Защищает ли банк своих клиентов от мошенников?

Защищает ли банк своих клиентов от мошенников?

Противодействие мошенничеству стало статьей расходов в банках, обязательной на законодательном уровне. Основная проблема в этой сфере — социальная инженерия, ведь перед ней бессильны даже самые современные системы обеспечения информационной безопасности. Эксперты Cross Technologies рассказывают о мошеннических схемах и о борьбе с ними.

 

 

 

 

  1. Введение
  2. Схемы мошенничества
  3. Современные подходы к противодействию
  4. Пути противодействия
  5. Выводы

 

Введение

Сценариев изъятия денег у населения — множество. Один из возможных вариантов действий мошенников состоит в том, чтобы получить номер телефона и карты жертвы, а затем «включить» механизм социальной инженерии и выманить у жертвы пароль из SMS-сообщения в телефонном разговоре, после чего привязать карту к мобильному приложению для дальнейшего вывода средств. В некоторых случаях обходятся и без привязки, просто выполняя многократные запросы на перевод денег с карты жертвы на карту мошенника: жертва настолько доверяет злоумышленнику, что сообщает ему коды раз за разом. В рамках подготовительных работ преступники могут использовать открытые источники (включая сайты объявлений или социальные сети), содержащие персональные данные и другую информацию о потенциальной цели.

 

Схемы мошенничества

К примеру, вам приходит SMS-сообщение с информацией о проведенной операции на небольшую сумму с номером телефона, на который нужно обратиться, а когда вы перезваниваете, то слышите в ответ что-нибудь типа «Служба безопасности Visa / MasterCard». Звучит внушительно. Конечно, если задуматься, то появятся подозрения: ведь Visa и MasterСard — это совершенно разные платежные системы. Но такие схемы всё равно часто срабатывают, и далее, выманив данные карты у жертвы, мошенник заполняет на сайте стороннего банка форму по переводу денежных средств. Убедив вас в том, что для отмены операции (которой не было) ему нужен код из вашего SMS-сообщения, он переводит деньги себе.

В описанной схеме чаще всего задействованы целых 3 банка: первый — эмитент карты отправителя, второй — эквайер (платежный посредник) терминала, через который проходит операция, третий — эмитент карты получателя, держателем которой является мошенник. Банку-эквайеру это приносит доход, поэтому ему невыгодно предотвращать такие транзакции.

Основные жертвы — физическое лицо, которое безвозвратно лишается своих денежных средств, и банк, который несет репутационные риски и, как следствие, отложенный ущерб. С точки зрения закона клиент сам осуществляет перевод денежных средств, поскольку сообщает информацию, которую нужно хранить в секрете.

Злоумышленники преимущественно используют терминалы и карты тех банков, которые хуже всего защищены и предоставляют возможность выводить большие объёмы средств. И напротив, если в банке успешно работает антифрод-система и приняты иные меры борьбы с мошенничеством, то злоумышленникам становится трудно и дорого нападать на банк и его клиентов (как по времени, так и по способам реализации атак) — проще поискать в другом банке менее защищенную жертву.

 

Современные подходы к противодействию

Одним из основных трендов в банковской сфере в части борьбы с мошенничеством на сегодняшний день является использование моделей машинного обучения для систем защиты. Это поддерживается регуляторами (в том числе ЦБ России), поэтому банки готовы выделять очень большие бюджеты на исследования и внедрение решений в данной области. На первый взгляд система выглядит очень эффектно в части автоматизации: эксперты создают модели, обучают их на исторических данных и запускают в промышленную эксплуатацию.

В результате эти модели даже выявляют факты мошенничества, но на самом деле на практике всё сложнее. Во-первых, создание, обучение и сопровождение модели требует дополнительных дорогостоящих программных и интеллектуальных ресурсов со стороны банка, а цена ошибки ИИ — ещё выше. Во-вторых, массив данных должен быть органическим (собранным с реальных систем), а не искусственным. В-третьих, аналитик должен корректно разметить этот массив, чтобы исключить обучение модели на недостоверных или, того хуже, на заведомо мошеннических событиях.

Стоит также упомянуть о том, что на уровне правительства РФ делаются шаги по развитию искусственного интеллекта.

На наш взгляд, учитывая вышесказанное, можно утверждать: будущее — за машинным обучением и математическими моделями, хотя на данном этапе предстоит еще проделать большой путь для достижения ожидаемых результатов (особенно в сфере противодействия мошенничеству).

Ещё один тренд на сегодня — это кросс-канальная система антифрода. Она подразумевает получение данных из разных каналов кредитной организации, включая процессинг, дистанционное банковское обслуживание, кредитный конвейер и т.д. Для определения легитимности операции система может использовать в своих правилах как транзакционные, так и сессионные события. Данный подход не только повышает эффективность предотвращения мошенничества, но и может способствовать более удобному и быстрому проведению платежей либо целевому отображению рекламы для клиента.

 

Пути противодействия

Для эффективного противодействия социальной инженерии нужен комплексный подход. Со стороны банка недостаточно бороться с мошенничеством только при помощи антифрод-системы. Необходимы также работа с клиентами и передача им информационных сообщений, в том числе при выдаче карт в момент заключения договоров или путем обзвона (в первую очередь — возрастной группы клиентов). Каждый пользователь банка должен знать, что сотрудник никогда не просит сообщить срок действия карты, CVV-код, одноразовый пароль из SMS-сообщения, и что если возникают сомнения в какой-то ситуации при общении с представителями банка, то необходимо просто набрать номер телефона, который указан на карте.

Ещё одна из возможных перспективных процедур противодействия — это оперативное оповещение о проведенной мошеннической транзакции, направляемое банком-эмитентом жертвы в адрес банка получателя украденных средств и банка-эквайера. Также были бы полезными сведения от банка — эмитента мошеннической карты о данных ее держателя; однако в этом случае закон о персональных данных препятствует обмену такими списками, и реализовать всё это законным путем будет крайне сложно.

Помимо закона о персональных данных, на описанную процедуру противодействия мошенническим операциям повлияет неэффективность отделения злоумышленников от честных клиентов. Правда, если подобный процесс всё-таки удастся запустить, то во всех финансово-кредитных организациях может эффективно заработать принцип «знай своего клиента», что усложнит мошенникам процесс открытия карт или счетов, а также насторожит подставных лиц, если они будут знать о последствиях.

В целом, если предположить возможность создания такого списка и его своевременное обновление — даже в рекомендательной форме, — то он существенно поможет сократить уровень мошенничества в части социальной инженерии.

 

Выводы

Компания Cross Technologies занимается внедрением современной и эффективной системы кросс-канального предотвращения мошенничества. Помимо интеграции и настройки, аналитики компании создают группы правил по согласованию с заказчиком и тестируют их на исторических данных, а самые эффективные из них запускают в продуктивную среду. Для достижения максимальной отдачи существует отлаженная и оптимизированная интеграция моделей машинного обучения, созданных специалистами заказчика, а также интеллектуальная система генерации правил, где ключевые алгоритмы построены опытными экспертами по распознаванию мошенничества. Система самостоятельно генерирует легко читаемые и изменяемые правила даже на малом количестве данных. Благодаря возможности гибко настраивать правила и быстрой обработке запросов (среднее время — 25 мс) она является отличным инструментом для предотвращения мошенничества в режиме онлайн в банковской сфере и не только.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru