Ramona Rusu, președintele Comisiei Antifraudă din cadrul Asociației Române a Băncilor (ARB), avertizează că fraudele bancare au devenit tot mai sofisticate, infractorii folosind inclusiv aplicații de control de la distanță și inteligență artificială pentru a păcăli clienții băncilor.
Printre cele mai periculoase metode se numără fraudele prin WhatsApp, investițiile false promovate în social media, dar și deepfake-urile cu figuri publice. Prin aceste metode, infractorii ajung să aibă acces complet la aplicațiile de mobile banking ale victimelor și chiar să contracteze credite în numele acestora, cu autorizații valide. Rusu subliniază că „fraudatorii țin pasul cu tehnologia” și că singura protecție reală rămâne vigilența utilizatorilor.
„(...) Tehnicile sunt utilizate astăzi nu numai pentru crearea de oportunități la nivel de business, ci și de fraude. Astfel că, astăzi, vorbim despre tipologii de fraude de tip phishing, furtul de date, vorbim despre spoofing, impersonarea numărului de telefon, numerele de telefon aparținând fie instituțiilor bancare, fie diverselor autorități publice. În același timp, vorbim și despre tipologia de fraudă pe WhatsApp. Infractorii, clar, țin pasul cu tehnologia, metodele de fraudă, de asemenea”, a declarat Ramona Rusu, președinte Comisia Antifraudă ARB, la emisiunea Profit Live - SMEs Talk, difuzată de Prima News.
În cazul WhatsApp, metodele de fraudă s-au rafinat semnificativ. Ramona Rusu a explicat că printr-un apel aparent inofensiv, victima este determinată să ofere un cod de verificare. Acest cod permite accesul la agenda telefonică, iar de aici începe o escaladare a riscurilor.
„Frauda pe WhatsApp clar că este o tipologie nouă. Cum se întâmplă? Primești un apel și pri care ți se solicită să furnizezi un cod de verificare. Astfel, furnizând acel cod, practic tu dai acces la agenda telefonică. Odată ce ai dat acces la agenda telefonică, tipologia de fraudă este următoarea: se transmit tuturor celor pe care tu îi ai în agenda telefonică mesaje de tipul ‘am nevoie de o sumă de bani’, ‘mă aflu într-o situație de urgență’, sau se trimite un mesaj în care te întreabă dacă ai transmis un SMS cu un anumit link. Acel link, de fapt, nu ajunge la persoana din agendă, ci conține o redirecționare prin care se facilitează transmiterea unei sume de bani”, a explicat Rusu.
Această metodă creează o înșelăciune în lanț, în care încrederea dintre contactele din agenda telefonică este exploatată de infractori pentru a continua frauda. De multe ori, mesajele par a veni de la prieteni sau rude, ceea ce reduce vigilența victimelor.
Tot mai frecvente sunt și fraudele pe investiții, în special cele care imită anunțuri de listări bursiere. În aceste cazuri, atacatorii creează campanii false în social media, imitând perfect comunicările oficiale ale unor instituții publice sau companii cunoscute.
„Frauda pe investiții este asociată direct cu diverse anunțuri care apar în spațiul public, cu privire la listarea unor acțiuni pe bursă, din care tu ai posibilitatea să achiziționezi. Creându-ți această conexiune – „uite, a anunțat o instituție publică foarte cunoscută că pot achiziționa acțiuni la instituția respectivă” – automat fraudatorii inventează această tipologie de fraudă, în sensul că sunt postate pe site-urile de socializare foarte multe anunțuri de genul ‘poți cumpăra acțiuni ușor’, fie prin transferul unor sume de bani, dar în egală măsură – și aici intervine tehnologia – ‘îți putem acorda suportul tehnic pentru a accesa acele aplicații care asigură tranzacționarea acțiunilor pe bursă’”, a explicat Ramona Rusu.
În aceste scenarii, utilizatorii sunt convinși să instaleze aplicații de tip remote access, precum AnyDesk sau TeamViewer. Sub pretextul unei asistențe tehnice, infractorii preiau astfel controlul complet asupra telefonului victimei.
„Această aplicație care ți se solicită să fie instalată pe telefonul mobil este o aplicație Remote Control. Preia controlul telefonului și astfel, automat, preia și accesul la aplicațiile pe care le ai instalate pe telefon. În cazul celor bancare, vorbim despre aplicația de mobile banking. Odată ce a preluat controlul telefonului, fraudatorul își activează practic aplicația de mobile banking pe telefonul personal cu datele pe care banca le transmite pe numărul tău de telefon pentru această operațiune”, a spus reprezentanta ARB.
Într-un scenariu des întâlnit, victima este determinată să trimită poza cardului bancar, o copie a actului de identitate și să ofere toate informațiile necesare pentru accesul în aplicația bancară. În paralel, toate SMS-urile și notificările trimise de bancă ajung în mâinile fraudatorilor prin aplicația de control instalată.
„Titularul, prin intermediul acelei aplicații de remote control, a dat acces la telefonul personal și, odată dând acces la telefon personal, toate codurile de autorizare, inclusiv la nivel de tranzacții, fiind transmise de către instituția bancară pe numărul de telefon pe care clientul l-a declarat în relația cu banca, fraudatorul are acces la aceste date. Și astfel ajunge practic să fie ordonate tranzacții autorizate, cu utilizarea codurilor de autorizare pe care numai titularul trebuie să le cunoască și să nu le furnizeze, fiind astfel tranzacțiile autorizate”, a explicat Rusu.
Ramona Rusu a avertizat că, în multe dintre aceste cazuri, infractorii pot chiar contracta credite în numele victimelor, utilizând toate informațiile transmise voluntar de clienți, în contextul unei false tranzacții financiare.
„Fraudatorul poate să ordone toate tranzacțiile pe care titularul de drept le poate efectua: transferuri bancare, transferuri între conturile proprii, fie că vorbim despre utilizarea cardului inclusiv cu plăți, utilizarea cardului pentru plăți la comercianți și, în egală măsură, dacă aplicația bancară are ca produs contractarea de credit, inclusiv posibilitatea de a contracta un credit în numele titularului”, a precizat ea.
În ceea ce privește utilizarea inteligenței artificiale, Rusu subliniază că aceasta deja contribuie la creșterea gradului de sofisticare al fraudelor.
„E clar că își spune cuvântul și la nivelul acestor tipologii de fraudă. Vorbim despre deepfake. În spațiul public au apărut numeroase înregistrări în care persoane publice, de la reprezentanți ai guvernului până la reprezentanți ai băncii naționale, apăreau și spuneau că a apărut o nouă investiție. Achiziționați acțiuni în valoare de...”, a arătat ea.
Această nouă formă de manipulare prin imagine și voce ridică îngrijorări serioase în ceea ce privește încrederea în informațiile din mediul online.
Ramona Rusu atrage atenția că prevenirea fraudei rămâne, în primul rând, o chestiune de responsabilitate individuală. Fiecare utilizator trebuie să fie extrem de atent la modul în care își gestionează datele personale și bancare, mai ales în interacțiunea cu tehnologia care face posibilă obținerea instantă a unor servicii financiare.
„Trebuie să fim foarte responsabili atunci când utilizăm produsele și serviciile bancare. Din păcate, transmiterea unui volum foarte mare de informații ne face să nu mai acordăm atenția necesară citirii mesajelor pe care le primim, fie că vorbim de mesaje primite pe e-mail sau pe telefon. Deci, ceea ce contează foarte mult este modul în care noi păstrăm confidențialitatea datelor, iar pe de altă parte, atenția sporită necesară atunci când primim mesaje care conduc la obligativitatea de a furniza anumite date”, mai spune aceasta.
Ramona Rusu mai precizează și că banca niciodată nu o să solicite codurile de acces la aplicațiile mobile sau interne banking sau numărul integral al cardului, numărul de pe spatele cardului și codurile autorizare pentru efectuarea de tranzacții.
„Nici o instituție bancară nu solicită așa ceva. În momentul în care primim un astfel de SMS sau un astfel de mesaj, este bine să nu accesăm link-ul, iar în cazul în care am accesat link-ul și am introdus datele bancare, trebuie imediat să contactăm instituția bancară, astfel încât, în situația în care este o fraudă, să anunțăm imediat că să poată bloca toate produsele pe care noi le deținem la instituția respectivă.
Dar, în egală măsură, pentru a nu deveni victime ale fraudatorilor, trebuie să ne luăm răgazul de a citi toate mesajele care ne solicită introducerea de date bancare, date personale. Dacă primim un mesaj care pare că vine de la instituția bancară și spune ‘S-a efectuat o tranzacție neautorizată pe contul tău. Accesează acest link’. Nu accesăm acel link.
Accesăm site-ul instituției bancare la care noi avem produse, vedem numărul de telefon, sunăm și spunem despre mesajul pe care l-am primit, astfel încât să ne asigurăm că acel mesaj este unul real. Ne-am asigurat că nu am furnizat datele personale, datele bancare, pentru că această fraudare are drept consecință accesul la aplicația bancară, accesul la datele pe care noi să fim fraudați, practic, având un prejudiciu”, atenționează reprezentanta ARB.
La nivelul Asociației Române a Băncilor, adaugă ea, se desfășoară campanii permanente de conștientizare, de informare cu privire la tipologiile de fraudă.
„Asociația Română de Băncilor are un proiect național împreună cu Directoratul Național de Securitate Cibernetică și Poliția Română - siguranțaonline.ro - o campanie care ne asigură ca și informații real-time în ceea ce privește tipologiile de fraudă, conține sfaturi, recomandări, cum să prevenim, cum să nu devenim victime ale fraudatorilor, dar în egală măsură se organizează foarte des conferințe, informări, ieșiri în spațiul media, cu ceea ce înseamnă aceste tipologii de fraudă și cum să ne prevenim cu privire la aceste tipologie”, subliniază Ramona Rusu.
