Финансовая сфера

Банковское обозрение


13.04.2021 FinRetailFinSecurityАналитика
Безопасность операций в СБП или выполнение требований НСПК?

Согласно данным с официального сайта СБП, уже более 200 финансовых организаций подключились к этому сервису. Популярность СБП постоянно растет: например, ЦБ обнародовал цель о переводе четверти межбанковских переводов на данный сервис к 2023 году. Естественно, что система, через которую проходит значительный объем транзакций (в конце прошлого года через СБП было выполнено 87 млн переводов общим объемом 643 млрд рублей), интересна злоумышленникам


Зачем защищать платежи через СБП?

Первый официально зарегистрированный подразделением ЦБ ФинЦЕРТ инцидент произошел во второй половине 2020 года. Кратко схема мошенничества выглядела так:

  • уязвимости одной из информационных систем банка, участника СБП, позволили злоумышленнику получить данные счетов клиентов;
  • затем, запустив мобильное приложение банка в режиме отладкиз и авторизовавшись в системе ДБО, в момент отправки запроса на перевод средств в другой банк он подменил данные, указав в качестве счета отправителя счет другого клиента этого банка;
  • в результате система ДБО, не проверив принадлежность счета отправителя авторизовавшемуся пользователю, выполнила перевод и сняла деньги со счета другого клиента банка.

Хотя данный инцидент стал возможен благодаря уязвимости системы ДБО конкретно банка, а не сервиса СБП в целом, он показал, что злоумышленники будут постоянно искать возможности обойти системы безопасности сервиса для совершения хищений денег клиентов финансовых организаций.

Какие меры предпринял НСПК?

Понимая все риски, НСПК, которая является операционным и платежным клиринговым центром СБП, выпустила Стандарт ОПКЦ СБП «Порядок проведения мероприятий по противодействию». Документ описывает как организационную, так и техническую составляющую мероприятий по противодействию мошенничеству с использованием сервиса СБП. Ключевыми элементами технических требований Стандарта являются: Индикатор подозрительной операции банка-плательщика и Индикатор подозрительной операции банка-получателя. Вся логика процесса выявлений и обработки мошеннических транзакций строится на базе оценки значений этих индикаторов. При этом, согласно Стандарту, индикаторы должны вычисляться и заполняться информационными системами банков — участников СБП. 

С технической точки зрения индикаторы — это векторы с 16 элементами (классы мониторинга), где каждый класс характеризует определенный признак мошеннической операции и принимает значение от 0 до 9:

  • 0 — отсутствие признака;
  • 1–3 — низкий уровень подозрительности;
  • 5-6 — средний уровень подозрительности; 
  • 7-8 — высокий уровень подозрительности;
  • 9 — подтверждено наличие признака мошенничества (транзакция будет отклонена). 

На рис. 1 представлен Индикатор подозрительной операции банка-плательщика, а на рис. 2 — Индикатор подозрительной операции банка-получателя.

Рис. 1. Индикатор подозрительной операции банка-плательщика и пример заполнения признаков

Рис. 1. Индикатор подозрительной операции банка-плательщика и пример заполнения признаков

Рис. 2. Индикатор подозрительной операции банка-получателя и пример заполнения признаков

Рис. 2. Индикатор подозрительной операции банка-получателя и пример заполнения признаков

Все классы и алгоритмы их оценки подробно описаны в Стандарте. За исключением класса «Машинное обучение», по сути, — это набор статических правил, которые по детерминированным алгоритмам вычисляют «уровни подозрительности» для каждого класса индикаторов. Класс «Машинное обучение» предполагает использование специализированных решений на стороне банков — участников СБП для выявления аномалий на базе ИИ. 

Что делать участникам СБП?

Очевидно, что включение механизмов оценки индикаторов для СБП в систему ДБО или в любую другую банковскую систему, выполняющую обработку транзакций, — неоптимальное решение хотя бы с той точки зрения, что технологии, используемые для расчета индикаторов, можно использовать для противодействия фроду и в других каналах обслуживания клиентов. С другой стороны, информация, получаемая через другие каналы обслуживания, также может повысить качество вычисления индикаторов для операций в СБП. Соответственно, наиболее целесообразный вариант — использование (или внедрение, если ее нет) многоканальной антифрод-системы для расчета индикаторов, согласно требованиям Стандарта. 

Компания «Фаззи Лоджик Лабс», развивая кросс-канальную систему обнаружения и выявления мошеннических транзакций в режиме реального времени Smart Fraud Detection (SFD), в конце прошлого года добавила оценку рисков на стороне клиентов участников СБП (банков-плательщиков и банков-получателей). Для выполнения требований система SFD обладает следующими возможностями:

  • отслеживание, обнаружение и изучение фактов мошенничества;
  • защита от возникающих угроз, таких как «внедренный посредник» (man-in-the-middle), троянские программы типа «посредник в браузере» (man-in-the-browser), несанкционированное снятие денежных средств по утерянной/похищенной банковской карте; 
  • выявление факта совершения транзакций с «подозрительного» мобильного устройства;
  • выявление фактов мошенничества, связанных с социальной инженерией, по аномальному поведению клиента банка;
  • обнаружение попыток мошенничества без внесения существенных изменений в привычные для клиентов системы и процедуры; 
  • быстрая интеграция системы безопасности в виде развернутого локально ПО с применяемой системой дистанционного обслуживания клиентов.

Для эффективного анализа в решении сочетаются методы детектирования аномалий как на основе правил, так и с использованием технологий машинного обучения (см. рис. 3):

  • наборы правил отражают политики организации по маркированию подозрительной активности или известных шаблонов атак на базе анализа параметров конкретных действий клиента/сотрудника и анализа динамически рассчитываемых объектов;
  • методы машинного обучения позволяют эффективно выявлять ранее не наблюдаемые аномалии в поведении клиентов и сотрудников организации, и автоматически маркировать кейсы, соответствующие ранее выявленным случаям мошенничества, требующие минимальной настройки и поддержки и автоматически адаптирующиеся к изменяющимся шаблонам атак злоумышленников.

Рис. 3. Схема контроля операций Smart Fraud Detection

Рис. 3. Схема контроля операций Smart Fraud Detection

Имея полную информацию о поведении каждого клиента за продолжительный период, SFD эффективно и качественно заполняет индикаторы для операций в СБП. Более того, модуль оценки рисков, использующий элементы ИИ, позволяет заполнять класс «Машинное обучение». При этом, имея полную информацию о «типичном» поведении клиента, модуль оценки рисков часто позволяет идентифицировать признаки «социальной инженерии» и приостанавливать транзакцию в СБП, давая сотрудникам банка дополнительную возможность для контроля потенциально мошеннической операции.

Так функционал SFD защиты СБП помогает снизить риски, возникающие на стороне клиентов участников СБП, включая риск перевода денег и массовых переводов без согласия клиента, риск раскрытия информации, в том числе персональных данных, а также сведений, составляющих банковскую тайну, и репутационные риски, связанные с ущербом деловой репутации.

Согласно текущей редакции стандарта ОПКЦ СБП «Порядок проведения мероприятий по противодействию», с апреля этого года все банки — участники СБП должны внедрить описанные в документе организационные и технические мероприятия по защите операций в СБП






Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ