Соціальна інженерія є головною кіберзагрозою для банків Філіппін

СХЕМИ СОЦІАЛЬНОЇ ІНЖЕНЕРІЇ, такі як фішингові шахрайства, стали головною кіберзагрозою, яка вплинула на філіппінські банки в першій половині 2025 року, створюючи постійний ризик для національної системи цифрових платежів, повідомив Центральний банк Філіппін (BSP).

На основі моніторингу кіберзагроз BSP у першій половині 2025 року соціальна інженерія, захоплення акаунтів та крадіжка особистих даних становили 76% загальної суми втрат від фінансового шахрайства за цей період.

"Це насправді відображає те, що бачать інші регулятори. Ми бачимо, що соціальна інженерія залишається найбільшим рушієм кіберзагроз," — сказала заступник керуючого BSP Лін І. Хав'єр під час медіа-брифінгу в місті Думагете в понеділок.

"Отже, ми бачимо фішинг, вішинг та смішинг — знову підкреслюючи людський фактор, експлуатуючи довіру громадськості або людей. Це вразливість, яку ці зловмисники експлуатують також для реалізації своїх схем або шахрайства."

Фішинг передбачає використання шахрайських електронних листів, текстових повідомлень або посилань для крадіжки особистої, фінансової інформації або інформації про акаунт. Вішинг, або голосовий фішинг, є формою фішингу з використанням телефонних дзвінків або голосових повідомлень, тоді як смішинг здійснюється через текстові повідомлення.

Тим часом хакерство стало другою найпоширенішою кіберзагрозою в банківській системі, становлячи 13% загальних втрат, за яким слідує шахрайство без присутності картки з 8%.

Пані Хав'єр зазначила, що кіберзагрози стають частішими, цілеспрямованішими та масштабнішими.

"І оскільки швидкість зростає, втрати також зростають, вікно для відновлення звужується, і це дозволяє кіберзлочинності масштабуватися швидше, ніж раніше," — сказала вона.

"Отже… коли ми говоримо про кіберризик, це вже не лише технологічна проблема. Це питання довіри, поведінки та виклику для екосистеми, до вирішення якого ми всі повинні долучитися, щоб захистити фінансову систему. Це безпосередньо впливає на довіру споживачів, операційну стійкість і зрештою створює ризики для фінансової стабільності."

Вона додала, що зростаюча взаємопов'язаність у фінансовій системі розширила потенційні точки атак для кіберзлочинців, оскільки збільшилися потенційні вразливості, які вони можуть експлуатувати.

Це також посилює ризики фінансової стабільності, оскільки єдина точка відмови може також вплинути на інші установи, сказала вона.

"Кіберризик еволюціонує, змінюється, і ми також повинні навчитися адаптуватися до цього розвитку… Атака на одну фінансову установу не обов'язково означає, що вона буде обмежена цією установою. Вона може вплинути на інші фінансові установи, пов'язані з цим банком. Отже, це означає послуги, що надаються бізнесу та домогосподарствам," — сказала вона.

"Тепер ставки стають вищими, коли кіберінциденти атакують критичну інфраструктуру фінансового ринку — наприклад, платіжну систему. І тоді, що ще більш складно, це коли вони атакують акаунти окремих осіб, вкладників, і це масштабується, це може фактично спровокувати масові зняття коштів у фінансовій установі, викликаючи проблеми з ліквідністю і іноді капітальні проблеми в цій фінансовій установі через втрату довіри громадськості до цього конкретного банку. Довіра громадськості або довіра вкладників — це основа, це фундамент банківської справи. Тому ми повинні дбати про цю довіру."

Вона зазначила, що хоча немає абсолютного захисту від кібератак, центральний банк та зацікавлені сторони галузі продовжують запроваджувати різні правила та заходи для зміцнення стійкості фінансового сектора.

BSP вимагає від усіх фінансових установ, які перебувають під його наглядом, подавати регулярні та ситуативні звіти, що охоплюють технологічну інформацію, а також випадки значних кібератак. Пані Хав'єр додала, що вони моніторять потенційні загрози через платформи соціальних мереж та базу даних інцидентів кібербезпеки.

BSP також зобов'язав банки оновити свої відповідні системи управління шахрайством відповідно до правил та положень про впровадження Закону про боротьбу з фінансовим шахрайством з акаунтами. Він дав кредиторам до 25 червня для виконання вимог, додавши, що невиконання може призвести до призупинення ліцензії. — Katherine K. Chan