Цифровите технологии промениха начина, по който управляваме парите си – бързо и удобно правим онлайн разплащания, инвестираме, купуваме и ползваме финансови и платежни продукти и услуги. Наред с несъмнените ползи, цифровизацията отвори вратите за нов тип заплахи, свързани с финансовата ни сигурност – електронните атаки. Затова на ниво ЕС и в националното ни законодателство са въведени редица нормативни актове, уреждащи мерки за повишаване за повишаване на електронната сигурност – Регламент (ЕС) 2022/2554 (DORA) относно оперативната устойчивост на цифровите технологии във финансовия сектор на ЕС; Закон за киберсигурност и Закон за електронното управление с наредби към тях.

Финансовите компании (банки, платежни институции, дружества за електронни пари, доставчици на услуги за криптоактиви, инвестиционни посредници и др.) са задължени да направят необходимото, за да могат да устоят, да реагират и да се възстановят от всякакви видове електронни атаки, смущения и заплахи.

За да сведат до минимум рисковете, свързани с предоставяните от тях цифрови платежни и финансови услуги, доставчиците внедряват съвременни технологии и непрекъснато ги актуализират и усъвършенстват. Например, използват се биометрични проверки и криптиране за защита на потребителските трансакции и данни. Чрез контрол на достъпа и многофакторно удостоверяване се проверява самоличността на потребителите и се ограничава достъпът до чувствителна информация. Най-новите технологии като изкуственият интелект (ИИ) и машинното обучение (МО) се използват за много по-бързо откриване на необичайни модели и потенциални заплахи в сравнение с човешките оператори. Блокчейн технологията също се проучва заради потенциала ѝ за защита на финансовите трансакции и подобряване на целостта и проследимостта по веригата за доставки.

Като потребители на цифрови финансови и платежни услуги и продукти имаме своята отговорност да се грижим за киберсигурността си, а информираността и предпазните мерки са нашите средства за защита.

 

Кои са най-често използваните методи за онлайн измами (измами в цифрова среда)?

·         Фишинг, смишинг и вишинг

Целта на този вид измами е измамниците да се сдобият с ваши лични данни и друга чувствителна информация, било то директно или чрез заразяване на устройството ви със злонамерен софтуер. Контактът се осъществява обичайно от името на доставчикът на платежни услуги, обслужващ платежната ви сметка, държавен орган, известна финансова институция, куриерска фирма или популярен търговец. Претекстът може да е обновяване на базата данни на банка (например, във връзка с осъвременяване на платформи за електронно банкиране и/или мобилни приложения), на разплащателна система, на онлайн магазин, актуализиране или активиране на профил, подновяване на регистрация/абонамент, продажба на стоки, потвърждаване получаването на пратка, заявка за получаване на сума, обработка на банков превод, дарение и др. Възможен вариант е измамниците да се представят за високопоставени лица във вашата компания, а искането да е за извършване на плащане – например към банка извън ЕС. Често съобщенията създават усещане за спешност и подтикват към бързи действия. В редица случаи комуникацията се провежда чрез социалните мрежи, както и посредством приложения, като Viber, WhatsApp и др.

·         Фишинг (от англ. phishing): При него се използва електронна поща, като съобщението обикновено съдържа инструкция да отворите дадения линк или прикачения файл. Линковете водят до сайтове, наподобяващи легитимните, където се иска да предоставите ваши потребителски имена, пароли и кодове за достъп. Прикачените файлове могат да съдържат злонамерен софтуер, чрез който да се извличат лични данни, да се увреди компютъра или телефона ви или да ги блокира с искане за откуп.

·         Смишинг (от англ. smishing, съчетание от SMS и phishing): Използват се SMS-и, в които има линкове към фалшиви сайтове или чрез които ви приканват да се обадите на телефонния номер под някакъв претекст – например активиране на сметка, освобождаване на пратка, покана за плащане на мито или такса за доставка и пр.

·         Вишинг или гласов фишинг (от англ. vishing – voice phishing): Чрез обаждане по телефон измамниците се опитват да се сдобият с лична информация, като обикновено се представят за служители на финансова компания, държавна институция или търговец. 

 

Атаки тип „човек по средата“

При кибератаката „човек по средата“ (от англ. man-in-the-middle – MITM) извършителят прихваща и тайно препредава или променя комуникацията между две страни, които са с убеждението, че общуват директно една с друга. Един от начините, по които измамникът (хакерът) може да получи достъп до вашата комуникация, е когато използвате незащитена Wi-Fi мрежа.

 

Как да се предпазите от рискове при операции в цифрова среда?

·         Бъдете внимателни с непоискани съобщения: Не отговаряйте на имейли, текстови съобщения или обаждания, в които се иска лична или финансова информация, както и не отваряйте линкове и/или файлове, ако такива се съдържат в съобщението. Доставчиците на платежни и финансови услуги не изискват чувствителна информация по този начин. При подобен случай подайте сигнал към вашата финансова институция.

·         Въвеждане на еднократни кодове: Когато въвеждате еднократни кодове за потвърждение на платежни операции или на други действия (например активиране на мобилно банково приложение), внимателно се уверете, че посоченото от доставчика на платежни услуги действие в текстовото съобщение съответства на извършваното от Вас. Обърнете особено внимание на информацията в съобщението за сумата и за получателя или за неговия IBAN номер на сметка, когато потвърждавате плащания.

·         Използвайте защитени устройства: Купете, инсталирайте, редовно обновявайте и поддържайте антивирусно решение на всяко едно от устройствата, с които сърфирате в интернет. Винаги актуализирайте операционната си система – новите версии осигуряват защита срещу новоустановени слабости на софтуера. Тъй като в компютрите и мобилните устройства все повече се съхранява лична и финансова информация, уверете се, че те са защитени с код за достъп и/или биометрично заключване.

·         Заключвайте мобилните устройства с ПИН код или биометрични данни.

·         Използвайте сигурна интернет връзка, защитена с парола: Избягвайте да извършвате финансови и/или платежни операции през обществени или свободни/безплатни Wi-Fi мрежи. Ако използването е неизбежно, задължително използвайте VPN услуга за извършването на финансовата транзакция.

·         Създавайте силни пароли: Паролите ви трябва да са комбинация от букви, цифри и специални символи, най-добре случайно подбрани. Не е препоръчително да използвате лични данни като имена, възраст, рождена дата и други, защото са лесни за отгатване.

Използването на една и съща парола за няколко или всичките ви онлайн акаунти, било то и достатъчно сложна, е опасно за вашата дигитална сигурност решение, дори и да ви се струва по-удобно и лесно. Избягвайте да съхранявате паролите си във вашия браузър – това може да е лесно и удобно, но крие редица опасности. Преглеждайте и обновявайте паролите си периодично.

·         Абонирайте се за известяване при извършване на успешна/неуспешна операция: Банките и другите доставчици на платежни и финансови услуги предлагат услуга за известяване чрез SMS, Viber, e-mail и др. По този начин ще можете да реагирате незабавно при неразрешена от вас операция.

·         Плащайте онлайн чрез двуфакторна автентификация (2FA): Методът се прилага съгласно изискванията на Европейския съюз за по-голяма сигурност при използване на платежни услуги в цифрова среда и операции с платежни карти. Банките в България използват различни варианти за 2FA, като например комбинация от статична и динамична еднократна парола чрез SMS, биометрично разпознаване в мобилно приложение и др.

·         Пазете личната си информация: Ограничете личната информация, която споделяте в социалните мрежи или цифровите платформи. Мислете критично, преди да предоставите чувствителни данни в сайтове и онлайн формуляри.

·         Излизайте от профилите си след онлайн операции: Не оставяйте активни сесии на публични или споделени устройства и винаги използвайте бутоните за изход, когато приключите използването на съответната услуга в електронна среда.

·         Редовно проверявайте сметките си: Освен своевременното откриване на евентуална нередност, другата полза е, че ще сте наясно със състоянието на личните ви финанси.

·         Изхвърляйте чувствителна информация по сигурен начин: Преди да изхвърлите стари документи с лична или финансова информация като банкови извлечения, платежни карти с изтекла валидност, винаги ги унищожавайте, например чрез накъсване или нарязване на шредер.

·         Информирайте се за нови форми на измами: Следете новини за актуални киберзаплахи и онлайн измами. Много финансови институции предоставят ресурси относно това как да разпознавате и избягвате новите измами.

 

Полезни връзки:

Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета от 14 декември 2022 година относно оперативната устойчивост на цифровите технологии във финансовия сектор и за изменение на регламенти (ЕО) № 1060/2009, (ЕС) № 648/2012, (ЕС) № 600/2014, (ЕС) № 909/2014 и (ЕС) 2016/1011 – Регламент (ЕС) 2022/2554 (DORA)

Закон за киберсигурност

Наредба за минималните изисквания за мрежова и информационна сигурност към Закона за киберсигурност

Закон за електронното управление

Наредба за сигурността на комуникационните и информационни системи към Закона за електронното управление