descărcarea acelor aplicații pe telefonul personal, dar și pe dispozitiv, dacă vorbim de utilizarea serviciului bancar internet banking, nu face altceva decât să dea acces la fondurile personale, la cardurile noastre, la conturile bancare și astfel practic posibilitatea să se efectueze tranzacții în numele nostru, autorizate de către noi. Sunt metode simple, am putea spune, care clar că ne feresc de a cădea victime, de a avea pierderi financiare. Pentru că, într-un final, scopul pentru care se solicită aceste date bancare, date personale este unul singur – acela de a putea efectua tranzacții în numele tău, tranzacții autorizate, pe care ulterior, da, tu le contești la instituția bancară, le contești la autorități și aici vorbim clar de poliție, însă într-un final acele tranzacții sunt autorizate, este ca și cum le-ai făcut tu. Prin urmare, trebuie să fim foarte atenți la datele personale, la datele bancare și în situația în care este posibil să cădem victime, din neatenție introducem datele, ne adresăm instituției bancare, ne adresăm autorităților, pentru că și timpul în care noi ne adresăm contează foarte mult, astfel încât fiecare pe zona sa să poată iniția demersurile necesare pentru recuperarea sumelor, acolo unde se mai poate.

Sursa: aici