Odată cu dezvoltarea accelerată a serviciilor bancare, crește și numărul atacurilor cibernetice. Despre noile tipuri de fraudă, măsurile de prevenție, dar și despre rolul educației financiare am discutat cu Ramona Rusu, președintele Comisiei Antifraudă din cadrul Asociației Române a Băncilor.
Ramona Rusu, președintele Comisiei Antifraudă din cadrul Asociației Române a Băncilor
Siguranța financiară a devenit o provocare majoră în era digitală. Pe măsură ce serviciile bancare evoluează rapid și devin tot mai accesibile, cresc și riscurile asociate – de la atacuri cibernetice tot mai sofisticate, până la tentative de fraudă care vizează utilizatorii neatenți sau insuficient informați. „Măsurile imediate sunt foarte importante, astfel că, în momentul în care identificăm sau avem suspiciunea că ne-am furnizat datele bancare sau am efectuat o plată, trebuie să contactăm imediat banca pentru a anunța și pentru a bloca accesul la produsele bancare pe care le deținem”, a menționat Ramona Rusu.
Cum a evoluat fenomenul fraudelor bancare în România în ultimii ani și care sunt cele mai frecvente tipuri de fraudă cu care se confruntă, în prezent, clienții?
Ramona Rusu: Tipologiile de fraudă sunt într-o dinamică permanentă, metodele de fraudare se schimbă, și toate acestea într-un context în care, așa cum ați menționat și dumneavoastră la început, digitalizarea a devenit parte din viața noastră. Produse, servicii – indiferent de tipul acestora, fie că vorbim de produse și servicii de consum, fie că vorbim despre produse și servicii bancare – ne dorim să avem acces imediat la acestea, ne dorim ca totul să fie la un click distanță. Desigur, această digitalizare a produselor și serviciilor bancare vine la pachet și cu o mai mare responsabilizare, o mai mare conștientizare a modului în care utilizăm aceste produse digitale. Vorbim despre produse și servicii bancare, vorbim automat despre internet banking și mobile banking. Prin intermediul telefonului mobil avem acces să ne deschidem un cont bancar, avem acces să contractăm un credit și să facem transferuri imediate.
În contextul noii tehnologii, în egală măsură, accesul la telefonul mobil este posibil să ajungă și la fraudatori. Cum? Știm că există anumite aplicații de tip AnyDesk, TeamViewer, care preiau controlul telefonului mobil. În acest context, avem tipologia de fraudă Investment Scam. Cum funcționează? Practic, site-urile de socializare sunt pline de anunțuri de tot soiul. Cele mai frecvente sunt de genul „cum să câștigi bani ușor”.
„În contextul tipologiei de fraudă Investment Scam apare ideea că poți cumpăra acțiuni a căror valoare va crește foarte mult într-un termen foarte scurt.”
Astfel, ajungi să fii contactat de către anumite persoane care se prezintă drept reprezentanți ai unor firme de investiții și care îți spun: „Uite, vrei să cumperi acțiuni la instituții foarte cunoscute, de tipul Hidroelectrica, Electrica, SIF Muntenia, Oltenia?”. Deci, toate aceste instituții sunt foarte cunoscute, iar fraudatorii profită din plin de numele lor pentru a da credibilitate demersului. Astfel, ți se spune să instalezi pe telefonul mobil o aplicație care îți va permite să tranzacționezi astfel de acțiuni. Numai că acea aplicație este, de fapt, o aplicație de remote control, prin care fraudatorul obține acces la telefonul mobil și poate vedea toate codurile de autorizare transmise de bancă pentru logarea în aplicația de mobile banking.
Mai mult, clientul ajunge să furnizeze numărul cardului, codul de pe spatele cardului și chiar copia actului de identitate, pe care o poate trimite fraudatorului prin WhatsApp, sub pretextul că este necesară pentru achiziția de acțiuni. Practic, fraudatorul ajunge să instaleze aplicația de mobile banking pe telefonul mobil și, astfel, să facă tranzacții în numele acestuia. Asta dacă vorbim despre tipologia de fraudă Investment Scam.
Frauda pe WhatsApp, tot mai răspândită
Dar, în egală măsură, există și tipologii de fraudă în care fraudatorul nu intervine deloc asupra modului în care se realizează transferurile. Cel puțin în cazul ultimei metode de fraudare – frauda pe WhatsApp – despre care s-a vorbit foarte mult în spațiul public. Practic, ajungi să faci un transfer de bani crezând că mesajul pe care l-ai primit provine de la o persoană cunoscută, care îți spune că are nevoie urgentă de o sumă de bani, pentru o perioadă scurtă de timp.
„Am citit într-o sesizare despre o persoană care a primit un mesaj de la un prieten, în care acesta spunea că se află la stomatolog și are nevoie de 2.500 de lei pentru a plăti serviciile. Fără să stea prea mult pe gânduri, i-a transferat imediat suma de bani. Astfel, a efectuat transferul într-un cont care, bineînțeles, nu aparținea persoanei respective. Ulterior, s-a constatat că era vorba de o fraudă, mai exact de o fraudă pe WhatsApp.”
Altă metodă de fraudare foarte cunoscută este cea în care se folosesc, din nou, de numele unor instituții importante: autorități, Poliția, BNR etc. Prin metoda de fraudare spoofing – adică prin impersonarea numerelor de telefon – ești contactat de o persoană, iar pe ecranul telefonului îți apare numărul de telefon al Poliției Române. Persoana se prezintă ca fiind reprezentant al Poliției și îți spune că, în numele tău, a fost contractat un credit în mod fraudulos. Ți se comunică faptul că vei fi contactat de un reprezentant al Băncii Naționale. Ești sunat, bineînțeles, de acest „reprezentant” care îți spune că trebuie să mergi la bancă să contractezi un credit, pentru a putea plăti acel credit fraudulos luat în numele tău. Dar pentru a face acest lucru, ți se spune că trebuie să retragi banii în numerar și să îi depui într-un ATM Bitcoin.
Pe această tipologie de fraudă, desigur, se mizează foarte mult pe inducerea unei stări de temere. Ți se spune: „Ți-au fost fraudate conturile, ți-au fost compromise datele bancare, s-a contractat un credit în numele tău”. Iar în acest context, ți se cere să mergi la bancă și să plătești acel credit fraudulos contractat pe numele tău – fără să ai un moment de reflecție asupra absurdității situației: dacă s-a contractat un credit fraudulos în numele tău și tu mergi acum să faci un alt credit ca să-l plătești, practic rămâi cu două credite. Pe al doilea chiar tu îl contractezi: mergi la bancă, soliciți creditul, retragi banii în numerar și îi depui într-un ATM Bitcoin, exact cum ți s-a spus.
„Sunt tipologii de fraudă poate nu atât de sofisticate din punct de vedere tehnic, dar care reușesc să inducă frica – frica că ți s-ar putea întâmpla ceva grav, ceea ce te face să acționezi impulsiv.”
Fără să ne gândim că poate fi o fraudă, ajungem să furnizăm foarte ușor datele noastre bancare: numărul cardului, codul CVV de pe spate, codurile de autorizare, datele de acces în internet banking sau mobile banking. Trimitem, de exemplu, copia actului de identitate prin WhatsApp unei persoane care ne-a contactat și ne-a spus: „Vrei să cumperi acțiuni? Am nevoie de copia actului tău de identitate.” Și foarte ușor transmitem aceste date.
În contextul digitalizării în care ne aflăm astăzi, e esențial să utilizăm aceste date într-un mod conștient. De exemplu, doar furnizând numărul cardului și codul de pe spatele acestuia, se pot face plăți online pe site-uri comerciale, în numele nostru. Aceste date, pe care doar noi ar trebui să le cunoaștem, sunt suficiente pentru ca o tranzacție online să fie validată. De aceea, trebuie să fim foarte atenți la modul în care ne folosim datele personale.
Deepfake-ul, un fenomen tot mai credibil
Ce tendințe observați în metodele folosite de infractori și cât de avansate au devenit aceste atacuri?
Ramona Rusu: Avansate sunt în contextul în care tehnologia a avansat foarte mult. Adică, să vorbim despre o aplicație de tip remote control care îți preia controlul telefonului – clar că ai nevoie de o tehnologie. Să vorbim despre spoofing, impersonarea numărului de telefon, respectiv, practic, pe display-ul telefonului să îți apară un număr de telefon care, dacă îl cauți pe Google, vezi că aparține Poliției Române. Desigur că nu ai cum să pui la îndoială că persoana respectivă nu ar fi reprezentant al poliției, atâta timp cât tu ai verificat și ai văzut că numărul de telefon aparține instituției. Însă, prin această tipologie de fraudă – spoofing – practic se permite, din punct de vedere tehnic și tehnologic, să fie „spufate” numere de telefon aparținând, în principal – pentru că aceasta este tipologia de fraudă – unor persoane foarte cunoscute.
De asemenea, deepfake -vedem cu toții, pe YouTube, foarte multe filmulețe în care pare că persoane publice ne prezintă cum trebuie să investim. S-a folosit numele și imaginea Guvernatorului Băncii Naționale a României, imaginea unor persoane din spațiul public, din mediul politic, pentru a da credibilitate. Da, vorbim despre deepfake – practic, tu te uiți la persoana respectivă care îți vorbește despre cum să faci investiții și cum să cumperi acțiuni. Tehnologia permite, iar fraudatorii clar profită de aceste posibilități, care dau credibilitate.
Care sunt principalele măsuri de prevenție adoptate de bănci pentru protejarea clienților în fața tentativelor de fraudă?
Ramona Rusu: Măsurile implementate de bănci, să zicem așa, sunt pe două paliere. Desigur, educația este foarte importantă și informarea clienților asupra acestor tipologii și metode de fraudă, motiv pentru care, dacă ne uităm pe site-urile instituțiilor bancare, vedem secțiuni separate în care se prezintă, într-o manieră descriptivă, tipologiile de fraudă și cum putem să ne protejăm. În egală măsură, se organizează campanii de conștientizare și se transmit mesaje fie în aplicațiile online de tip internet banking și mobile banking – vedem tot felul de pop-up-uri sau mesaje primite în căsuță. În egală măsură, se transmit e-mailuri despre cum să fim atenți și să nu ne furnizăm datele, pentru că instituțiile bancare nu o să solicite niciodată datele personale – datele care, practic, oferă posibilitatea efectuării de plăți sau de transferuri.
Pe de o parte. Pe de altă parte, desigur că sunt și măsuri din punct de vedere tehnic implementate de bănci, care practic monitorizează tranzacțiile. Știm că avem, de exemplu, în legea de spălare a banilor nr. 129, anumite prevederi legale și obligații de a monitoriza conturi și tranzacții. Însă toate aceste măsuri, clar, depind foarte mult și de modul în care fiecare dintre noi utilizăm aceste produse și servicii bancare și conștientizăm că trebuie să fim foarte responsabili și să păstrăm confidențialitatea acestor date, care practic dau acces conturilor noastre bancare.
Cât de eficientă este colaborarea dintre instituțiile bancare și autorități în combaterea fraudelor cibernetice?
Ramona Rusu: Eficientizarea acestor măsuri, fie că vorbim despre campanii, fie că vorbim despre măsuri de ordin tehnic, își găsește, să zicem așa, rezultatul într-un efort comun, bineînțeles, și cu autoritățile. Pentru că, la nivelul autorităților, clar sunt anumite instrumente care le permit să investigheze, să verifice, să identifice astfel de fraudatori, grupuri, grupări infracționale. Și chiar citeam zilele trecute că a fost o acțiune comună a autorităților din România și din Marea Britanie, care au destructurat mai multe call-centere care, practic, funcționau tocmai pentru a contacta persoanele – fie că vorbim de persoane fizice, fie că vorbim de persoane juridice – și a le determina să efectueze anumite transferuri sau să plătească anumite sume de bani. Autoritățile, clar, au partea lor de implicare. În egală măsură, și instituțiile bancare, din perspectiva sesizărilor pe care le primesc, colaborează cu autoritățile și furnizează toate informațiile necesare în efectuarea investigațiilor de către acestea.
„Dacă vorbim despre Asociația Română a Băncilor, aceasta are un parteneriat cu Poliția Română, cu Directoratul Național de Securitate Cibernetică și, practic, permanent se organizează campanii de conștientizare sub diferite forme.”
Există și site-ul sigurantaonline.ro, unde sunt foarte multe informații utile și detaliate asupra a ceea ce înseamnă tipologiile de fraudă astăzi și cum să ne protejăm, la ce să fim atenți, în contextul acesta în care, practic, dinamica fraudei se schimbă foarte repede. De la o săptămână la alta, aflăm despre o altă tipologie de fraudă, despre o altă metodă de fraudare și, practic, parcă nu reușim efectiv să depășim o anumită tipologie de fraudă, că deja fraudatorii aplică alte metode care să fie credibile, care să determine clienții să plătească sume de bani.
Cum ajungi cărăuș de bani, fără să știi
Ce rol joacă educația financiară și digitală în prevenirea fraudelor și ce inițiative derulează ARB pentru a sprijini publicul în acest sens?
Ramona Rusu: Educația financiară este foarte importantă. Așa cum, într-un context general, educația este esențială, cu atât mai mult este necesară educația financiară. Știm că există și o lege care, practic, obligă persoanele fizice să aibă un cont curent deschis. Dar astăzi, când vorbim despre un minim de informații legate de accesarea unui produs bancar în mediul online sau despre ceea ce înseamnă o plată cu cardul efectuată online, aceste acțiuni din partea noastră trebuie să se desfășoare, să zicem așa, cu oarece precauție. În sensul că rețelele de socializare oferă informații diverse – unele reale, altele mai puțin – iar, în acest context, credibilitatea informațiilor pe care le vedem și le citim ar trebui, poate, pusă pentru câteva secunde sub semnul întrebării și verificată mai atent.
Dacă, de exemplu, am intrat pe un site și vreau să fac o plată cu cardul, pentru că l-am găsit într-un pop-up pe o rețea de socializare, poate ar fi util să mai căutăm puțin, să vedem dacă acel site chiar există, dacă este un comerciant real și dacă este sigur să introducem datele cardului. Astfel, ne putem proteja în momentul în care achiziționăm produsul dorit. La fel, dacă sunt contactat telefonic după ce am accesat o reclamă care promite câștiguri ușoare lucrând de acasă și mi se spune că trebuie doar să-mi deschid un cont bancar și să ofer datele de acces… aici e nevoie de o atenție sporită. Aceasta este o tipologie de fraudă cunoscută drept „money mule” (cărăuș de bani), în care, practic, devenim responsabili pentru tranzacții a căror sursă nu o cunoaștem și, cu atât mai puțin, cine sunt plătitorii sau beneficiarii sumelor care trec prin contul nostru – dacă oferim acces.
Consecința finală este că noi vom fi trași la răspundere, pentru că băncile au responsabilitatea de a monitoriza tranzacțiile și, atunci când apar elemente de suspiciune, de a solicita documente sau informații justificative. Iar dacă ne implicăm într-un astfel de mecanism, pentru sume relativ mici comparativ cu banii care se tranzacționează prin conturile respective, noi vom suporta consecințele.
„Este clar că trebuie să continuăm procesul de educație și să fim foarte atenți. Faptul că ni se promite că putem câștiga rapid o sumă de bani nu înseamnă automat că acel câștig este și legal.”
Care sunt grupurile de clienți mai vulnerabile în fața fraudelor și ce măsuri ar trebui luate pentru a le proteja mai bine?
Ramona Rusu: Aceste tipologii de fraudă despre care am vorbit nu vizează o anumită categorie de clienți. Ele afectează persoane din toate categoriile de vârstă, din toate mediile socio-profesionale – oameni cu sau fără studii superioare, cu experiență profesională sau aflați la început de drum. De la cei care au absolvit doar școala primară până la cei cu diplome universitare – nimeni nu este complet ferit.
În cazul acestor fraude, mirajul unui câștig rapid sau, pur și simplu, neatenția, joacă un rol esențial. De exemplu, dacă primim un link în care ni se spune că trebuie să ne actualizăm datele bancare – altfel riscăm blocarea contului – și nu verificăm dacă acel mesaj provine cu adevărat de la bancă, riscăm să devenim victime. Pentru că, odată ce accesăm acel link și introducem datele personale și bancare, ajungem astfel să devenim victime ale fraudatorilor.
„Nu putem spune că aceste scheme se adresează în mod special unei anumite categorii de public. Se profită, mai degrabă, de context – de grabă, de lipsa de atenție, de volumul mare de informații care ne asaltează zilnic și care ne face să nu mai citim cu atenție fiecare detaliu.”
Deci nu putem vorbi despre o categorie mai mult sau mai puțin targetată. Desigur, poate că persoanele mai în vârstă, care nu sunt atât de obișnuite cu digitalizarea și accesarea site-urilor de socializare, pot fi puțin mai vulnerabile, mai ales atunci când sunt contactate telefonic de cineva care le oferă suport tehnic pentru a cumpăra acțiuni sau a efectua plăți. Însă acest lucru nu înseamnă că aceste tipologii de fraudă se adresează unei categorii anume.
Dar în cazul fraudelor în care ți se promite că poți câștiga bani ușor pe internet, există persoane, mai ales dintre cele tinere, care din dorința de a obține bani rapid nu își dau seama că este vorba despre o fraudă…
Ramona Rusu: Desigur, poate persoanele mai tinere, să zic așa, care spun că nu fac absolut nimic, nu depun niciun efort și nici nu trebuie să se deplaseze undeva – pur și simplu își deschid un cont bancar și oferă acces la acest cont – fac asta din dorința de a câștiga bani mai ușor.
Măsurile imediate contează
Cum se poate îmbunătăți procesul de raportare a fraudelor și ce ar trebui să facă un client imediat după ce suspectează că a fost victima unei fraude?
Ramona Rusu: Măsurile imediate sunt foarte importante, astfel că, în momentul în care noi identificăm sau avem suspiciunea că ne-am furnizat datele bancare sau am efectuat o plată, trebuie să contactăm imediat banca pentru a anunța și pentru a ni se bloca accesul la produsele bancare pe care le deținem, fie că vorbim despre aplicații online, internet banking, mobile banking, fie că vorbim despre cardul bancar. În egală măsură, foarte important este să anunțăm și autoritățile, pentru că, pe linie juridică, clar că autoritățile sunt cele care iau măsuri și acționează în consecință pentru stoparea acestor tipologii de fraudă.
Deci, practic, sunt două elemente foarte importante, iar timpul în care anunțăm este, de asemenea, foarte important. Pentru că, cu cât anunțăm mai repede, cu atât mai rapid se iau măsurile și, poate, avem, să zicem așa, șansa de a ne recupera sumele pe care le-am transferat, neverificând și neștiind că, de fapt, beneficiarii sumelor respective sunt cu totul alte persoane sau că nu achiziționăm, așa cum ni s-a spus, acțiuni la diverse companii.
Ce sfaturi le oferiți clienților pentru a-și proteja datele personale și financiare în mediul online?
Ramona Rusu: Cel mai important este, în momentul în care intrăm în mediul online, când accesăm un site și vrem să achiziționăm ceva, să ne uităm cu atenție la adresa site-ului respectiv. Este foarte important să verificăm, măcar din două surse, dacă acel comerciant există, să vedem dacă există comentarii cu privire la site-ul respectiv. De asemenea, este esențial să folosim doi factori de autentificare.
Știm că, în prezent, când facem plăți cu cardul, există două tipuri de parole: parola statică și parola dinamică. Este important să nu furnizăm aceste parole nimănui. Dacă primim un mesaj de la bancă cu parola necesară pentru autorizarea unei tranzacții, nu o divulgăm – o cunoaștem doar noi, o introducem și efectuăm plata respectivă. Totodată, este indicat să accesăm site-uri sigure, să fim tot timpul atenți ca parolele și datele cardului să nu fie identificate de alte persoane și să le păstrăm în siguranță.
Cred că sunt măsuri pe care fiecare dintre noi le poate implementa foarte ușor și care sunt, în egală măsură, ușor de înțeles, dar care, ca rezultat final, asigură efectuarea de plăți sigure – fie că vorbim despre plăți în mediul online, fie despre utilizarea aplicațiilor de internet banking și mobile banking.
Sursa: click aici
