Social engineering is topdreiging voor cyberbeveiliging van Filipijnse banken

SOCIAL ENGINEERING-SCHEMA'S, zoals phishing-oplichting, vormden de grootste cyberdreiging voor Filippijnse banken in de eerste helft van 2025 en leverden een aanhoudend risico op voor het digitale betalingssysteem van het land, aldus de Bangko Sentral ng Pilipinas (BSP).

Op basis van het cyberdreigingstoezicht van de BSP in de eerste helft van 2025 waren social engineering, accountovername en identiteitsdiefstal goed voor 76% van het totale bedrag dat verloren ging door financiële fraude in die periode.

"Dit weerspiegelt eigenlijk wat andere toezichthouders ook zien. We zien dat social engineering de grootste veroorzaker van cyberdreigingen blijft," zei BSP-vicegouverneur Lyn I. Javier tijdens een media-informatiesessie in Dumaguete City op maandag.

"We zien dus phishing, vishing en smishing — wat opnieuw het menselijke element benadrukt, waarbij het vertrouwen van het publiek of de mensen wordt uitgebuit. Het is een kwetsbaarheid die deze dreigingsactoren uitbuiten om hun schema's of de oplichting te implementeren."

Phishing omvat het gebruik van frauduleuze e-mails, sms-berichten of links om persoonlijke, financiële of accountinformatie te stelen. Vishing, of voice phishing, is een vorm van phishing via telefoongesprekken of spraakberichten, terwijl smishing wordt gedaan via sms-berichten.

Ondertussen was hacken de op een na meest voorkomende cyberdreiging in het banksysteem, goed voor 13% van de totale verliezen, gevolgd door card-not-present-fraude met 8%.

Mevrouw Javier zei dat cyberdreigingen frequenter, gerichter en schaalbaarder worden.

"En naarmate de snelheid toeneemt, nemen ook de verliezen toe, versmalt het herstelvenster en kan cybercriminaliteit sneller dan ooit opschalen," zei ze.

"Dus... wanneer we het hebben over cyberrisico, is het niet langer alleen een technologiekwestie. Het gaat om vertrouwen, gedrag en een ecosysteemuitdaging waaraan we allemaal moeten bijdragen door het financiële systeem aan te pakken en te beschermen. Het heeft rechtstreeks invloed op het consumentenvertrouwen, de operationele veerkracht en levert uiteindelijk risico's op voor de financiële stabiliteit."

Ze voegde eraan toe dat de groeiende onderlinge verbondenheid in het financiële systeem de potentiële aanvalspunten voor cybercriminelen heeft uitgebreid, omdat er meer potentiële kwetsbaarheden zijn die ze kunnen uitbuiten.

Dit verhoogt ook de risico's voor de financiële stabiliteit, aangezien een enkel storingspunt ook andere instellingen kan treffen, zei ze.

"Cyberrisico evolueert, het verschuift, en we moeten ook leren hoe we ons aan deze ontwikkeling moeten aanpassen... Een aanval op een financiële instelling betekent niet noodzakelijkerwijs dat deze tot die instelling beperkt blijft. Het kan andere financiële instellingen treffen die met die bank verbonden zijn. Het betekent dus de diensten die aan bedrijven en huishoudens worden aangeboden," zei ze.

"Nu worden de risico's nog hoger wanneer cyberincidenten kritieke financiële marktinfrastructuur aanvallen — bijvoorbeeld het betalingssysteem. En wat nog uitdagender is, is wanneer ze de rekeningen van individuen, van spaarders, aanvallen, en als dit opschaalt, kan het eigenlijk massale opnames bij een financiële instelling veroorzaken, wat liquiditeitsproblemen en soms kapitaalproblemen bij die financiële instelling veroorzaakt vanwege het verlies van vertrouwen van het publiek in die specifieke bank. Het vertrouwen van het publiek of het vertrouwen van de spaarders is de kern, het is de basis van het bankwezen. Dus we moeten dat vertrouwen koesteren."

Ze zei dat hoewel er geen onfeilbare verdediging tegen cyberaanvallen bestaat, de centrale bank en belanghebbenden in de sector blijven diverse regels en maatregelen invoeren om de veerkracht van de financiële sector te versterken.

De BSP vereist dat al zijn gecontroleerde financiële instellingen regelmatige en gebeurtenisgestuurde rapporten indienen over technologiegerelateerde informatie en de incidentie van grote cyberaanvallen. Mevrouw Javier voegde eraan toe dat ze potentiële dreigingen monitoren via sociale mediaplatforms en de database voor cyberbeveiligingsincidenten.

De BSP heeft banken ook verplicht hun respectieve fraudebeheersystemen bij te werken om deze af te stemmen op de uitvoeringsregels en -voorschriften van de Anti-Financial Account Scamming Act. Het heeft kredietverstrekkers tot 25 juni de tijd gegeven om te voldoen, en voegde eraan toe dat het niet naleven kan leiden tot schorsing van de vergunning. — Katherine K. Chan