Social engineering största risken för bankerna
Publicerad: september 18, 2020Digitaliseringen av bedrägerier har medfört att bankerna nu riskklassar varje transaktion och stoppar också fler transaktioner än tidigare.
– Social engineering har varit den största risken de senaste 4–5 åren och det blir bara mer av den varan, säger Tobias Hummel, chef för Fraud prevention på SEB.
Tobias Hummel leder en grupp på tio personer på SEB som arbetar både med att operativt försöka stoppa pågående bedrägerier och preventivt med att hitta luckor i processer som bedragare kan utnyttja och mer långsiktigt, strategiskt försöka förebygga dem. Han vill inte beskriva exakt hur de går tillväga, eftersom risken är att bedragarna då förstår hur banken gör och anpassar sig utifrån det.
– Men under ett pågående bedrägeri har vi ofta en kund som hör av sig och säger att den misstänker att den transaktion som nu görs inte är deras. Då kan vi spärra tjänsterna och frysa belopp som håller på att lämna kontot. Om vi får signaler i tid kan vi gå in och spärra BankID, säga upp Swish-avtal och spärra internetbanks-tjänsten så att bedragaren som tagit kontroll över kundens konto inte ska ha möjlighet att agera, säger Tobias Hummel.
Svårt utomlands
Banken skickar ut notifieringar om det är en avvikande transaktion och då kan kunden reagera, men om den inte reagerar utan är så pass lurad att den låter bedragaren fullfölja så upptäcks inte bedrägeriet förrän pengarna har försvunnit.
– Då kan vi kontakta andra banker och säga att ”nu har det här beloppet skickats till detta kontot och det är ett bedrägeri”. Och om pengarna inte har fortsatt vidare i nästa steg i kedjan, kanske man hinner stoppa det. Så länge pengarna håller sig inom banksystemet i Sverige har vi ganska stora möjligheter att stoppa bedrägerier, säger Tobias Hummel.
Men om bedragaren tar ut pengar i bankomat eller gör kortköp i växlingskontor och får ut kontanter blir det betydligt svårare att stoppa utflödet av pengar, enligt Tobias Hummel.
PSD2 har gjort skillnad
SEB har märkt av en tydlig förbättring sedan det nya europeiska betaltjänstdirektivet PSD2 infördes i fjol för att göra elektroniska betalningar säkrare.
– Vi har också märkt att polisen har lyckat gripa många brottslingar, då minskar antalet bedrägerier, när de släpps fria så ökar de igen, säger Tobias Hummel.
Han berättar att det gjorts stora ansträngningar för att implementera ett sofistikerat bedrägeriskydd där banken riskklassar varje transaktion utifrån parametrar som PSD2 föreskriver. Och det har visat sig vara väldigt effektivt.
– Det är lätt att se mönster i kundernas beteende, så när det avviker ser vi det. Och då kan vi skicka notifiering via sms till kunderna för att säga ”nu är det något som avviker, var det verkligen du”? I nästa steg kan banken göra en extraverifiering, till exempel via sms, där kunden får verifiera sig en gång till. Problemet är att kunden kanske är lurad av bedragaren och kommer lämna ifrån sig även engångskoden. Därför är den mest effektiva åtgärden att helt enkelt stoppa transaktionen.
– Vi på säkerhetsavdelningen kämpar för att få stoppa fler bedrägerier. Vi stoppar den stora merparten av transaktionerna som är bedrägerier utan att göra för stor åverkan på legitima transaktioner. Men om vi ska stoppa även de där sista procenten måste vi stoppa oproportionerligt många legitima transaktioner och det kan vi inte göra, säger Tobias Hummel.
Därför arbetar banken istället med att förbättra modellerna och störa de korrekta transaktionerna så lite som möjligt.
Riskhanteringen har flyttats till kunderna
Tobias Hummel menar att bedrägerier är ett stort problem och att riskhanteringen – tack vare digitaliseringen – till viss del har flyttats över till kunderna.
– Även om vi tillhandahåller säkra åtgärder för att kunna identifiera sig så har kunden ingen chans om den blir lurad. Det är också av den anledningen som vi har börjat stoppa mycket fler transaktioner än vad vi gjorde tidigare.
Dock är det en prekär balansgång: kunder som gör legitima transaktioner kan bli upprörda när bankerna stoppar dem.
– Men vi har också minskat bedrägerierna dramatiskt sedan 1,5 år tillbaka. Vi märker även ökad förståelse av kunderna för att vi måste stoppa transaktioner i syfte att minska bedrägerier, säger Tobias Hummel.
Vill kunna svartlista Bank-ID:n
Det är ovanligt att kriminella ger sig på banken direkt. Men Tobias Hummel berättar att när det händer är det i regel organiserad brottslighet som vill hitta någon person på insidan som har höga behörigheter och gör påtryckningar.
Samarbetet mellan banker och polisen består främst i att polisen hör av sig och sätter bankerna i beredskap när den väl är ett kluster av brottslingar på spåren. Sedan kommer också förfrågningar från polisen när det gäller att frysa belopp och konton, men det är först när det finns en polisanmälan som det går att frysa pengar på ett konto.
Tobias Hummel menar att samarbetet blir allt bättre och att många bra saker hänt de senaste åren vad gäller skydd mot bedrägerier.