Wywiad z prof. dr hab. Anną Szelągowską – o oszustwach na rynkach finansowych
Wywiad z prof. dr hab. Anną Szelągowską, która specjalizuje się w tematyce innowacji finansowych oraz oszustw i nadużyć na rynkach finansowych. W rozmowie podejmujemy temat oszustw na rynkach finansowych. Jakie są najczęstsze rodzaje oszustw? Jak się ochronić przed nimi? Czy Polska jest finansowo bezpiecznym krajem?
Gabriela Mikulska: Jakie są najczęstsze rodzaje oszustw na rynkach finansowych? Czy istnieją wspólne cechy lub schematy w działaniach przestępców na rynku finansowym?
Anna Szelągowska: Oszuści najczęściej wykorzystują:
- Phishing – polegający na podszywaniu się pod zaufane podmioty (np. instytucje finansowe – najczęściej banki) w celu wyłudzenia danych wrażliwych oraz haseł dostępu. Najczęściej phishing odbywa się z wykorzystaniem złośliwego oprogramowania malware polegającego na ingerowaniu przez cyberprzestępcę w systemy komputerowe ofiary za pośrednictwem złośliwego oprogramowania, tj. wirusy czy trojany ukryte w plikach, lub z wykorzystaniem ransomware polegającego na zablokowaniu przez przestępców dostępu do danych i żądania od ofiary określonej sumy pieniędzy w zamian za przywrócenie dostępu);
- Smishing – polegający na wysyłaniu wiadomości sms mającej skłonić ofiarę do podjęcia określonego działania. Wiadomość często zawiera link do fałszywej strony (lub też zawiera zainfekowany link instalujący wirusa na telefonie);
- Vishing – polegający na pozyskaniu poufnej informacji z wykorzystaniem telefonu. Przestępcy dzwonią do ofiar, podszywając się pod osoby lub instytucje godne zaufania. Choć znana metoda wyłudzenia na tzw. wnuczka również jest realizowana za pomocą vishingu;
- Pharming – jest rodzajem ataku phishingowego, ale w przeciwieństwie do phishingu dyskretnie przekierowuje użytkowników z legalnych stron internetowych bezpośrednio na fałszywe w celu kradzieży prywatnych informacji. Przed faktycznym przekierowaniem na fałszywą stronę internetową przestępcy instalują złośliwe oprogramowanie na komputerze lub routerze ofiary. I to złośliwe oprogramowanie przekierowuje ze strony internetowej, którą chciał odwiedzić np. strony banku lub strony płatności internetowych, na fałszywą stronę, która wygląda niemal identycznie jak ta, którą ofiara planowała otworzyć;
- Spoofing – polegający na podszywaniu się pod konkretną instytucję lub osobę przy zastosowaniu sfałszowanego identyfikatora nazwy dzwoniącej osoby (np. policja, bank, Poczta Polska) albo również sfałszowany, ale wyglądający identycznie jak prawdziwy adres e-mail do strony internetowej danej instytucji (najczęściej banku, funduszu inwestycyjnego itp.);
- Whaling – polegający na wysyłaniu fałszywych spersonalizowanych wiadomości do osób decyzyjnych w danej organizacji w celu pozyskania konkretnych informacji, danych logowania do systemów lub nawet skłonienia ofiary do wykonania przelewu środków pieniężnych na konto oszusta. Przestępcy często przesyłają wcześniej mailem fałszywe wezwanie do zapłaty za usługi z adresu e-mail przypominającego adres usługodawcy, a następnie dzwonią, nawiązując do wcześniejszej korespondencji celem uwiarygodnienia transakcji i wyłudzają dane do logowania. Inną formą oszustwa podobnego do whalingu jest atak typu Business Email Compromise (BEC) – jednakże w przeciwieństwie do whalingu oszuści kontaktują się nie ze szczeblem kierowniczym firmy, lecz podszywają się np. pod prezesa lub dyrektora danego pionu, wysyłając do konkretnych osób z firmy maile w celu pozyskania środków, informacji lub nakłonienia do zainstalowania złośliwego oprogramowania. W oszustwach typu BEC często są wysyłane polecenia zapłaty za zamawiane towary z przejętego lub fałszywego konta dostawcy;
- Cyberstalking – polegający na systematycznym śledzeniu, nękaniu i zastraszaniu ofiary w przestrzeni internetowej. Głównym celem działania cyberprzestępcy jest psychiczne nękanie ofiary, by spełniła jego określone żądania, oddziałując w dużej mierze na psychikę osoby nękanej i wzbudzając w niej strach;
- Scamming – polegający na wyłudzeniu pieniędzy lub danych osobistych innych osób, często poprzez manipulację, fałszywe reprezentacje lub podstępne metody, wykorzystując naiwność, niewiedzę lub zaufanie innych ludzi. Oszuści mogą tworzyć fikcyjne historie i opowieści, które budzą współczucie lub emocje, aby wyłudzić pieniądze od swoich ofiar (tak jak w oszustwie na tzw. wnuczka lub na amerykańskiego żołnierza). Mogą to być opowieści o rzekomych wypadkach, chorobach, katastrofach naturalnych, które mają na celu skłonić ofiarę do przekazania środków finansowych. Scamming jest często wykorzystywany w fałszywych ofertach pracy z atrakcyjnymi warunkami, ale od zainteresowanych osób pobierane są opłaty wstępne za pośrednictwo i żądanie przekazania poufnych danych;
- Oszustwa inwestycyjne – przestępcy działając najczęściej w strukturze piramidy finansowej, zachęcają swoje ofiary (najczęściej zamożne osoby lub celebrytów) do zainwestowania środków w nieistniejące aktywa. Może się to odbywać poprzez instalację zainfekowanej aplikacji lub konieczność rejestracji na specjalnie spreparowanej stronie, na której ofiary są zobligowane do podania danych wrażliwych, w tym danych do rachunku bankowego, na który mają być przelane zyski z inwestycji. Dla uśpienia czujności przestępcy zasilają kilkukrotnie rachunek ofiary drobnymi kwotami, przelewając środki z rachunków innych ofiar liczących na ponadprzeciętne zyski. Często przestępcy stosują wobec ofiar perswazję jako socjotechnikę, przedstawiając im wyniki zysków zamieszczone na fałszywych platformach inwestycyjnych. W przypadku próby wycofania się z inwestycji i chęci wypłaty wypracowanych zysków przestępcy proszą o zainstalowanie programu do zarządzania zdalnym pulpitem (najczęściej to AnDesk, TeamViewer, QuickSupport, Alpemix, a nawet wykorzystują do zdalnego zarządzania pulpitem popularny komunikator WhatsApp). Ofiara, udostępniając zawartość swojego pulpitu, loguje się do bankowości internetowej, udostępniając dane do logowania przestępcom;
- Oszustwa na wysoki procent – polegają na reklamowaniu najczęściej w mediach społecznościowych sposobów szybkiego pomnożenia gotówki. Fałszywe reklamy informują o bezpiecznym inwestowaniu z możliwością uzyskania dużych zysków. W reklamach są wykorzystywane, celem uwiarygodnienia przedsięwzięcia, wizerunki znanych osób ze świata polityki, sportu lub podszywają się pod instytucje finansowe, spółki skarbu państwa czy marki znanych i rozpoznawalnych zagranicznych firm. Ofiary takiego oszustwa otrzymują propozycję skorzystania z luk w systemie walutowym oraz wykorzystania dodatkowych środków pieniężnych w celu uzyskania wielotysięcznego zysku nawet z kilkuset zainwestowanych złotych. Po uzyskaniu dostępu do gotówki oszuści blokują ofiarom możliwość dalszego kontaktu z sobą za pośrednictwem mediów społecznościowych lub telefonicznie;
- Oszustwa na rzekome zaległości podatkowe – oszuści kontaktują się z ofiarą, podając się za pracowników urzędu skarbowego, informując o zaległości podatkowej i konieczności natychmiastowego uregulowania zaległości poprzez dokonanie przelewu na wskazane konto lub poprzez zakup karty przedpłacone;
- Oszustwo na pracownika banku – polega na podszywaniu się pod pracownika banku, który próbuje przekonać ofiarę, że na jego rachunku bankowym miała miejsce podejrzana transakcja i wymagane jest natychmiastowe podjęcie działań, które pozwolą wykryć rzekomego sprawcę kradzieży. Oszuści albo zalecają ofierze pobranie zainfekowanej aplikacji na telefon, która przejmuje dane do bankowości internetowej, albo wykorzystując spoofing, kierują ofiarę do witryny, która wygląda identycznie jak internetowy ekran logowania do banku, prosząc o wprowadzenie danych logowania. Po wprowadzeniu danych rachunek bankowy zostaje przejęty, a znajdujące się na nim środki są przekazywane na konto oszusta.
Każde oszustwo działa na tej samej zasadzie „wędkarza”: zanęta, haczyk, wędka, ryba. Oszuści stosując socjotechniki, „wabią” potencjalne ofiary, gdy nawiążą z nią kontakt, utwierdzają ją w przekonaniu, że działania są zgodne z prawem, bezpieczne i że ofiara nie straci swych środków, a następnie przy wykorzystaniu zdywersyfikowanych technik obławiają się maksymalną kwotą wyłudzonych środków.
G.M.: Jakie są najnowsze czy też najbardziej zaawansowane metody, jakie oszuści wykorzystują do manipulowania uczestnikami rynków finansowych?
A.S.: Od zawsze były to socjotechniki (social engineering) jako najstarsze metody działania oszustów, których celem jest nakłonienie potencjalnej ofiary do wykonania czynności, które umożliwiają kradzież lub wyłudzenie danych. Pomimo postępującej digitalizacji socjotechniki są nadal najskuteczniejszą metodą oddziaływania na ludzi. Socjotechniki są wykorzystywane nie tylko w bezpośrednich kontaktach oszusta z ofiarą, ale przede wszystkim w cyberprzestępczości, co jeszcze bardziej zwiększa prawdopodobieństwo bycia ofiarą oszustwa.
Najbardziej zaawansowane metody bazują obecnie na rozwiązaniach sztucznej inteligencji, które wykorzystując deepfake, czyli sztucznie wygenerowanych treści, tworzą materiały (zdjęcia, tekst, materiał wideo bądź audio) wyglądające na autentyczne i przedstawiają osoby, które wydają się mówić lub robić coś, czego nigdy nie powiedziały ani nie zrobiły. Zaawansowana technologia deepfake jest ostatnio bardzo często wykorzystywana do ataków cyberprzestępczych kierowanych najczęściej do firm (np. oszuści, podszywając się pod prezesa firmy, używając jego sztucznie wygenerowanego głosu, dzwonią do głównego księgowego, zlecając wykonanie przelewu na wskazane konto albo żądając przekazania informacji chronionych tajemnicą handlową, danych uwierzytelniających czy też innych danych wrażliwych).
G.M.: Z jakim najbardziej wyszukanym, nietypowym oszustwem się Pani spotkała?
A.S.: Świat oszustw wciąż mnie zaskakuje, ale dzięki temu mogę dzielić się z moim studentami na przedmiocie „Oszustwa i nadużycia na rynkach finansowych” wciąż nowymi studiami przypadków, uświadamiając ich, jakie zagrożenia czekają we współczesnym świecie. Chciałabym jednak zwrócić uwagę na jedną z bardziej zaawansowanych form oszustw na kody QR – czyli tzw. QRishing (znany również jako quishing). Ponieważ kody QR są dyskretne i wymagają użycia smartfonowego skanera, oszustwa wykorzystujące kody QR są trudne do wykrycia, ale o wiele łatwiej jest „złowić” potencjalne ofiary. Przestępcy wykorzystują popularne kody QR, zachęcając do ich zeskanowania (najprostsze formy zachęt to udział w loterii „każdy wygrywa” lub oferta szybkiego zarobku bez wychodzenia z domu albo darmowe atrybuty do popularnych gier komputerowych). Nieświadoma ofiara skanuje pozornie niegroźny kod QR, który generuje hiperłącze do specjalnie spreparowanej przez oszustów strony. Dalszym etapem jest najczęściej mail z fałszywej strony banku przypominający o konieczności aktualizacji danych lub haseł do logowania. Oczywiście kod QR nie przenosi do rzeczywistej strony banku tylko do fałszywej witryny, gdzie osoba jest proszona o pobranie aplikacji szpiegowskiej i podanie danych, przesyłania zdjęcia dowodu osobistego lub jest proszona o wpisanie loginu i hasła do bankowości elektronicznej. W rezultacie oszuści przejmują kontrolę nad urządzeniem elektronicznym (wykorzystując wirusa wgranego przez kod QR) i czyszczą rachunki bankowe, przelewając środki na rachunki założone najczęściej w rajach podatkowych.
Ofiary quishingu mogą stracić nie tylko środki finansowe zdeponowane w bankach, mogą także utracić kontrolę nad dostępem do kont w mediach społecznościowych wykorzystywanych do kolejnych oszustw finansowych. Mogą one stać się także ofiarami kradzieży tożsamości, biorąc udział w procederze prania pieniędzy lub będąc tzw. słupami w przestępstwach gospodarczych.
G.M.: A jak w tym wszystkim wypada nasz kraj? Czy uważa Pani, że Polska jest finansowo bezpiecznym krajem?
A.S.: Na tle innych krajów Polska wypada bardzo dobrze, chociaż liczba cyberprzestępstw dynamicznie rośnie. Przykładowo według najnowszego krajowego indeksu cyberbezpieczeństwa (National Cyber Security Index) ze stycznia 2024 roku Polska została uznana w 2023 roku za kraj posiadający najlepszy wskaźnik cyberbezpieczeństwa (90,83), wyprzedzając Estonię (85,83), Ukrainę (80,83), Łotwę (79,17) i Wielką Brytanię (75,00). W 2022 roku straty wynikające z odnotowanych w Polsce cyberprzestępstw były szanowane na 380 mln zł. Dla porównania w 2022 roku w Polsce oszuści posługujący się metodami na tzw. wnuczka, na policjanta czy na pracownika banku wyłudzili ponad 140 mln złotych.
Szanuje się, że w 2022 roku straty wywołane samą cyberprzestępczością wynosiły w światowej gospodarce łącznie około 7 bilionów USD, a wartość ta ma wzrosnąć do 2025 roku do 10,5 biliona USD.
G.M.: Czy jest Pani zwolenniczką zwiększania regulacji, aby minimalizować ryzyko oszustw? Albo inaczej – czy oszustwa są w ogóle możliwe do wyeliminowania?
A.S.: Oszustwa były, są i będą nieodłącznym elementem naszego życia. Nie da się nigdy wyeliminować oszustw, tak samo jak nie da się wyeliminować szarej strefy. Regulacje z odpowiednim instrumentarium kar są jak dotychczas najbardziej skutecznym narzędziem hamującym skłonność do popełniania przestępstw. Tylko zwiększając uprawnienia organów ścigania do wykrywania oszustw i wyłudzeń, a także do przeciwdziałania ich intensywnemu rozwojowi w skali międzynarodowej, można spowolnić rosnącą skalę oszustw i wyłudzeń. Oczywiście regulacje powinny dotyczyć również poprawy uwierzytelnienia transakcji i dodatkowych zabezpieczeń, które uniemożliwiałyby pochopne działanie ofiar dokonujących nieprzemyślanych decyzji podejmowanych najczęściej pod wpływem emocji.
Pozytywnie należy ocenić porozumienie unijne w sprawie dyrektywy o sztucznej inteligencji, która będzie dotyczyć zarówno rozwoju sztucznej inteligencji, jak i ograniczeń uniemożliwiających jej nadużywanie. Liczę na to, że zostaną wprowadzone zasady zapewniające jakość danych wykorzystywanych przy opracowywaniu algorytmów i sprawdzające, czy nie naruszają one przepisów dotyczących praw autorskich. Zgodnie z założeniami dyrektywy twórcy będą musieli także dopilnować, aby tworzone dźwięki, obrazy i teksty były wyraźnie oznaczane jako sztucznie wygenerowane. Jest to bardzo ważne w kontekście coraz popularniejszych możliwości tworzenia fałszywych obrazów, filmów, a nawet nagrań głosowych pomagających budować fałszywą tożsamość.
G.M.: Jakie środki bezpieczeństwa mogą pomóc inwestorom w ochronie przed oszustwami na rynku finansowym?
A.S.: Najważniejsza jest świadomość finansowa i edukacja ekonomiczna. Rok 2024 został uznany rokiem edukacji finansowej, więc jest to idealny moment, by nagłaśniać najczęstsze praktyki oszustw i przeprowadzać systematyczne szkolenia w szkołach, w uczelniach, w firmach, a przede wszystkim w środowisku seniorów, którzy nie zawsze nadążają za rozwojem technologii. Niezmiernie ważne jest stosowanie programów antywirusowych nie tylko na laptopach i komputerach stacjonarnych, ale przede wszystkim na smartfonach.
Każdy z nas powinien stosować zasadę ograniczonego zaufania i weryfikować informacje lub podmioty, które żądają od nas danych osobowych lub wymuszają na nas podejmowanie natychmiastowych decyzji. Nigdy nie należy logować się do bankowości, w trakcie udostępniania komuś zawartości swojego pulpitu. Nie należy podawać osobom trzecim kodów SMS autoryzujących operacje bankowe. Przy realizacji przelewu na rachunek firmy oferującej inwestycje lub na giełdę kryptowalut należy sprawdzić, czy dane odbiorcy przelewu nie są danymi osoby fizycznej. Zawsze przed zainwestowaniem środków należy zapoznać się opiniami na temat danego podmiotu, w tym sprawdzić, czy nie jest on wpisany na listę ostrzeżeń publicznych KNF. Cennym źródłem informacji zwłaszcza w kontekście piramid finansowych są wszczęte wobec określonych podmiotów postępowania przez prezesa UOKiK w sprawie naruszenia zbiorowych interesów konsumentów.
G.M.: A w kwestii szybko rozwijającej się AI. Jakie technologie mogą wpłynąć na przyszłość oszustw finansowych? Jak branża finansowa może przygotować się na ewolucję zagrożeń?
A.S.: Kluczową rolę z pewnością będzie odgrywać generatywna sztuczna inteligencja (GAI), która stała się przełomem zarówno w biznesie, jak i w świecie przestępczym. Instytucje finansowe dostosowują się do możliwości wykorzystania narzędzi sztucznej inteligencji w procesie wykrywania oszustw i nadużyć poprzez poszukiwanie nowych wzorców postępowań oszustów. Niestety przestępcy wykorzystują również generatywną sztuczną inteligencję, podszywając się pod inne osoby celem uwiarygodnienia swoich działań skutkujących najczęściej kradzieżą tożsamości. Wizerunek każdego z nas może zostać wykorzystany przez przestępców w postaci bardzo realnego wideo, w którym nasza postać mówi to, co zaprogramowali oszuści. Jeśli dodamy do tego dostęp oszustów do naszych danych wrażliwych, skuteczność wyłudzenia pieniędzy jest bardzo wysoka. Generatywna sztuczna inteligencja daje oszustom możliwość zwiększenia wiarygodności ich działań. Sztuczna inteligencja jest nieodzownym elementem w przeciwdziałaniu praniu pieniędzy (AML). Instytucje rynku finansowego stoją przed wyzwaniem uznawania lub kwestionowania autentyczności wszystkich transakcji swoich klientów wobec rosnącej skali nie tylko tradycyjnych oszustw, ale przede wszystkim tych wykorzystujących fałszywą tożsamość.
G.M.: Czy nowe technologie takie, jak sztuczna inteligencja lub blockchain, mogą być używane do zabezpieczania rynków finansowych przed oszustwami, czy też stanowią one nowe wyzwania?
A.S.: Rozwój nowych technologii, w tym narzędzi AI, z jednej strony jest akceleratorem zmian polegających na poprawie bezpieczeństwa transakcji, z drugiej jednak strony przestępcy również wykorzystują ją do wyłudzania danych wrażliwych, a w konsekwencji do kradzieży środków pieniężnych. Oznacza to, że cyfryzacja, w tym narzędzia oparte na sztucznej inteligencji, zwiększają skalę oszustw na rynku finansowym. Idealnym przykładem są coraz częstsze oszustwa na rynku kryptowalut, w tym również na rynku DeFi, czyli zdecentralizowanych finansów cyfrowych. Hakerzy tworzą kryptoprojekty (tzw. rug pull), wyłudzając środki pieniężne od nieświadomych uczestników rynku finansowego.
G.M.: Jeżeli miałaby Pani polecić jedną książkę, którą warto przeczytać, by poznać ten temat, jaki tytuł by Pani wskazała?
A.S.: Swoim studentom zawsze polecam lekturę książki Mateusza Ratajczaka „Łowcy z kotłowni. Dziki świat finansowych naciągaczy” wydawnictwa WAM. Autor prezentuje w niej, jak działają kotłownie finansowe (boiler rooms) i jakie socjotechniki są wykorzystywane przez ich pracowników.
O prof. dr hab. Annie Szelągowskiej
Kierowniczka Katedry Miasta Innowacyjnego Szkoły Głównej Handlowej w Warszawie. Autorka ponad 100 rozdziałów w monografiach, 200 artykułów naukowych oraz ekspertyz, a także redaktor kilkunastu prac zbiorowych z zakresu finansów, bankowości i rynku nieruchomości. Specjalizuje się w tematyce innowacji finansowych oraz oszustw i nadużyć na rynkach finansowych.