Tartu Universitātes kiberdrošības pētnieks Arnis Paršovs norādījis, ka, lai gan krāpniecības upuri bieži tiek vainoti par bezrūpīgu attieksmi, patiesā problēma ir banku veidotais dizains un “Smart-ID” sistēma, raksta Igaunijas medijs “ERR News.”
Igaunijā liela mēroga krāpšanas gadījumi, izmantojot pikšķerēšanu, parādījās 2019.gadā, kad bankas atteicās no kodu kartēm, un sāka “Smart-ID” lietošanu. “Smart-ID” šifrēšanas iespēju iespaidotas, bankas nepietiekami novērtēja faktu, ka šī sistēma sniedz vājāku aizsardzību nekā kodu kartes. Pētnieks Igaunijas sabiedriskā medija vietnē publicētajā rakstā skaidroja, kādēļ bankām jāuzņemas atbildība par igauņu klientu finasiālajiem zaudējumiem.
Arī kodu kartēm bija vājās vietas, tomēr krāpniekiem nācās upuriem tieši prasīt paroles, kas radīja aizdomas pat mazāk piesardzīgos cilvēkos. Ja runa ir par “Smart-ID,” krāpniekam ir tikai jāpanāk, ka upuris viedierīcē apstiprina pieprasījumu – tieši tā paredzēta sistēmas darbība. Maksājumiem, kas apstiprināti ar kodu kartēm, bija dienas limits dažu simtu eiro apmērā, bet “Smart-ID,” par spīti tam, ka zināmi sistēmas drošības trūkumi, maksājumu ierobežojums tā arī nav ieviests.
Šādi krāpniecības gadījumi rada papildus slogu tiesībsargājošajām iestādēm, kam nākas cīnīties ar banku sistēmas trūkumu sekām.
Galvenais “Smart-ID” trūkums, kā Paršovs raksta “ERR News” publicētajā rakstā, ir tas, ka
drošība pilnībā atkarīga no lietotāja spējas atpazīt krāpnieciskas vietnes vai spējas atpazīt zvanītāju.
Ilgstoši, pieredzē balstīti pētījumi liecina, ka vienkārša lietotāja spēja atpazīt krāpnieciskas vietnes ir tuva nejaušiem minējumiem, un pat tehniski pieredzējuši lietotāji ne vienmēr spēj atpazīt krāpnieciskas mājaslapas. Tajā pašā laikā, runājot par “Smart-ID” drošību, šī nianse lielākoties tiek ignorēta.
Bankas aicina klientus neapstiprināt “Smart-ID” pieprasījumus aidzomīgu telefona sarunu laikā, tomēr arī banku klientu apkalpošanas nodaļas izmanto tieši šo risinājumu, uzsver Paršovs. No lietotāja skatu punkta, ir negaidīti, ka risinājums, kas tiek pasniegts kā visdrošākais, prasa no lietotāja izvērtēt apstiprinājuma prasītāja identitāti un uzticamību. Šāda sloga uzlikšana lietotājam ir pretrunā ar gaidām par to, ko jāsniedz drošai autentifikācijas metodei.
Rīka izstrādātājs SK ID Solutions (SK) uzstāj, ka “Smart-ID” ir drošs, un problēma ir lietotāju pusē, kuri to izmantojot nepareizi. Tomēr, kā raksta Paršovs, ja lielākā daļa cilvēku nespēj rīku izmantot pareizi, kļūda ir rīkā, nevis lietotājā. Ir jārēķinās ar cilvēciskās kļūdas faktoru, un drošībai ir jābūt iebūvētai rīkā. “Mēs nedodam bērniem asus nažus, lai pēc tam vainotu viņus par sagriešanos. Tam pašam būtu jāatiecas uz digitālo vidi,” raksta kiberdrošības eksperts.
Bankas saziņā ar sabiedrību pikšķerēšanu ierindo pie krāpniecības veidiem, kas nav saistīti ar tehnoloģiju vājajām vietām,
piemēram, investīciju krāpniecību vai gadījumiem, kad nauda izkrāpta romantiskās sarakstēs. Finanšu institūciju nostāja ir tāda, ka nevar darīt neko vairāk kā vien izteikt nožēlu un ieteikt būt uzmanīgākiem, bet tā gluži nav.
Banku vienaldzīgajā nostājā nav ņemts vērā tas, ka katram Igaunijas iedzīvotājam ir ID kartes, kuras autentifikācijas process nav izmantojams pikšķerēšanai. Atšķirībā no “Smart-ID,” personas ID kartes autentifikāciju pikšķerēšanas vietnē nevar izmantot, lai pēc tam piekļūtu bankas datiem. Tajā pašā laikā neviena banka nepiedāvā izmantot personas ID karti, lai pieslēgtos, jo tas nozīmētu, ka jāatzīst “Smart-ID” problēmas. Igaunijas lielākās bankas – “Swedbank” un SEB – ir starp SK īpašniekiem, kas, kā norāda Paršovs, padara tās par ieinteresētām “Smart-ID” lietošanas veicināšanā, un rada situāciju, kad nepietiekami tiek izvērtēti drošības riski.
Bankas varētu paveikt daudz vairāk, lai, rīkojoties proaktīvi, atklātu un novērstu krāpšanu. Tām ir pieejams liels apjoms lietotāju datu, kurus var izmantot, lai atklātu aizdomīgas darbības – pieslēgšanās no jaunām ierīcēm vai neparastām vietām, izmaiņas maksājumu ierobežojumos, neparastus pārskaitījumus, pieslēgšanās ar ierīci, kas atrodas citā valstī nekā ierīce, no kuras saņemts “Smart-ID” apstiprinājums, un tamlīdzīgi. Tomēr nav nekādu publiski pieejamu pierādījumu tam, ka bankas censtos saprātīgi pielietot šos paņēmienus.
No likuma viedokļa, bankām nav pienākuma atgriezt krāpnieciskus pārskaitījumus, ja tiem izmantota autentifikācijas metode, par kuru klients vienojies ar banku.
Tomēr bankas atbildība būtu nepieņemt nedrošas autentifikācijas metodes.
Tikai banka, nevis tās klienti, pilnībā izprot dažādu autentifikācijas metožu riskus, un var ieviest drošības mērus, kas pasargātu klientus no krāpšanas, uzsver pētnieks.
2025.gada jūnijā SK Igaunijā ieviesa “Smart-ID+” drošības funkciju, kas pieprasa, lai lietotājs pats uzsāktu darbību, noskenējot kvadrātkodu. Šī funkcija padara telefonkrāpniecību daudz grūtāku. Vēl jo vairāk – ja “Smart-ID+” autentifikācijas darbības tiek uzsāktas no tās pašas ierīces, kurā ir instalēts “Smart-ID,” drošības līmenis ir tāds pats, kā autentifikācijai izmantojot personas ID karti. Neskatoties uz to, bankas nesteidzas ieviest “Smart-ID+.”
Paršovs norāda, ka varētu rasties jautājums par to, kāpēc SK ļauj bankām izmantot “Smart-ID” bez stingrākas drošības sistēmas. Atbilde esot vienkārša – SK maksā bankas un citi pakalpojumu sniedzēji, nevis lietotāji. Tas rada situāciju, kad pirmajā vietā ir ērtība, nevis aizsardzība. Tas nozīmē, ka “Smart-ID” straujie panākumi zināmā mērā balstās uz pikšķerēšanas upuru pleciem, kas maksā par ērtību izvirzīšanu priekšplānā uz drošības rēķina. Ērtas maksājumu metodes noteikti ir vajadzīgas, bet banku atbildība ir ņemt vērā attiecīgos drošības riskus un ieviest papildus mērus, tāpat kā tas notiek ar bezkontakta maksājumiem, kuru limits ir 50 eiro vienā reizē.
Diskutējot par atbildību,
bankas uzsver, ka upuriem ir pilnībā jāuzņemas atbildība par krāpniecisku maksājumu apstiprināšanu, ievadot PIN-2 kodu.
Tomēr tādējādi tiek ignorēts fakts, ka drošības pārkāpums notiek jau ātrāk, brīdī, kad banka ļauj krāpniekam piekļūt upura internetbankai. Tieši šī pieeja ļauj krāpniekam izveidot pieprasījumu PIN-2 ievadei. Skatoties no klienta viedokļa, pieprasījuma apstiprināšana ir saprotama, jo tikai viņi pieņem, ka tikai viņi paši vai bankas pārstāvis ar attiecīgu pieeju var uzsākt maksājuma pieprasījumu. Paršovs uzsver, ka klientiem ir visas tiesības uzskatīt, ka banku drošības sistēmas ir pietiekami spēcīgas, lai neļautu trešajām pusēm piekļūt kontiem.
Problēma nav tikai noturības trūkums pret pikšķerēšanu. Krāpnieki Igaunijā sākuši izmantot vājos punktus “Smart-ID” piešķiršanas procesā, un par to, lai elektroniskās identifikācijas rīks nonāktu tikai pie likumīgā īpašnieka, ir atbildīgs izstrādātājs.
Savukārt bankām būtu jāatzīst, ka autentifikācijas rīki, kas tiek izsniegti bez fiziskas identitātes apstiprināšanas, jau pēc būtības ir nedrošāki, un tas jāiekļauj banku risku novērtējumā. Ņemot vērā,ka banku klienti nevar ietekmēt to drošības sistēmas vai autentifikācijas rīku izvēli, arī “Smart-ID” pikšķerēšanas upuriem nevajadzētu vainot tikai sevi, bet tā vietā pieprasīt kompensāciju no bankām. Bankas atbildība var būt ne tikai pretlikumīgas darbības, bet arī nespēja pildīt pienākumu sniegt drošu un uzticamu pakalpojumu.
Problēmas risinājums ir atzīt, ka sekmīgi pikšķerēšanas gadījumi nav lietotāju atbildība, bet gan nedroša tehnoloģija, un uzņemties atbildību. Bankas ļoti efektīvi pārvalda riskus, par kurām tās nes atbildību, un, tā kā tās ir pozīcijā, lai mazinātu tehnoloģiskos riskus, ir pilnīgi pamatoti prasīt uzņemties atbildību arī par autentifikācijas metodēm. Tas panākams, skaidri norādot atbildību likumā, vai juridiskajos procesos panākot, ka bankas uzņemas atbildību par izmantoto tehnoloģisko risinājumu drošību, un kompensē zaudējumus, ko radījusi pikšķerēšana, izmantojot “Smart-ID.”
Lasiet arī: Igaunijā pieaug krāpniecības gadījumu skaits; šogad izkrāpti 23 miljoni eiro