Ведущий аналитик ИБ ООО «Фродекс» Руслан Фахретдинов в ходе своего выступления на ХХ Международной конференции iFin-2020 рассказал об основных тенденциях в мошеннических схемах и как отследить эти самые схемы.
«Какие тенденции наблюдаются? — начал свое выступление Руслан Фахретдинов. — Во-первых, это уменьшение суммы одного платежа. Если раньше со счетов юриков сдавались платежки свыше 200 тысяч или около 200 тысяч, то сейчас это менее 50 тысяч рублей».
По данным ИБ ООО «Фродекс», со счетов юрлиц денежные средства выводятся в пользу юрлиц и физлиц. Со счетов физиков фиксируется наибольшее количество переводов на электронные кошельки и телефоны, в меньше степени это переводы на физиков. Также Руслан Фахретдинов отметил, что на одного получателя создается не более двух-трех платежек. Что применяется для того, чтобы противостоять этим атакам? Первое — это признаки перевода денежных средств без согласия клиента. Но помимо этого есть еще признаки, которые были выявлены на основе реальных инцидентов.
«Мы мониторим несколько площадок, и через некоторое время после регистрации данные фирмы, как правило, становятся доступны для покупки злоумышленниками. Дата последней мошеннической операции говорит о том, что злоумышленники используют дроппера в течении максимум двух-трех недель, как правило, минимум неделя. Мы можем провести некую дельту и увидеть, что в данном случае порядка 10% от всех ФИДов мы могли детектировать еще задолго до того, как они появились в ФИДах. Это один из источников, который можно использовать даже если у вас используется свой самописный antifraud», — рассказал Руслан Фахретдинов.
По его словам, злоумышленники часто используют нестандартные идентификаторы получателя для того, чтобы обходить antifraud-решения. Например, используется расчетный счет 30232 и получатель физлицо, а перевод осуществляется по договору номер такому-то. Если потом смотреть, то ФИДов по номерам договоров нет, электронных кошельков тоже.
«В одном из случаев перевод осуществляется на счет, в назначении пишется «Пополнение электронного кошелька». Но если пробить БИК банка получателя, то мы увидим, что электронный кошелек специально был создан банком, чтобы отправлять деньги осужденным. Тоже интересная схема», — отметил Руслан Фахретдинов.
Также он назвал еще одну особенность новых мошеннических схем — после кражи денежных средств в банке получателя фирмы-дропперы первого звена создают платежки в пользу налоговой для того, чтобы повысить свой показатель налоговой нагрузки. После этого создают платежки уже в пользу физиков. По словам Руслана Фахретдинова, злоумышленники знают, что в банке получателя, в котором обслуживается дроппер, есть онлайн-контроль, который мог бы затормозить платежки на физиков и не позволил бы обналичить средства.
Отдельно было сказано про несоответствие текста. «При реализации функционала по классификации назначения по видам деятельности для целей финмониторинга мы заметили интересную особенность, что мошеннические платежи с точки зрения antifraud на юрлиц в 85% случаев тоже обладают характеристиками не соответствия назначений ОКЭД деятельности получателя. То есть это тоже можно использовать как допфактор», — заключил Руслан Фахретдинов