Digitalno plaćanje postalo je naša svakodnevica, najnevidljivija radnja suvremene ekonomije, gotovo refleks. Izvadimo mobitel, prislonimo ga na POS uređaj, prebacimo novac u aplikaciji, potvrdimo kupnju potezom prsta. Toliko je glatko i brže od naših očekivanja da ga u velikom broju slučajeva uopće ne doživljavamo kao aktivnost, već kao usputnu gestu, nešto što se obavi automatski kao što provjeravamo vrijeme na mobitelu. Upravo je ta neprimjetnost, osjećaj da je proces toliko jednostavan da ga više ne treba razmatrati, postao idealno polje za najmodernije oblike prijevara.
Napadači prate ekosustav
Nekada su se prijevare prepoznavale gotovo na prvi pogled: loš prijevod, neuvjerljiv logo, previše uskličnika. Danas je to svijet iza kojeg stoje cijeli “odjeli” kibernetičkog kriminala, globalne, profesionalne skupine koje koriste alate jednako napredne kao i financijska industrija. Dok korisnik uživa u jednostavnosti plaćanja, napadač prati taj ekosustav s druge strane i neprestano unaprjeđuje svoje modele. U digitalnim plaćanjima više ništa nije slučajno. Napadači su shvatili da se borba ne vodi kroz probijanje sigurnosnih sustava, tehnološki previše čvrstih, već kroz zaobilaženje onoga što je najfleksibilnije, najemocionalnije i najmanje predvidljivo, ljudske percepcije.
Današnje prijevare zato počinju psihološkim radom. Umjetna inteligencija omogućila je napadačima da analiziraju obrasce korisnika, od ritma troškova do učestalosti prijava u aplikaciju, i kreiraju scenarije koji izgledaju potpuno uvjerljivo. Nije više riječ o generičkoj poruci, nego o poruci koja dolazi u trenutku kad je korisnik obavio kupnju ili kada inače očekuje notifikaciju. Riječ je o sekundi u kojoj realna i lažna komunikacija izgledaju identično. Napad se ne sastoji od jedne velike prijetnje, već od savršeno uklopljenog detalja u gomilu autentičnih obavijesti koje dobivamo svakoga dana.
U segmentu digitalnih plaćanja posebno su se raširili napadi koji počivaju na tzv. “hitnosti”. U praksi to izgleda jednostavno: korisnik dobije poruku da mu je kartica blokirana ili da je upravo izvršena velika transakcija koja se može zaustaviti samo klikom na poveznicu. Cilj nije zastrašiti, nego izazvati refleks, natjerati korisnika da reagira brže nego što razmišlja. Čak i oni najoprezniji, u trenutku stresa ili žurbe, lako padnu u tu zamku. Napadači odlično razumiju psihologiju, to je njihov najjači alat.
Evolucija ‘deepfakea’
Posebna kategorija su sofisticirani “refund scam” napadi koja spadaju u domenu “phishing” prijevara. Lažni “povrat novca”, koji se prezentira u uvjerljivo vizualnoj simulaciji službene aplikacije, pokazao se iznimno učinkovit jer iskorištava našu prirodnu sklonost ispravljanju pogrešaka. Napadač korisniku pokaže da mu je “završen povrat” i da je iznos prevelik te traži da se razlika vrati. Korisnik, uvjeren da sudjeluje u ispravnom procesu, ustvari financira kriminalnu operaciju.
U korporativnom sektoru napadi su drukčiji, ali još sofisticiraniji. Digitalno plaćanje u poslovanju teče kroz rutine i predvidljive procese, što napadačima daje prednost. Velike kompanije dnevno obave stotine transakcija, što otvara prostor za “tihi” ulaz, jedan nalog, jedna lažna faktura ili mali pomak u e-mail lancu. Zaposlenik koji ima previše otvorenih zadataka može previdjeti detalj, a napadaču je to dovoljno. Neki od najvećih gubitaka u posljednje dvije godine u Europi dolazili su iz tzv. “silent frauds” prijevara koje traju tjednima, potpuno neprimjetne.
Dodatnu prijetnju predstavlja evolucija “deepfake” tehnologije. Ideja da korisnik zaprimi poziv službenika banke ili računovodstva partnera, a da se ustvari radi o generiranom glasu, više nije futuristički scenarij. To je realnost koja će obilježiti sljedeće razdoblje. Glas koji zvuči potpuno uvjerljivo, s ispravnom intonacijom i naglaskom, može stvoriti autoritet kojem se korisnik podsvjesno pokorava. Tako se otvaraju vrata krajnje opasnim manipulacijama, od potvrde transakcija do otkrivanja podataka koje nikada ne bismo dali nepoznatoj osobi.
Banke stoga stalno ulažu u napredne sustave detekcije anomalija. Algoritmi strojnog učenja analiziraju tisuće parametara, od geolokacija i obrazaca kupnje do neuobičajenih poruka u interakciji korisnika. Sustavi postaju sve bolji i često primijete potencijalno rizičnu transakciju prije korisnika. No, nijedna tehnologija ne može spriječiti situaciju u kojoj korisnik samovoljno preda svoje podatke. To je jedina točka obrane koju ni najbolji sustavi ne mogu u potpunosti kontrolirati.
U OTP-u se stoga velika pozornost posvećuje edukaciji. Sigurnost više nije samo IT tema. Svaki zaposlenik, neovisno o odjelu, mora razumjeti osnovne prijetnje i načine na koje može spriječiti napad. To je ključno jer čovjek je i najveći rizik i prva linija obrane. Svakako treba istaknuti i važnost suradnje banaka putem Odbora za sigurnost pri Hrvatskoj udruzi banaka. Zajednički rad i razmjena informacija omogućili su nam da preveniramo ili čak zaustavimo dio napada, pri čemu OTP banka koristi i usluge kibernetičke obavještajne zajednice (Cyber Threat Intelligence) koje pomažu u ranom otkrivanju prijetnji i zaštiti klijenata.
Uz sve navedeno i nova europska uredba DORA donosi prijeko potrebnu standardizaciju otpornosti u financijskom sektoru. Njezina suština leži u jasnom definiranju odgovornosti, upravljanju incidentima i testiranju otpornosti na razini koja je do sada bila rezervirana samo za najveće institucije. DORA je okvir koji donosi jednakost obrane, nameće jednake standarde svima.
Najveća prijetnja
Ali, i najbolji standardi imaju ograničenje, ne mogu zamijeniti svijest korisnika. Kad biste softverskim rješenjem mogli spriječiti ljudsku žurbu, društvo bi već odavno bilo savršeno sigurno.
Zato se cijela priča vraća na jednostavnu istinu, digitalno plaćanje nikada nije bilo praktičnije, ali nikada nije tražilo više svjesnosti. Svijet će postajati sve brži, napadi sve sofisticiraniji, a tehnologija sve naprednija. No, ravnoteža sigurnosti i dalje će ovisiti o čovjeku. I, paradoksalno, ona najveća digitalna prijetnja najčešće počinje staromodnom ljudskom navikom, klikom bez razmišljanja.
