Невзирая на все достижения разработчиков систем банковского антифрода, как внутренних, так и вендоров, у пользователей остается к ним все тот же вопрос: «Почему при наличии соответствующих решений мошенничество и воровство денег не прекращаются и даже растут?».

В связанном мире уровень общей ИБ определяется защищенностью самого слабого звена. Применительно к финансовой сфере это означает, что соединенные между собой сотнями инфраструктурных бизнес-процессов банки, платежные системы, процессинговые компании, маркетплейсы, экосистемы и т.д. могут стать заложниками одной-единственной утечки персональных данных в компании, вообще никак не связанной с банками.

Поэтому ответ на поставленный вопрос звучит примерно так: «Что мы можем сделать в ситуации, когда социальные инженеры и обычные хакеры, имея на руках огромное количество украденной информации, делают что хотят?». Данный ответ действительно кое-что объясняет, но не отвечает на вопрос: «Что делать?».

Начнем с истории

Начнем с 2019 года, достаточного давнего на фоне той скорости, с которой развиваются в России финансовые институты и финтехи. Почему точкой невозврата у нас в стране считается именно этот год? Эксперты, приглашенные на онлайн-конференцию AM Live «Системы банковского антифрода», прошедшую в сентябре 2021 года, дали исчерпывающий ответ.

Банкинг в России в отличие от многих стран мира за последние десять лет совершил эволюционный скачок в развитии. И теперь правильнее сравнивать его с финтехом, который благодаря удаленным электронным сервисам стал массовым, удобным и доступным всем. Мало того, прямо на наших глазах цифровая трансформация целого сектора экономики во главе с его регулятором, Банком России, выходит на новый виток. О будущем мы поговорим позже, а пока вернемся в 2019 год.

ИБ эпохи начала цифровизации банков в массовом сознании ассоциировалась с мошенничеством с пластиковыми картами, скиммингом и т.д., затем — с вирусными атаками, вымогательством со стороны авторов троянов-шифровальщиков, а также со страхами перед бесконтактными платежами (NFC). Финалом этого этапа стал расцвет целевых APT-атак (Advanced Persistent Threat). Под эти угрозы и создавались системы антифрода, а потом они начали давать сбои…

Авторы вышедшего в начале 2020 года глобального исследования банковских угроз, проведенного одной из ведущих исследовательских компаний, утверждали: «В России к 2019 году социальная инженерия в списке угроз оказалась под номером пять, а в США и странах Юго-Восточной Азии стала номером два сразу после взломов банков организованными преступными группировками».

С учетом тонкостей методологии, которые необходимо учитывать отдельно, эксперты признают: «Атаки на клиентов российских банков с использованием подмены телефонных номеров на фоне начавшейся пандемии COVID-19 оказались неожиданно мощным инструментом, противопоставить которому ни службам ИБ, ни правоохранительным органам поначалу особенно было и нечего. Классические системы транзакционного антифрода в финансовых организациях были “заточены” под совсем другие задачи. В итоге в короткие сроки социальная инженерия вкупе с фишингом, по данным всех аналитиков, в списке угроз вышла на первое место всего за год».

Корень проблем — социальная инженерия

Если разобрать феномен резкой активизации социальных инженеров глубже, то станет видно, что здесь сошлось воедино несколько факторов.

• Во-первых, чтобы «прозвонщикам» быть убедительными при общении с жертвами, им необходимо наличие персональных данных. 18 ноября 2021 года в Москве состоялся круглый стол Общественной палаты РФ на тему «Быстрая реакция на мошенничество в интернете — залог спокойствия граждан». По словам Вадима Виноградова, руководителя рабочей группы этой палаты по законодательству в сфере интернет-технологий и цифровизации, несмотря на то что точных инструментов для подсчета утечек персональных данных не существует, экспертное сообщество дает оценку, что более 30% их общего числа связаны с кражей паспортных данных, а виновниками обычно становятся безответственные сотрудники компаний, которым доверена обработка персональной информации. Однако, как показывает практика, за все 14 лет существования закона «О персональных данных» со стороны граждан не было подано ни одного иска о возмещение убытков из-за утечек. А убытки эти, например, в финансовой сфере колоссальны.
• Во-вторых, организаторам мошеннических схем благодаря самоизоляции и сокращению персонала компаний в условиях пандемии удалось решить свой «кадровый» вопрос. Появление анонимных мессенджеров, сервисов «скрытой сети» DarkNet и технологий звонков с подменой номеров позволило начинающим мошенникам монетизировать свои преступные действия, практически ничем не рискуя. Спрос рождает предложение: появилось множество партнерских программ, доступных любому человеку, включая «масс-маркет» мошеннического заработка, одними из символов которого стали всем теперь хорошо известные «прозвонщики» и «воркеры». Теперь это общая беда — не только банкиров, но и правоохранительных и законодательных органов, ИБ-сообщества и т.д.
• В-третьих, бум финтеха, занимающегося оптимизацией клиентского опыта и упрощением доступа к сервисам вплоть до «одного клика», зачастую приводит к тому, что человеку просто не дают подумать о том, что он делает. А порой рекомендательные системы «думают» за людей сами. Импульсивные действия в ДБО, может быть, и приводят к увеличению транзакционной активности, но в ущерб безопасности. Владислав Горкавцев, заместитель начальника ГУЭБиПК МВД, в ходе круглого стола «Киберугрозы и обеспечение информационной безопасности: проблемы и решения», прошедшего в сентябре 2021 года в рамках XVIII Международного банковского форума «БАНКИ РОССИИ — XXI ВЕК», высказался по этому поводу весьма жестко: «Можно сделать хоть 10 ступеней технической защиты, но если человек искренне заблуждается, то он пройдет весь клиентский путь и потом своими собственными руками снимет деньги или переведет их мошенникам».

Управляй рисками или умри

Социальная инженерия поставила перед разработчиками систем банковского антифрода новые задачи, которые в рамках традиционного транзакционного атифрода решить попросту невозможно. Ответу на новые вызовы и были посвящены усилия ИБ-сообщества начиная с 2019 года. Полученные результаты оказались довольно интересны, причем не только с точки зрения обеспечения безопасности.

Наверное, первый итог изысканий сообщества заключается в ломке стереотипа: антифрод — это запретительная мера, наподобие шлагбаума, который только и умеет останавливать транзакции и заваливать сообщениями об этом офицеров безопасности.

Сейчас антифрод как комплексная ИБ-система наподобие DLP или SIEM концентрирует в себе огромные объемы разноплановой информации. Развитие аналитических инструментов и средств машинного обучения (ML) позволяет данной системе успешно встраиваться в активно развивающуюся риск-ориентированную парадигму управления операционными рисками в финансовой сфере во всем мире. Не даром сказано: данные — это новая нефть.

На практике это означает согласие менеджмента с тем, что априори невозможно защититься на 100% от всех угроз. Отсюда можно сделать несколько выводов.

Во-первых, на основании собственного риск-аппетита банка и разработанной на его базе модели угроз можно расставить приоритеты и получить количественную оценку убытков реализации инцидентов. Если финансовая организация считает ущерб от реализации тех или иных рисков несущественным, то их можно либо принять, либо застраховать. Это позволяет не гнаться за «журавлем в небе» в достижении полного управления тем или иным родом риска, а сконцентрироваться на приоритетных направлениях. Например, мелкие суммы карточного мошенничества сейчас гораздо проще полностью компенсировать клиентам, нежели запускать по ним дорогостоящую процедуру расследования. Это экономически невыгодно в рамках риск-ориентированного подхода.

Во-вторых, модель угроз дает ответ на вопрос: какие каналы взаимодействия с клиентом необходимо закрывать антифродом? Этот список меняется от банка к банку в зависимости от его специализации. Фрод бывает не только транзакционным, но и кредитным, мошенничеством на уровне процессинга, платежных систем и т.д. Лучшей практикой последнего времени стало выстраивание кросс-канальных решений, которые позволяют на основании информации из, например, подсистемы сессионного или поведенческого анализа управлять транзакционным риском. Этот вариант стал все чаще применяться в борьбе с социальной инженерией. Только технологии поведенческого анализа на базе выявления аномалий по сравнению с обычным поведением пользователя способны дать достоверную информацию о том, находится ли человек под психологическим или физическим воздействием в данный момент. Системы сессионного антифрода выявляют и запоминают характерные паттерны поведения клиента банка, использующего смартфон или интернет-банк. И если вдруг система видит благодаря сенсорам телефона, что рука пользователя дрожит или происходят какие-то нетипичные движения, то это становится поводом разобраться в ситуации.

В-третьих, риск-ориентированный подход к антифороду — это на самом деле подход к снижению рисков в масштабах всей финансовой организации в рамках нормативов регулятора. Вся система должна работать на то, чтобы на основании четких и понятных процессов управления рисками в каждом конкретном случае было понятно, что делать и кто является ответственным. При этом необходимо понимать, что риски бывают направленные как на клиента, так и на банк в рамках регулирования ЦБ. Поэтому существование антифрод-системы даже в рамках риск-ориентированного подхода является обязательным. Но при этом он перестает быть упомянутым «шлагбаумом». 

Как заработать на антифроде?

Анализ собранных данных позволяет помогать финтехам создавать и быстро выводить на рынок новые продукты, которые без этого не могли быть запущены. Речь чаще всего идет о сервисах, предполагающих полностью дистанционный режим работы, например удаленное открытие депозитов или получение кредитов.

Что мешает превратить антифрод в полноценную часть бизнес-процессов банка? Эксперты отмечают: «К сожалению, культура управления рисками пока недостаточно проникла в практику людей, отвечающих за денежные потоки. Опыт показывает, что зрелая культура риск-менеджмента позволяет внедрять технологии и процессы, которые помогут быстрее или даже проактивно реагировать на события в стремительно изменяющемся мире».

Сказанное в первую очередь относится к финтехам, для которых сокращение time to market своих продуктов является приоритетом. Что касается всех остальных, то примером проактивного реагирования на изменение ситуации является управление контекстом пользовательского пути. Некоторые банки уже удивляют пользователей тем, что не требуют строгой аутентификации при входе в ДБО, экономя свои затраты на достаточно дорогих SMS и Push-сообщениях. Только логин и пароль, никаких других раздражающих клиента банка действий не требуется. Кросс-канальная система антифрода тем временем достаточно плотно, но при этом незаметно «опекает» пользователя на основе знаний о нем. И только в момент, когда это реально необходимо на том или ином этапе клиентского пути, у него попросят второй фактор для аутентификации и т.д. Причем набор этих факторов сейчас благодаря биометрии значительно расширился. Применяются и другие типы факторов, причем, взломав ДБО, мошенник их не узнает. Это одна из действенных мер против так называемой кражи фактора посредством нелегального удаленного управления устройством.

Еще один пример вывода на рынок продукта, который без кросс-канальной системы антифрода попросту невозможен, — это запуск некоторыми банками сервиса платежей между находящимся поблизости с клиентами данной финансовой организации с использованием Bluetooth и AirDrop. Особенностью решения является то, что автономная система защиты ДБО позволяет снизить соответствующие риски до минимума, если связи с банком нет.

Банк России задает тренды

Таким образом, антфирод становится интересен бизнесу: из затратного элемента он становится частью общих бизнес-процессов. Этот тренд, как отмечалось, относится и к другим классам решений ИБ. Одной из причин этого является наличие собственных данных и доступа к внешним массивам персональной, транзакционной, поведенческой информации как о физических, так и о юридических лицах.

Интересным следствием сказанного применительно к антифроду является переход на кросс-канальные решения, частично или полностью предлагающиеся банкирам по сервисной модели.

Помимо экономии на инфраструктуре в этом случае удается наладить эффективный и оперативный обмен обезличенной информацией с коллегами по отрасли и специализированными международными организациям. Былые опасения многих финансистов в отношении необходимости делиться информацией об инцидентах на добровольной основе сходят на нет перед перспективой глобального профилирования своих клиентов для нужд антифрода.

Один из наиболее очевидных плюсов наличия глобальных профилей и размеченных данных для обучения моделей ML заключается в сокращении фонда оплаты труда (ФОТ) на найм офицеров антифрода и сотрудников колл-центров. Недостаток же данных приводит к росту ложных срабатываний системы и перегрузке персонала банка, который в итоге вынужден вручную перепроверять контекст инцидентов и «на всякий случай» обзванивать клиентов. 

Банк России, со своей стороны, продолжает собирать информацию для нужд своих ФинЦЕРТ и системы «Фид-Антифрод». Однако сервис-провайдеры по большей части не опасаются конкуренции с ним в силу большего уровня подстройки под нужды каждого клиента. Относительным новшеством стало требование ЦБ о том, что все организации, подключенные к СБП, обязаны выполнять Положение Банка России № 747-П, а также собирать и высылать необходимую информацию в НСПК, согласно «Стандарту ОПКЦ СБП».

Что касается новых инициатив Банка России, то в свете запуска своих инфраструктурных проектов, в частности платформ «Знай своего клиента» (KYC), «Цифровой профиль» и т.д., ожидается сближение банковских систем антифрода и ПОД/ФТ.

Речь идет о новом перечне сомнительных операций (Указание ЦБ РФ от 20.10.2020 № 5599-У), рекомендациях о блокировке расчетов физлиц, связанныx с нелегальными онлайн-казино и другим теневым бизнесом (Методические рекомендации от 06.09.2021 № 16-МР), изменениях в № 11-МР «По усилению контроля операторами по переводу денежных средств за деятельностью банковских платежных агентов» и т.д.

В результате этого сближения систем возрастет доля рисков, направленных на банк: он может пропустить, например, нелегальный платеж, который не должен проходить по платежной системе, и т.д. Поэтому сам банк заинтересован в том, чтобы эти риски надежно контролировать.

Корень зла

Подводя итоги данного анализа, необходимо остановиться на том, что, хоть технологии выявления мошенничества успешно движутся вперед, так и не решена фундаментальная проблема, формирующая основной тренд развития антифрода.

«Количество операций без согласия клиента за 2020 год выросло на 34% относительно 2019 года, а их объем в рублях — на 52,2%. В 2021 году эта динамика, к сожалению, сохраняется. В более чем в 60% этих инцидентов была использована социальная инженерия. Украденные персональные данные позволяют профессиональным социнженерам отключить сознание граждан и вынудить их на добровольные действия по переводу денег, подписанию документов и т.д. При этом до сих пор в стране отсутствуют серьезные наказания за утечки данных. В итоге мы имеем растущие год от года факты массовых утечек, а также краж персональных и личных данных, активно используемых кибермошенниками», — напомнила Наталья Касперская, президент группы компаний InfoWatch, председатель правления АРПП «Отечественный софт».

В качестве конкретных предложений Общественная палата РФ предлагает некоторые первоочередные меры:

• ужесточить наказание за утечки данных — вплоть до уголовной ответственности как для директоров, так и для исполнителей;
• наказывать владельцев и операторов баз данных не за формальные нарушения, а за фактические утечки;
• находить и наказывать внутренних злоумышленников за незаконную продажу персональных данных;
• наказывать за сокрытие утечек;
• проводить публичные процессы над виновниками утечек;
• создать институт независимого аудита потоков данных в госорганах, госкорпорациях и «экосистемах», дать полномочия инструментального контроля Роскомнадзору.