— Сергей, о фроде говорят многие, но мало кто называет суммы конкретного ущерба.

— По собственному опыту работы в одном из крупных российских банков скажу, что в 2021 году при его слиянии с новой структурой было обнаружено внутреннее мошенничество, тянувшееся с 2014 года. В течение семи лет управляющий отделением незаметно выносил деньги из кассы.

Что касается информации из открытых источников за последние несколько лет, то упомяну о хищении 1,5 млрд рублей после успешной атаки на АРМ КБР. Известны факты об атаках с ущербом в 300 млн рублей с использованием клонированных терминалов с успешным зачислением средств (original credit). 500 млн рублей выведены при использовании схемы автореверсалов в банкоматах, а также 150 млн рублей похищены со счета одного клиента с использованием социальной инженерии.

Список можно продолжать. Одно остается неизменным: нельзя построить на 100% идеально безопасную систему. В любом платежном сервисе можно найти уязвимость, связанную с внутренним мошенничеством. Кроме того, платежный бизнес строится на основе холдирования денежных средств, что само по себе является риском. А если нет возможности взломать сервис программными или аппаратными средствами, то его ломают с помощью человеческого фактора — методами социальной инженерии.

— Получается, что фрод остановить нельзя?

— На 100% обезопасить любую работающую систему невозможно, но можно снизить риски и потери за счет автоматизированного тотального отслеживания отклонений всех бизнес-процессов от их типовых параметров.

Приведу пример. Наша система антифрода выявила и остановила мошенничество на сумму 6 млн рублей, связанное с подменой банковских реквизитов в платежном поручении. В этом случае информация передается персональному менеджеру, который должен сделать звонок клиенту банка и задать вопрос: «Вы совершаете платеж на такие-то реквизиты? Реквизиты подтверждаете?». Если клиент подтверждает, персональный менеджер отправляет информацию специалисту антифрода, и платеж снимается с контроля.

Сергей Егоров, директор по консалтингу и расследованию инцидентов компании «Фродекс»

В данном случае персональный менеджер, который изо дня в день делает звонки клиентам, решает, что уже очень много знает и что, если он не сделает звонок, ничего страшного не произойдет, и дает «добро» на платеж специалисту по антифроду. К счастью, сработала вторая линия контроля и платеж не был отпущен. Если бы не правила, заложенные в антифрод-систему, у клиента стало бы на счете на 6 млн рублей меньше.

Приведу еще один случай мошенничества, которое должно быть пресечено банком на 100%: клиент приходит в отделение банка и делает под влиянием социальных инженеров десять платежей на сумму 65 млн рублей. В это время в кредитной организации по какой-то причине был отключен онлайн-контроль платежей. Соответственно деньги ушли. Во всех платежах в графе «Назначение» значится «Материальная помощь». Это то, что должно быть остановлено. Да, это не вина банка, но он потерял депозит на 65 млн рублей, который приносит доход самой кредитной организации около 15 млн рублей в год.  Для среднего банка это нормальный бюджет всей антифрод-службы.

Мораль этих кейсов заключается в том, что на безопасности экономить не стоит, выйдет себе дороже. Но вопрос в том, с кем в этом вопросе сотрудничать.

— Как минимизировать риски внутреннего мошенничества?

— Компания «Фродекс» предлагает своим клиентам (это есть и в коробочном решении) набор конкретных правил, которые направлены на выявление внутреннего мошенничества. Помимо них необходимо использовать метрики и триггеры, которые свидетельствуют о какой-то нестандартной ситуации. Все это помогает наладить жесткий контроль исполнения инструкций и регламентов по противодействию мошенничеству. Если в вашей системе настроены хорошие правила, все это выявляется.

Доступ к клиентской информации должен быть организован по принципу «KNOW AS YOU NEED». Необходимо полное и детальное логирование действий сотрудников с клиентской информацией (просмотр, изменение). Требуется контроль овердрафтов и возвратных операций, а также выдачи кредитов через ДБО и закрытия депозитов, что поможет ретроспективно анализировать любой случай внутреннего мошенничества.

В дополнение к этому замечу, что банкоматы и терминалы как средство самообслуживания требуют защиты в первую очередь. Что только ни делают с банкоматами мошенники: навешивают скимминговые и шимминговые устройства, закачивают вредоносное ПО, используют схемы с автореверсалами, кэш-треппингом и карт-треппингом, ливанские петли. Терминалы пополняют с помощью одной купюры на леске (рыбная ловля). Банкоматы взрывают, высверливают отверстие в нужном месте, чтобы упала сейфовая дверь. Ставят камеры, подсматривающие, как инкассаторы вводят код на дисковом замке. Наконец, просто увозят, цепляя тросом. Антифрод-системы позволяют выявлять такого рода мошенничество на ранней стадии и предотвращать многомиллионный ущерб для банка.

— Какие встроенные правила для противодействия внутреннему мошенничеству входят в состав решения?

— В антифрод-системe «Фродекс» Fraudwall заложены следующие правила, останавливающие и фиксирующие такие переводы, как:

• платеж после изменения номера телефона или паспортных данных;
• платеж на расчетный счет сотрудника;
• перевод денег на недоверенного получателя после закрытия депозита;
• несколько клиентов платят на одного и того же получателя;
• получатель, возможно, является фирмой однодневкой;
• платеж со спящего счета с большим депозитом.

И это только основные правила по внутреннему мошенничеству, в самой системе их гораздо больше.

— Обладают ли, на ваш взгляд, уязвимостями программы лояльности?

— Программы лояльности — это отдельная тема для больших дискуссий. Мошенники любят нащупывать слабые места в этих программах. Случившие инциденты при этом становятся фактически потерями банков.

Когда в кредитной организации внедряют кешбэк и забывают о том, что его нужно вернуть, если товар возвращен, то таким кешбэком может воспользоваться мошенник. Таких случаев не было, но они могут быть.

Зато известен другой реальный случай, когда товар покупался в одном месяце, а сдавался в торговую точку в следующем. Это уязвимость нулевого дня. В банке не учли такие сценарии, и «очень умные» клиенты быстро воспользовались предоставленными им возможностями.

В моей практике был интересный случай, когда, сработала подобная уязвимость: клиент покупал дорогие автомобили и возвращал их. Когда сумма покупки составляет 15 млн рублей, кешбэк — десятки и сотни тысяч рублей. Это очень просто реализовать, когда твой родственник является директором салона по продаже люксовых автомобилей. Но при этом банк при наличии должной культуры борьбы с фродом мог бы остановить мошенника.

— Что сделано, для того чтобы антифрод-система сама не стала слабым звеном?

— «Один в поле не воин» — принцип, который актуален при борьбе с мошенничеством. FraudWall автоматически получает и использует информацию черных списков: фидов ФинЦЕРТа и «антидроп-клуба», консолидируя усилия по борьбе с мошенничеством всего банковского сообщества. Мы также обогащаем данные в системе FraudWall путем регулярного обновления списков потенциальных фирм-однодневок, формируемого нами.

Система FraudWall дает возможность банкам, эксплуатирующим ее, соблюдать требования законодательства, в том числе функционал системы позволяет выполнить требования законов № 161-ФЗ и № 167-ФЗ.

Встроенная и обновляемая логика обнаружения мошенничества соответствует признакам осуществления перевода денежных средств без согласия клиента, устанавливаемым Банком России. Система обрабатывает загружаемые в нее фиды ФинЦЕРТа и использует их как при проверках операций, так и при анализе базы клиентов банка.

В качестве заключения замечу следующее: многие специалисты утверждают, что в их банках ничего не происходит. Вопрос: они вы уверены, что знают, что именно в данный момент происходит в их банках? Статистика свидетельствует о том, что любой банк минимум один раз в три года сталкивается с крупными кибератаками, уязвимостью или внутренним фродом, ущерб от которых составляет десятки и сотни миллионов рублей. Делайте выводы сами.