- Заплахите са абсолютно еднакви. Даже в съвременните електронни платформи за банкиране системите са едни и същи.

- Много е важно да видим домейна на изпращача, защото в повечето случаи фалшивият се доближава до истинския на пръв поглед. В конкретния случай с нашата банка трябва да е dskbank.bg. Ако е dskbank.com или .uk, това не е същата организация, каквото и да пише отпред. Даже и да пише името на човек, с който ние

комуникираме в тази банка, това същото не означава, че мейлът е от него.

Също така не трябва да вярваме на нито един имейл, който получаваме. Трябва да се съмняваме в абсолютно всичко. Банката, когато изпраща имейли, тя не желае да събира ваши лични данни, информация за вас, информация за семейството, изобщо каквато и да било чувствителната информация. Ако това се налага, тя се събира в офис. Вече има и доста нови съвременни системи, които изискват снимка на Вашата лична карта, но това се случва в самото мобилно приложение на вашата банка.

- Банките пращат имейли към своите клиенти, за да кажат, че вече предоставят някаква нова услуга. Нищо повече. И не прикачат файлове. Ако има прикачен файл, това със сигурност не е от вашата банка. Или ако някоя банка има лоша практика.

Тоест, не отваряйте файлове, които идват от имейли, които твърдят, че са изпратени от вашата банка. Не отваряйте линкове, за които се твърди, че идват от вашата банка. Въпреки, че има организации, когато понякога биха искали да рекламират повече дадена услуга в своя сайт и тогава наистина слагат действителни линкове. Но когато отидете с мишката на линка, трябва внимателно да видите дали домейнът му води към домейна на вашата банка. Защото понякога надписът гласи, че е вашата банка, но когато отидете с мишката, преди да кликнете, в долния ляв ъгъл на браузъра ви показва кой е действителният домейн, към който води даденият линк.

- Това в момента е доста често срещано. Атакуващите изпращат линк с копие на сайта на вашата банка, където ви принуждават да въведете потребителско име и парола. Обикновено винаги, когато ви принуждават да влезете в електронно си банкиране през имейл, е с призив да влезете вътре, например за да проверите дали вашите пари са там, че в противен случай сметката ще бъде заключена и ще се налага да ходите в офис, за да се отключи - неща, които притискат потребителят да действа бързо, притиснат от обстоятелствата, да отвори линка и моментално да си въведе идентификаторите в самия браузър.

След като въведете потребителско име и парола, защото си мислите, че влизате във вашето електронно банкиране, понеже всички банки имат опция двуфакторна и многофакторна автентификация, излиза съобщение, в което си изисква номер за втория, а понякога и съгласяване с третия фактор. И още на хакерската страница, т.е. на страницата, която идва от лицата, опитващи се да компрометират самите клиенти, излиза надпис: "Сега ще получите есемес код"; или "Ще получите код на вашия токен"; или друг тип код, който трябва да им предоставите, за да се идентифицирате, че сте вие.

През това време те правят нареждане или се опитват да влязат във вашето електронно банкиране отзад и вие получават есемес или код за двуфакторна идентификация, в който в повечето случаи клиентите не се заглеждат и не виждат, че пише отдолу "Превод" или подобно съобщение и въвеждат механично номера, който са получили. В момента, в който въведат парола и номер, автоматично атакуващата страна влиза в електронното банкиране, а същевременно на потребителя на екрана се изписва, че логването е неуспешно и прехвърля автоматично към истинския сайт.

Тоест, чак тогава вие виждате, че има нещо съмнително, но тогава вече сте прехвърлени към истинския сайт на банкирането, и за вас всичко е наред, просто е било неуспешно логването. Тогава правите отново логване, влизате вътре и виждате, че ви липсват пари или че нещо друго не е наред.

Само за информация искам да спомена, че в елкектронното банкиране на "Банка ДСК", клиентът има възможност да добави отделно приложение на телефона "DSK mToken", което да се ползва като допълнителен фактор за защита при влизане и нареждане на превод. Без да потвърдите през него, никой не може да влезе във вашето електронно банкиране или да нареди финансов превод дори да има всичките ви пароли. Препоръчвам на всички да го активират и да започнат да го използват.

- Да, защото в случая няма пробив на нито една система. Всичките системи извършват предназначените цели. Нито една не е компрометирана.

- Абсолютно не е компрометирана. По простата причина, че в България има законодателство, което гласи, че банката е длъжна по всяко едно време да позволи на собственика на дадените финансови средства да разполага с тях след като се представи пред нея с определени идентификатори. Тях ги знае и има само клиентът. Никой друг. Те са предоставени на вас. Но ако вие си предоставите портмонето на някого на улицата, трябва ли да изисквате от банката да ви върне парите? Не!

- Ако достатъчно бързо се свържете с вашата банка и тя не е успяла преди това да установи, че има някаква измама, свързана с вашия профил. Защото банките инвестират изключително много в системни екипи, които да разпознават подобен тип измами. Но ако не са успели, и вие се свържете с тях - а те работят денонощно, те може да спрат нареждането. А ако е направено по съвременния бърз метод - "Блинк" (Blink), при който преводът минава моментално, биха могли моментално да се свържат с банката отсреща, за да върнат превод и да кажат, че той е обект на измама.

- Преди наредените пари да бъдат изтеглени от съответната сметка.

- Ако се свържете с банката преди парите да бъдат наредени, тя може да ги спре без значение към каква банка е преводът. Ако парите бъдат преведени към чуждестранни банки, които са рискови, да кажем Нигерия, банката би могла да задържи превода, да се обади на клиента, за да провери този превод легитимен ли е, защото досега не е правил подобни преводи.

- Те ще преценят дали вие сте правили досега преводи към тази дестинация. Използват се сложни, риск базирани алгоритми, заложени в системите, наблюдаващи всички преводи в банката, като тези системи подават сигнал моментално към оператор при констатиран проблем. Със сигурност, когато става дума за Нигерия, по-вероятно е да ви се обадят и да блокират превода (ако това не е ваша нормална практика) или вие да трябва да го потвърдите с телефонно обаждане.

Затова много от случаите на измами се правят с български банки като за целта се използват т. нар. мулета, на чиито сметки се правят преводите, защото е по-малко вероятно такива трансакции да породят съмнение.

- Не, защото всеки от нас превежда към най-различни организации в България и то различни суми и погледнато от гледна точка на българските финансови институции това не е толкова рисково.

- В повечето случаи това се прави, ако парите не са изтеглени. Ако парите са изтеглени, след това се започват съдебни процедури спрямо този, който ги е изтеглил.

- Не ми е известно банките в България да не предлагат финансови услуги по телефона.

- Да, някои банки имат такава практика, ако вие се обадите, за да Ви идентифицират. Питат се неща, които банката знае за Вас, защото иначе всеки може да се обади и да се представи за Вас. Можете да не казвате тези данни пред хората. Ако аз си изпиша потребителското име и паролата на плакат на терасата или на бележка, оставена отгоре на бюрото ми, също не е окей. Това си е въпрос на лична предпазливост.

- Това е изключително рисково не само при банкиране, а при всякакви услуги, които ползвате - социални мрежи, имейли. Абсолютно всичко може да бъде компрометирано, защото тогава е възможно осъществяването на атака. Тези мрежи дават възможност да поставите измамника по средата на пътя, откъдето той може да прихване целия трафик. При това той може да се представи като крайната точка, с която вие се опитвате да се свържете, а пред крайната точка се представи за вас. И от там нататък би могъл не само да събере цялата информация, би могъл да вземе вашите идентификатори и да продължи да работи с тази система от ваше име.

Атаките са възможни пред свободни wi-fi мрежи- често срещано на летища, в хотели, в зали за масови събития. Много хора даже не си изключват wi-fi свързаността и понякога устройствата се закачат автоматично към такива отворени мрежи.

И даже докато телефонът ви е в джоба, той би могъл да се свърже към Wi-Fi мрежата. Ако в нея има такава система за компрометиране, а телефонът ви автоматично се връзва към мрежата и започне да се ъпдейтва, човекът, към който сте се закачили, даже без да знаете къде е, вече има достъп до вашите електронни приложения към различните социални медии, банкиране и т. н.

Въпреки че банкирането не е толкова лесно да се пробие, защото има защити - след бездействие известно време то ви изхвърля, искат се допълнителни фактори за идентификация и това прави компрометирането му доста по-сложно.

За щастие, напоследък започнаха във все повече крайни устройства да слагат допълнителна защита за връзка към отворени wi-fi мрежи, при която потребителят, който иска да ги ползва, трябва да потвърди, че иска да се закачи, въпреки че мрежата е безплатна и отворена.

- Абсолютно. Защото много по-малко хора имат достъп до комуникацията, която вашият телефон извършва.

- Ако си загубите телефона и той не е с парола, рисковете са доста големи особено ако паролите са ви запаметени в браузера или друго приложение. В случай, че изгубеният телефон е с парола, имате известно време докато той бъде отключен, в което да се свържете с вашата банка, за да си блокирате акаунта и да може да си смените идентификаторите за тях. В същото време имате и достатъчно време да смените паролите за вход в социални мрежи, в пощата и на други места, в които биха могли да ви компрометират част от социалния или финансов живот.

- Банките въведоха допълнителен пин за използване на тези карти. Изключително е важно, когато използвате банкомат, да огледате дали там, където слагате картата, няма допълнително устройство. Днес тези устройства са доста малки и трудно забележими. Освен това трябва да криете вашия пин код при въвеждане, защото без

него картата не може да се използва, а обичайно, където има скимиращо устройство, има и камера. Ако данните от картата са копирани, може да има опит с нея да се купи нещо онлайн, но вече за пазаруване в интернет е въведена т. нар. 3D парола, без която не може да се направи покупка.

- Принципно засегнатият трябва сам да подаде сигнал към полицията, която изисква от банките информация и те предоставят цялата налична информация по дадения случай. Но ние не бихме могли да подадем сигнал за измама към трето лице.

- Да, поради тая причина е добре първо клиентът да подаде сигнал към нас, след това към полицията. Иначе реално и само сигнал към полицията е достатъчен, но той ще стигне при нас недостатъчно бързо. А с нас е важно да се свърже бързо, за да може незабавно да вземем мерки. Разследването в киберсвета трябва да се случва изключително бързо, а в България не става с тази скорост, поради липса на достатъчно хора, ресурси и т. н. Въпреки, че имаме изключително добри експерти в ГДБОП, но те не са достатъчно на брой. Няма достатъчно технически ресурс, за да могат да се борят достатъчно адекватно с всички престъпници. Но правят каквото могат. И ние работим в много добро сътрудничество.

- Трябва да внимават най-много за измамни сайтове, измамни стоки, измамни продавачи. Защото в момента е пълно навсякъде с хора, които рекламират, не бих искал да казвам имена на сайтове, но в големи сайтове, в които всеки може да си пусне обява за продажба на даден продукт. И някъде с малък надпис отдолу пише: "Снимка на дадения продукт". Човекът го плаща, поръчва и накрая пристига снимката на дадения продукт.

В този случай даже не може да пусне жалба, защото той де факто е измамен от много детайли вътре и не е прочел абсолютно всичко. Но е платил 3-4-цифрена сума за нещо, на което получава снимката.

Затова трябва да внимаваме и къде си предоставяме данните на картата. Има услуги в банките, чрез които се създава виртуална карта за еднократно използване за онлайн плащания, която дори да бъде прихваната, в нея да няма пари, тъй като потребителят може да вкарва в нея само сумата, нужна за съответната покупка.

Така, в момента, в който някой се опита да направи поръчка с тази карта, той не би могъл нищо да вземе от нея, а собственикът ще получи моментално съобщение, че някой се опитва да открадне пари.

- Да, доста са се подобрили. Вече е възможно да ви се обади човек, който да прилича на ваш роднина и да поиска пари от вас. Даже на заден фон да се вижда, че той лежи в болница. Сега често по телевизиите има репортажи за това как след телефонно обаждане за роднина в беда хора хвърлят пари през прозореца на измамниците. Това ще стане по-дигитализирано, а освен това самите измамници стават все по-млади хора, които са по-образовани в ИТ сферата - могат да ви се обадят с видео по Viber, или в друга онлайн платформа и лицето, което виждате отсреща да е на ваш роднина. Данните за него могат да се извлекат от интернет, където има снимки, видеоклипове. На базата на тях може чрез изкуствен интелект да се генерира съответното изображение. И това със сигурност ще започне от тази година да навлиза все повече и повече. И ние няма да знаете дали да вярвате на очите си, ушите си, на това, което виждате или на самата реалност. Не би трябвало да имаме вече доверие на абсолютно нищо от нещата, които не сме проверили.

- Разбирам, че темата с таксите е чувствителна за крайните потребители, но най-важното нещо за една банка е тя да е сигурна. Никой от нас не би си държал парите в несигурна банка и затова ние плащаме на банката, на която имаме доверие, че може да ни обслужва по всяко време, че ще е сигурна и нашите пари ще са там, където сме ги оставили.

В противен случай не бихме плащали на банка, бихме си ги държали под дюшека. Затова нашите пари като цяло са във финансови институции. "Банка ДСК" конкретно инвестира над 10 млн. лева годишно в технологии за сигурност. Отделно не бих искал да споделя и колко много инвестира в човешкия ресурс, който управлява тези технологии.