Антифрод-системы в 2021 году. Практические кейсы и тренды использования
«Фокусник», Иероним Босх
Сергей Парфенов, технический директор компании «Фаззи Лоджик Лабс», о современных видах мошенничества в сегменте финансового обслуживания, способах противодействия и преимуществах кросс-канальных антифрод-систем.
Немного истории развития антифрода в России
Развитие антифрод-систем в России, как и на мировом рынке, проходило постепенно. Катализаторами этого процесса служили, как правило, зафиксированные фрод-инциденты.
Изначально средства похищались со счетов частных лиц, но в период с 2008 по 2010 год начался бурный рост числа крупных денежных хищений и у юридических лиц. Тогда мошенники научились копировать файлы, содержащие ключи электронной цифровой подписи.
В 2014–2015 годах банки подверглись масштабной атаке банковского трояна Lurk.
С течением времени антифрод-системы расширяли свое действие от интернет-банка и мобильных приложений до защиты операций с банковскими картами, от розничного клиента до корпоративного, от противодействия небольшим точечным атакам к противостоянию организованным группам мошенников, задействовавших дропперов и занимавшихся хищением данных.
Росла и менялась со временем потребность в антифроде и у финансовых институтов.
Если 12 лет назад существовало мнение, что «банк потерь не несет» и «точечные мошеннические атаки очень редки» — т. е. фрод считался проблемой клиента, а не банка, — то в настоящее время уже сформировалась потребность в онлайн кросс-канальной антифрод-системе, которая может решать задачи и выявлять мошеннические схемы, которые начинаются в одном канале и заканчиваются в другом.
Развитие антифрод-систем в России, как и на мировом рынке, проходило постепенно. Катализаторами этого процесса служили, как правило, зафиксированные фрод-инциденты.
Изначально средства похищались со счетов частных лиц, но в период с 2008 по 2010 год начался бурный рост числа крупных денежных хищений и у юридических лиц. Тогда мошенники научились копировать файлы, содержащие ключи электронной цифровой подписи.
В 2014–2015 годах банки подверглись масштабной атаке банковского трояна Lurk.
С течением времени антифрод-системы расширяли свое действие от интернет-банка и мобильных приложений до защиты операций с банковскими картами, от розничного клиента до корпоративного, от противодействия небольшим точечным атакам к противостоянию организованным группам мошенников, задействовавших дропперов и занимавшихся хищением данных.
Росла и менялась со временем потребность в антифроде и у финансовых институтов.
Если 12 лет назад существовало мнение, что «банк потерь не несет» и «точечные мошеннические атаки очень редки» — т. е. фрод считался проблемой клиента, а не банка, — то в настоящее время уже сформировалась потребность в онлайн кросс-канальной антифрод-системе, которая может решать задачи и выявлять мошеннические схемы, которые начинаются в одном канале и заканчиваются в другом.
Современные тренды использования антифрода
Во время пандемии увеличился объем безналичных платежей, соответственно, выросла и мошенническая активность, связанная с ними.
Во время пандемии увеличился объем безналичных платежей, соответственно, выросла и мошенническая активность, связанная с ними.
Социальная инженерия
«Social engineering» или «атака на человека» — это совокупность психологических и социологических приемов, методов и технологий, которые позволяют получить конфиденциальную информацию.
«Social engineering» или «атака на человека» — это совокупность психологических и социологических приемов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Социальная инженерия: общая схема
В период пандемии COVID-19 социальная инженерия по-прежнему занимает первое место среди угроз мошенничества в банковском секторе и платежной индустрии.
Сейчас самый популярный вид социальной инженерии — самопереводы, когда мошенник звонит жертве, требует «срочно закрыть депозит», «срочно оформить кредит», «срочно сделать перевод родственникам» и т. п.
При этом мошеннические звонки стали более подготовленными и «злыми», а злоумышленники стали применять методы психологического давления, более разнообразные и изощренные инструменты фишинга.
В телефонном разговоре мошенники используют «претекстинг» (pretexting) — так называют вид атаки, в ходе которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию узнает конфиденциальную информацию.
Так, используя метод претекстинга, злоумышленник представляется выдуманной личностью, озвучивает известную информацию о жертве (коллегах или компании), постепенно увеличивает серьезность просьб. Основная суть метода — вызвать доверие, сочувствие: «нужно срочно помочь», «срочно решить какую-либо задачу» и т. п.
Как противодействовать такому виду мошеннической активности?
С одной стороны, нельзя ухудшить платежный сервис для клиента банка, а с другой — нужно сделать этот сервис надежным и защитить от мошенников.
Основная задача — «знать своего клиента», «know your Customer», — нужно собирать всю информацию о клиенте в целом и о его операциях и устройствах. Например, ведет ли он операции в онлайн-банкинге и при этом совершает активный звонок, то есть находится под давлением, есть ли сессия удаленного управления… Если клиент совершает операцию в банкомате, необходима информация обо всех атрибутах этих действий.
Вторая основная задача — комбинация двух подходов: «model based» и «ruled based». Это сочетание эффективно снижает ложные срабатывания и позволяет точечно работать с шаблонами известных кибератак. «Model based подход», то есть использование алгоритмов машинного обучения, позволяет комбинировать новые атрибуты-свойства клиента, чтобы выявить новые виды атак, отличить типичное поведение от нетипичного, не узнавая при этом, что это за модель атак. Зная своего клиента, все его атрибуты, маркеры мошеннических транзакций, легко выявить, насколько данная операция является критичной, подозрительной, и, как результат, эту транзакцию нужно приостановить, отклонить или исполнить.
Сейчас самый популярный вид социальной инженерии — самопереводы, когда мошенник звонит жертве, требует «срочно закрыть депозит», «срочно оформить кредит», «срочно сделать перевод родственникам» и т. п.
При этом мошеннические звонки стали более подготовленными и «злыми», а злоумышленники стали применять методы психологического давления, более разнообразные и изощренные инструменты фишинга.
В телефонном разговоре мошенники используют «претекстинг» (pretexting) — так называют вид атаки, в ходе которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию узнает конфиденциальную информацию.
Так, используя метод претекстинга, злоумышленник представляется выдуманной личностью, озвучивает известную информацию о жертве (коллегах или компании), постепенно увеличивает серьезность просьб. Основная суть метода — вызвать доверие, сочувствие: «нужно срочно помочь», «срочно решить какую-либо задачу» и т. п.
Как противодействовать такому виду мошеннической активности?
С одной стороны, нельзя ухудшить платежный сервис для клиента банка, а с другой — нужно сделать этот сервис надежным и защитить от мошенников.
Основная задача — «знать своего клиента», «know your Customer», — нужно собирать всю информацию о клиенте в целом и о его операциях и устройствах. Например, ведет ли он операции в онлайн-банкинге и при этом совершает активный звонок, то есть находится под давлением, есть ли сессия удаленного управления… Если клиент совершает операцию в банкомате, необходима информация обо всех атрибутах этих действий.
Вторая основная задача — комбинация двух подходов: «model based» и «ruled based». Это сочетание эффективно снижает ложные срабатывания и позволяет точечно работать с шаблонами известных кибератак. «Model based подход», то есть использование алгоритмов машинного обучения, позволяет комбинировать новые атрибуты-свойства клиента, чтобы выявить новые виды атак, отличить типичное поведение от нетипичного, не узнавая при этом, что это за модель атак. Зная своего клиента, все его атрибуты, маркеры мошеннических транзакций, легко выявить, насколько данная операция является критичной, подозрительной, и, как результат, эту транзакцию нужно приостановить, отклонить или исполнить.
Социальная инженерия: Фишинг
Фишинг (phishing, от fishing — «рыбалка») — вид интернет-мошенничества, когда злоумышленники пытаются получить личные данные пользователя, используя его невнимательность.
Во время пандемии COVID-19 и в преддверии любых праздничных распродаж вместе со всей e-commerce отраслью активизировались мошенники: они регистрируют сотни фишинговых доменов, имитирующих магазины популярных брендов. Используя такие сайты-клоны, аферисты могут получать доступ к личным банковским картам пользователей, а потом обнулять их счета или получать деньги за товар, существующий только на страницах липового сайта.
В данном случае огромную значимость с точки зрения профилирования клиента («знай своего клиента») дает расширение протокола 3-D Secure до версии 2.0. Этот протокол предлагает больше информации о клиенте и совершаемой покупке, тем самым легче предположить, является ли эта операция типичной для данного клиента или нет. Дальше можно типовые покупки пропускать, а нетиповые приостанавливать или проверять их как операции повышенного риска.
Фишинг (phishing, от fishing — «рыбалка») — вид интернет-мошенничества, когда злоумышленники пытаются получить личные данные пользователя, используя его невнимательность.
Во время пандемии COVID-19 и в преддверии любых праздничных распродаж вместе со всей e-commerce отраслью активизировались мошенники: они регистрируют сотни фишинговых доменов, имитирующих магазины популярных брендов. Используя такие сайты-клоны, аферисты могут получать доступ к личным банковским картам пользователей, а потом обнулять их счета или получать деньги за товар, существующий только на страницах липового сайта.
В данном случае огромную значимость с точки зрения профилирования клиента («знай своего клиента») дает расширение протокола 3-D Secure до версии 2.0. Этот протокол предлагает больше информации о клиенте и совершаемой покупке, тем самым легче предположить, является ли эта операция типичной для данного клиента или нет. Дальше можно типовые покупки пропускать, а нетиповые приостанавливать или проверять их как операции повышенного риска.
Электронная коммерция: расширение протокола 3-D Secure до версии 2.x
Мошенничество со стороны персонала
На сегодняшний день в финансовых организациях хорошо защищены с точки зрения передачи данных базы данных, серверы и сети. Однако нужно понимать, что знания, которые хранятся у сотрудника в голове, достаточно сложно защитить. Это, по сути, та чувствительная информация, к которой имеет доступ сотрудник, — персональные и финансовые данные.
Поскольку число сотрудников на удаленке все увеличивается, мы не всегда можем сказать, кто в настоящий момент — сотрудник или нет — находится за рабочим компьютером, который получил доступ к персональным данным и может выполнять финансовые операции.
На сегодняшний день в финансовых организациях хорошо защищены с точки зрения передачи данных базы данных, серверы и сети. Однако нужно понимать, что знания, которые хранятся у сотрудника в голове, достаточно сложно защитить. Это, по сути, та чувствительная информация, к которой имеет доступ сотрудник, — персональные и финансовые данные.
Поскольку число сотрудников на удаленке все увеличивается, мы не всегда можем сказать, кто в настоящий момент — сотрудник или нет — находится за рабочим компьютером, который получил доступ к персональным данным и может выполнять финансовые операции.
Внутреннее мошенничество: мониторинг сотрудников
В данном случае есть определенные данные, которые можно детектировать при таком виде мошенничества. Все современные компьютеры оснащены камерами и микрофонами. Когда сотрудник начинает работу с чувствительными данными, необходимо иметь возможность детектировать доступ к незаблокированным устройствам, реагировать на фотографирование, чтение с экрана и операции под принуждением третьих лиц. При этом нельзя передавать, записывать и фиксировать персональные данные самого сотрудника.
Для того чтобы идентифицировать, сотрудник или мошенник использует рабочую станцию, можно анализировать эмоциональное состояние человека: типичное это состояние или нетипичное, а также фиксировать такие объекты, как телефон и другие устройства для фотографирования экрана. В данном случае на серверную часть передаются только вектора — цифры, и никаких персональных данных сотрудников.
Обогащение антифрод-системы такой информацией позволяет проверять не только сотрудника, но и последующие финансовые операции с этой рабочей станции. Так, например, если открыта карточка сотрудника в банковской системе и детектируется фотографирование экрана или фиксируется третье лицо, то потенциально последующий платеж-операция может быть опасным, так как есть вероятность, что произошло хищение данных.
Для того чтобы идентифицировать, сотрудник или мошенник использует рабочую станцию, можно анализировать эмоциональное состояние человека: типичное это состояние или нетипичное, а также фиксировать такие объекты, как телефон и другие устройства для фотографирования экрана. В данном случае на серверную часть передаются только вектора — цифры, и никаких персональных данных сотрудников.
Обогащение антифрод-системы такой информацией позволяет проверять не только сотрудника, но и последующие финансовые операции с этой рабочей станции. Так, например, если открыта карточка сотрудника в банковской системе и детектируется фотографирование экрана или фиксируется третье лицо, то потенциально последующий платеж-операция может быть опасным, так как есть вероятность, что произошло хищение данных.
Мошенничество с бонусными системами и картами лояльности
Бонусные системы давно стали популярными в рознице, на сетевых заправках и в авиакомпаниях. При этом финансовая организация может быть экосистемой с разными компаниями, в том числе и с розничными, а также предлагать сложные схемы начисления бонусов как внутри группы, так и своим партнерам.
Сложность детектирования таких мошеннических схем состоит в том, что накопление бонусов может происходить в одной компании, а их вывод — в другой. Поскольку бонусы — это не денежные средства, то хищений денежных средств клиента при этом не происходит, а регистрируется только вывод бонусов и потери компании, которая продает товар за бонусы, а не за денежные средства. Это особенно важно для таких компаний, которые продают товар полностью 100% за бонусы.
Бонусные системы давно стали популярными в рознице, на сетевых заправках и в авиакомпаниях. При этом финансовая организация может быть экосистемой с разными компаниями, в том числе и с розничными, а также предлагать сложные схемы начисления бонусов как внутри группы, так и своим партнерам.
Сложность детектирования таких мошеннических схем состоит в том, что накопление бонусов может происходить в одной компании, а их вывод — в другой. Поскольку бонусы — это не денежные средства, то хищений денежных средств клиента при этом не происходит, а регистрируется только вывод бонусов и потери компании, которая продает товар за бонусы, а не за денежные средства. Это особенно важно для таких компаний, которые продают товар полностью 100% за бонусы.
В этом случае можно рассматривать три основных направления мошенничества:
- Мошенничество хакеров. Распространенный рабочий метод злоумышленников — социальная инженерия. Мошенник получает учетные данные, регистрирует аккаунт и использует бонусы, которые накапливаются и которыми не пользуется клиент.
- Мошенничество недобросовестных сотрудников. Этот вид мошенничества в основном присутствует в партнерской схеме, когда начисляют бонусы друзьям, своим знакомым, фейковым клиентам, а потом обналичивают их либо сами, либо с привлечением других мошенников.
- Мошенничество недобросовестных клиентов. Мошенники используют систему бонусирования, чтобы выгодно приобретать товары или производить покупку без использования денежных средств. Также могут вести избыточную социальную активность для получения еще большего числа бонусов. Одной из распространенных мошеннических схем является покупка товара с начислением бонусов с последующей покупкой другого товара за те же бонусы и возвратом первоначального товара.
Антифрод-системы — умный контроль на уровне бизнеса
В случае кросс-канального антифрода банк получает и реагирует онлайн на все операции из всех банковских систем, и это дает возможность создавать один большой профиль клиента, что очень важно с точки зрения концепции «знай своего клиента».
Для выявления случаев мошенничества антифрод-система сегментирует клиента, а также получает сессионную информацию: кто, когда, какие действия, в каком регионе, в какое время выполнял, какие обороты и т. п. С одной стороны, это позволяет эффективно выявлять мошеннические атаки, типичное и нетипичное поведение пользователя, а с другой стороны, выявленное типичное поведение позволяет предлагать таргетированные услуги, поскольку точно известно, что пользователь, приобретая товар в определенном регионе в течение периода на определенные обороты, может рассмотреть и другую услугу, так как другие клиенты этой услугой уже пользовались. Дополнительно для этого можно также использовать аналитику банка или партнерской схемы по заданным параметрам.
В случае кросс-канального антифрода банк получает и реагирует онлайн на все операции из всех банковских систем, и это дает возможность создавать один большой профиль клиента, что очень важно с точки зрения концепции «знай своего клиента».
Для выявления случаев мошенничества антифрод-система сегментирует клиента, а также получает сессионную информацию: кто, когда, какие действия, в каком регионе, в какое время выполнял, какие обороты и т. п. С одной стороны, это позволяет эффективно выявлять мошеннические атаки, типичное и нетипичное поведение пользователя, а с другой стороны, выявленное типичное поведение позволяет предлагать таргетированные услуги, поскольку точно известно, что пользователь, приобретая товар в определенном регионе в течение периода на определенные обороты, может рассмотреть и другую услугу, так как другие клиенты этой услугой уже пользовались. Дополнительно для этого можно также использовать аналитику банка или партнерской схемы по заданным параметрам.
Вместо заключения
Вне всяких сомнений, банковский сектор сейчас должен объединиться для борьбы с мошенничеством: появляются новые мошеннические атаки, они фиксируются, возникает понимание, какую атрибутику-характеристики нужно собирать, какие политики использовать. Схемы вывода денежных средств работают по определенным цепочкам, и существует ряд атрибутов-характеристик мошеннических транзакций, которые актуальны в короткий промежуток времени (минуты, часы). Поэтому важно создавать и пользоваться общими реестрами данных, обмениваться знаниями и компетенциями.
При этом обмен такими данными в онлайне может сократить время для фиксации мошеннических операций и способствовать более эффективному противодействию мошенничеству.
Вне всяких сомнений, банковский сектор сейчас должен объединиться для борьбы с мошенничеством: появляются новые мошеннические атаки, они фиксируются, возникает понимание, какую атрибутику-характеристики нужно собирать, какие политики использовать. Схемы вывода денежных средств работают по определенным цепочкам, и существует ряд атрибутов-характеристик мошеннических транзакций, которые актуальны в короткий промежуток времени (минуты, часы). Поэтому важно создавать и пользоваться общими реестрами данных, обмениваться знаниями и компетенциями.
При этом обмен такими данными в онлайне может сократить время для фиксации мошеннических операций и способствовать более эффективному противодействию мошенничеству.
Контакты