Iz Centralne banke upozoravaju da hakeri sve više koriste vještačku inteligenciju, te da su sa napretkom tehnologije, uključujući i upotrebu vještačke inteligencije, očekivani i sve savršeniji vidovi prevara.
Objašnjavaju da poslovne banke vode statistiku o prevarama u skladu sa svojom internom politikom i propisima, te da će statistika u vezi prevara u prvoj polovinu 2024. godine, biti dostupna u drugoj polovini jula tekuće godine. Međutim, ta statistika se, kako kažu, odnosi na proizvod/uslugu na koju se odnosi prigovor, ali ne i na razlog prigovora (prevara i sl).
„Kada je riječ o poslovnim bankama, one su dužne da u skladu sa Odlukom o načinu i rokovima za dostavljanje podataka o prigovorima klijenata kreditnih institucija i korisnika finansijskih usluga („Sl. list Crne Gore“ br. 47/23), Centralnu banku dva puta godišnje (za period januar-jun i jul-decembar) izvještavaju o prigovorima klijenata i predmetu prigovora“, objašnjavaju iz CBCG.
Iz Centralne banke upozoravaju da hakeri sve više koriste vještačku inteligenciju, te da su sa napretkom tehnologije, uključujući i upotrebu vještačke inteligencije, očekivani i sve savršeniji vidovi prevara.
Objašnjavaju da poslovne banke vode statistiku o prevarama u skladu sa svojom internom politikom i propisima, te da će statistika u vezi prevara u prvoj polovinu 2024. godine, biti dostupna u drugoj polovini jula tekuće godine. Međutim, ta statistika se, kako kažu, odnosi na proizvod/uslugu na koju se odnosi prigovor, ali ne i na razlog prigovora (prevara i sl).
„Kada je riječ o poslovnim bankama, one su dužne da u skladu sa Odlukom o načinu i rokovima za dostavljanje podataka o prigovorima klijenata kreditnih institucija i korisnika finansijskih usluga („Sl. list Crne Gore“ br. 47/23), Centralnu banku dva puta godišnje (za period januar-jun i jul-decembar) izvještavaju o prigovorima klijenata i predmetu prigovora“, objašnjavaju iz CBCG.
Fišing (Phishing) je oblik napada koji se koristi kako bi se od klijenata banaka, na prevaran način saznali njihovi lični podaci, kao što su korisnička imena, lozinke, brojevi kreditnih kartica i druge povjerljive informacije.
„Fišing napad podrazumijeva nekoliko koraka: pripremu napada, prikupljanje podataka i njihovu zloupotrebu. Nakon što napadač izabere svoju metu, tj. pojedinca ili grupu, on se žrtvi lažno predstavlja kao poznati i pouzdani subjekt (banka, društvena mreža, kolega, prijatelj) koristeći slične ili klonirane imejl adrese, sajtove, logotipe i dizajn“, navode iz CBCG.
Napadi najčešće preko mejla i SMS poruka
Napad se može izvesti preko različitih sredstava komunikacije, a najčešće napadač, kako kažu, šalje mejl, tražeći od primaoca da klikne na link ili preuzme prilog.
„Takvi linkovi obično vode do lažnih internet stranica koje izgledaju identično kao prave stranice i žrtve unose svoje podatke, ne shvatajući da je u pitanju prevara. Pored toga, za obmanu se mogu koristiti i SMS poruke ili čak telefonski pozivi u kojima se napadač može predstaviti kao na primjer, službenik banke. Nakon što prikupi osjetljive podatke od žrtve, napadač će obično pokušati lično da ih zloupotrijebi ili da ih proda“, pričaju iz Centralne banke o iskustvima.
Povećana bezbjednost izvršenja elektronskih transakcija
Banka je, shodno Zakonu o platnom prometu, dužna da prije izvršenja elektronske transakcije identifikuje klijenta na osnovu dva različita faktora zaštite.
„Ukoliko je do prevare došlo i pored toga što je banka, prije izvršenja elektronske transakcije
identifikovala klijenta upotrebom kombinacije tih faktora, banka može imati jaku argumentaciju da je do prevare došlo zbog krajnje nepažnje klijenta ili postupanja klijenta sa namjerom prevare, i u tim situacijama koje mogu biti predmet dokazivanja, nije dužna da klijentu nadoknadi štetu. Ukoliko banka ne dokaže da je klijent autorizovao transakciju u smislu navedenog zakona, dužna je da klijentu nadoknadi štetu“, kažu iz CBCG.
Centralna banka ne raspolaže informacijama o procesuiranim fišing prevarama niti o visini iznosa koji je otuđen na ovaj način.
Načini prevare
Kada su u pitanju načini prevare, najčešće je prevarno slanje poruka radi transakcija koje korisnik inače ne namjerava da izvrši ili radi neovlašćene digitalizacije kartice (unošenje u e-wallet i sl). Takođe, korisniku može da stigne SMS poruka da ga u pošti čeka pošiljka za koju je potrebno uplatiti određeni, obično sitni iznos (manji od 1 eura).
„Poruka sadrži link koji vodi na lažni sajt pošte ili neke druge institucije. Od korisnika se traži unos podataka sa kartice. Unošenjem tih podataka prevarant pristupa banci korisnika i od banke traži slanje OTP koda (jednokratne šifre) ili aktivacionog koda. Banka zatim šalje OTP ili aktivacioni kod pravom korisniku, na korisnikov registrovani broj telefona i, ako korisnik taj podatak unese na lažnu stranicu koju je kreirao prevarant, doći će do prenosa sredstava na račun treće strane ili do aktivacije platne kartice u e-walletu prevaranta. U posljednjem slučaju, prevarant dalje nesmetano koristi sredstva sa kartice bez ikakve naknadne autorizacije“, objašnjavaju iz CBCG.
Napominju da je novi vid provjere autentičnosti korisnika, koji bi trebalo da značajno umanji rizik od ovakvih vidova prevara, na snazi od 8. aprila 2024. godine, te da će se za ovakve vidove transakcija, pored OTP, tražiti i drugi faktor autentifikacije (jedinstveni PIN kod koji korisnik treba da aktivira kod banke, token ili sličan mehanizam, zavisno od opcije za koju se banka odluči).
„Hakeri sve više koriste vještačku inteligenciju“
Iz Centralne banke ističu da je značajna uloga poslovnih banaka, navodeći kako građani da prepoznaju „fišing“ poruke.
„Fišing poruke i internet stranice često sadrže gramatičke greške, neobične linkove, hitne zahtjeve za akciju i od korisnika traže lične informacije. Hakeri sve više koriste vještačku inteligenciju kako bi kreirali vjerodostojne kopije orginalnih mejlova i internet stranica. Naglašavamo da su, u skladu sa važećim propisima, sve banke dužne da uspostave i sprovode procese za podizanje svijesti korisnika platnih usluga o sigurnosnim rizicima povezanim sa tim uslugama, kao i da im pruže pomoć u vezi sa svim pitanjima, i prijavama nepravilnosti. Takođe, banke su dužne da sprovode niz mjera radi onemogućavanja i ograničavanja zloupotrebe podataka ukradenih kroz fišing napade“, navode iz CBCG.
Mjere zaštite od zloupotrebe podataka
Neke od tih mjera su: upotreba već pomenute kombinacije dva različita faktora za potvrdu identiteta osobe koja je incirala elektronsku platnu transakciju; definisanje limita potrošnje za platne transakcije koje se izvršavaju određenim platnim instrumentom na zahtjev klijenta; obavezna ponuda usluge upozorenja o iniciranju i/ili neuspješnim pokušajima iniciranja platnih transakcija klijentima.
„Regulativa u vezi pružanja platnih usluga se, između ostalog i iz ovog razloga kontinuirano mijenja, pa se mogu očekivati česte izmjene i crnogorskih propisa“, navode iz CBCG.
Stručnjaci ipak naglašavaju da potpuna zaštita ne postoji i da je kontinuirana edukacija od ključnog značaja.
„Savjetujemo građane da budu na oprezu i redovno prate uputstva od strane svojih banaka. Preporučujemo građanima da vode računa o sadržaju poruka koje im stižu, posebno ako sadrže linkove koji naizgled stižu od Pošte, banke ili sličnih institucija (linkovi i internet adrese mogu biti jako slični originalnim internet adresama poslovnih banaka). Takođe, detaljno treba proučiti OTP kod koji se dobija od banke. Ako primalac nije onaj kome je građanin namijenio uplatu, ako je iznos različit i/ili u drugoj valuti od one u kojoj građanin ima namjeru da plati, ne treba da ukucava OTP u ponuđeno polje, već da odmah prekine transakciju. Isto važi ako u poruci od banke piše da je u pitanju aktivacioni kod za Apple pay ili Google Pay, a građanin misli da treba da izvrši plaćanje – i u tom slučaju treba obustaviti dalju proceduru“, kažu iz CBCG.
Podsjećaju na opštepoznata pravila o korišćenju online usluga, vezano za mejlove i pristup ličnim podacima, te sugerišu da ne treba otvarati mejlove od nepoznatih pošiljalaca, koji čak i za poznatu uslugu traže lične podatke, jer se mogu koristiti u različite prevarne svrhe.
„U konačnom, sa napretkom tehnologije, uključujući i upotrebu vještačke inteligencije, očekivani su i sve savršeniji vidovi prevara, na lokalnim jezicima, zloupotrebom identiteta domaćih institucija, koje takođe treba da prepoznaju potrebu za obezbjeđenjem dodatnih vidova zaštite“, kazali su nam iz ove institucije.
Savjeti u vezi sa bezbjednim transakcijama
Iz Centralne banke savjetuju građane u vezi sa bezbjednim internet transakcijama.
„Banka Vas nikada neće pozvati telefonom ili poslati SMS poruku da se raspituje o PIN kodu Vaše platne kartice i drugim osjetljivim podacima;
Uvijek treba obavljati internet kupovinu na bezbjednim i poznatim internet stranicama, uz upoznavanje sa svim elementima cijene usluge i uz oprez prilikom unosa podataka koji sadrže informacije o platnim karticama;
Važno je da računar sa kojeg vršite plaćanje ima instaliran najnoviji antivirusni softver;
U imejl porukama nikada ne navodite osjetljive podatke sa platne kartice, u vidu broja kartice, datuma isteka ili PIN koda;
U slučaju gubitka, krađe ili sumnje u zloupotrebu vaših bankarskih podataka, odmah pozovite banku i slijedite njihova uputstva“.
je oblik napada koji se koristi kako bi se od klijenata banaka, na prevaran način saznali njihovi lični podaci, kao što su korisnička imena, lozinke, brojevi kreditnih kartica i druge povjerljive informacije.
„Fišing napad podrazumijeva nekoliko koraka: pripremu napada, prikupljanje podataka i njihovu zloupotrebu. Nakon što napadač izabere svoju metu, tj. pojedinca ili grupu, on se žrtvi lažno predstavlja kao poznati i pouzdani subjekt (banka, društvena mreža, kolega, prijatelj) koristeći slične ili klonirane imejl adrese, sajtove, logotipe i dizajn“, navode iz CBCG.
Napadi najčešće preko mejla i SMS poruka
Napad se može izvesti preko različitih sredstava komunikacije, a najčešće napadač, kako kažu, šalje mejl, tražeći od primaoca da klikne na link ili preuzme prilog.
„Takvi linkovi obično vode do lažnih internet stranica koje izgledaju identično kao prave stranice i žrtve unose svoje podatke, ne shvatajući da je u pitanju prevara. Pored toga, za obmanu se mogu koristiti i SMS poruke ili čak telefonski pozivi u kojima se napadač može predstaviti kao na primjer, službenik banke. Nakon što prikupi osjetljive podatke od žrtve, napadač će obično pokušati lično da ih zloupotrijebi ili da ih proda“, pričaju iz Centralne banke o iskustvima.
Povećana bezbjednost izvršenja elektronskih transakcija
Banka je, shodno Zakonu o platnom prometu, dužna da prije izvršenja elektronske transakcije identifikuje klijenta na osnovu dva različita faktora zaštite.
„Ukoliko je do prevare došlo i pored toga što je banka, prije izvršenja elektronske transakcije identifikovala klijenta upotrebom kombinacije tih faktora, banka može imati jaku argumentaciju da je do prevare došlo zbog krajnje nepažnje klijenta ili postupanja klijenta sa namjerom prevare, i u tim situacijama koje mogu biti predmet dokazivanja, nije dužna da klijentu nadoknadi štetu. Ukoliko banka ne dokaže da je klijent autorizovao transakciju u smislu navedenog zakona, dužna je da klijentu nadoknadi štetu“, kažu iz CBCG.
Centralna banka ne raspolaže informacijama o procesuiranim fišing prevarama niti o visini iznosa koji je otuđen na ovaj način.
Načini prevare
Kada su u pitanju načini prevare, najčešće je prevarno slanje poruka radi transakcija koje korisnik inače ne namjerava da izvrši ili radi neovlašćene digitalizacije kartice (unošenje u e-wallet i sl). Takođe, korisniku može da stigne SMS poruka da ga u pošti čeka pošiljka za koju je potrebno uplatiti određeni, obično sitni iznos (manji od 1 eura).
„Poruka sadrži link koji vodi na lažni sajt pošte ili neke druge institucije. Od korisnika se traži unos podataka sa kartice. Unošenjem tih podataka prevarant pristupa banci korisnika i od banke traži slanje OTP koda (jednokratne šifre) ili aktivacionog koda. Banka zatim šalje OTP ili aktivacioni kod pravom korisniku, na korisnikov registrovani broj telefona i, ako korisnik taj podatak unese na lažnu stranicu koju je kreirao prevarant, doći će do prenosa sredstava na račun treće strane ili do aktivacije platne kartice u e-walletu prevaranta. U posljednjem slučaju, prevarant dalje nesmetano koristi sredstva sa kartice bez ikakve naknadne autorizacije“, objašnjavaju iz CBCG.
Napominju da je novi vid provjere autentičnosti korisnika, koji bi trebalo da značajno umanji rizik od ovakvih vidova prevara, na snazi od 8. aprila 2024. godine, te da će se za ovakve vidove transakcija, pored OTP, tražiti i drugi faktor autentifikacije (jedinstveni PIN kod koji korisnik treba da aktivira kod banke, token ili sličan mehanizam, zavisno od opcije za koju se banka odluči).
„Hakeri sve više koriste vještačku inteligenciju“
Iz Centralne banke ističu da je značajna uloga poslovnih banaka, navodeći kako građani da prepoznaju „fišing“ poruke.
„Fišing poruke i internet stranice često sadrže gramatičke greške, neobične linkove, hitne zahtjeve za akciju i od korisnika traže lične informacije. Hakeri sve više koriste vještačku inteligenciju kako bi kreirali vjerodostojne kopije orginalnih mejlova i internet stranica. Naglašavamo da su, u skladu sa važećim propisima, sve banke dužne da uspostave i sprovode procese za podizanje svijesti korisnika platnih usluga o sigurnosnim rizicima povezanim sa tim uslugama, kao i da im pruže pomoć u vezi sa svim pitanjima, i prijavama nepravilnosti. Takođe, banke su dužne da sprovode niz mjera radi onemogućavanja i ograničavanja zloupotrebe podataka ukradenih kroz fišing napade“, navode iz CBCG.
Mjere zaštite od zloupotrebe podataka
Neke od tih mjera su: upotreba već pomenute kombinacije dva različita faktora za potvrdu identiteta osobe koja je incirala elektronsku platnu transakciju; definisanje limita potrošnje za platne transakcije koje se izvršavaju određenim platnim instrumentom na zahtjev klijenta; obavezna ponuda usluge upozorenja o iniciranju i/ili neuspješnim pokušajima iniciranja platnih transakcija klijentima.
„Regulativa u vezi pružanja platnih usluga se, između ostalog i iz ovog razloga kontinuirano mijenja, pa se mogu očekivati česte izmjene i crnogorskih propisa“, navode iz CBCG.
Stručnjaci ipak naglašavaju da potpuna zaštita ne postoji i da je kontinuirana edukacija od ključnog značaja.
„Savjetujemo građane da budu na oprezu i redovno prate uputstva od strane svojih banaka. Preporučujemo građanima da vode računa o sadržaju poruka koje im stižu, posebno ako sadrže linkove koji naizgled stižu od Pošte, banke ili sličnih institucija (linkovi i internet adrese mogu biti jako slični originalnim internet adresama poslovnih banaka). Takođe, detaljno treba proučiti OTP kod koji se dobija od banke. Ako primalac nije onaj kome je građanin namijenio uplatu, ako je iznos različit i/ili u drugoj valuti od one u kojoj građanin ima namjeru da plati, ne treba da ukucava OTP u ponuđeno polje, već da odmah prekine transakciju. Isto važi ako u poruci od banke piše da je u pitanju aktivacioni kod za Apple pay ili Google Pay, a građanin misli da treba da izvrši plaćanje – i u tom slučaju treba obustaviti dalju proceduru“, kažu iz CBCG.
Podsjećaju na opštepoznata pravila o korišćenju online usluga, vezano za mejlove i pristup ličnim podacima, te sugerišu da ne treba otvarati mejlove od nepoznatih pošiljalaca, koji čak i za poznatu uslugu traže lične podatke, jer se mogu koristiti u različite prevarne svrhe.
„U konačnom, sa napretkom tehnologije, uključujući i upotrebu vještačke inteligencije, očekivani su i sve savršeniji vidovi prevara, na lokalnim jezicima, zloupotrebom identiteta domaćih institucija, koje takođe treba da prepoznaju potrebu za obezbjeđenjem dodatnih vidova zaštite“, kazali su nam iz ove institucije.
Savjeti u vezi sa bezbjednim transakcijama
Iz Centralne banke savjetuju građane u vezi sa bezbjednim internet transakcijama.
„Banka Vas nikada neće pozvati telefonom ili poslati SMS poruku da se raspituje o PIN kodu Vaše platne kartice i drugim osjetljivim podacima; Uvijek treba obavljati internet kupovinu na bezbjednim i poznatim internet stranicama, uz upoznavanje sa svim elementima cijene usluge i uz oprez prilikom unosa podataka koji sadrže informacije o platnim karticama; Važno je da računar sa kojeg vršite plaćanje ima instaliran najnoviji antivirusni softver; U imejl porukama nikada ne navodite osjetljive podatke sa platne kartice, u vidu broja kartice, datuma isteka ili PIN koda; U slučaju gubitka, krađe ili sumnje u zloupotrebu vaših bankarskih podataka, odmah pozovite banku i slijedite njihova uputstva“.
Izvor: gradski.me