Socjotechniki dominują wśród metod wyłudzeń – Raport Antyfraudowy BIK 2024

Photographic portrait of Justyna Mańkowska

Kontakt lokalny

29 paź 2024
Temat Serwis Audytorów Śledczych
Kategorie Financial Crime, Raporty
Jurysdykcje Polska

Jak EY może pomóc

Najnowszy Raport Antyfraudowy BIK za rok 2024 ujawnia, że wraz ze wzrostem świadomości zagrożeń dotyczących oszustw zarówno wśród konsumentów, jak i przedsiębiorców, obserwuje się coraz bardziej zaawansowane techniki socjotechniczne w celu wyłudzenia pieniędzy od niczego nieświadomych ofiar. Wzrost wykorzystania takich metod stanowi poważne wyzwanie dla sektora finansowego i wymaga zwiększonej czujności zarówno konsumentów, jak i instytucji. [1] 

Odpowiedzi respondentów badań opinii zrealizowanych na potrzeby raportu na zlecenie BIK wskazują na to, że:

  • 37% klientów indywidualnych zetknęło się z co najmniej jedną formą wyłudzenia. Najczęściej był to phishing. Zauważono jednocześnie nieznaczny spadek (2 punkty procentowe) prób wyłudzenia PESELU w związku z oszustwem „na instytucję publiczną” w porównaniu z zeszłym rokiem.
  • 77% małych i średnich przedsiębiorców nie korzysta z narzędzi/usług antyfraudowych, co choć stanowi spadek (5 punktów procentowych) w porównaniu z zeszłoroczną edycją badania, pokazuje, że nadal znaczna część firm MŚP nie stosuje żadnych kontroli ani zabezpieczeń przed oszustwami.
  • Wśród dużych firm (korporacji) zauważono wzrost podmiotów (12% respondentów), które w ciągu roku w wyniku fraudów poniosły straty większe niż 10 mln zł.

Według najnowszych danych, w 2024 roku zaobserwowano znaczący wzrost przypadków oszustw, w których przestępcy stosują zaawansowane metody manipulacji psychologicznej. Ich ofiary, często nie zdając sobie z tego sprawy, przekazują im swoje środki pieniężne lub wrażliwe dane. Przestępcy ciągle rozwijają swoje umiejętności, wykorzystując najświeższe rozwiązania technologiczne i wykazując się pomysłowością w przełamywaniu zabezpieczeń. Statystyki są niepokojące – blisko 37% obywateli Polski przyznaje, że zetknęło się z co najmniej jedną próbą wyłudzenia, co oznacza wzrost o 1 procent w stosunku do ubiegłego roku i aż o 5 punktów procentowych w porównaniu z rokiem 2022.

 

Czym jest fraud?

 

Raport wskazuje, że coraz więcej Polaków ma świadomość czym w ogóle jest to zjawisko i jakie są jego rodzaje. Fraud został w raporcie zdefiniowany jako „działania znacznie szersze niż wyłącznie w cyberprzestrzeni. To wszelkie czynności, które wskazują na nieuczciwość, oszukiwanie i manipulowanie ofiarą, zmierzające do wyłudzenia korzyści majątkowej lub osobistej. Fraudy mogą być realizowane przez podmioty zewnętrzne, ale również np. przez pracownika firmy, która pada ofiarą fraudu. Fraudem jest również sytuacja, gdy oszust kradnie lub wykorzystuje dane osobowe ofiary w celu przejęcia konta. Zazwyczaj bowiem problem dotyczy rachunku bankowego lub innego miejsca, na którym zgromadzone są środki finansowe.” Jako 3 podstawowe rodzaje ataków zostały wymienione:

  • Phishing: zachodzi, kiedy sprawca przekonuje ofiarę do kliknięcia w zmanipulowany, nieprawdziwy odnośnik, na przykład do strony internetowej banku. Aby to osiągnąć, najczęściej wykorzystuje się e-mail, platformy społecznościowe lub aplikacje do komunikacji.
  • Vishing: występuje w sytuacji, gdy oszust udaje osobę z autorytetem, taką jak funkcjonariusz policji czy pracownik banku. Przekonuje on swojego rozmówcę do podjęcia określonych kroków, takich jak wyjawienie poufnych informacji lub zainstalowanie oprogramowania umożliwiającego zdalny dostęp do urządzenia, co pozwala mu na pełną kontrolę nad sprzętem ofiary.
  • Spoofing: oznacza podszycie się pod dane innej osoby bądź firmy z wykorzystaniem technologii. Atakujący wykorzystuje narzędzia, które pozwalają mu podszyć się pod numery telefonów, adresy mailowe czy adresy stron internetowych.

Metody działań przestępców

 

Raport BIK wymienia top 5 kategorii skutecznych zdarzeń fraudowych, którymi w zależności od rodzaju respondentów są:

  • Klienci indywidualni: oszustwa metodami „na BLIKa”, „na PIT”, na akcje charytatywne, „na wnuczka/policjanta/znaną osobę” oraz wyłudzenia na skradzione dane.
  • Małe i średnie firmy: fałszywe faktury, wyłudzenia danych, podejrzany mail, podszywanie się pod inną firmę/kontrahenta/bank, włamania na serwery.
  • Korporacje: wyłudzenia finansowe, transakcje oszukańcze/ataki na klientów z wykorzystaniem socjotechniki, nadużycia popełnione przez klientów, cyberprzestępczość i oszustwa/nadużycia zakupowe.

Doświadczenia Polaków w kontekście zabezpieczeń przed oszustwami

 

Trzy czwarte Polaków pozytywnie ocenia swoje bezpieczeństwo podczas dokonywania transakcji online, a 43% ufa zabezpieczeniom bankowym, jak wynika z badania BIK dotyczącego weryfikacji behawioralnej. Oszuści zmieniają więc taktykę i zamiast ataków hakerskich wykorzystują socjotechnikę, aby skłonić klientów do przekazania danych dostępu do elektronicznych kanałów bankowych. Eksperci przewidują, że wraz z rozwojem sztucznej inteligencji, oszustwa będą bardziej zaawansowane. Wobec tego edukacja klientów w zakresie bezpieczeństwa staje się kluczowa. Badania wskazują na potrzebę większej świadomości wśród użytkowników, gdyż wielu z nich używa tego samego hasła do różnych serwisów, a tylko 13% słyszało o weryfikacji behawioralnej, która może znacząco podnieść poziom bezpieczeństwa.

 

W przypadku klientów indywidualnych badanie w 2024 r. potwierdziło przekonanie Polaków, że problem wyłudzeń lub wycieku danych ich nie dotyczy. Aż 22% respondentów nie obawia się wyłudzenia, a 10% uważa, że wyciek danych nie stanowi powodów do niepokoju. Raport wskazuje, że w przypadku zaistnienia problemów związanych z fraudami respondenci rozważyliby głównie zgłoszenie na policję, zablokowanie konta i kart bankowych, zastrzeżenie dokumentów, zmianę haseł czy kontakt z instytucją, w której nastąpiło wyłudzenie.

 

Działania antyfraudowe w sektorze MŚP

 

Do działań antyfraudowych stosowanych przez małe i średnie firmy należą, zgodnie z odpowiedziami respondentów, zdrowy rozsądek (zachowanie ostrożności), weryfikacja (danych kontrahentów, maili, telefonów, wydatków), analiza otoczenia, szkolenia, posiadanie działu IT. Jednocześnie obserwuje się wzrost liczby firm, które zastanawiają się nad korzystaniem z narzędzi antyfraudowych.

Przeszkody, które odstraszają przedsiębiorców od wdrażania systemów przeciwdziałania oszustwom, obejmują przede wszystkim ograniczenia budżetowe, takie jak brak środków finansowych i obawy przed wysokimi wydatkami. Dodatkowo, niektóre firmy nie są świadome istnienia narzędzi antyfraudowych. Zlecone przez Biuro Informacji Kredytowej badania wskazują, że postawa biznesu wobec zabezpieczeń ulega zmianie zazwyczaj dopiero po doświadczeniu własnych strat spowodowanych przez oszustwa. W takich sytuacjach przedsiębiorcy zaczynają być bardziej czujni i dokładniej weryfikują swoich kontrahentów, co może sięgać nawet takich detali, jak kontrola numerów kont bankowych podanych na fakturach. Jeżeli chodzi o konsekwencje fraudów dla małych i średnich podmiotów, to co piąta firma, która była obiektem ataku, nie potrafi oszacować strat, które on spowodował. Co dziesiąta przyznaje, że nie zdołała zablokować oszustw na kwotę nawet 100 tys. zł.

 

Percepcja oszustw w największych firmach

 

Duże firmy są coraz skuteczniejsze w identyfikowaniu i blokowaniu zdarzeń fraudowych. Metody jakie korporacje stosują, to przede wszystkim rozwiązania IT, zespół analityków, dedykowane reguły w silniku, branżowe rozwiązania antyfraudowe, edukacja pracowników i zewnętrze rejestry gospodarcze. Aż 89% dużych organizacji potwierdza, że mają wydzielone zespoły zajmujące się monitorowaniem i przeciwdziałaniem oszustwom, przy czym jedna trzecia z nich zatrudnia w takich jednostkach powyżej 10 osób.

 

Rzadziej korporacje zlecają te zadania firmom zewnętrznym – robi to 23% badanych podmiotów. Zauważa się rosnące zainteresowanie narzędziami antyfraudowymi, które są wykorzystywane przez korporacje głównie w sektorach finansowania, realizacji transakcji, weryfikacji logowań oraz w działaniach mających na celu zapobieganie praniu brudnych pieniędzy. Według 46% ankietowanych przedstawicieli korporacji, rozwój technologii opartych na sztucznej inteligencji (AI) wykorzystywanych w przestępczości, może przyczynić się do wzrostu zagrożeń związanych z oszustwami w firmach. Z kolei 14% respondentów jest odmiennego zdania.

 

Fraudy – co możemy poprawić?

 

W Raporcie Antyfraudowym BIK podkreślono, że kluczowym elementem przeciwdziałania oszustwom, poza edukacją konsumentów, jest wdrażanie innowacyjnych rozwiązań technologicznych przez instytucje. Wśród rekomendowanych działań znalazły się m.in. regularne szkolenia z zakresu bezpieczeństwa, wdrażanie wieloetapowej weryfikacji tożsamości oraz stosowanie zaawansowanych systemów monitorowania transakcji.

 

Raport BIK z 2024 roku stanowi ważne przypomnienie o nieustającej potrzebie czujności w obliczu rosnącej liczby oszustw socjotechnicznych. Zarówno konsumentom, jak i instytucjom finansowym potrzebna jest ciągła edukacja i adaptacja do zmieniających się metod działania przestępców. Współpraca międzysektorowa oraz inwestycje w nowoczesne technologie są kluczowe dla zapewnienia bezpieczeństwa finansowego i ochrony przed wyłudzeniami.

 

Warto podkreślić, że rosnącą rolę socjotechnik zaobserwowaliśmy również w wynikach badania „Nadużycia w sektorze finansowym 2024”, przeprowadzanym corocznie przez ZPF i EY. Zachęcamy do zapoznania się z wynikami Raportu z Badania [2].

Wdrożenie ustawy o sygnalistach to dopiero początek - co dalej po 25 września?

Dowiedz się więcej
lights in forest

Zobacz również

Wdrożenie ustawy o sygnalistach to dopiero początek – co dalej po 25 września?

Serdecznie zapraszamy do udziału w webcaście pt." Wdrożenie ustawy o sygnalistach to dopiero początek - co dalej po 25 września?"

Ustawa o ochronie sygnalistów - o co pytają przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. "Ustawa o ochronie sygnalistów - o co pytają przedsiębiorcy?"

Ustawa o ochronie sygnalistów - czy to już ostatnia prosta?

Serdecznie zapraszamy do udziału w webcaście pt. "Ustawa o ochronie sygnalistów - czy to już ostatnia prosta?"

Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Serdecznie zapraszamy do udziału w pierwszym webcaście z cyklu Forensic Express: O czym należy pamiętać przed rozpoczęciem postępowania wyjaśniającego?

Praktyczne aspekty cyberbezpieczeństwa w zastosowaniu AI do dochodzeń wewnętrznych

Serdecznie zapraszamy na kolejny webcast z serii Miesiąc Cyberbezpieczeństwa EY. AI podnosi bezpieczeństwo danych i informacji podczas wykorzystywania eDiscovery i informatyki śledczej do prowadzenia postępowań wyjaśniających.

Greenwashing – czym grozi malowanie trawy na zielono?

Serdecznie zapraszamy do udziału w webcaście pt. "Greenwashing - czym grozi malowanie trawy na zielono?

Prawda czy mit? Sprawdź, co wiesz o prowadzeniu wewnętrznych dochodzeń!

Dlaczego firmy obawiają się prowadzenia postępowań wyjaśniających? Jakie korzyści przynosi dochodzenie wewnętrzne? Jak skutecznie przeprowadzać rozmowy wyjaśniające?

Jarosław Grzegorz + 2

Greenwashing, czyli czy warto malować trawę na zielono?

Nowe przepisy oraz szybki rozwój technologiczy przyzwyczaiły już przedsiębiorców to tego, że ocena ryzyka organizacji musi być przeprowadzana regularnie i obejmować szeroką perspektywę zewnętrzną.

EY Polska

Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko, co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap "A może lepiej nie sprawdzać? Wszystko co chcecie wiedzieć o wewnętrznych dochodzeniach, ale boicie się zapytać"

Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?

Serdecznie zapraszamy do udziału w webcaście pt. „Sankcje gospodarcze a kwestie prawne – o czym muszą wiedzieć przedsiębiorcy?"

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności?

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających.

Jarosław Grzegorz

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Dyrektywa o ochronie sygnalistów nakłada na organizacje obowiązek podjęcia działań, które łącznie zapewnią skuteczny system ochrony osób zgłaszających potencjalne naruszenia.

Jarosław Grzegorz

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.

Jarosław Grzegorz

Kto to jest sygnalista?

Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.

Mariusz Witalis + 1

Ochrona sygnalistów (whistleblowing)

Zapewnij ochronę sygnalistów zgodnie z prawem. Wdrożenie kanałów zgłaszania, ochrony i procedur. Skontaktuj się z nami, aby dowiedzieć się więcej o whistleblowing!

Dwie twarze informatyki śledczej

Celem informatyki śledczej jest dostarczanie i analiza dowodów zidentyfikowanych na elektronicznych nośnikach danych. Mówimy tu nie tylko o danych pozyskanych z komputerów czy telefonów komórkowych.

Zuzanna Hałemejko + 1

Sankcje gospodarcze – zarządzanie ryzykiem (sklep online)

Od lutego 2022 firmy z UE muszą przestrzegać sankcji nałożonych na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w edukacji, weryfikacji kontrahentów i wdrażaniu procedur sankcyjnych, pomagając ograniczyć ryzyko kar finansowych i odpowiedzialności karnej.

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

EY Polska

Sankcje nałożone na Rosję z perspektywy polskich przedsiębiorstw

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

EY Polska

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?

Michał Piekarczyk

Klapki na oczach czy szerokie horyzonty?

Światowe Badanie Uczciwości w Biznesie 2022 ukazuje jak usprawnienie ładu korporacyjnego może zwiększyć uczciwość biznesu

EY Polska

Zarządzanie ryzykiem nadużyć

Dowiedz się więcej o Dziale Zarządzania Ryzykiem Nadużyć oraz o tym, jak pomagamy firmom realizować cele z zakresu uczciwości w biznesie.

Czas na ochronę sygnalistów - badanie EY

W przeddzień wejścia w życie Dyrektywy UE o ochronie sygnalistów* zapytaliśmy polskie spółki, które od 17 grudnia 2021 r. będą podlegały jej wymogom, o ich stopień gotowości oraz wyzwania, z którymi się zmagają.

Jarosław Grzegorz
    Kontakt
    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

    EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.