Тройка лидеров в этой номинации пришла к финишу конкурса плотной группой — их результаты различаются буквально на 1-2 балла. Это неслучайно — каждый проект из топ-3 демонстрирует инновационный подход к решению проблем мошеннических финансовых операций. А объемы таких операций, совершенных без согласия клиентов, как физических, так и юридических лиц, с использованием электронных средств платежа, нарастают. 

Согласно статистике ФинЦЕРТ Банка России по итогам 2019 года, они превысили 6,4 млрд рублей. «Растущая доступность платежных услуг, осуществляемых посредством интернета, приводит к смещению интереса злоумышленников (поступательно за вектором интересов клиентов кредитных организаций) от банкоматов и организаций торговли в сторону CNP-транзакций, каналов ДБО», — говорится в отчете ФинЦЕРТ. При этом социальная инженерия остается одним из важнейших инструментов мошенников — ее доля в системах ДБО достигает 88,9%. 

Какие нетривиальные решения актуальных проблем приняли на вооружение российские банки?

Альтернативный способ подтверждения транзакции в мобильном банке

Россельхозбанк (РСХБ) использовал технологию Paycontrol компании SafeTech, для того чтобы реализовать полноценную электронную подпись транзакции на мобильном устройстве в удобной для клиента форме. В пресс-службе РСХБ нам рассказали: «Клиент просто подтверждает операцию в приложении мобильного банка привычным для него способом: вводом PIN-кода приложения, отпечатком пальца либо Face-ID. Система сама создает электронную подпись операции, выполняя все необходимые криптографические преобразования параметров транзакции, и направляет ее в банк». Реализована такая возможность следующим образом.

При формировании операции в интернет-банке на смартфон пользователя приходит push-уведомление. Пользователь на своем смартфоне акцептует Push, переходит в мобильное приложение РСХБ, где принимает отображенные реквизиты платежа и подтверждает транзакцию в мобильном приложении привычным образом, после чего операция автоматически исполняется без дополнительных действий клиента. Примечательно, что доставляемый клиенту push не содержит никакого пароля. Push-уведомление только сообщает клиенту, что у него есть операция для подтверждения. Соответственно нет кода, который может быть передан злоумышленникам по телефону при мошенничестве с использованием методов социальной инженерии, подчеркивает пресс-служба РСХБ.

Дарья Верестникова, коммерческий директор компании SafeTech, поясняет: «То, что нам раньше казалось достаточно простым и удобным — коды подтверждения в SMS и push — перестали обеспечивать достаточную защиту средств на счетах клиентов. По этой причине отношение российских банков к защите каналов ДБО изменилось. Отчетливо наблюдается тенденция использования личного мобильного устройства клиента как полноценного средства защиты: без посредников, без одноразовых кодов в SMS и push, а с полноценной мобильной электронной подписью. Причем эта тенденция актуальна абсолютно для всех: как для юридических, так и для физических лиц». Она отмечает, что, внедряя новое решение, Россельхозбанк одним из первых в стране позаботился обо всех категориях своих клиентов и предоставил всем пользователям безопасный и удобный способ подписания финансовых операций и документов при помощи мобильной электронной подписи. Тем самым банку удалось избавиться от массовых атак перехвата кодов и подмены реквизитов и кратно сократить случаи социальной инженерии.

Управление безопасностью банкоматов

Тинькофф Банк совместно с компанией SafenSoft внедрил систему управления безопасностью банкоматов, которая позволяет обновлять их софт удаленно и в автоматическом режиме. Такое решение дает возможность радикально снизить риск мошеннических действий с банкоматами и ошибок персонала при установке обновлений ПО.

Светозар Яхонтов, директор по развитию бизнеса компании «Протекшен Технолоджи» (Safensoft), рассказал, что сеть банкоматов Тинькофф Банка — это первая сеть банкоматов в мире, работающая на ОС Windows 10, и первая, работающая на x64 версии ОС Windows. Так что реализованный проект уникален в мировом масштабе. Кроме того, специализированный софт для банкоматов Тинькофф Банка (платежные приложения) создавался на заказ, и обновления этого софта выпускались весьма интенсивно — до нескольких раз в неделю, а порой за сутки выходило несколько обновлений.

Причем такой высокий темп разработки и тестирования софта поддерживался при условии, что на банкоматах были применены многоуровневые меры защиты («хардеринг»), и софт обновлялся при включенной защите, а политики контроля автоматически изменялись в ходе обновлений платежных приложений. «Не было компромисса: обновления или жесткая защита. Те же политики контроля, что работают на боевых машинах, периодически проверяли на прочность нанятые банком команды пентестеров («белых хакеров»), и защита выдерживала испытания на взломостойкость», — комментирует Светозар Яхонтов и добавляет: «На этом проекте не применялись лучшие практики. Они создавались». Он раскрыл «Б.О» некоторые детали уникальных инноваций, реализованных в системе защиты банкоматов:

• система одноразовых паролей на разблокировку клавиатуры, работающая без связи с банкоматом;
• система шифрования жестких дисков банкоматов, не использующая TPM (специальный модуль на материнской плате в котором хранятся сертификаты спецпериферии) и не требующая ввода пароля на расшифровку при старте устройства.

Кросс-канальная антифрод-платформа для борьбы с транзакционным мошенничеством с применением социальной инженерии

Почта Банк первым среди российских банков внедрил кросс-канальную антифрод-платформу компании SAS. Как рассказал Станислав Павлунин, вице-президент, директор по безопасности Почта Банка, программная система в реальном времени противодействует транзакционному мошенничеству, реакция на подозрительные операции осуществляется в онлайн-режиме. «Система разработана на основе так называемых фингерпринтов — совокупности признаков, подтверждающих, что операцию совершает именно данный клиент, — пояснил Станислав Павлунин. — Это может быть номер телефона, с которого он совершает платежи, и характерное для него транзакционное поведение. Если эти данные не совпадают, то система дает сигнал сотруднику банка, что транзакция может быть подозрительной. Кроме того, система позволяет выявлять мошенничество, в основе которого лежат методы социальной инженерии».

Следует отметить, что при этом антифрод-платформа SAS работает по кросс-канальному принципу, защищая и карты, и мобильный банк, и интернет-банк, и другие каналы обслуживания. Она также содержит встроенный модуль AML. В банке подчеркнули, что антифрод-система SAS использует технологии искусственного интеллекта и аналитики Big Data, что обеспечивает ее способность находить и сопоставлять такие взаимосвязи или противоречия между данными, на обнаружение и исследование которых человеку может понадобится несколько месяцев. Автоматизация процессов противодействия мошенничеству в режиме онлайн уже привела к его существенному снижению по карточным транзакциям, в частности к уменьшению p2p-фрода в несколько раз, подчеркнул Станислав Павлунин.

Опыт проектов-лидеров антифрод-решений в российских банках вселяет уверенность, что современный фрод, несмотря на его многоликость, в итоге не устоит под напором передовых мер противодействия мошенничеству.

Победители в номинации «Внедрение в сфере информбезопасности или антифрод-сервис» премии FINAWARD’19