Raport Antyfraudowy BIK 2023: Oszuści koncentrują się na socjotechnice

Jak EY może pomóc

  • Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (Financial Crime Compliance)

    Pomagamy podmiotom z branży finansowej skutecznie ograniczać ryzyka związane z praniem pieniędzy i finansowaniem terroryzmu. Łączymy wiedzę ekspercką z zakresu Compliance, doświadczenie operacyjne z realizacji procesów KYC/AML oraz znajomość nowoczesnych technologii informatycznych. Dzięki temu możemy świadczyć kompleksowe usługi doradcze, a także wspierać naszych klientów w codziennej realizacji procesów operacyjnych w obszarze Financial Crime.

    Przeczytaj więcej

  • Ochrona sygnalistów (whistleblowing)

    Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.

    Przeczytaj więcej

  • Sankcje gospodarcze - sklep on-line

    Od lutego 2022 firmy z obszaru Unii Europejskiej muszą przestrzegać sankcji gospodarczych nałożonych w bezprecedensowej skali na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w tematach sankcyjnych – edukacji, weryfikacji kontrahentów oraz wdrażaniu odpowiednich procedur. Pomagamy ograniczyć ryzyko kar finansowych i odpowiedzialności karnej wynikające z naruszeń przepisów sankcyjnych.

    Przeczytaj więcej

  • Zarządzanie zgodnością i etyką (Compliance & Integrity)

    Wspieramy firmy w prowadzeniu etycznego biznesu budując systemy compliance oraz wdrażając narzędzia i mechanizmy sprzyjające zarządzaniu zgodnością.

    Przeczytaj więcej

Biuro Informacji Kredytowej przedstawiło drugą edycję corocznego Raportu Antyfraudowego BIK [1]. Jak wynika z opracowania obejmującego rok 2023, analizie poddano trzy segmenty rynku: klientów indywidualnych, małe i średnie przedsiębiorstwa oraz banki i korporacje. W publikacji wskazano skalę zagrożeń, poziom świadomości cyberataków oraz temat współodpowiedzialności za bezpieczeństwo sektora bankowego i jego klientów. 

Badania po raz kolejny potwierdziły, że przestępcy wykorzystują niską świadomość zagrożeń fraudowych nie tylko wśród klientów indywidualnych, ale również przedsiębiorców, co w połączeniu z szeregiem technik manipulacji oraz wykorzystaniem dynamicznie rozwijających się nowoczesnych technologii, staje się coraz bardziej niebezpieczne dla potencjalnych ofiar fraudów. Badanie BIK pokazało, że ponad 80% przedsiębiorców rezygnuje z usług i narzędzi antyfraudowych na rzecz… zdrowego rozsądku. 





 

Metody działania
 

Jak wynika z raportu BIK, brak odpowiedniej ochrony oraz niska świadomość zagrożenia są największymi problemami w zapewnieniu bezpieczeństwa osób prywatnych i przedsiębiorstw. Obecnie przestępcy odchodzą od zaawansowanych ataków hakerskich na profesjonalnie chronione systemy IT instytucji finansowych, wybierając skuteczniejszą metodę jaką jest wykorzystywanie elementów socjotechniki. Najpopularniejszymi metodami ataków socjotechnicznych pozostają:

  • phishing, czyli nakłonienie ofiary do kliknięcia w fałszywy link, wysyłany za pomocą poczty elektronicznej, mediów społecznościowych, komunikatory oraz SMS,
  • vishing, czyli rozmowa telefoniczna z ofiarą – oszuści zwykle podają się za osoby zaufania publicznego, np. pracownika banku,
  • spoofing, czyli podszycie się pod dane innej osoby bądź firmy z wykorzystaniem technologii.

Wszystkie metody mają wspólny cel: nakłonienie ofiary do wykonania czynności, które umożliwią kradzież.
 

Klienci indywidualni
 

Raport Antyfraudowy BIK wskazuje na niepokojący wzrost odsetka Polaków, którzy mieli styczność z co najmniej jedną formą wyłudzenia (36% ankietowanych, wzrost o 4 pkt. proc. w porównaniu do 2022 roku). Co więcej, 65% ankietowanych obawia się wyłudzenia będącego wynikiem kradzieży danych. Spada za to odsetek optymistów, którzy nie obawiają się wyłudzenia – w obecnym raporcie jest to jedynie 22% respondentów (w ubiegłorocznym raporcie było to aż 34% ankietowanych).




Polacy wskazali też najczęściej występujące zagrożenia, które ich zdaniem nasiliły się w ostatnich sześciu miesiącach. Najwięcej ankietowanych wskazało wyłudzenia w rozmowie telefonicznej, phishing oraz wyłudzenia pieniędzy poprzez odpowiedź na maile sprzedażowe czy też wygrane w loterii. Niesłabnącą popularnością „cieszy się” niechlubna metoda wyłudzeń „na wnuczka”, która przybiera też inne formy – między innymi „na policjanta” czy też „na bogatą osobę”.

W porównaniu do poprzedniego roku, mniej atrakcyjnym tematem dla oszustów wydaje się wyłudzanie na akcje charytatywne, między innymi „na pomoc uchodźcom” (65% ankietowanych w roku 2023, 71% w roku 2022). Warto zauważyć, że nasiliły się również wyłudzenia pieniędzy z wykorzystaniem systemów płatności mobilnych, podszywając się pod znajomego z mediów społecznościowych, wyłudzenia pieniędzy na fałszywe inwestycje czy też wyłudzenia kredytów lub abonamentów na skradzione dane. Według Raportu Antyfraudowego BIK 2023, nawet co piąta próba wyłudzenia kończy się stratą po stronie ofiary.
 

Małe i średnie firmy
 

W 2023 r. co piąte małe lub średnie przedsiębiorstwo w Polsce stało się celem działań oszustów. Pomimo tego, że większość firm zauważa do dziesięciu prób wyłudzeń rocznie, rzeczywista skala tego problemu może być o wiele większa – ocena wielu firm jest niedoszacowana, ponieważ mogły nie zorientować się, że były celem ataku.

Najczęstsza metoda działań oszustów, z którą spotykają się małe i średnie firmy to podejrzany mail z linkiem kierującym do płatności. Według raportu BIK za 2023 rok, aż 37% przedsiębiorców padło celem takiego ataku. Znacząco zmniejszył się za to odsetek prób wyłudzeń, polegających na wysyłaniu firmom fałszywych faktur (15% w roku 2023, 30% w roku 2022).

Przedsiębiorcy zdają sobie sprawę z potencjalnych oszustw, których rozmiary mogą różnić się w zależności od sektora. Mimo to, ryzyko padnięcia ofiarą działalności oszustów nie jest dostrzegane przez 15,8% firm. Co niezwykle alarmujące, pomimo świadomości zagrożeń, aż 82,4% przedsiębiorstw nie korzysta z usług lub narzędzi antyfraudowych, co stanowi wzrost o 2,6 punktu procentowego w porównaniu do 2022 r. Taka postawa zdaje się być spowodowana powszechnym przekonaniem w sektorze małych i średnich przedsiębiorstw, że ryzyka te nie są duże lub firmy są w stanie poradzić sobie z nimi na własną rękę. Takie wnioski płyną z odpowiedzi udzielonych przez ponad 85% badanych przedsiębiorców.
 

Instytucje finansowe
 

W 2023 roku liczba zdarzeń fraudowych wzrosła – wynika z odpowiedzi połowy ankietowanych instytucji finansowych w Polsce. Jest to niepokojący sygnał, biorąc pod uwagę fakt, że w roku 2022 jedynie 34% ankietowanych korporacji udzieliło takiej odpowiedzi. Alarmujące jest też to, że aż 40% respondentów z sektora bankowego odnotowuje ponad 500 zdarzeń fraudowych rocznie.

Banki wskazują, że obecnie największym zagrożeniem nie są ataki typowo hakerskie, tylko ataki na klientów w celu przejęcia ich danych, środków lub dostępów do rachunków. Aż 65% ankietowanych instytucji finansowych wskazuje, że za atakami najczęściej stoją zorganizowane grupy przestępcze. Co dziesiąta przyznaje, że roczne straty w wyniku oszustw przekroczyły 10 mln zł.
 

Narzędzia antyfraudowe i AI
 

Ankietowani przedstawiciele instytucji finansowych wskazują, że ciągłe rozwijanie narzędzi antyfraudowych chroni zarówno interesy przedsiębiorstwa, jak i klientów. W ramach obowiązującego prawa, to bank obarczony jest odpowiedzialnością zapewnienia bezpieczeństwa, nierzadko bez względu na to, czy klient zachował wymagane umową środki bezpieczeństwa. Aż 30% ankietowanych instytucji z sektora bankowego przyznaje, że ich działania antyfraudowe przyczyniły się do zablokowania transakcji na kwoty przekraczające 10 mln zł.

Jak wskazuje Raport Antyfraudowy BIK 2023 roku, aż 95% (78% w 2022 r.) dużych podmiotów przyznaje, że zdarzeniom fraudowym najskuteczniej zapobiegają rozwiązania IT. Połowa korporacji z sektora finansowego obawia się, że rozwój sztucznej inteligencji spowoduje wzrost ryzyka wyłudzeń. Jednocześnie wykorzystanie AI stanowi szansę podniesienia poziomu bezpieczeństwa, między innymi poprzez automatyzację wielu czynności związanych z wykrywaniem fraudów i analizą danych.

Cyberbezpieczeństwo jest obszarem o strategicznym znaczeniu zarówno dla osób indywidualnych, jak i przedsiębiorstw. Warto zainwestować w edukację na temat bezpieczeństwa naszych danych i środków finansowych, aby zminimalizować ryzyko skutecznego ataku przez coraz bardziej wyspecjalizowanych oszustów. 

Zobacz również

Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Serdecznie zapraszamy do udziału w pierwszym webcaście z cyklu Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Praktyczne aspekty cyberbezpieczeństwa w zastosowaniu AI do dochodzeń wewnętrznych

Serdecznie zapraszamy na kolejny webcast z serii Miesiąc Cyberbezpieczeństwa EY. AI podnosi bezpieczeństwo danych i informacji podczas wykorzystywania eDiscovery i informatyki śledczej do prowadzenia postępowań wyjaśniających. Jednocześnie żeby tak było, samo AI musi być zaimplementowane i wykorzystywane we właściwy sposób, spełniający wymogi cyberbezpieczeństwa.

Prawda czy mit? Sprawdź, co wiesz o prowadzeniu wewnętrznych dochodzeń!

Dlaczego firmy obawiają się prowadzenia postępowań wyjaśniających? Jakie korzyści przynosi dochodzenie wewnętrzne? Jak skutecznie przeprowadzać rozmowy wyjaśniające? Zapraszamy do obejrzenia nagrań z cyklu „Prawda czy mit?” poświęconego najczęstszym obawom i mitom dotyczącym prowadzenia wewnętrznych postępowań wyjaśniających.

Jarosław Grzegorz + 3

Greenwashing, czyli czy warto malować trawę na zielono?

Nowe przepisy oraz szybki rozwój technologiczy przyzwyczaiły już przedsiębiorców to tego, że ocena ryzyka organizacji musi być przeprowadzana regularnie i obejmować szeroką perspektywę zewnętrzną. Większość przedsiębiorstw skutecznie stawia czoła indcydentom RODO, ich pracownicy mają świadomość cyber-zagrożeń, ustawa sankcyjna wpłynęła na baczne przyglądanie się spółkom w łańcuchu dostaw. Przykłady można mnożyć. Tematem, który aktualnie przykuwa zainteresowanie wielu organizacji jest zagadnienie greenwashingu, bezpośrednio związane z obszarem ESG.

EY Polska

Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko, co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. „Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?"

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach Compliance Officera

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających. Sednem tego zagadnienia, a jednocześnie kluczowym wyzwaniem dla spółek i organów zarządczych będzie kwestia wykazania, że przy podejmowaniu działań następczych dochowano należytej staranności. W przeciwnym razie spółka może narażać się na negatywne konsekwencje.

Jarosław Grzegorz

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Model trzech linii obrony, do którego odwołują się m.in. Dobre praktyki spółek notowanych na GPW, wskazuje, że za zarządzanie ryzykiem odpowiedzialni są (w różnym stopniu i zakresie): pracownicy operacyjni jako właściciele ryzyk, ich przełożeni, czyli menedżerowie ryzyk, którzy stoją na drugiej linii obrony oraz audyt wewnętrzny będący trzecią linią obrony, który podobnie jak w przypadku pozostałych procesów pełni funkcję stricte kontrolną.

Jarosław Grzegorz

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.

Jarosław Grzegorz

Kto to jest sygnalista?

Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.

Mariusz Witalis + 1

Ochrona sygnalistów (whistleblowing)

Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.

Dwie twarze informatyki śledczej

.

Zuzanna Hałemejko + 1

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

EY Polska

Sankcje gospodarcze nałożone na Rosję z perspektywy polskich przedsiębiorstw. Co zmienia zakaz eksportu do Rosji?

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

Michał Rączy

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?

Michał Piekarczyk

Zarządzanie ryzykiem nadużyć

Dowiedz się więcej o Dziale Zarządzania Ryzykiem Nadużyć oraz o tym, jak pomagamy firmom realizować cele z zakresu uczciwości w biznesie.

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają. Wyniki naszego badania zbiegają się w czasie z zamieszczeniem w wykazie prac legislacyjnych polskiego projektu** ustawy o ochronie osób zgłaszających naruszenia prawa, którego przyjęcie planowane jest w IV kwartale 2021r.

Jarosław Grzegorz

                       Kontakt

    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

    EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.