Противодействие мошенничеству стало обязательной статьей расходов в банках на законодательном уровне (167-ФЗ). Основная проблема в этой сфере – социальная инженерия. Ведь перед ней бессильны даже самые современные системы обеспечения информационной безопасности.
Сценариев здесь – множество. Один из возможных вариантов действий мошенников: получить номер телефона и карты жертвы, затем «включить» механизм социальной инженерии, когда в телефонном разговоре злоумышленник выманивает у жертвы пароль из смс-сообщения. Затем осуществляется привязка карты жертвы к мобильному приложению для дальнейшего вывода средств, или повторные запросы для перевода денежных средств с карты жертвы на карту мошенника. Да, бывает и такое, что жертва настолько доверяет мошеннику, что сообщает раз за разом код из смс. В рамках подготовительных работ мошенники могут использовать открытые источники (включая сайты объявлений или социальные сети), содержащие информацию о потенциальной жертве (персональные данные).
К примеру, вам приходит смс с информацией о проведенной операции на небольшую сумму c номером телефона, на который нужно обратиться, а когда вы перезваниваете, то слышите в ответ что-нибудь типа «Служба безопасности визамастеркард», звучит внушительно. Но если подумать, то Visa и Mastercard - это совершенно разные платежные системы, что должно заставить бдительного пользователя задуматься. Но схемы часто работают, выманив данные карты у жертвы мошенник заполняет на сайте стороннего банка форму по переводу денежных средств, где получателем указывает свою карту, и, убедив жертву в том, что для отмены операции (которой не было) ему нужен код из вашей смс, он переводит себе средства.
В описанной схеме чаще всего задействовано целых 4 участника: клиент банка как физическое лицо (жертва), первый банк – это эмитент карты отправителя, второй банк – это эквайер терминала, через который проходит P2P операция и третий банк, это эмитент карты получателя, держателем которой является мошенник. Для банка эквайера это доход, поэтому ему не выгодно предотвращать операции, с которых он получает выгоду.
Основные жертвы: это физическое лицо, которое лишается безвозвратно своих денежных средств, и банк, который несет репутационные риски и, как следствие, отложенный ущерб. С точки зрения закона, клиент сам осуществляет перевод денежных средств, поскольку сообщает информацию, которую нужно хранить в секрете.
Злоумышленники преимущественно используют терминалы и карты тех банков, которые меньше всего защищены, и есть возможность выводить большие объёмы средств. И напротив, если в банке успешно работает антифрод-система и предприняты иные меры борьбы с мошенничеством, то злоумышленникам становится дорого осуществлять свои атаки на банк и его клиентов как по времени, так и по способам реализации атак (конечно, от человеческого фактора все равно не уйти), проще поискать жертву в другом банке, менее защищенную.
Одним из основных трендов в банковской сфере в части борьбы с мошенничеством на сегодняшний день является использование моделей машинного обучения для систем защиты. Это поддерживается регуляторами, в том числе, ЦБ России, поэтому банки готовы выделять очень большие бюджеты на исследования и внедрение решений в данной области. На первый взгляд, система выглядит очень эффектной в части автоматизации: эксперты создают модели, обучают их на исторических данных и запускают в промышленную эксплуатацию. В результате, эти модели даже выявляют факты мошенничества, но на самом деле на практике всё сложнее. Во-первых, создание, обучение и сопровождение модели требует дополнительных дорогостоящих программных и интеллектуальных ресурсов со стороны банка, а цена ошибки ИИ ещё выше[1]. Во-вторых, массив данных должен быть органическим, корректно отмечен аналитиком, чтобы исключить обучение модели на недостоверных, или того хуже, на заранее мошеннических активностях, что понизит эффективность работы такой модели в реальных условиях. Также на уровне правительства РФ предпринимаются шаги по развитию искусственного интеллекта[2]. Учитывая все вышесказанное, как нам кажется, можно утверждать, что будущее - за машинным обучением и математическими моделями, хоть на данном этапе, особенно в сфере противодействия мошенничеству, предстоит еще проделать большой путь для достижения ожидаемых результатов, которое может дать нам машинное обучение.
Ещё один тренд на сегодня - это кросс-канальная система антифрода. Она включает в себя получение данных из разных каналов банка, включая процессинг, ДБО, кредитный конвейер и т. д. Система для определения легитимности операции может использовать в своих правилах как транзакционные, так и сессионные активности. Данный подход повышает эффективность не только предотвращения мошенничества, но также может способствовать более удобному и быстрому проведению платежей клиентом и таргетированному распространению рекламы.
Наша компания АО «Кросс Технолоджис» занимается внедрением одной из самых современных и эффективных систем кросс-канального предотвращения мошенничества антифрод-системы IBM Safer Payments (прежнее название IRIS Analytics). Кроме интеграции и настройки системы наши аналитики создают группы правил по согласованию с заказчиком, тестируют их на исторических данных, а самые эффективные запускают в продуктивную среду для выявления. Для достижения максимальной отдачи существует интеллектуальная система генерации правил, где ключевые алгоритмы построены опытными экспертами по распознаванию мошенничества. Система самостоятельно генерирует легко читаемые и изменяемые правила, даже на малом количестве данных. Благодаря возможности гибко настраивать правила и обрабатывать запрос со средним временем обработки запроса не превышающим 25 мс, это является отличным инструментом для предотвращения мошенничества в режиме онлайн в банковской сфере и не только.
Для эффективного противодействия фактам применения социальной инженерии нужен комплексный подход. Недостаточно бороться со стороны банка только при помощи антифрод-системы, необходима работа с клиентами и информирование их, как через СМС сообщения, но также при выдаче карт в момент заключения договоров и обзвонов, в первую очередь, возрастной группы клиентов. Каждый пользователь банка должен знать, что сотрудник никогда не просит сообщить такие данные, как срок действия карты, и, тем более, CVV карты и пароль из смс. И если возникают сомнения в какой-то ситуации при общении с представителями банка, необходимо просто набрать номер телефона, который указан на вашей банковской карте.
Ещё одна из возможных перспективных процедур противодействия - это оперативное оповещение банком эмитентом жертвы, банка эмитента получателя украденных средств и эквайера о проведенной мошеннической транзакции. Так же от банка эмитента мошеннической карты необходима информация о данных держателя карты, но в этом случае закон о персональных данных препятствует обмену такими списками и реализовать всё это законным путем будет крайне сложно. Правда, если все-таки этот процесс осуществить, то может эффективно работать во всех финансово-кредитных организациях принцип «знай своего клиента», что усложнит мошенникам процесс открытия карт/счетов, а также насторожит подставных лиц если они будут знать о последствиях. Помимо закона о персональных данных, на процедуру противодействия мошенническим действиям влияет некорректность идентификации злоумышленников от честных клиентов. Но если предположить возможность создания такого списка и его своевременное обновление, даже в рекомендательной форме, он существенно поможет сократить уровень мошенничества в части социальной инженерии.
АО «Кросс технолоджис»
[1] Греф признал потерю миллиардов рублей из-за искусственного интеллекта
Подробнее на РБК:
https://www.rbc.ru/finances/26/02/2019/5c74f4839a7947501397823f
[2] Путин поручил разработать нацстратегию в области искусственного интеллекта
