Jak ze scamem walczy Singapur. Case study

W grudniu 2021 r. doszło do zmasowanego ataku phishingowego na klientów banku OCBC, drugiego co do wielkości banku Singapuru. 790 osób straciło 13,7 mln dolarów singapurskich (SGD) wskutek nierozważnego kliknięcia w link wysłany rzekomo przez OCBC w celu rozwiązania problemu, jaki pojawił się w serwisie internetowym klienta. Dalszy scenariusz jest znany użytkownikom bankowości na całym świecie. Link prowadził do fałszywej strony z danymi do logowania. Zmasowany atak poruszył rząd i opinię publiczną, ponieważ potwierdził, że Singapur stał się jednym z głównych celów dla scamerów w Azji Południowo-Wschodniej (ramka). Pokazał ponadto, że w kraju brakuje przepisów i procedur zabezpieczających przed aktywnością przestępców oraz zasad dotyczących kompensowania strat finansowych ofiarom oszustów. OCBC oddał pieniądze klientom, dokonując dobrowolnych wypłat, ale chyba głównie ze względu na zainteresowanie mediów oraz presję społeczną. W regulaminie banku jasno stało, że nie ponosi on odpowiedzialności za transakcje autoryzowane. Jednak z drugiej strony media podnosiły, że OCBC nie był najlepiej przygotowany na scamowy kryzys. Sam bank przyznał, że w dniu ataku „obsługa klienta i reakcja nie spełniły oczekiwań”. Od tego momentu Singapur na serio zabrał się za walkę z oszustwami finansowymi. Kto ponosi odpowiedzialność za straty finansowe Singapurczycy rozpoczęli dyskusję, jak systemowo zabezpieczyć kraj przed scamem i kto ponosi finansową odpowiedzialność za refinansowanie strat ofiarom oszustw. Punktem wyjścia do szukania rozwiązań były doświadczenia z ataku phishingowego na klientów. Przeprowadzono wówczas audyt, któremu uważnie przyglądał się nadzór finansowy Monetary Authority of Singapore (MAS). Na podstawie tych doświadczeń powstały wytyczne ochrony użytkowników płatności elektronicznych (EUPG). Generalnie sprowadzają się do konkluzji, że to instytucja finansowa jest zobowiązana do przywrócenia na chronione konto klienta pełnej kwoty straty wynikającej z autoryzowanej transakcji tak szybko, jak to możliwe po zakończeniu dochodzenia i stwierdzeniu, że klient nie ponosi odpowiedzialności za stratę. Chyba że główną przyczyną straty była lekkomyślność klienta (np. klient nie zabezpieczył kodów dostępu lub nie zgłosił utoryzowanej transakcji). Współdzielona odpowiedzialność Wytyczne stanowią zaledwie wstęp do całościowej regulacji antyscamowej, jaką nadzór poddał pod dyskusję w październiku 2023 r. Dokument nazywa się „Shared Responsibility Framework” (SRF) i tytuł dobrze oddaje istotę zamysłu regulatora. Jest to unikatowy, ciekawy sposób rozwiązania problemu, z którym niewiele krajów próbuje się zmierzyć. Generalnie na świecie obowiązuje zasada, że za szkody spowodowane przez scamerów odpowiada klient, jeśli stracił pieniądze, udostępniając dane dostępowe do konta. Zupełnie inną ścieżką poszli Brytyjczycy. Od 7 października banki są zobowiązane refundować wszystkie straty z tytułu oszustw do kwoty 85 tys. GBP. Australijczycy postawili na jeszcze inne rozwiązanie — tworzą krajowy system antyscamowy obejmujący banki, telekomy, instytucje państwa, aby minimalizować ryzyko wypływu pieniędzy z kraju. Ofiary nie dostają zwrotu pieniędzy, natomiast uczestnicy systemu muszą liczyć się z karami w przypadku jakichkolwiek uchybień w zakresie przeciwdziałania oszustwom. Singapurski nadzór wybrał model współdzielenia odpowiedzialności między bankami, telekomami i klientami. Ma on kaskadowy charakter, tzn. obowiązek kompensaty szkód przechodzi na kolejnego uczestnika rynku według następującej zasady: instytucja finansowa ponosi pełny koszt, jeśli naruszy którykolwiek z obowiązków wynikających z regulacji antyscamowych. Jeśli działa zgodnie z zasadami, ale telekom nie trzymał się regulacyjnych ram, to wówczas on płaci za scam. Natomiast gdy zarówno instytucja finansowa, jak też telekom wypełniają wszystkie obowiązki, koszty oszustwa ponosi konsument. 24 października tego roku MAS zakończył konsultacje i opublikował finalną wersję SRF. Nakłada ona na banki pięć konkretnych obowiązków dotyczących przeciwdziałania scamom, a na telekomy trzy. Nadzorca wymaga od instytucji finansowych m.in. całodobowego serwisu klientowskiego, gdzie ofiary scamów mogą zgłaszać przypadki oszustw. Mają one obowiązek natychmiastowego powiadamiania konsumentów o wychodzących nieautoryzowanych transakcjach. Instytucje finansowe mają obowiązek stałego monitorowania przepływów na rachunkach. Gdy dochodzi do wyczyszczenia rachunku z pieniędzy, bank zobowiązany jest zatrzymać przelew, skontaktować się z klientem lub zablokować rachunek na 24 godziny. SRF precyzuje, że z czyszczeniem konta mamy do czynienia wtedy, gdy jednorazowo znika z niego połowa salda lub skumulowana wartość dziennych przelewów przekracza 50 tys. SGD. Ważnym i ciekawym rozwiązaniem jest obowiązek udostępnienia klientom opcji samodzielnego blokowania konta (kill switch) w przypadku przejęcia kontroli nad rachunkiem przez oszustów. Operatorzy telekomunikacyjni są zobowiązani do zmniejszenia ryzyka wysyłania oszukańczych SMS-ów do konsumentów, uruchamiając filtr antyoszustw na swoich sieciach i blokując wiadomości zawierające znane linki phishingowe w ramach SRF. Ponadto mogą dostarczać takie SMS-y do subskrybentów tylko wtedy, gdy pochodzą one od autoryzowanego ich agregatora, który działa na rzecz firmy wysyłającej masowe wiadomości. Rekompensata tylko za niektóre oszustwa W przeciwieństwie do brytyjskiego modelu system rekompensat przewidziany przez SRF pokrywa tylko wybrane szkody. Generalnie odpowiedzialność instytucji finansowych i telekomów ogranicza się do oszustw phishingowych o dość określonej charakterystyce. Firmy i instytucje, pod które podszywają się oszuści, muszą być zarejestrowane w Singapurze lub oferować usługi jego mieszkańcom. Jeśli klient zostawi swoje dane na fałszywej stronie Singapore Post, to w świetle regulacji będzie rozgrzeszony, ale gdyby dane dostępowe zostawił na fikcyjnej stronie Tesli — już nie. SRF dopuszcza zwrot pieniędzy, gdy klient padnie ofiarą oszusta podającego się za przedstawiciela instytucji finansowej oferującego rzekome oferty, np. wysokie oprocentowanie lokat czy darmowe telefony komórkowe, aby skłonić ofiary do wejścia na fałszywą stronę i podania danych dostępowych. Natomiast nie ma rekompensat za przelewy wynikające z oszustw inwestycyjnych, romance scamów, a także włamań, kradzieży tożsamości lub pobrania złośliwego oprogramowania. Choć nadzór umywa ręce od odpowiedzialności za scamy z wykorzystaniem technik manipulacyjnych, które zazwyczaj są stosowane w przypadku oszukańczych inwestycji i flirtów, to nie zostawia klientów samych z przestępcami. 30 sierpnia tego roku Ministerstwo Spraw Wewnętrznych ogłosiło, że do końca 2024 r. wprowadzi ustawę o ochronie przed oszustwami (Scam Bill). Umożliwi ona policji wydawanie bankom nakazu tymczasowego ograniczania możliwości dokonywania transakcji bankowych przez osoby będące celem ataku scamerskiego, które nie chcą uwierzyć, że są ofiarami oszustwa. Meta z zaproszeniem na policję Singapur, podobnie jak Australia, uważa, że do walki z oszustwami finansowymi muszą zostać zaangażowane platformy internetowe. Według singapurskiej policji przypadki oszustw, w których przestępcy kontaktowali się z ofiarami przez media społecznościowe, a zwłaszcza przez Facebooka czy Instagram, stanowią około 90,2 proc. wszystkich scamów. Od ubiegłego roku Singapur wprowadza cały pakiet regulacji angażujących big techy do walki z oszustwami. Aby zapobiec kontaktom podejrzanych kont oszustów z użytkownikami z Singapuru, od lutego 2024 r. władze mają prawo do szybkiego blokowania oszukańczych kont lub treści w mediach społecznościowych. Natomiast od czerwca 2024 r. obowiązują dwa nowe kodeksy praktyk dla platform internetowych: — dla usług komunikacji online: platformy takie jak Facebook, WhatsApp, Instagram, Telegram i WeChat są zobowiązane do proaktywnego wykrywania i przeciwdziałania podejrzanym oszustwom i cyberprzestępczości przez utworzenie szybkiego kanału komunikacyjnego do zgłaszania incydentów, a do końca 2024 r. muszą wdrożyć odpowiednie środki weryfikacji, aby eliminować fałszywe konta tworzone przez oszustów lub boty i składać coroczny raport do władz — dla usług e-commerce: platformy Carousell i Facebook Marketplace będą musiały na początek weryfikować ryzykownych sprzedawców. Jeśli liczba zgłaszanych oszustw nie spadnie znacząco, od początku 2025 r. Ministerstwo Spraw Wewnętrznych zobowiąże je do weryfikacji tożsamości wszystkich sprzedawców i reklamodawców. Ministerstwo Spraw Wewnętrznych zastanawia się, czy nie zobowiązać platform takich jak Meta do delegowania pracowników do antyscamowego centrum ASCom. Wspólnie z policją pracują w nim przedstawiciele banków oraz platform Carousell i Shopee. Singapur znajduje się na pierwszej linii frontu walki z oszustwami finansowymi, gdyż znajduje się w światowym scamowym epicentrum. W Azji Południowo-Wschodniej działają silne zorganizowane grupy przestępcze, często powiązane z państwowymi strukturami, które specjalizują się w wyłudzeniach na całym świecie (polecamy artykuł na ten temat na stronie scammingouit.pl). Skala oszustw finansowych w Singapurze relatywnie nie jest duża — w 2023 r. szkody z tytułu scamów wyniosły 651 mln SGD, ale wartość i liczba przestępstw szybko rośnie. W 2023 r. policja odnotowała 46,5 tys. przypadków oszustw, o 46,8 proc. więcej niż rok wcześniej. W pierwszym półroczu 2024 Singapurczycy stracili już 385 mln SGD, o 24,6 proc. więcej niż rok wcześniej. Liczba ofiar wyniosła 26,5 tys., rosnąc o 16,3 proc. 86 proc. wszystkich scamów to ataki z użyciem technik manipulacyjnych. Singapurski nadzór finansowy wprowadził wiele antyscamowych działań zleconych bankom: W 2019 r. Urząd ds. Rozwoju Mediów Elektronicznych wdrożył różne zabezpieczenia przeciwko oszukańczym połączeniom i SMS-om, np. blokowanie połączeń z numerów oszukańczych, lokalnych numerów spoofowanych na podstawie rozpoznawania wzorców oraz SMS-ów zawierających złośliwe treści i linki. W 2022 r. policja powołała dowództwo przeciwdziałania oszustwom (ASCom) w celu konsolidacji wiedzy i zasobów w walce z oszustwami. W maju 2022 r. Ministerstwo Spraw Wewnętrznych uruchomiło system ocen bezpieczeństwa transakcji na rynkach e-commerce (TSR), który przypisuje platformom internetowym ogólną ocenę bezpieczeństwa — wskazującą, w jakim stopniu wdrożyły one funkcje zabezpieczeń kluczowych w zwalczaniu oszustw — oraz skuteczność wysiłków platform w zwalczaniu oszustw. Od 2023 r. obowiązuje rejestracja wszystkich alfanumerycznych identyfikatorów nadawców SMS-ów w rejestrze identyfikatorów nadawców SMS-ów w Singapurze. Wiadomości z niezarejestrowanych identyfikatorów są oznaczane jako „Prawdopodobnie OSZUSTWO”. Od kwietnia 2024 r. liczba kart SIM na abonament została ograniczona do 10 na abonenta.