2 декабря, 2019, BIS Journal №4(35)/2019

Легкая кавалерия


Карпов Евгений

Начальник отдела информационной безопасности (АО КБ «Хлынов»)

Малые банки ближе к человеку и первыми встают на его защиту.

Предлагаю остановиться на самом остром виде социальной инженерии, задевающем наших клиентов, простых людей. Сегодня почти все пользуются банковскими картами и, казалось бы, имеют достаточный опыт в обращении с ними. Но по-прежнему многие, получив звонок «из банка», доверяют звонящему, представившемуся «Василием из службы безопасности».

По опыту нашего банка, украсть деньги у неискушенного человека достаточно просто – достаточно выудить у него информацию о номере и сроке действия карты, а также код CVC на её обороте. После этого обычно заявляется, что «обнаружена мошенническая операция на 15 000 рублей – для её отмены надо ввести код из СМС». Человек, чуть раньше уже выполнивший несколько указаний мошенников, «на автомате» называет цифры из текстового сообщения и теряет указанную сумму.

 

ТЕХНОЛОГИЯ ОБМАНА

Что же стоит за этой простой, но стабильно работающей и эффективной операцией? Каков ее механизм?

Сегодня это, опять же из опыта нашего банка, хорошо отлаженный бизнес-процесс, где:

  • Четко разделены роли.
  • Продуман сценарий и алгоритм действий. Чаще несколько сценариев.
  • Операторы «на телефоне» прошли обучение и уверенно играют свою роль в соответствии со сценарием.
  • Подготовлены карты и счета для приема денег.
  • Готовые к снятию денежных средств соучастники дежурят у банкоматов.
  • Есть координатор действий.
  • Подготовлен к работе комплекс технических средств для управления звонками и денежными потоками.

Все начинается с подготовки операторов. Они должны легко ориентироваться в сценариях. Как правило, под разные типовые профили жертв используются разные подходы.

Для привлечения «клиентов» часто в ход идут рассылки СМС. Такие сообщения обычно выглядят как информация о списании денежных средств, но, в отличие от настоящих сообщений, в них нет суммы остатка на карте. Чаще используются просто «слепые звонки» с перебором указанного координатором диапазона номеров. Иногда общение с «оператором» предваряет текст, прочитанный роботом. Задача робота – повысить авторитет оператора, а также отфильтровать грамотных людей, которые «не ведутся» и бросают трубку. Такие люди знают, что настоящий сотрудник банка, обзванивающий клиентов, всегда обращается к ним по имени-отчеству. Это самый первый фильтр от звонков мошенников.

Если «клиент повелся», в дело вступает Оператор, представляющийся, как правило, сотрудником службы безопасности (обычно называется самый популярный банк в регионе). Его задача рассказать клиенту, что «деньги вот-вот украдут», и провести его по всем этапам сценария.

Что Оператору важно:

  • Какой банк выпустил карту – от этого зависят лимиты на операции по карте.
  • Номер карты, срок действия, код CVC – нужны для перевода денежных средств.
  • Примерный остаток средств на карте – это позволит украсть максимум без лишних операций.

Интересный факт: при ответе, что на карте «около 100 рублей» – просто вешают трубку.

Обычно сценарии мошеннических схем условно можно разделить на виды:

  • классические переводы с карты на карту;
  • подключение карты к электронному кошельку;
  • сброс пароля в Интернет-банке и отправка переводов от имени жертвы.

В первом случае операции повторяются до тех пор, пока у клиента есть деньги на карте. Во втором и третьем – мошенникам достаточно получить единичный код, чтобы списать все деньги без дополнительных операций.

Для снижения средней суммы ущерба банки выставляют лимиты на операции. Для обхода этого мошенники используют «многоканальный» вывод денег и сразу несколько сервисов перевода с карты на карту (сервисы «не видят» операций друг друга и не могут на основании серии однотипных списаний остановить операции). Все операции осуществляются с учетом типовых лимитов каждого конкретного банка. Где-то это 15 тыс. рублей, а где-то и 500 тыс. по конкретному виду. Обычно предельные суммы намного выше, если клиент осуществляет операции через «свой» Интернет-банк или мобильное приложение.

Интернет-банк удобен не только пользователям, но и мошенникам. Можно увидеть точный остаток денежных средств «жертвы», использовать операции «оплатить услугу», «перевод по реквизитам счета» и даже «закрыть вклад с переводом денежных средств на карту» или «взять экспресс-кредит у Банка».

Главная задача оператора – сформировать денежный поток на карты мошенников, ответственных за обналичивание в банкоматах. Их карты периодически меняются во избежание блокировки «по подозрению». Тут соучастником воров, как это ни парадоксально, является финтех. Дело в том, что банки не видят получателей денежных средств по переводам своих клиентов (за исключением операций в Интернет-банке). Существующая система банк-сервис-банк проигрывает мошенникам в оперативности. Поскольку данные получателя банк отправителя не видит, а видит сервис, то и заблокировать карту мошенника может только банк-эмитент такой карты. То есть, чтобы добраться до получателя денег, нужно сделать минимум два последовательных запроса.

 

СРЕДНЯЯ ТЕМПЕРАТУРА ПО БОЛЬНИЦЕ

Сегодня банки предоставляют информацию об инцидентах в ФинЦЕРТ Банка России в режиме почти реального времени. Подавляющее число инцидентов связаны с пластиковыми картами. Официальная сводная статистика публична, любой может ознакомиться с ней на сайте БР.

Направляя информацию в ФинЦЕРТ, банки видят регистрационный номер своего инцидента. По нему можно судить о числе инцидентов на момент регистрации. В обычный день получается около 4 тыс. инцидентов, но счетчик может быть и больше (видели более 12 тыс.), и меньше – в зависимости от времени дня, активности злоумышленников и банков. Для прогноза возьмем значение 4 тыс. инцидентов в рабочий день.

Предположим, в квартале 60 дней, активность в выходные учитывать не будем, техническими сообщениями, участвующими в том же счетчике, также пренебрежем – их мало. Результат на Рисунке 1.

Рисунок 1. Цифры 2019 года – это близкая к нижней границе информация о числе инцидентов с пластиковыми картами

 

Цифры 2019 года – это не всплеск, это просто близкая к нижней границе информация о числе инцидентов с пластиковыми картами. Каждый наш клиент, получая письменный ответ на своё сообщение о действиях мошенников, видит регистрационный номер своего инцидента в Банке России и инструкцию по его использованию правоохранительными органами. Данный прогноз не претендует на абсолютную точность, но очень хорошо показывает и смену методологии Банка России и высокую «среднюю температуру по больнице».

 

ПРОБЛЕМА СЕРВИСОВ

Кто-то может купить навороченную систему антифрода, а кто-то просто грамотно настраивает систему лимитов (ограничение максимального ущерба от операций мошенников в рамках какого-то их сценария). Что мешает работе таких систем? Желание клиентов полной свободы в своих операциях и любовь к использованию первых попавшихся сервисов.

Надо понимать, что для банка важен вопрос удобства клиентов. Как, например, человеку отправить другу 10 тыс. руб. при лимите 8 тыс.? Пока клиент выбирает вариант «вбить в поисковик и щелкнуть по первой ссылке» для совершения любого платежа, мы получаем множество сервисов и невозможность сильно снизить сумму лимита на операцию. Банки постоянно дорабатывают свои мобильные приложения, делают свои Интернет-банки удобнее, но человеческая лень делает своё черное дело. Для такого левого сервиса конкретный клиент – как песчинка – абсолютно незаметен. Возник и пропал, а доход сервиса в виде комиссии, как с мошенников, так и с обычных пользователей, одинаков. С сервисами электронных кошельков и виртуальных карт сложнее, но как инструмент приема платежей при переадресации они активно используются мошенниками.

 

КАК БОРОТЬСЯ?

К сожалению, законодательная основа для оперативной борьбы отсутствует. Борьба опирается на сами банки, их работу с клиентами и готовность операторов связи реагировать на обращения банков с просьбой прекратить работу мошенников.

Чтобы обезопасить своих клиентов мы выбрали комплексный подход:

  • снизили лимиты на рискованные для клиента операции (при возможности увеличить их в офисе банка или удаленно);
  • добавили механизмы защиты, реагирующие на типовые сценарии мошенников;
  • добиваемся 100% информирования клиентов о действиях мошенников, о мерах безопасности. Даже делали «ковровые» рассылки СМС с предупреждениями для клиентов в самые напряженные моменты;
  • постоянно публикуем актуальные предупреждения для клиентов везде, где это возможно. Даже вывешиваем их на «первый показ» на странице входа в интернет-банк (при всплесках активности мошенников);
  • любой звонок в Информационный центр банка с сообщением о мошенниках используется для противодействия мошенникам.

Эффект есть! Мы не победили, но снизили в разы число пострадавших и сумму ущерба для каждого клиента. Своеобразный рекорд: «бригада» мошенников 1,5-2 часа «водила» клиента по различным способам хищения его денежных средств – и всё с нулевым результатом.

Но главное – это повышение грамотности клиентов. На наш взгляд, самое простое – это Стоп-Вопросы. Т.е. услышали в разговоре с «сотрудником» банка хотя бы один пункт, сразу повесьте трубку.

Стоп-Вопросы

  • Звонящий не знает ваше имя и отчество.
  • Просит назвать полный номер карты (можно 2-4 последние цифры).
  • Просит назвать срок действия карты.
  • Просит назвать CVC код (под любым названием код с оборотной стороны карты).
  • Просит назвать код из СМС.
  • Просит сделать «тестовый платеж».
  • Спрашивает о наличии у вас карт других банков.
  • Спрашивает об остатке денежных средств на карте, даже примерно.
  • Переключает вас на «службу безопасности другой организации».
  • Просит вас сделать какую-то манипуляцию, смысл которой вам не понятен.

Из неожиданного. Фантазия у мошенников работает плохо: «Объединенная служба безопасности всех коммерческих банков», «Служба безопасности Хлыновского Центробанка»...

 

БАНК ДЛЯ ЧЕЛОВЕКА

У малых банков есть свои минусы. Нас мало, и мы не можем позволить себе «систему антифрода с искусственным интеллектом и космическими технологиями», не можем присутствовать на всех тематических конференциях…

Но есть и плюсы. Мы очень легки на подъем:

  • мы можем подвинуть баннер с продажей новой линейки кредитов в пользу предупреждения об активности мошенников;
  • за пару часов согласовать публикации в социальных сетях и сделать рассылку СМС по самым уязвимым клиентам;
  • просто за 5 минут разработать и запустить новый шаблон реагирования на инциденты, которые только что возникли;
  • немного снизить лимит по операциям в выходной день, сделав его ниже «первой попытки» мошенников, которые активизировались в пятницу;
  • индивидуально отработать каждое обращение клиента по сложным случаям, предложив человеку варианты решения проблем;
  • просто разобрать для клиента какие-то операции, по которым у него есть вопросы, с изучением правил используемого им финансового сервиса – то, чего никогда не сделают в крупном банке;
  • для нас два похожих эпизода – это УЖЕ СЕРИЯ: разбираем, оцениваем, принимаем меры.

Мы видим и слышим каждого нашего клиента, а не безликую массу.

 

Смотрите также

GENERATION V

30 августа, 2019

Безбумажный банк

1 августа, 2019
Подпишись на новости!
Подписаться