Недавно состоялся Уральский форум — 2022 в новой концентрат-форме в Москве. Прошёл обмен мнениями, знаниями по самой разной тематике из области информационной безопасности финансовой сферы. Мнения разные, обсуждения порой очень горячие, но общий настрой приподнятый, боевой.
Я хочу обратиться всего к одному вопросу, который активно и жарко обсуждался на официальных площадках форума, в кулуарах, на стендах, — противодействие операциям без согласия клиентов. Именно так теперь называется борьба с мошенниками. Это довольные разные смыслы, но будем говорить, как учит нас регулятор.
И ВЧЕРА, И СЕГОДНЯ, И ЗАВТРА
По общему мнению участников, попытки обманывать клиентов банков были, есть и будут всегда, пока есть хоть какие-то эквиваленты денежных средств. Защититься от этого полностью невозможно, и универсальных «серебряных пуль» в природе не существует. Тем не менее защита клиентов должна быть, необходимо снижать вероятность операций, имеющих соответствующие признаки, совершенствовать механизмы возврата денежных средств клиентам, тем самым минимизируя риски потерь клиентов.
Очень много разговоров было о сборе данных об окружающей среде, о повышении осведомлённости клиентов и сотрудников банков, телекоммуникационных, страховых, ретейловых и прочих компаний. Были сформулированы новые данности.
Однако...
Если говорить о базовых понятиях, в первую очередь о рисках, то они остаются базовыми, независимо от внешних изменений:
Проблемы, которые надо решать, как говорится, и вчера, и сегодня, и завтра, те же:
Типовые векторы атак:
Основные «усилители» атак, как и сами люди, опять те же:
Наша работа борцов за безопасность платежей, как и раньше, имеет два пути (рис. 1):
Рисунок 1. Работа борцов за безопасность платежей по-прежнему имеет два пути
ТАК ЧТО ЖЕ ПОМЕНЯЛОСЬ?
Так что же поменялось? Чем сегодня отличается от вчера? Предложу свой ответ:
Последнее время при обсуждении проблем СДБО всё сводится либо к психологии клиента (правая ветка), либо к бездействию телекома и банков (левая ветка). При этом задачи противодействия переводам денежных средств в основном решают коллеги из антифрода. А у них не так много доступных технических инструментов. Повышение осведомлённости — отдельная большая задача, о ней скажем пару слов ниже. Давайте попробуем посмотреть, как антифрод выглядит изнутри.
АНТИФРОД ИЗНУТРИ
Как правило, мы не видим непосредственно клиента, не видим его гаджеты, не видим, чем он в данный момент занимается. Мы можем анализировать только электронные следы его действий (рис. 2).
Рисунок 2. Мы можем анализировать только электронные следы действий клиента
Это не полная картина, это только её часть, но она даёт возможность увидеть, какими данными могут располагать системы антифрода. В упрощённом виде данные в этих системах можно условно разделить на две большие группы — сеансовые данные и данные о предыдущей активности клиентов,
Сеансовые данные — геолокация, тип авторизации, время, серийный номер устройства, характеристики программного обеспечения средства платежа, признаки наличия вредоносного ПО, удалённого управления устройством и другие позволяют идентифицировать клиента, авторизовать его право управления денежными средствами. Анализ и использование результатов анализа таких данных позволяет отсечь действия, совершаемые с «чужого» средства платежа, но не более.
Данные о предыдущей активности клиентов могут содержать какие-то временные параметры проведения платежей, обычные суммы, назначения и адреса платежей, типовые места проведения платежей и т. д. Анализ этих данных позволяет сформировать некий типичный профиль поведения клиента и тем самым позволяет выявлять нетипичные платежи и строить какое-то дополнительное реагирование на него.
Очевидно, что в случаях с социальной инженерией, когда клиент сам переводит свои деньги злоумышленнику, этих данных для выявления признаков совершения операции без согласия клиента недостаточно: формально клиент всё переводит сам. И вот здесь необходимы принципиально новые механизмы анализа поведения клиента. Это могут быть характеристики моторики клиента при наборе на клавиатуре или виртуальной клавиатуре данных платежа, особенности использования мыши при вводе данных и им подобных механизмов. И тут встают сразу две технических и масса этико-нормативных проблем: необходимо, во-первых, создавать инструменты сбора подобных данных, а во-вторых, создавать инструменты анализа этих данных, построенных на использовании искусственного интеллекта, с одной стороны, и юридического обеспечения использования ИИ — с другой.
ПРО ОСВЕДОМЛЁННОСТЬ КЛИЕНТОВ
Если обратиться к проблеме повышения осведомлённости, то ситуация выглядит довольно странно (рис. 3).
Рисунок 3. Осведомлённость надо строить с учётом отношения людей к правилам. Принцип Парето
По известному принципу Парето основная масса наших клиентов, и это порядка 80%, абсолютно нормальные люди, которые стараются делать всё правильно и поэтому обычно не создают проблем ни себе, ни банкам. Есть обязательная составляющая около 10% (слева) супергипербезопасников, которые всё знают и всё делают лучше всех, и есть 10% (справа), которым всё всё равно. Наша обычная направленность «повышения осведомлённости» — это те самые 80%, которые проблем не создают, «леваки» эту работу игнорируют, потому что они «лучше знают», а «правакам» это всё равно. Более того, для «праваков» до сих пор срабатывают старые добрые уловки, например, картинка из архива (рис. 4) до сих пор срабатывает, и люди добросовестно вводят свои данные в эту форму.
Рисунок 4. Старая добрая уловка мошенников до сих пор срабатывает
ИТОГИ
Подведём итоги.
И удачи в нелёгкой борьбе за безопасность клиентов!
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных