Чтобы защитить финансы клиентов, компании применяют антифрод-решения (от antifraud – «противодействие мошенничеству»). Как работает антифрод, в чём его уязвимые места и при чём тут социальная инженерия?
Что такое фрод…
Понятие «фрод» чаще всего применимо к банковской сфере, электронной коммерции или телекоммуникационным услугам. Если говорить о самом общем понимании, то фрод – это мошенническая операция в инфраструктуре поставщика услуг. Цель такой операции – обмануть систему предоставления услуг и извлечь дополнительную выгоду. Это может быть и кража денежных средств, как прямая, так и косвенная (например, путём неоплаты услуг).
Существует множество разновидностей фрода, среди которых можно выделить несколько основных:
«Чистый» фрод – получение мошенниками доступа к данным банковской карты или счёта клиента, несанкционированный вывод средств или оплата товаров и услуг. Для сферы телекоммуникаций разновидностью «чистого» фрода станет взлом личного кабинета клиента. В банковской сфере самый известный способ кражи – использование миниатюрных считывающих устройств (скиммеров), которые фиксируют информацию при вводе пин-кода и передают её мошенникам.
Взлом аккаунта / личного кабинета. Получив доступ, мошенник осуществляет покупки с привязанных карт или подписывается от лица владельца на платные сервисы или услуги сторонних компаний.
Т.н. friendly fraud, или
мошеннический возврат средств. Мошенник заказывает товар, оплачивает его с помощью своей банковской карты, а затем запрашивает возврат средств, поскольку карта якобы была украдена. Расчёт делается на то, что средства будут возвращены, а купленный товар останется у мошенника.
Фиктивная продажа, например, через сайты-двойники. Клиент оплачивает товар, но не получает его, а деньги забирает себе мошенник.
Компании – поставщики антифрод-решений также используют другую классификацию фрода. Критерием в данном случае служит канал, по которому происходит атака:
Фрод при обслуживании физических лиц
Фрод при обслуживании корпоративных клиентов (юридических лиц)
Мошенничество при обслуживании VIP-клиентов в области Private Banking
Мошенничество с банковскими картами
Мошенничество при чековых операциях
Мошенничество сотрудников внутри компании.
Наконец, атака фродстера может быть направлена как на цифровую экосистему компании, так и на людей, стоящих за этой экосистемой, – пользователей и сотрудников. Во втором случае речь зачастую идёт об использовании особых психологических методик воздействия – запугивании, дезориентации, попытках сыграть на эмоциях. Такую работу с людьми специалисты называют фродом с использованием
социальной инженерии.
…и как ему противостоять?
Видов фрода очень много, но все их объединяет одна общая черта: фрод – это всегда аномальная, выделяющаяся на фоне других активность. На поиск и перехват этих аномалий и нацелены антифрод-решения. Например, они фиксируют необычные, не характерные для конкретного клиента транзакции и переводы денежных средств. Если перевод кажется подозрительным, система приостановит операцию и оповестит об этом службу безопасности. То же самое относится и к необычным попыткам авторизации – в нехарактерное время или из нетипичной локации (к примеру, если в мобильный банк клиента, проживающего в Москве, пытаются зайти с устройства, находящегося в Сиднее). Аналогичным образом решение реагирует на несанкционированный запрос доступа внутри самой системы – допустим, если персональную информацию клиентов пытается просмотреть сотрудник, в чьи должностные обязанности это не входит. Выявлять такие аномальные активности, отличать их от нормальных и вовремя блокировать – вот основная задача антифрод-решений.
Можно ли обмануть антифрод-систему?
Покой нам только снится
К сожалению, обмануть антифрод-систему можно. На сегодняшний день не существует универсального решения, которое гарантированно предотвращало бы любые попытки мошенничества. Это происходит не из-за нехватки технологий, а из-за того, что преступная мысль постоянно совершенствуется, выискивая новые способы обойти защиту. Это безостановочное противостояние напоминает борьбу микробов и антибиотиков. Бактерии вырабатывают устойчивость к лекарствам, и люди создают новые, более мощные препараты, которые спустя некоторое время тоже устаревают. Точно так же мошенники постоянно ищут уязвимое место в системах защиты, а те, в свою очередь, постоянно обновляются и улучшаются. Сейчас технологии достигли такого уровня развития, что самым слабым звеном остаётся человек – сам клиент или же сотрудник организации, имеющий доступ к критическим данным.
Человеческий фактор – самый уязвимый.
Обратимся к цифрам. Только 0,2% россиян точно знают, какую информацию по банковской карте и кому можно предоставлять. Именно на это и рассчитано мошенничество со звонками из «службы безопасности банка». Жертвами преступников обычно становятся пожилые люди, но в последнее время мошенники всё чаще
стали выбирать своей целью молодёжь 18-22 лет. С этим связан и рост активности мошенников в социальных сетях – по некоторым оценкам, в
3 раза за последнее время. Тем не менее, самым распространённым способом фрода остаются звонки, причём всё
чаще – под предлогом продажи товаров первой необходимости со скидками или по оптовой цене. Ни в одном случае речь не идёт о взломе банковской системы защиты: люди сами, по собственной воле переводят мошенникам деньги или предоставляют данные по картам и счетам.
Ещё одно уязвимое звено – это сами сотрудники банков или других организаций, работающих с клиентскими данными. До 90% всех случаев взлома происходят с использованием инсайдов, то есть «слитой» изнутри информации. Виной всему может быть как злой умысел, так и простая халатность или недостаточная информированность. Мошенники нередко используют
метод компрометации электронной почты: взломав или подделав почту руководителя, убеждают нижестоящих сотрудников перевести деньги на нужный им счёт или предоставить необходимые данные. Перед человеческим фактором нередко оказываются бессильны даже самые передовые технологические решения: какая разница, какой высоты стены крепости, если стража у ворот спит на посту?
Есть ли выход?
«Нужно бежать со всех ног, чтобы только оставаться на месте… а чтобы куда-то попасть, надо бежать как минимум вдвое быстрее», – когда Льюис Кэррол писал эту фразу, он явно не имел в виду антифрод, но эта мысль подходит сюда как нельзя кстати. Единственный выход заключается в постоянном «прокачивании» навыков по борьбе с мошенничеством, причём как в дальнейшем развитии технологии, так и в постоянной работе с людьми – клиентами и сотрудниками. Фрод – нечто гораздо большее, чем просто подбор паролей: это целый комплекс мер, от фишинговых сайтов до методов социальной инженерии. Следовательно, антифрод должен быть таким же комплексным. Что это означает на практике?
Антифрод-система должна представлять собой комплексное программное обеспечение, которое будет полностью покрывать как внутренние, так и внешние коммуникации компании. Это особенно важно сейчас, когда компании стремятся к созданию цифровых экосистем, включающих максимальное количество сервисов, товаров и услуг, предоставляемых клиентам. Взлом одного такого элемента автоматически поставит под удар всю экосистему. Именно поэтому антифрод-решение не должно иметь «слепых зон», защищая все каналы, все области деятельности, все юридические лица и все аккаунты, входящие в экосистему или холдинг.
Антифрод-команда должна включать в себя специалистов различных подразделений: не только программистов и специалистов по информационной безопасности, но также аналитиков, специалистов по работе с данными, экспертов в области хранилищ и так далее. Это нужно для того, чтобы обеспечить адекватное противодействие методам социальной инженерии.
Маскирование данных – обязательный компонент антифрод-системы. Это связано с ростом объёма данных, неизбежным в ходе цифровой трансформации. При создании новых цифровых продуктов доступ к этим данным неизбежно получают сторонние люди – разработчики и тестировщики. Чтобы защитить важные данные, не снижая скорость работы, применяются решения по маскированию. К примеру, разработчик мобильного банковского приложения будет работать с копией подлинной базы данных, но при этом номера банковских карт будут заменены на произвольные комбинации цифр, а фамилии клиентов перемешаны в случайном порядке. Замаскированные таким образом данные не представляют никакой ценности для мошенников, но вполне пригодны для разработки и тестирования, поскольку структура и целостность базы при этом не нарушается.
Работа с персоналом должна стать неотъемлемой частью профилактики фрода. Каждая компания должна до конца понимать, кому она доверяет свои критические данные, и одной только службы безопасности для этого мало. Важную роль здесь играет внутренний PR и активная вовлечённость HR-подразделения.
Разъяснительная работа с населением должна вестись постоянно. О том, как защититься от мошенников, важно рассказывать не только пожилым людям, но и молодёжи, начиная со школьного возраста. Необходимо расширять и дополнять существующие программы финансовой грамотности и обучения пользованию финансовыми сервисами.