Inżynieria społeczna to główne cyberzagrożenie dla banków na Filipinach

SCHEMATY INŻYNIERII SPOŁECZNEJ, takie jak oszustwa phishingowe, były głównym cyberzagrożeniem, które dotknęło banki filipińskie w pierwszej połowie 2025 roku, stanowiąc trwałe ryzyko dla krajowego systemu płatności cyfrowych, poinformował Bangko Sentral ng Pilipinas (BSP).

Na podstawie nadzoru cyberzagrożeń BSP w pierwszej połowie 2025 roku, inżynieria społeczna, przejęcie kont i kradzież tożsamości stanowiły 76% całkowitej kwoty utraconej w wyniku oszustw finansowych w tym okresie.

"To faktycznie odzwierciedla to, co widzą inni nadzorcy. Widzimy, że inżynieria społeczna pozostaje największym czynnikiem napędzającym zagrożenia związane z cyberprzestrzenią" – powiedział wicegubernator BSP Lyn I. Javier podczas sesji informacyjnej dla mediów w Dumaguete City w poniedziałek.

"Widzimy więc phishing, vishing i smishing — co ponownie podkreśla element ludzki, wykorzystujący zaufanie publiczności lub ludzi. To podatność, którą ci sprawcy zagrożeń wykorzystują właśnie po to, aby wdrożyć swoje schematy lub oszustwo."

Phishing polega na wykorzystywaniu fałszywych e-maili, wiadomości tekstowych lub linków w celu kradzieży danych osobowych, finansowych lub informacji o koncie. Vishing, czyli voice phishing, to forma phishingu wykorzystująca połączenia telefoniczne lub wiadomości głosowe, podczas gdy smishing odbywa się za pośrednictwem wiadomości tekstowych.

Tymczasem hacking był drugim najczęstszym cyberzagrożeniem w systemie bankowym, stanowiąc 13% całkowitych strat, a następnie oszustwa typu card-not-present z 8%.

Pani Javier powiedziała, że cyberzagrożenia stają się coraz częstsze, bardziej ukierunkowane i bardziej skalowalne.

"A wraz ze wzrostem szybkości rosną również straty, okno na odzyskanie się zwęża, i pozwala to cyberprzestępczości na skalowanie się szybciej niż wcześniej" – powiedziała.

"Więc… kiedy mówimy o ryzyku cybernetycznym, nie jest to już tylko kwestia technologiczna. Chodzi o zaufanie, zachowanie i wyzwanie ekosystemowe, do którego rozwiązania i ochrony systemu finansowego wszyscy musimy się przyczynić. Bezpośrednio wpływa to na zaufanie konsumentów, odporność operacyjną i ostatecznie stwarza ryzyko dla stabilności finansowej."

Dodała, że rosnące powiązania w systemie finansowym zwiększyły potencjalne punkty ataku dla cyberprzestępców, ponieważ istnieją zwiększone potencjalne podatności, które mogą wykorzystać.

To również zwiększa ryzyko stabilności finansowej, ponieważ pojedynczy punkt awarii może również wpłynąć na inne instytucje, powiedziała.

"Ryzyko cybernetyczne ewoluuje, zmienia się, a my również musimy nauczyć się dostosowywać do tego rozwoju… Atak na jedną instytucję finansową niekoniecznie oznacza, że zostanie ograniczony do tej instytucji. Może wpłynąć na inne instytucje finansowe połączone z tym bankiem. Oznacza to więc usługi oferowane firmom i gospodarstwom domowym" – powiedziała.

"Teraz stawka staje się wyższa, gdy incydenty cybernetyczne atakują krytyczną infrastrukturę rynku finansowego — na przykład system płatności. A następnie, co jest jeszcze bardziej wyzwaniem, to kiedy atakują konta osób prywatnych, deponentów, a to się skaluje, może faktycznie wywołać masowe wypłaty w instytucji finansowej, wywołując problemy z płynnością, a czasem problemy kapitałowe w tej instytucji finansowej z powodu utraty zaufania publiczności do tego konkretnego banku. Zaufanie publiczności lub zaufanie deponentów to rdzeń, to fundament bankowości. Musimy więc dbać o to zaufanie."

Powiedziała, że chociaż nie ma niezawodnej obrony przed cyberatakami, bank centralny i interesariusze z branży nadal wprowadzają różne zasady i środki w celu wzmocnienia odporności sektora finansowego.

BSP wymaga od wszystkich nadzorowanych przez siebie instytucji finansowych składania regularnych i opartych na zdarzeniach raportów obejmujących informacje związane z technologią, a także przypadki poważnych cyberataków. Pani Javier dodała, że monitorują potencjalne zagrożenia za pośrednictwem platform mediów społecznościowych i bazy danych incydentów cyberbezpieczeństwa.

BSP nakazał również bankom aktualizację swoich systemów zarządzania oszustwami w celu dostosowania ich do przepisów wykonawczych ustawy o zwalczaniu oszustw na kontach finansowych (Anti-Financial Account Scamming Act). Dał kredytodawcom czas do 25 czerwca na zastosowanie się do przepisów, dodając, że niezastosowanie się może skutkować zawieszeniem licencji. — Katherine K. Chan