Регулаторите да упражняват достатъчно натиск, за да бъдат защитени потребителите
20 юли 2024
•
8 минути четене
Ключовите тенденции при измамите следват парите. Измамниците се фокусират в областите, където могат да реализират най-големи печалби с най-малки усилия. Дигитализацията на плащанията естествено насочва измамниците повече в посока схеми, при които се атакуват слаби места в процесите, като най-честите и болезнените от тях са Account-Take-Over (ATO), Authorized-Push-Payments (APP или вече известно като pig buthering) и кибер измамите най-често вследствие на malware заразяване на крайното устройство.
Това са актуалните теми, които коментира пред блога на DIGIPAY Горан Ангелов, основател и изпълнителен директор на IBS Bulgaria, както и представител на Advisory Board.
Европейският платежен съвет прави статистика на преобладаващите заплахи всяка година. В нашия регион няма съществени разлики и измамниците се възползват от идентичните процеси и слабости на системите.
Характерно е, че в днешно време най-слабото звено е потребителят и измамниците прибягват най-често до социално инженерство като част от схемата за измама.
Най-актуалните заплахи за 2023:
Remote support scam: Тази техника се комбинираа със социално инженерство, за да заблуждават клиентите да се обаждат на фалшиви телефонни номера, показани в резултат на търсене в мрежата, като банкови номера за поддръжка на клиенти. Когато клиентът се обади на този номер, фалшив служител отговаря като инженер за поддръжка и убеждава клиента да инсталира инструмент за отдалечена поддръжка или да въведе даден код в нарочно създаден фишинг сайт.
Нови форми на smishing: престъпниците използват уеб инструменти за изпращане на групови SMS-и, Viber съобщения или други комуникационни платформи. Текстовете включват името на банката в текста на SMS или като CallerID на инициатора, когато това е възможно, така че подправянето на инициатор/автентичен банков CallerID номер вече не е толкова необходим.Също така е наблюдаван „фишинг“ чрез SMS, където истинското име на клиента се появява в текста на SMS-а, за да се спечели доверие.
Разни форми на смишинг могат да отведат клиентите до уебсайтове, за които се клонира уебсайтът на банката с цел събиране на идентификационни данни. Атаката може да се комбинира с фалшиви телефонни обаждания за поддръжка от измамници, насочващи жертвите към операции, завършващи с пълно активиране на двуфакторна идентификация на устройството на измамника.
Измама „Безопасна сметка“: използвайки класически методи за социално инженерство, измамниците убеждават клиенти, че тяхната сметка е изложена на риск и трябва да одобрят превода на пари към „безопасен“ акаунт, който всъщност е под контрола на измамника.
Измама чрез фалшиви търгове или сайтове за електронна търговия: Това е прост начин на действие, включващ плащане чрез кредитен превод за стоки, рекламирани на фалшиви търгове или сайтове за електронна търговия.
Стоките очевидно не са доставени, а получените пари бързо се изтеглят като пари в брой с помощта на дебитни карти или прехвърлени от съучастници, намиращи се на други континенти.
Зловреден софтуер (malware) като „банкови троянски коне“, особено на мобилни устройства. Появяват се нови функции, включително: дистанционно управление на заразеното устройство, прихващане на SMS-и и подмяна на бенефициента на плащане в реално време; сесии за отдалечен достъп (RAT), разчитащи на роден код на Android или директно скриващ зловреден софтуер Google Play Store (напр. първоначално чрез легитимни приложения, но зловредният софтуер е инсталиран чрез актуализации), избягващи техниките за откриване на Google.
Зловреден софтуер, доставен като злонамерени SMS мениджъри на мобилни устройства: които са конфигурирани с достъп до двуфакторни кодове за удостоверяване.
Прихващане на писма за подновяване на кредитни карти: Картата се заменя с фалшива карта и писмото съдържа инструкции за активиране на телефона, с искане жертвата да предостави номера на картата и пин кода.
Прихващане на b2b кореспонденция и подмяна на сметка: Измамникът се включва като бенефициент на плащането, след компрометиране на мейл системата на реалния бенефициет и чрез социално инженерство подменя действителната сметка със собствена такава.
Повечето схеми се стремят или към прихващане на акаунта на потребителя или към пренасочването на големи плащания към сметки на измамниците. Най-съществени са промените при измамите при картовите транзакции, където картата често просто се използва като средство за извличане на финансовите активи – изпразване на сметката или кредитния лимит, чрез транзакции към различни wallet приложения, теглене на банкомати или закупуване на стоки и/или крипто активи.
Финансовите институции са под непрекъснат натиск да установят адекватен мониторинг и мерки за предотвратяване на измамите. За съжаление, този процес върви твърде бавно и винаги е една две крачки след измамниците, коментира Ангелов. Моето лично мнение е, че регулаторите не упражняват достатъчно натиск, за да бъдат защитени потребителите, допълни той.
Елементарен пример за тази липса на регулаторен контрол е масовата липса на инструменти за мониторинг на крайните устройства и проверка за зловреден код (malware) в интернет и мобилните банкирания
Нещо, което лесно се подлага на удостоверяване и съответно на одит, а е императивно изискване от PSD2 директивата, която е транспонирана и у нас.
Има много неща, която една финансова институция може да направи, за да защитава по-добре клиентите си, ала трябва да си дадем сметка, че измамниците експлоатират най-вече слабостите на потребителите – страх, желание да помогнат и най-вече алчност за лесни печалби. Всеки от нас, ако идентифицира, че го манипулират чрез някои от тези три фактора, особено, ако добавят и елемент на спешност – трябва веднага да предположи, че е попаднал на схема за измама.
Финансовите институции често пренебрегват подобни рискове.
Не защото не ги идентифицират, а защото търсят баланс – да не нарушават потребителското изживяване, за да не дразнят и загубят клиента
От друга страна има мерки, които банките и платежните оператори, могат да приложат, за да подобрят услугите си без риск за потребителското изживяване.
Някои от нашите клиенти се възползват от интелигентните възможности на системите и за интерактивна комуникация с клиента, сподели Ангелов. Изпращат се нотификации и съобщения, консумира се обратната връзка и се взема адекватно решение; Прави се анализ между каналите – ползвал си в дадена държава мобилно банкиране, няма причина да ти спират картово плащане; ангажиране на разговор през чат-бот (интелигентен асистент, както предпочитат да ги наричат) и консумиране на целия разговор (Генеративния AI много помага в случая).
Не само, че тези мерки повишават сигурността и доверието на клиентите, но и значително намаляват натоварването на кол-центъра на финансовата институция.
Защо сме в такава позиция?
Според мониторинг на FATF България трябва да се бори за противодействие на прането на пари, финансирането на тероризма и разпространението на оръжия
Аз поне не знам да има законови пречки да се изпълняват мерките за противодействие на прането на пари или които и да било финансови престъпления, отговаря Ангелов. Тъкмо напротив – законите са налични и в много от случаите нарушаването им може да води не само до значителни глоби и санкции, но и до отнемане на лиценза на финансовата институция. ЕС непрекъснато подсилва това законодателство, ала ролята на локалните регулатори и е да следят то да се прилага в дълбочина.
Оценката на FATF е крайно негативна именно по отношение на регулирането. Съответните органи е редно да предприемат адекватни мерки, защото тази оценка неизбежно влияе на всяка българска финансова институция, а от там и на всеки неин клиент. Всички сме потърпевши от неглижирането на тези закони.
Сериозно трябва да се подходи и към спазването на всички санкционни режими, особено в светлината на военния конфликт между Русия и Украйна. Има твърде много заинтересовани страни, разполагащи със солидни възможности, за да търсят механизми за заобикаляне на санкциите, а това може да е фатално за финансовата институция, която е станала част от веригата, дори и да е била подведена. Процесът изобщо не е прост и изисква задълбочен анализ, системен подход и съответната организация от всяка финансова институция, за да е сигурна, че не е станала част от подобна схема.
Навлизането масово на instant payments е огромно предизвикателство както за транзакционния фрод, така и по отношение на съответствието с регулациите за финансови престъпления и санкционирани лица и организации.
Налага се реинженеринг и внедряване на нови технологии, които да помогнат на финансовите институции да реагират в реално време на заплахите, коментира още Ангелов.
Instant схемите са обект на същите заплахи и средства за измами. Тук обаче има специфични характеристики – транзакцията е много по-бърза от стандартната схема. Акаунтът на инициатора незабавно се дебитира и средствата незабавно се предоставят по сметката на бенефициента. Изпълнява се за секунди (до 10 по регулация) и следователно могат да настъпят следните последствия или предизвикателства:
- Докато сте на етапа на иницииране и удостоверяване, техниките за измама, базирани на социалното инженерство и зловреден софтуер се извършват по същия начин, както при стандартно плащане, но инициирането е незабавно последвано от изпълнение и средствата получени чрез измама са налични моментално за теглене в брой или физически покупки.
- Общата скорост на транзакциите към/от „парични мулета“ е много по-висока, така че този тип канал за монетизация се очаква да се използва по-интензивно с Instant схемите.
- На етапа на изпълнение, механизмът за откриване на измами и блокирането на тразанзакции е необходимо да се изпълнява в реално време, което е предизвикателство за много от по-старите системи за мониторинг и превенция
Instant транзакциите трябва да се обработват непрекъснато, 24/7, това прави невъзможно да се използва време за партидна обработка за извършване на проверки срещу финансови измами (AML/Sanctions), което е текущ бизнес процес в повечето финансови институции. Това налага цялостно преразглеждане на системите и процесите, които отговарят за тези функции, ако финансовата институция иска да е в съответствие с регулаторните изисквания.
По темата за PSD2 мисля, че всички сме в очакване на PSR1, която трябва да се приеме идната година.
В новия регламент се адресират много от недостатъците на текущата директива, както и ще се избегне локално и тълкуване от държавите членки.
PSR1 с основание се очаква да е еволюция на PSD2 и да развие насоките за Open Banking към Open Finance, като допълнително заздрави регулаторните основи в областта и въведе общи стандарти за целия Европейски Съюз. ЕС е водещ пример в целия свят за регулиран подход към развитие на платежните сисеми и финансовата индустрия.
Как ще повлият другите европейски регулации като DORA и приемането на цифровия портфейл? първото законодателство за изкуствен интелект, върху пазара?
На този етап не очаквам регулации като DORA или ограничения от изкуствен интелект да повлияят на пазара, коментира Ангелов Това са рамки, с които всички просто трябва да се съобразяват. Единният цифров портфейл на ЕС от друга страна е отлична възможност множество дигитални услуги да достигнат до масовия потребител по унифициран начин. Това може да е добра основа в бъдеще за качествено обслужване на всеки гражданин на ЕС, което да подпомогне изграждането ни като общност, каквато трябва да бъдем.