Антифрод сегодня заметно отличается от антифрода вчера

BIS Journal №3(46)/2022

10 августа, 2022

Антифрод сегодня заметно отличается от антифрода вчера

Недавно состоялся Уральский форум — 2022 в новой концентрат-форме в Москве. Прошёл обмен мнениями, знаниями по самой разной тематике из области информационной безопасности финансовой сферы. Мнения разные, обсуждения порой очень горячие, но общий настрой приподнятый, боевой.

Я хочу обратиться всего к одному вопросу, который активно и жарко обсуждался на официальных площадках форума, в кулуарах, на стендах, — противодействие операциям без согласия клиентов. Именно так теперь называется борьба с мошенниками. Это довольные разные смыслы, но будем говорить, как учит нас регулятор.

 

И ВЧЕРА, И СЕГОДНЯ, И ЗАВТРА

По общему мнению участников, попытки обманывать клиентов банков были, есть и будут всегда, пока есть хоть какие-то эквиваленты денежных средств. Защититься от этого полностью невозможно, и универсальных «серебряных пуль» в природе не существует. Тем не менее защита клиентов должна быть, необходимо снижать вероятность операций, имеющих соответствующие признаки, совершенствовать механизмы возврата денежных средств клиентам, тем самым минимизируя риски потерь клиентов.

Очень много разговоров было о сборе данных об окружающей среде, о повышении осведомлённости клиентов и сотрудников банков, телекоммуникационных, страховых, ретейловых и прочих компаний. Были сформулированы новые данности.

Однако...

Если говорить о базовых понятиях, в первую очередь о рисках, то они остаются базовыми, независимо от внешних изменений:

  • финансовые потери клиента;
  • финансовые потери банка;
  • снижение рейтинга банка;
  • запрет на проведение операций с использованием систем ДБО;
  • массовый отток клиентов;
  • осложнение отношений с регулятором и т. д.

 

Проблемы, которые надо решать, как говорится, и вчера, и сегодня, и завтра, те же:

  • проведение платежа без согласия клиента — это операция мошенническая или просто?
  • что такое признаки операции без согласия клиента в случаях атаки типа «социальная инженерия»?
  • как реагировать на появление признаков операции без согласия клиентов при онлайн-платежах, ведь это ещё не мошенническая операция?
  • какова юридическая значимость заключений ИИ?

 

Типовые векторы атак:

  • атаки на инфраструктуру проведения платежей;
  • атаки на программное обеспечение СДБО;
  • атаки на клиентов с использованием социнженерии;
  • атаки на сотрудников банка также с использованием социнженерии.

 

Основные «усилители» атак, как и сами люди, опять те же:

  • страх;
  • жадность;
  • любопытство;
  • недостаток осведомлённости и психологической устойчивости «клиента».

 

Наша работа борцов за безопасность платежей, как и раньше, имеет два пути (рис. 1):

  • внедрение средств сбора и анализа средств платежа клиента и создание поведенческих профилей клиентов на основе ИИ для принятия решения о проведении платежа;
  • повышение осведомлённости клиентов по всем возможным каналам.

Рисунок 1. Работа борцов за безопасность платежей по-прежнему имеет два пути

 

ТАК ЧТО ЖЕ ПОМЕНЯЛОСЬ?

Так что же поменялось? Чем сегодня отличается от вчера? Предложу свой ответ:

  • повысилась общая тревожность общества, что помогает мошенникам иметь всё время постоянную актуальную тематику для атаки;
  • постоянно меняются между собой весовые составляющие разных видов атак;
  • в социальной инженерии очень быстро меняются темы «разговора» при остающихся прежних схемах атаки;
  • отключились/переключились многие зарубежные «колл-центры»;
  • возникли некоторые технические проблемы непосредственно с самими удалёнными каналами взаимодействия с клиентами, осложнились вопросы обеспечения доверия в каналах взаимодействия;
  • мобильный банк всё чаще частично «возвращается» в интернет-банк;
  • возросли риски отключения зарубежных облачных сервисов, используемых как для проведения платежей, так и для их контроля;
  • для ряда банков работа финмониторинга стала «врастать» в антифрод;
  • постоянно расширяется функциональность СБП, которая требует оперативной доработки мобильных сервисов в СДБО;
  • недостаточно быстро внедряется технология 3DS 2.0 в эквайринге.

 

Последнее время при обсуждении проблем СДБО всё сводится либо к психологии клиента (правая ветка), либо к бездействию телекома и банков (левая ветка). При этом задачи противодействия переводам денежных средств в основном решают коллеги из антифрода. А у них не так много доступных технических инструментов. Повышение осведомлённости — отдельная большая задача, о ней скажем пару слов ниже. Давайте попробуем посмотреть, как антифрод выглядит изнутри.

 

АНТИФРОД ИЗНУТРИ

Как правило, мы не видим непосредственно клиента, не видим его гаджеты, не видим, чем он в данный момент занимается. Мы можем анализировать только электронные следы его действий (рис. 2).

Рисунок 2. Мы можем анализировать только электронные следы действий клиента

 

Это не полная картина, это только её часть, но она даёт возможность увидеть, какими данными могут располагать системы антифрода. В упрощённом виде данные в этих системах можно условно разделить на две большие группы — сеансовые данные и данные о предыдущей активности клиентов,

Сеансовые данные — геолокация, тип авторизации, время, серийный номер устройства, характеристики программного обеспечения средства платежа, признаки наличия вредоносного ПО, удалённого управления устройством и другие позволяют идентифицировать клиента, авторизовать его право управления денежными средствами. Анализ и использование результатов анализа таких данных позволяет отсечь действия, совершаемые с «чужого» средства платежа, но не более.

Данные о предыдущей активности клиентов могут содержать какие-то временные параметры проведения платежей, обычные суммы, назначения и адреса платежей, типовые места проведения платежей и т. д. Анализ этих данных позволяет сформировать некий типичный профиль поведения клиента и тем самым позволяет выявлять нетипичные платежи и строить какое-то дополнительное реагирование на него.

Очевидно, что в случаях с социальной инженерией, когда клиент сам переводит свои деньги злоумышленнику, этих данных для выявления признаков совершения операции без согласия клиента недостаточно: формально клиент всё переводит сам. И вот здесь необходимы принципиально новые механизмы анализа поведения клиента. Это могут быть характеристики моторики клиента при наборе на клавиатуре или виртуальной клавиатуре данных платежа, особенности использования мыши при вводе данных и им подобных механизмов. И тут встают сразу две технических и масса этико-нормативных проблем: необходимо, во-первых, создавать инструменты сбора подобных данных, а во-вторых, создавать инструменты анализа этих данных, построенных на использовании искусственного интеллекта, с одной стороны, и юридического обеспечения использования ИИ — с другой.

 

ПРО ОСВЕДОМЛЁННОСТЬ КЛИЕНТОВ

Если обратиться к проблеме повышения осведомлённости, то ситуация выглядит довольно странно (рис. 3).

Рисунок 3. Осведомлённость надо строить с учётом отношения людей к правилам. Принцип Парето

 

По известному принципу Парето основная масса наших клиентов, и это порядка 80%, абсолютно нормальные люди, которые стараются делать всё правильно и поэтому обычно не создают проблем ни себе, ни банкам. Есть обязательная составляющая около 10% (слева) супергипербезопасников, которые всё знают и всё делают лучше всех, и есть 10% (справа), которым всё всё равно. Наша обычная направленность «повышения осведомлённости» — это те самые 80%, которые проблем не создают, «леваки» эту работу игнорируют, потому что они «лучше знают», а «правакам» это всё равно. Более того, для «праваков» до сих пор срабатывают старые добрые уловки, например, картинка из архива (рис. 4) до сих пор срабатывает, и люди добросовестно вводят свои данные в эту форму.

Рисунок 4. Старая добрая уловка мошенников до сих пор срабатывает

 

ИТОГИ

Подведём итоги.

  • Новые проблемы всегда создают новые возможности, и это обязательное условие успешного развития отрасли, они заставляют нас искать и находить новые решения, использовать самые передовые технологии.
  • Во главе любых видов атак всегда стоит экономика методов, поэтому методы борьбы со злоумышленниками должны в первую очередь иметь экономическую основу, поэтому внедрение систем технической защиты периметра банковской организации, систем антифрод-мониторинга должны быть категорией «must have». При этом надо понимать, что внедрение таких систем — не панацея, а лишь бэкграунд системы безопасности СДБО.
  • Настало время активно переходить на отечественные системы антифрода, и они непросто есть, но стали даже круче импортных.
  • Обязательным условием успешной борьбы с мошенничеством в СДБО является постоянное совершенствование систем авторизации пользователей на основе постоянного расширения параметров аутентификации (системы анализа данных гаджетов клиентов на самые разные fingerprint, включая сим-карту, сам гаджет, его ПО, режимы работы, данные СП при веб-версиях ДБО), в том числе с использованием систем поведенческого анализа клиента на основе ИИ, что также серьёзно поможет выявлению случаев самопереводов.
  • Обязательно внедрять механизмы дополнительного подтверждения при превышении уровня риска платежа.
  • Совершенствовать системы выявления и пресечения деятельности «дропов» на основе решений ФинЦерт и антифрода НСПК, формировать российские облачные сервисы.
  • Совершенствование систем контроля и защиты от утечек банковских и клиентских данных в самих банках, компаниях, обрабатывающих такие данные.

 

И удачи в нелёгкой борьбе за безопасность клиентов!

Смотрите также

25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»
23.09.2022
Хакеры по сравнению с производителями зарубежного ПО — это безобидная история
23.09.2022
ФСТЭК России в ближайшее время выпустит методики оценки критичности уязвимостей и тестирования обновлений
23.09.2022
«Газпромбанк» на очереди?
22.09.2022
Целью HR-мошенников может быть включение устройства соискателя в ботнет-сеть