Social Engineering ist die größte Cyberbedrohung für philippinische Banken

SOCIAL ENGINEERING SCHEMES, wie Phishing-Betrug, waren die größte Cyberbedrohung, die philippinische Banken in der ersten Hälfte von 2025 betraf und ein anhaltendes Risiko für das digitale Zahlungssystem des Landes darstellen, so die Bangko Sentral ng Pilipinas (BSP).

Basierend auf der Cyberbedrohungsüberwachung der BSP in der ersten Hälfte von 2025 machten Social Engineering, Kontoübernahme und Identitätsdiebstahl 76% des Gesamtbetrags aus, der im Zeitraum durch Finanzbetrug verloren ging.

"Dies spiegelt tatsächlich wider, was andere Aufsichtsbehörden sehen. Wir sehen, dass Social Engineering die größte Triebkraft für cyber-bezogene Bedrohungen bleibt", sagte BSP-Vizegouverneurin Lyn I. Javier während einer Medieninformationssitzung in Dumaguete City am Montag.

"Wir sehen also Phishing, Vishing und Smishing – was erneut das menschliche Element hervorhebt, das Vertrauen der Öffentlichkeit oder der Menschen ausnutzend. Es ist eine Schwachstelle, die diese Bedrohungsakteure ausnutzen, um ihre Machenschaften oder den Betrug umzusetzen."

Phishing beinhaltet die Verwendung betrügerischer E-Mails, Textnachrichten oder Links, um persönliche, finanzielle oder Kontoinformationen zu stehlen. Vishing oder Voice-Phishing ist eine Form des Phishings mittels Telefonanrufen oder Sprachnachrichten, während Smishing über Textnachrichten erfolgt.

Unterdessen war Hacking die zweithäufigste Cyberbedrohung im Bankensystem und machte 13% der Gesamtverluste aus, gefolgt von Kartenbetrug ohne Kartenpräsenz mit 8%.

Frau Javier sagte, dass Cyberbedrohungen häufiger, gezielter und skalierbarer werden.

"Und wenn die Geschwindigkeit zunimmt, steigen auch die Verluste, das Zeitfenster für die Wiederherstellung verengt sich, und es ermöglicht Cyberkriminalität, schneller als zuvor zu skalieren", sagte sie.

"Also... wenn wir über Cyberrisiken sprechen, ist es nicht mehr nur ein Technologieproblem. Es geht um Vertrauen, Verhalten und eine Ökosystem-Herausforderung, zu deren Bewältigung und zum Schutz des Finanzsystems wir alle beitragen müssen. Es wirkt sich direkt auf das Verbrauchervertrauen, die betriebliche Widerstandsfähigkeit aus und stellt letztendlich Risiken für die Finanzstabilität dar."

Sie fügte hinzu, dass die wachsende Vernetzung im Finanzsystem potenzielle Angriffspunkte für Cyberkriminelle erweitert hat, da es mehr potenzielle Schwachstellen gibt, die sie ausnutzen können.

Dies erhöht auch die Risiken für die Finanzstabilität, da ein einzelner Ausfallpunkt auch andere Institutionen beeinträchtigen könnte, sagte sie.

"Cyberrisiken entwickeln sich weiter, verändern sich, und wir müssen auch lernen, uns an diese Entwicklung anzupassen... Ein Angriff auf ein Finanzinstitut bedeutet nicht zwangsläufig, dass er auf diese Institution beschränkt bleibt. Er könnte andere Finanzinstitute betreffen, die mit dieser Bank verbunden sind. Das bedeutet also die Dienstleistungen, die Unternehmen und Haushalten angeboten werden", sagte sie.

"Nun werden die Einsätze höher, wenn Cybervorfälle kritische Finanzmarktinfrastruktur angreifen – zum Beispiel das Zahlungssystem. Und noch herausfordernder wird es, wenn sie die Konten von Einzelpersonen, von Einlegern angreifen, und wenn dies sich ausweitet, könnte es tatsächlich massive Abhebungen in einem Finanzinstitut auslösen, was Liquiditätsprobleme und manchmal Kapitalprobleme in diesem Finanzinstitut aufgrund des Vertrauensverlustes der Öffentlichkeit in diese bestimmte Bank auslöst. Das Vertrauen der Öffentlichkeit oder das Vertrauen der Einleger ist der Kern, es ist das Fundament des Bankwesens. Wir müssen also auf dieses Vertrauen achten."

Sie sagte, dass es zwar keine narrensichere Verteidigung gegen Cyberangriffe gibt, die Zentralbank und die Branchenakteure jedoch weiterhin verschiedene Regeln und Maßnahmen einführen, um die Widerstandsfähigkeit des Finanzsektors zu stärken.

Die BSP verlangt von allen beaufsichtigten Finanzinstituten die Einreichung regelmäßiger und ereignisgesteuerter Berichte, die technologiebezogene Informationen sowie das Auftreten größerer Cyberangriffe abdecken. Frau Javier fügte hinzu, dass sie potenzielle Bedrohungen über Social-Media-Plattformen und die Cybersicherheitsvorfalls-Datenbank überwachen.

Die BSP hat Banken auch verpflichtet, ihre jeweiligen Betrugsmanagementsysteme zu aktualisieren, um sie an die Durchführungsregeln und -vorschriften des Anti-Financial Account Scamming Act anzupassen. Sie hat den Kreditgebern bis zum 25.06. Zeit gegeben, dies einzuhalten, und fügte hinzu, dass die Nichteinhaltung zur Aussetzung der Lizenz führen könnte. — Katherine K. Chan