Tentativele de fraudă împotriva clienților băncilor s-au intensificat în ultima perioadă, iar totodată, acestea s-au și diversificat, fiind adaptate contextului actual, bazat din ce în ce mai mult pe interacțiunile online dintre clienți și bănci.
Dacă în trecut “neatenția” sau “vânătoarea de oferte” erau principalele cauze pentru care clienții băncilor deveneau victime ale fraudatorilor, în prezent, ingineriile sociale sunt pricipala cauză pentru care victime pot deveni din ce în ce mai multe persoane care dețin produse bancare prin care pot accesa serviciile băncilor la distanță (card, internet/mobile banking etc.)
Fraudele realizate prin inginerii sociale au scopul de a înșela utilizatorii, prin manipulare, să dezvăluie informații confidențiale sau să facă anumite acțiuni prin care se sustrag datele personale și de autentificare, cum ar fi: nume și prenume, adresă, oraș, județ, numărul cardului, data expirării, cod de securitate CVV2/CVC, cod numeric personal sau telefon.
Mai jos, Florin Orban, Vicepreședinte Comisia Antifraudă Asociația Română a Băncilor prezintă câteva dintre cele mai întâlnite metode de fraudare, împreună cu cele mai importante măsuri de precauție și ce trebuie să facă o persoană care a fost victima unei fraude.
Frauda prin intermediul platformelor de comerț electronic (ex: olx, publi24, lajumate etc)
Cele mai întâlnite metode sunt cele în care:
1) Fraudatorul este cumpărător. Acesta contactează vânzătorul și solicită mutarea conversației de pe platforma online pe un alt canal de comunicare (de regulă pe WhatsApp).
Fraudatorul (cumpărătorul) informează victima (vânzătorul) că a achitat produsul și îi trimite un link fals pentru a încasa suma. La accesarea link-ului, victimei i se solicită datele de securitate ale cardului bancar propriu (inclusiv parola statica și cea dinamica 3D Secure). Odată intrat în posesia informațiilor, fraudatorul nu mai răspunde la conversație și inițiază tranzacții frauduloase prin utilizarea datelor de securitate furnizate de victimă (vânzător).
2) Fraudatorul este vânzător. Acesta postează anunțuri cu produse fictive la prețuri foarte avantajoase. Pentru a cumpăra produsul respectiv, victima (cumpărătorul) este direcționată să acceseze un link destinat unei pagini de tip “phishing”. După accesarea paginii, victimei îi sunt solicitate datele de securitate ale cardului (inclusiv parola statica și cea dinamica 3D Secure), care sunt folosite ulterior pentru plăți înregistrate la comercianți online din alte țări.
Cele mai importante măsuri de precauție:
- Nu furniza datele cardului bancar nici online, nici telefonic, nici prin alte canale de comunicare (WhatsApp, SMS, pagini web etc.);
- Cardul este un instrument de plată și nu un instrument de încasare bani, astfel că exprimarea “îți virez banii direct pe card, iar pentru asta am nevoie de datele cardului tău” este o capcană!
Ce trebuie să facă o persoană care a fost victima unei astfel de fraude:
- Trebuie să contacteze banca emitentă a cardului în cel mai scurt timp posibil (inclusiv telefonic) și să solicite blocarea și re-emiterea cardului cu alte date de securitate;
- Să sesizeze organele de cercetare penală despre incident.
Phishing-ul
Este o metodă de fraudă prin care se încearcă obținerea ilegală de date personale de identificare și autentificare sau accesare a unor website-uri. Cea mai utilizată metodă de phishing pentru clienții băncilor este trimiterea unor email-uri care par a fi din partea unei bănci, care conțin un link cu îndemnul de a fi accesat, fie pentru actualizarea datelor personale, în caz contrar conturile persoanei urmând a fi blocate, fie pentru diferite campanii. Acest link deschide un website foarte asemănător cu cel al băncii, unde victimei îi sunt solicitate în mod ilegal datele personale și de autentificare, cum ar fi: nume și prenume, adresa, numărul cardului, data expirării, cod de securitate CVV2/CVC, cod numeric personal, telefon etc.
Smishing-ul (phishing-ul prin SMS)
Smishing-ul este metoda de fraudare similară pshishing-ului, fiind folosite canale de comunicare prin mesaje SMS, care par a fi transmise de bănci. Scopul este același, respectiv obținerea de către fraudatori a unor date personale sau de autentificare, de regulă prin direcționarea victimei către un link (website clonat) unde îi sunt solicitate datele personale/datele cardului (număr card, data expirării, CVV2/CVC) etc.
Odată furnizate, fraudatorii folosesc informațiile pentru a accesa și sustrage fondurile persoanei care le-a furnizat.
Cele mai importante măsuri de precauție:
- Verifică cu atenție înainte de a deschide un mesaj sau un fișier de la banca ta;
- Fii vigilent la cererile de comunicare a unor detalii financiare, date personale, de autentificare (user/parolă), datele cardurilor (numărul, data expirării, CVV2/CVC, cod PIN);
- Băncile niciodată nu solicită date confidențiale cum ar fi datele cardurilor, parole de acces, coduri PIN, nici telefonic, nici prin SMS, nici prin e-mail și nici prin completarea acestora pe website;
- Atenție la mesajele care conțin formule de adresare impersonale, greșeli gramaticale, de exprimare etc;
- Verifică dacă e-mail-ul provine dintr-o sursă legitimă;
- În ultimul timp, datorită acestor tipologii de fraude, băncile au început să evite inserarea de link-uri în mesajele trimise clienților, așa că, dacă ai suspiciuni, indicat este să verifici cu banca ta campania respectivă, apelând numerele de telefon de pe website-ul băncii;
- Activează și folosește o formă de autentificare în mai mulți pași pentru accesul la intenet/mobile banking.
Ce trebuie să facă o persoană care a fost victima unei astfel de fraude:
- De pe un dispozitiv diferit (telefon, PC) trebuie să schimbe parolele pentru aplicațiile de internet/mobile banking dacă acestea au fost furnizate pe website-ul clonat.
- Trebuie să informeze banca în cel mai scurt timp posibil (inclusiv telefonic) și să solicite, dacă este posibil, blocarea/dezactivarea temporară a serviciului de internet sau mobile banking dacă nu a putut schimba parola, blocarea și re-emiterea cardului cu alte date de securitate dacă aceste date au fost furnizate pe website-ul clonat.
- Să sesizeze organele de cercetare penală despre incident.
CEO Fraud sau Mesaje de la Șef
Din ce în ce mai mulți clienți ai băncilor din categoria persoanelor juridice devin victime ale acestei metode de fraudare. CEO Fraud / Mesaje de la Șef reprezintă un tip de fraudă care vizează angajații autorizați să efectueze plăți, care, prin inducere în eroare, sunt determinați să efectueze un transfer. Mai exact, fraudatorul sună sau trimite un e-mail, pretinzând că este unul dintre managerii de top din companie și solicită efectuarea de urgență a unei plăți, de regulă într-un cont din afara țării, invocând că este o situație deosebită și cerând să nu se respecte procedurile obișnute de autorizare a plăților.
Cele mai importante măsuri de precauție:
- Nu efectuați transferuri și nu procesați operațiuni doar în baza unui e-mail sau a unei solicitări telefonice urgente;
- Verificați cu atenție adresele de e-mail de la care primiți solicitări;
- Confirmați printr-un alt canal (telefonic, altă adresă de e-mail) instrucțiunile de efectuare a plății;
- Nu deschideți niciodată link-uri sau documente anexate acestor mesaje;
- Implementarea unor fluxuri interne stricte cu privire la efectuarea plăților, folosind principiul celor patru ochi;
- Respectați cu strictețe procedurile/fluxurile de autorizare a plăților;
- Instruiți colegii despre această metodă de fraudare, pentru a fi vigilenți la efectuarea plăților.
Ce trebuie să facă o persoană care a fost victima unei astfel de fraude:
- Să sesizeze organele de cercetare penală despre incident, chiar dacă nu a devenit victimă;
- În cazul în care a fost inițiată plata, să contacteze de urgență banca pentru a încerca să blocheze transferul fondurilor (dacă banii nu au fost deja transferați).
Frauda cu facturi
Această metodă de fraudare are loc atunci când angajații unei companii sau chiar persoane fizice, sunt contactate fie telefonic, fie prin e-mail, de care persoane care pretind că sunt reprezentanți ai unor furnizori de servicii sau bunuri și solicită modificarea datelor de plată, de regulă a contului IBAN în care trebuie efectuate anumite plăți. Astfel, victimele ajung să trimită bani în conturile altor persoane decât cele care ar fi trebuit să încaseze sumele respective.
Cele mai importante măsuri de precauție:
- Implementarea unor fluxuri interne stricte cu privire la efectuarea plăților, folosind principiul celor patru ochi;
- Confirmați cu furnizorul printr-un alt canal (telefonic, altă adresă de e-mail) schimbarea datelor bancare;
- Instruiți colegii despre această metodă de fraudare, pentru a fi vigilenți la efectuarea plăților.
Ce trebuie să facă o persoană care a fost victima unei astfel de fraude:
- Să sesizeze organele de cercetare penală despre incident, chiar dacă nu a devenit victimă;
- În cazul în care a fost inițiată plata, să contacteze de urgență banca, pentru a încerca să blocheze transferul fondurilor (dacă banii nu au fost deja transferați).