Банковское обозрение

Сфера финансовых интересов

10.05.2018 Аналитика
Приоритет «номер ноль»

Эволюция систем противодействия кибермошенничеству: от барьеров к удобному и безопасному сервису



В начале 2010-х годов, по данным Сбербанка, более 90% атак на банки приходилось на физические кражи и скимминг. Для защиты банки в основном использовали антискимминговое оборудование, применяли примитивные правила мониторинга операций и вводили ограничения на снятие наличных в других странах.

Мошенниками были в основном самоучки, которые фокусировались на взломе одного продукта. На подготовку и реализацию преступления им требовалось от 24 часов до нескольких месяцев. Благодаря собственным средствам обнаружения атак банкам, в том числе и Сбербанку, совместно с правоохранительными органами удавалось своевременно пресекать деятельность преступников и доводить дела до судебных приговоров. Зачастую задержанными были безработные граждане других государств, которые покупали скиммер на хакерском форуме и адаптировали его под конкретные модели банкоматов.

В 2012 году мошенники начали объединяться в территориально распределенные группы. Их участники стали делить задачи между собой, что позволило им сократить время на подготовку и реализацию преступлений до 12 часов. Динамика краж и скимминга сохранилась, но при этом злоумышленники стали активно реализовывать схемы мошенничества в киберпространстве. Все больше стали распространяться применение вредоносного программного обеспечения с элементами фишинга, а также кража банковских карт и телефонов для доступа к банковским счетам. В то время банки для защиты чаще всего использовали элементарные правила фрод-мониторинга операций, а также информирование клиентов о простых правилах кибербезопасности.

В 2014 году кибермошенничество в банковской сфере вышло на новый уровень. Появились высокоорганизованные преступные группы, которые делали ставки на вредоносное ПО. В качестве примера можно привести появление мобильного трояна Svpeng, который клиент скачивал на смартфон с OS Android под видом различных приложений и игр. Вирус получал root-права и доступ к разделу System устройства. Таким образом, смартфон с установленным банковским приложением становился «марионеткой» мошенника и представлял угрозу для пользователя.

Параллельно с вирусами стал набирать обороты новый способ атак — социальная инженерия, вид фрода, при котором мошенники не взламывают системы защиты банка, а манипулируют клиентами

Пренебречь таким высоким уровнем риска уже было просто невозможно. Поэтому в целях обеспечения безопасности клиентов сначала приложение «Сбербанк Онлайн» для Android работало с ограниченным функционалом: можно было делать переводы и платежи только по шаблонам, созданным из веб-версии. Это было не очень удобно зато спасало деньги пользователей.

В 2015 году мы смогли снять эти ограничения, встроив в «Сбербанк Онлайн» антивирус, который проверяет телефон и не дает вирусам распоряжаться средствами клиента. Это стало катализатором роста активной аудитории приложения: за 2015 год она выросла с 4,6 млн до 13,7 млн — в три раза.

Однако параллельно с вирусами стал набирать обороты новый способ атак — социальная инженерия, вид фрода, при котором мошенники не взламывают системы защиты банка, а манипулируют клиентами. Основные сценарии социальной инженерии хорошо известны: мошенник под видом работника социальной службы, сотрудника банка или покупателя с сайта объявлений по телефону или в соцсетях узнает у клиента паспортные данные, номер карты, одноразовый СМС-пароль. С этими данными можно зайти в личный кабинет интернет-банка или мобильного приложения и получить доступ к средствам на счете.

С 2016 года мошенники практически полностью переместились в киберпространство. По нашим данным, сейчас 98% преступлений в банковской сфере — это киберпреступность. Еженедельно мы фиксируем 5,5 тыс. попыток мошенничества против наших клиентов. Согласно результатам исследования «Лаборатории Касперского», средний годовой бюджет банков на кибербезопасность достигает 58 млн долларов — это в три раза больше, чем у нефинансовых организаций. В большинстве случаев подобные траты оправданы: банки работают напрямую с деньгами и представляют наибольший интерес для киберпреступников.

От статических правил — к машинному обучению

Для предотвращения мошеничества мы исторически использовали набор правил, а затем и алгоритмы — правила с большим количеством гибких условий. Это был ручной процесс анализа, выявления и предотвращения мошенничества. Когда с помощью установленного правила выявляется подозрительная операция, она блокируется, и, чтобы ее завершить, клиенту необходимо обратиться в контактный центр для подтверждения личности.

С помощью такой системы фрод-мониторинга нам удавалось сдерживать мошенников. Однако существенно снизить количество и объемы атак мы не могли: мошенники быстро адаптировались и находили способы обойти новые правила. Росло и общее число бизнес-операций, пропорционально которому набирали масштабы попытки преступлений.

Не хватало и «кросс-канальности» — система не позволяла эффективно отслеживать и сопоставлять подозрительные действия в интернет-банке, мобильных приложениях, СМС-банке, банкоматах, контактном центре и других каналах обслуживания. Кроме того, система включала в себя ограниченное число алгоритмов, созданных человеком. Она могла выявлять только известные типы и схемы мошенничества и «не умела» проактивно выявлять новые тренды и угрозы. При этом поддержка растущего числа правил становилась все более ресурсозатратной и не всегда гибко масштабировалась. Кроме того, эта система была далека от идеала с точки зрения удобства: существовал ряд ограничений (например, лимиты на переводы). Таким образом, для пользования сервисами от клиентов требовалось произвести массу дополнительных действий.

Сердце новой системы фрод-мониторинга — это модель, выполняющая скоринг операций, которая вместо статичных правил на основе анализа данных оценивает, насколько операция безопасна

В наши задачи входило создание системы, способной выявлять более 90% всех попыток мошенничества. В то же время она должна была иметь минимальное количество ложных сработок, значительно влиять на стоимость ресурсов для анализа инцидентов и качество предоставления сервиса клиентам. Для решения такой задачи при создании новой системы фрод-мониторинга мы решили использовать технологии искусственного интеллекта.

Сердце новой системы фрод-мониторинга — это модель, выполняющая скоринг операций, которая вместо статичных правил на основе анализа данных оценивает, насколько операция безопасна. Теперь система в автоматическом режиме отслеживает подозрительные операции, оповещает клиентов и предостерегает от некорректных действий, совершенных под влиянием мошенников.

Как это работает

Сначала создаются выборки для обучения и оценки модели. Для этого необходимо разделить операции в выборке на мошеннические и легитимные, а также задать множество параметров для отслеживания, которые характеризуют поведение клиента, например:

• средний расход средств клиента по типам операций со скользящим периодом;

• средний чек и количество операций по торговой точке / поставщику услуг;

• среднечасовая/дневная/недельная/месячная активность клиента.

Система на базе машинного обучения анализирует накопившиеся данные по этим признакам, ищет закономерности, строит модель и начинает применять ее к новым операциям. Мы используем около 50 различных критериев, которые в комбинации дают больше 200 итоговых признаков, использующихся в моделях. Количество таких критериев и признаков постоянно расширяется.

Переход к новой технологии не был единовременным. На начальном этапе мы провели анализ лучших мировых практик и технологий машинного обучения таких компаний, как IBM, SAS, RSA, Cybertonica и других. Затем привлекли смежные подразделения Банка для учета операционных, бизнес- и IT-процессов. В декабре 2015 года включили систему для определения рисков по операциям. Тогда фрод-мониторинг работал в фоновом режиме: решение продолжала принимать система статических правил, но при этом шел процесс самообучения и «калибровки» фрод-мониторинга. За три месяца новая система фрод-мониторинга обогнала по точности прежнюю, и мы смогли полностью отдать ей процессы по анализу операций.

Что получилось и что будет дальше

Новая система фрод-мониторинга позволила нам точнее выявлять мошеннические операции. За первые девять месяцев работы системы нам удалось сохранить 8,6 млрд рублей наших клиентов. При этом количество активных пользователей в удаленных каналах обслуживания увеличилось на 25%, а объем операций вырос в два раза.

Чем большей информацией будет располагать система, тем более точно можно ее настроить на борьбу с кибермошенничеством

Мы стараемся делать процесс фрод-мониторинга удобным для клиента. По данным СМС-опроса, сейчас индекс удовлетворенности сервисом составляет 9,2 из 10 возможных — это среднее значение всех оценок, полученных от клиентов, которые столкнулись с необходимостью подтверждения подозрительных операций в рамках фрод-мониторинга. Наш проект высоко оценило и мировое профессиональное сообщество: он стал призером на престижном технологическом конкурсе IPMA International Project Excellence Award’ 2017.

Система фрод-мониторинга Сбербанка базируется на больших объемах данных. Мы понимаем, что ресурсами для построения подобной системы обладают только очень крупные банки, поэтому планируем предоставлять фрод-мониторинг как сервис. Обширные данные, собранные в нашей системе, позволят другим банкам эффективнее бороться с мошенничеством. А эти банки, в свою очередь, будут обогащать систему фрод-мониторинга своей информацией о мошенниках, угрозах и атаках.

Чем большей информацией будет располагать система, тем более точно можно ее настроить на борьбу с кибермошенничеством. В дальнейшем мы планируем обогатить ее данными, полученными от операторов связи, а также компаний, занимающихся разработкой антивирусных продуктов и расследованием компьютерных преступлений.



Сейчас на главной