Social engineering största risken för bankerna

Tobias Hummel leder en grupp på tio personer på SEB som arbetar både med att operativt försöka stoppa pågående bedrägerier och preventivt med att hitta luckor i processer som bedragare kan utnyttja och mer långsiktigt, strategiskt försöka förebygga dem. Han vill inte beskriva exakt hur de går tillväga, efter­som risken är att bedragarna då förstår hur banken gör och anpassar sig utifrån det.

– Men under ett pågående bedrä­geri har vi ofta en kund som hör av sig och säger att den misstänker att den transaktion som nu görs inte är deras. Då kan vi spärra tjänsterna och frysa belopp som håller på att lämna kontot. Om vi får signaler i tid kan vi gå in och spärra BankID, säga upp Swish-avtal och spärra internetbanks-tjänsten så att bedragaren som tagit kontroll över kundens konto inte ska ha möjlighet att agera, säger Tobias Hummel.

Svårt utomlands

Banken skickar ut notifieringar om det är en avvikande transaktion och då kan kunden reagera, men om den inte reagerar utan är så pass lurad att den låter bedragaren fullfölja så upptäcks inte bedrägeriet förrän pengarna har försvunnit.

– Då kan vi kontakta andra banker och säga att ”nu har det här belop­pet skickats till detta kontot och det är ett bedrägeri”. Och om pengarna inte har fortsatt vidare i nästa steg i kedjan, kanske man hinner stoppa det. Så länge pengarna håller sig inom banksystemet i Sverige har vi ganska stora möjligheter att stoppa bedräge­rier, säger Tobias Hummel.

Men om bedragaren tar ut pengar i bankomat eller gör kortköp i växlings­kontor och får ut kontanter blir det betydligt svårare att stoppa utflödet av pengar, enligt Tobias Hummel.

PSD2 har gjort skillnad

SEB har märkt av en tydlig förbättring sedan det nya europeiska betaltjänstdi­rektivet PSD2 infördes i fjol för att göra elektroniska betalningar säkrare.

– Vi har också märkt att polisen har lyckat gripa många brottslingar, då minskar antalet bedrägerier, när de släpps fria så ökar de igen, säger Tobias Hummel.

Han berättar att det gjorts stora ansträngningar för att implementera ett sofistikerat bedrägeriskydd där banken riskklassar varje transaktion utifrån parametrar som PSD2 föreskri­ver. Och det har visat sig vara väldigt effektivt.

– Det är lätt att se mönster i kun­dernas beteende, så när det avviker ser vi det. Och då kan vi skicka notifie­ring via sms till kunderna för att säga ”nu är det något som avviker, var det verkligen du”? I nästa steg kan banken göra en extraverifiering, till exempel via sms, där kunden får verifiera sig en gång till. Problemet är att kunden kan­ske är lurad av bedragaren och kommer lämna ifrån sig även engångskoden. Därför är den mest effektiva åtgärden att helt enkelt stoppa transaktionen.

– Vi på säkerhetsavdelningen käm­par för att få stoppa fler bedrägerier. Vi stoppar den stora merparten av trans­aktionerna som är bedrägerier utan att göra för stor åverkan på legitima transaktioner. Men om vi ska stoppa även de där sista procenten måste vi stoppa oproportionerligt många legi­tima transaktioner och det kan vi inte göra, säger Tobias Hummel.

Därför arbetar banken istället med att förbättra modellerna och störa de korrekta transaktionerna så lite som möjligt.

Riskhanteringen har flyttats till kunderna

Tobias Hummel menar att bedrägerier är ett stort problem och att riskhante­ringen – tack vare digitaliseringen – till viss del har flyttats över till kunderna.

– Även om vi tillhandahåller säkra åtgärder för att kunna identifiera sig så har kunden ingen chans om den blir lurad. Det är också av den anledningen som vi har börjat stoppa mycket fler transaktioner än vad vi gjorde tidigare.

Dock är det en prekär balansgång: kunder som gör legitima transaktioner kan bli upprörda när bankerna stop­par dem.

– Men vi har också minskat bedrä­gerierna dramatiskt sedan 1,5 år till­baka. Vi märker även ökad förståelse av kunderna för att vi måste stoppa transaktioner i syfte att minska bedrä­gerier, säger Tobias Hummel.

Vill kunna svartlista Bank-ID:n

Det är ovanligt att kriminella ger sig på banken direkt. Men Tobias Hummel berättar att när det händer är det i regel organiserad brottslighet som vill hitta någon person på insidan som har höga behörigheter och gör påtryckningar.

Samarbetet mellan banker och poli­sen består främst i att polisen hör av sig och sätter bankerna i beredskap när den väl är ett kluster av brottslingar på spåren. Sedan kommer också för­frågningar från polisen när det gäller att frysa belopp och konton, men det är först när det finns en polisanmä­lan som det går att frysa pengar på ett konto.

Tobias Hummel menar att samar­betet blir allt bättre och att många bra saker hänt de senaste åren vad gäller skydd mot bedrägerier.