Array ( => Y => Y => Y => Y => presscenter => 23 => Array () => Array ( => Otype => linked_products => linked_service => linked_solutions) => /press-center/article/#ELEMENT_ID#/ => - => - => - => => 1 => N => 1 => 1 => d.m.Y => A => 3600 => Y => => Array ( => 1) => => 1 => Страница => => => 1 => 1 => 9954 => => /press-center/article/ => N => => => => => => /press-center/article/ => ACTIVE_FROM => DESC => ID => DESC [~DISPLAY_DATE] => Y [~DISPLAY_NAME] => Y [~DISPLAY_PICTURE] => Y [~DISPLAY_PREVIEW_TEXT] => Y [~IBLOCK_TYPE] => presscenter [~IBLOCK_ID] => 23 [~FIELD_CODE] => Array ( => =>) [~PROPERTY_CODE] => Array ( => Otype => linked_products => linked_service => linked_solutions) [~DETAIL_URL] => /press-center/article/#ELEMENT_ID#/ [~META_KEYWORDS] => - [~META_DESCRIPTION] => - [~BROWSER_TITLE] => - [~DISPLAY_PANEL] => [~SET_TITLE] => Y [~SET_STATUS_404] => N [~INCLUDE_IBLOCK_INTO_CHAIN] => Y [~ADD_SECTIONS_CHAIN] => Y [~ACTIVE_DATE_FORMAT] => d.m.Y [~CACHE_TYPE] => A [~CACHE_TIME] => 3600 [~CACHE_GROUPS] => Y [~USE_PERMISSIONS] => N [~GROUP_PERMISSIONS] => [~DISPLAY_TOP_PAGER] => N [~DISPLAY_BOTTOM_PAGER] => Y [~PAGER_TITLE] => Страница [~PAGER_SHOW_ALWAYS] => N [~PAGER_TEMPLATE] => [~PAGER_SHOW_ALL] => Y [~CHECK_DATES] => Y [~ELEMENT_ID] => 9954 [~ELEMENT_CODE] => [~IBLOCK_URL] => /press-center/article/ [~USE_SHARE] => N [~SHARE_HIDE] => [~SHARE_TEMPLATE] => [~SHARE_HANDLERS] => [~SHARE_SHORTEN_URL_LOGIN] => [~SHARE_SHORTEN_URL_KEY] => [~SEF_FOLDER] => /press-center/article/ [~SORT_BY1] => ACTIVE_FROM [~SORT_ORDER1] => DESC [~SORT_BY2] => ID [~SORT_ORDER2] => DESC =>)
Виктор Сердюк,
кандидат технических наук, CISSP,
Генеральный директор ЗАО «ДиалогНаука»
PC WEEK REVIEW: ИТ-БЕЗОПАСНОСТЬ
www.pcweek.ru
Сегодня проблема защиты от мошеннических действий злоумышленников является одной из наиболее актуальных задач для большинства российских банков. Это связано с ростом финансовых потерь кредитных организаций вследствие несанкционированных действий злоумышленников, направленных на кражу денежных средств со счетов клиентов банка. При этом в качестве клиентов могут выступать как физические, так и юридические лица.
Вот лишь некоторые примеры действий злоумышленников, которые могут нанести ущерб банку и его клиентам:
В качестве примера возможного ущерба от действий злоумышленников можно привести данные, согласно которым Сбербанк России с начала 2012 года зафиксировал в общей сложности 467 случаев хищения денежных средств со счетов своих клиентов в рамках дистанционно-банковского обслуживания на сумму более 362 миллиона рублей.
Актуальность данной проблемы подтверждается и требованиями статьи 9 Федерального закона № 161-ФЗ «О национальной платежной системе», которая перекладывает на банк ответственность за несанкционированное списание средств со счета клиента. То есть, если клиент сообщил, что средства были списаны со счета без его согласия не позднее чем через день после получения уведомления о транзакции, банк обязан в течение суток возместить ему утраченные средства. Несмотря на то, что вступление данной статьи отложено на один год, в интересах банков уже сейчас начать предпринять меры по повышению уровня защиты от возможных действий злоумышленников.
Возможные пути защиты от банковского фрода
Для защиты от банковского фрода можно реализовывать две возможные стратегии защиты – на стороне клиента или на стороне банка. Реализация функций защиты на стороне клиента включает в себя: усиленную аутентификацию пользователя, создание доверенной среды для работы клиент-банка, разработка требований по защите рабочего места, на котором установлена система ДБО и др. К сожалению, в силу сложности задачи, а также не всегда высокого уровня технической квалификации пользователя, полностью решить проблему защиты на уровне клиента не представляется возможным. Именно поэтому банки все чаще в дополнении к существующим средствам защиты реализуют функции безопасности на стороне банка.
Реализация функций защиты на стороне банка предполагает возможность выявления несанкционированных банковских операций, даже если они были выполнены от имени клиентов. Одним из способов решения данной задачи является применение специализированных систем выявления мошеннических операций. Данные системы обеспечивают анализ банковских транзакций с целью выявления и блокирования тех из них, которые связаны с действиями злоумышленников. Необходимость применения специализированных систем для такого анализа обусловлена тем, что большинство банков ежедневно совершают огромное количество транзакций, обработать которые в ручном режиме практически невозможно.
При этом необходимость внедрения подобной системы всегда можно обосновать путем расчета показателя возврата инвестиций ROI (Return of Investments). Данный показатель позволяет наглядно продемонстрировать руководству банка окупаемость системы за счет возможности предотвращения реальных финансовые потерь со стороны банка посредством блокирования мошеннических транзакций.
В общем случае система защиты от банковского фрода должна удовлетворять следующим требованиям:
Схема размещения системы выявления мошеннических операций и её взаимодействие с компонентами системы ДБО показана на рисунке ниже.
Нажмите, чтобы увеличить схему
Схема размещения системы выявления мошеннических действий
На сегодняшний день можно выделить следующие возможные варианты реализации систем выявления мошеннических операций:
Каждый из вышеперечисленных классов систем выявления банковского фрода имеет свои преимущества и недостатки. В данной статье будет более подробно рассмотрен последний вариант реализации системы выявления фрода на базе решения ArcSight компании Hewlett Packard.
Применение системы защиты от банковского фрода на базе решения HP ArcSight
Система ArcSight представляет собой специализированное решение, предназначенное для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. В качестве таких источников могут выступать средства защиты информации, общесистемное и прикладное ПО, телекоммуникационное обеспечение и др. На сегодняшний день ArcSight является одной из ведущих систем мирового уровня, получившая наибольшее распространение в России.
Построение системы выявления банковского фрода на базе решения ArcSight предполагает установку и настройку пакета дополнительных правил и отчетов, которые позволяют средствами ArcSight выявлять мошеннические транзакции. ArcSight позволяет легко интегрироваться со всеми основными банковскими прикладными системами, включая системы дистанционного банковского обслуживания «Банк-Клиент», «Интернет-Банк», автоматизированные банковские системы и др. При этом система в реальном масштабе времени осуществляет обработку и корреляцию данных, поступающих не только от прикладного ПО, но от других источников, что позволяет выявлять сложные информационные атаки, направленные на совершение мошеннических действий.
Еще одним преимуществом системы ArcSight является тот факт, что она уже успешно применяется в большом количестве российских банков для мониторинга событий информационной безопасности. Система обладает возможностью обработки до 10 тысяч транзакций в секунду, что позволяет применять её в банке любого уровня.
Принцип работы системы выявления мошеннических действий заключается в следующем. Система в режиме реального времени выполняет анализ атрибутов каждого платежного поручения на основании данных, получаемых из системы ДБО и других систем Банка. На основании результатов такого анализа и в соответствии с определенными правилами, система ArcSight осуществляет расчет коэффициента, характеризующего величину риска платежной операции. Система, осуществляющая обработку платежных операций (ДБО, АБС, иная процессинговая система), должна проводить транзакцию или отклонять ее с учетом величины риска конкретной транзакции. Иными словами, функционал АБС или ДБО должен иметь возможность отклонения транзакции при превышении коэффициента риска транзакции определенного порога.
В таблице ниже приведены основные атрибуты платежного поручения, которые анализируются системой ArcSight на предмет выявления мошеннических транзакций.
Параметры анализа платежного поручения
| № | Наименование параметра | Алгоритм анализа |
| 1 | Наличие получателя платежа в «белом списке» | «Белый список» содержит реквизиты организации, платежи которым рассматриваются как легальные. При этом система позволяет автоматически вести «белый список» таких получателей следующим образом – если операция перевода денежных средств определенному получателю прошла ранее и не была опротестована, то он автоматически попадает в такой список |
| 2 | Наличие получателя платежа в «черном списке» | «Черный список» содержит реквизиты организации, платежи которым рассматриваются как несанкционированные |
| 3 | Тип платежа | В системе существует собственная классификация платежей: платежи в федеральный бюджет, внутрибанковский платежи и др. На основе такой классификации система позволяет выявить те платежи, которые являются легальными и не представляют опасность для банка и клиента |
| 4 | Сумма платежа | Анализ суммы позволяет выявлять нетипичные платежи для конкретного клиента |
| 5 | Атрибуты отправителя платежа | Анализ изменения IP-адресов отправителя позволяет выявлять действия злоумышленников, которые выполняют транзакции от имени клиента банка |
| 6 | Время проведения финансовой транзакции | Анализ данного параметра позволяет выявлять транзакции, которые выполняются в нетипичное для клиента время |
Помимо параметров, приведенных в таблице выше, система ArcSight может анализировать большое количество других атрибутов, которые позволяют выявлять мошеннические действия злоумышленника. Так, например, система может выявлять множественные транзакции на разных получателей с одинаковым назначением платежа и др.
Необходимо отметить, что ArcSight включает в себя большое количество уже готовых правил корреляции, позволяющих выявлять различные виды мошенничества. При этом система предусматривает возможность добавления новых правил, что позволяет учесть специфику операционной деятельности российских банков.
В процессе своей работы система позволяет однозначно квалифицировать подавляющее большинство транзакций как надежные или рискованные. Для некоторых транзакций, по которым нельзя принять однозначного решения, требуется дополнительная проверка со стороны оператора. Таким образом, решение на базе ArcSight, позволяет в значительной степени автоматизировать и упростить процесс анализа параметров платежных поручений с целью выявления фактов мошенничества.
Основные этапы внедрения системы защиты от фрода
Процесс внедрения системы выявления мошеннических транзакций включает в себя следующие основные этапы:
Заключение
На сегодняшний день практически любой российский банк сталкивается проблемой фрода. Одним из возможных путей решения данной проблемы является применение специализированных систем выявления мошеннических операций, примером которой является решение на базе продукта HP ArcSight. Данное решение уже успешно используется в российских банках и практический опыт его эксплуатации доказал его эффективность за счет предотвращения реального ущерба, который мог бы быть нанесен банку действиями мошенников.
Одним из наиболее опасных преступлений против собственности считается мошенничество. В уголовном законодательстве есть несколько статей, посвященных ему.
Общий состав посягательства предусмотрен в 159 статье УК РФ . В норме установлены наказания за противоправные действия с физическими объектами или имущественными правами. В 159 статье УК РФ предусмотрены квалифицированные и особо квалифицированные составы. В ст. 159.6 установлено наказание за деяния в сфере компьютерной информации. Между тем в последнее время получил широкое распространение новый тип мошенничества - фрод . Ответственность за него в УК не предусмотрена.
Слово fraud в переводе с английского обозначает "мошенничество". Суть его состоит в несанкционированных действиях, неправомочном использовании услугами и ресурсами в сетях связи. Проще говоря, это вид мошенничества в области информационных технологи й.
Способы совершения преступления различны. В настоящее время известно больше 50 разных приемов хищения в сетях связи.
Анализируя случаи, имевшие место в практике, можно сказать, что фрод - это такое преступление, за которое привлечь к ответственности очень сложно.
Попытка выделить виды фрода была предпринята в 1999 г. Ф. Госсетом и М. Хайлендом. Они смогли обозначить 6 основных типов:
Позже эту классификацию существенно упростили; все методы объединили в 4 группы: процедурное, хакерское, контрактное, техническое мошенничество.
Необходимо понимать, что фрод - это такое преступление, источник которого может находиться где угодно. В этой связи особую актуальность приобретает вопрос В соответствии с этим, выделяют следующие три типа мошенничества:
Рассмотрим их основные признаки.
Наиболее распространенными действиями считаются:
Зачастую оно выражается в организации очень запутанных схем, связанных с обменом трафиком на сетях. Среди наиболее распространенных неправомерных действий можно отметить следующие:
Он предполагает действия сотрудников компании связи, связанные с хищением трафика. Сотрудник, к примеру, может воспользоваться служебным положением для извлечения незаконной прибыли. В этом случае мотивом его действий является корысть. Бывает и так, что служащий умышленно наносит компании ущерб, например, вследствие конфликта с руководством.
Внутреннее мошенничество может совершаться путем:
Это достаточно специфичная схема мошенничества. Она связана с покупками товаров в Интернете.
Клиенты делают заказ и оплачивают его, как правило, безналичным расчетом с карты или счета. Затем они инициируют возврат оплаты, обосновывая это тем, что платежный инструмент или информация о счете были украдены. В результате средства возвращаются, а приобретенный товар остается у злоумышленника.
Как показывает практика, злоумышленники используют сразу несколько способов фрода. Ведь, по сути, ? Это люди, хорошо разбирающиеся в информационных технологиях.
Чтобы не быть пойманными, они разрабатывают различные схемы, распутать которые зачастую почти невозможно. Достигается это как раз путем применения нескольких незаконных моделей одновременно. При этом какой-то способ может использоваться для направления правоохранительных органов по ложному следу. Зачастую не помогает и фрод-мониторинг .
Сегодня большинство специалистов приходят к единому выводу о том, что составить исчерпывающий перечень всех типов телекоммуникационного фрода невозможно. Это вполне объяснимо. В первую очередь, технологии не стоят на месте: идет их постоянное развитие. Во-вторых, необходимо учитывать специфику этого направления преступной деятельности. Телекоммуникационное мошенничество тесно связано с реализацией конкретных услуг определенных операторов связи. Соответственно, кроме общих сложностей, у каждой компании будут возникать свои, присущие только ей специфические проблемы.
Любой оператор должен иметь представление о существующих видах телекоммуникационного мошенничества. Классификация помогает упорядочить деятельность, направленную на борьбу с преступлениями.
Наиболее распространенным считается разделение фрода по функциональным сферам:
Вместе с тем классификация не облегчает оператору решение задачи по обеспечению защиты от мошенничества. К примеру, транзитный фрод предполагает реализацию огромного количества мошеннических схем. Несмотря на то что все они в той или иной степени связаны с предоставлением одной услуги - транзитом трафика, выявляются они при помощи совершенно разных инструментов и методов.
Учитывая сложность проблемы, при планировании деятельности по фрод-мониторингу операторам следует использовать типологизацию мошеннических схем в соответствии с методами их детектирования, выявления. Эта классификация представлена в виде ограниченного перечня классов фрода. Любую возникающую, в том числе ранее не учтенную схему мошенничества оператор может отнести к какому-либо классу в зависимости от метода, применяемого для ее раскрытия.
Отправной точкой для такого деления будет выступать представление о любой модели как о сочетании 2-х компонентов.
Первым элементом является "предфродовое состояние". Оно предполагает определенную ситуацию, сочетание условий, возникшие в настройках системы, в бизнес-процессах, благоприятные для реализации мошеннической схемы.
К примеру, существует такая модель, как "фантомные абоненты". Эти субъекты получили доступ к услугам, но в билинговой системе не зарегистрированы. Это явление и называется "предфродовым состоянием" - рассинхронизация данных между элементами сети и учетными системами. Это, разумеется, еще не фрод. Но при наличии этой рассинхронизации он вполне может быть реализован.
Вторым элементом является "фродовое событие", т. е. действие, для которого организована схема.
Если продолжить рассматривать "фантомных абонентов", действием будет считаться СМС, звонок, транзит трафика, передача данных, совершенные одним из таких абонентов. В связи с тем, что в биллинговой системе он отсутствует, услуги оплачены не будут.
Техническое телекоммуникационное мошенничество порождает множество проблем.
В первую очередь, вместо контролируемого и законного соединения рассылки осуществляются с непонятного устройства. Усложняется ситуация тем, что содержание сообщений нельзя модерировать (проверять).
Во-вторых, кроме убытков от неоплаченных рассылок, у оператора увеличиваются прямые затраты на расширение сети из-за повышенной нагрузки на устройства вследствие нелегального сигнального трафика.
Еще одна проблема - сложности при взаимозачетах между операторами. Разумеется, никто не хочет оплачивать пиратский трафик.
Эта проблема приобрела угрожающие масштабы. Для выхода из сложившейся ситуации Ассоциация GSM разработала несколько документов. В них раскрывается понятие смс-фрода, даются рекомендации по основным методам его детектирования.
Одной из причин распространения СМС-мошенничества специалисты называют несвоевременное обновление ОС телефона. Как показывает статистика, большое количество пользователей не хотят покупать новый телефон, пока используемый аппарат не выйдет из строя. Из-за этого более чем на половине устройств используется старое программное обеспечение, которое, в свою очередь, имеет бреши. Ими и пользуются мошенники для реализации своих схем. Между тем и современные версии имеют свои уязвимости.
Устранить проблему можно, обновив систему до последней версии и запустив приложение, выявляющее уязвимости.
Необходимо помнить, что злоумышленники не разделяют мобильную и фиксированную связь. Схемы фрода могут быть реализованы в любой уязвимой сети. Мошенники изучают особенности и той, и другой связи, выявляют похожие бреши и проникают в них. Конечно, абсолютно исключить угрозу нельзя. Однако устранить наиболее явные уязвимости вполне возможно.
Иван ПискуновАнти-фрод системы в отечественных компаниях за последние несколько лет набирают все большую популярность. В свете последних событий и ужесточения требований Банка России к защите платежных систем, использование анти-фрод комплексов становится не просто рекомендуем, но теперь и обязательным. В связи с этим рынок решений анти-фрод систем динамично растет, компании-интеграторы и разработчики ИБ предполагают новые виды сервисов и специализированных программых решений для защиты от мошенничества.
Введение
Крупные хищения денежных средств со счетов клиентов чаще всего доводятся до суда, но случаи мошеннических платежей по банковским картам через интернет-магазины на сегодняшний момент в России практически не расследуются. По информации размещенной в одной публикации на Хабре, общий объем ущерба от кардинга (мошенники - жители СНГ) составляет 680 млн долларов за 2013-2014 гг. и еженедельно компрометируется 3-6 тысяч карт российских банков. Более подробно о данных инцидентах можно почитать на форуме bankir.ru
Сейчас на доработке находится законопроект, усиливающий уголовную ответственность за киберпреступления. В частности, он вводит в статью 158 УК пункт о краже с банковского счета и электронных денежных средств, а в статью 183 УК - пункт о незаконном сборе информации путем злоупотребления доверием.
По мимо этого Банк России определился с концепцией регулирования краудфандинга . "При этом безусловным приоритетом будет защита прав потребителей" . - поясняет заместитель начальника ГУБиЗИ Артем Сычев . Основные риски краудфанддинга, по мнению ЦБ, связаны с непрозрачностью площадок и возможностью использования мошеннических схем вплоть до создания финансовых пирамид. Кроме того, возможен риск невозврата средств в случае, если проект не наберет требуемую сумму для запуска.
Анти-фрод системы
И так давайте же попробуем чуть-чуть заглянуть к ним внутрь и разобраться как работают эти системы, на сколько они действительно могут защитить от фрода .
1. Принципы работы
Не смотря на различные алгоритмы реализованные тем или иным вендором в каждом продукте, общие принципы на которых работает анти-фрод система остаются неизменными. Прежде сего это поиск аномалий (нетипичных событий, действий, бухгалтерских проводок) в часто повторяющихся операциях с большим массивом данных. Большинство систем по умолчанию "из коробки" будут иметь типовой набор антипичных действия,который далее нужно адаптировать под каждый частный случай.
Основной флаг для опознавания - неоднородные данные и не типичное действие
2. Анализируемые данные
В каждом отдельном конкретном случае набор анализируемых данных для анти-фрод системы будет разным. Выбор прежде всего зависит от специфики работы самой компании в которой установлена система, так для банка это один набор данных, для телеком-оператора другой, для депозитария или клиринговый центра третий. В целом эти данные собираются из множества финансово-значимых систем, к примеру, АБС для банка, базы дынных по транзакциям для платежных систем и т.д. Так же будут варьироваться и критерии отбора, так для для SAP систем будут значимы операции и действия отображаемые в главной книге, для операторов связи это трафик и действия ведущие к изменению баланса счетауслуг клиента и т.д.
3. Архитектура
Анти-фрод системы как полноценный ИБ-продукт для крупных компаний будут ориентированы в строну клиент-серверного построения. Технические особенности во многом будут сильно зависть от дизайна конкретного разработчика продукта и ИТ-инфраструктуры в которую он внедряется. Но в целом система всегда будет содердать такие компоненты как:
К примеру для телеком-оператора это может выглядеть так:
Машинное обучение и BigData в анти-фрод системах
Интеллектуальные антифрод-системы , установленные в промышленных дата-центрах или серверных помещения внутри собственной ИТ-инфраструктуры банков внутри своих алгоритмов используют математические модели "типичного рабочего дня" , то время как формирование частных (т.е. заточенных под бизнес-процессы конкретного клиента) моделей поведения происходит на основе технологии машинного обучения с получением данных из больших массивов информации, получивших название BigData . Самообучение системы с учётом накопления данных позволяют со временем снижать вероятность возникновения ошибок первого (ложная тревога) и второго (пропуск реальной атаки) родов, что положительно сказывается на их эффективности.
Тем не менее, риск пропуска атак все же сохраняется, так как киберпреступники придумывают всё более изощрённые способы атак. Более того, при целевой атаке , даже если антифрод-система выявит подозрительную транзакцию, киберпреступник, к примеру, может заранее узнать номер телефона клиента, на который будет звонить банк для подтверждения транзакции, и перенаправить вызов на свой телефон. О том, что перенаправление звонков вполне возможно и не является чем-то фантастическим, писалось в блоге компании PT на Хабре.
Мнения экспертов
Подавляющее большинство хищений денег (свыше 90 процентов) с использованием удаленных каналов обслуживания происходит с помощью методов "социальной инженерии". Это не требует каких-то специальных средств: потерпевший либо сам переводит деньги, либо выдает преступникам все реквизиты карт, контрольную информацию и так далее. Многие клиенты так глубоко попадают под обаяние мошенников, что подтверждают правомерность операций даже после того, как к ним обращается служба безопасности банка
, - рассказывает представитель Сбербанка Евгений Калинин
.
Для обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка» , которая характеризует способ обработки транзакции. Существуют три типа меток:
Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок;обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом - напрямую.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку
система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
По данным портала www.banki.ru , самый популярный тип мошенничества с банковскими картами - это так называемый «friendly fraud» («дружеский фрод») . Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) - возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.
Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода . Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.
Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства» . Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% - и это очень хороший показатель для рынка. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.
Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей , как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS , а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.
И немного инфографики в тему фрода в России
Сегодня все чаще говорят о необходимости выстраивания эффективной системы борьбы с мошенничествами в банках, многие кредитные организации внедряют решения по фрод-мониторингу? Насколько это необходимо и полезно банкам и их клиентам? Что в общих чертах представляет собой фрод-мониторинг?
Фрод-мониторинг - это обязательная составляющая превентивных мер по борьбе с мошенничествами, причем как с внешней стороны (клиенты, злоумышленники), так и внутри банка. Это мониторинг всей информации, входящей и исходящей, на предмет обнаружения мошеннических действий. Простой пример - оказание услуг с помощью интернет-банка, в данном случае будут контролироваться все составные части сеанса обслуживания, начиная с ввода логина и пароля в личном кабинете, а не только собственно распоряжение на перевод средств (транзакция).
- Как на сегодняшний день в современных банках устроена работа по борьбе с мошенничествами?
Работу по пресечению мошенничеств можно разделить на несколько этапов. Во-первых, как я уже сказал, это контроль всех входящих и исходящих сообщений в каналах ДБО и иных системах информационного внешнего взаимодействия банка. При этом контролируются не только транзакционные запросы. К примеру, у клиента в небольшой временной период меняется пароль в интернет-банке, а затем и номер контактного телефона. Это - предмет для дополнительного контроля и проверки, все ли в порядке, совершает ли эти действия непосредственно клиент, а не мошенник. Во-вторых, построение поведенческих моделей клиентов. У банкиров есть хорошее правило: «Знай своего клиента», которое позволяет избежать многих потенциальных опасностей. Например, одни клиенты обращаются за услугами в банк чаще всего в рабочее время, другие - переделав все дела на работе, вечером, по дороге домой. Изменение времени обращения также может рассматриваться как повод для дополнительного мониторинга. Третий шаг - создание межбанковских сообществ, обмен оперативной информацией о мошеннических действиях. Если раньше банки предпочитали замалчивать подобные ситуации, то сегодня, например, в случае обнаружения кибератаки на счета клиентов в одной кредитной организации, об этом становится известно другим банкам, и они уже более подготовлены для борьбы с данным мошенничеством.
- Неужели в России это реально работает?
На Западе это - распространенная практика, причем на международном уровне. Думаю, и многие наши крупные банки участвуют в обмене информацией. Точно знаю, что по пластиковым картам данная методика работает и у нас, и в других странах. Есть даже специальные форумы, на которых банковские сотрудники делятся теми или иными сведениями о возможных или реальных мошенниках. По остальным системам дистанционного банковского обслуживания (интернет-банкинг, мобильный банкинг) дела обстоят несколько хуже. Но развитие эти направлений - вопрос времени. В части реакции на последствия мошеннических действий уже ведется реальная работа в банковских сообществах и на уровне личных контактов работников различных банков.
- Хватает ли экспертизы внутренним службам безопасности банков для эффективной борьбы с мошенничествами?
Большинство ведущих российских банков имеют внутри квалифицированные службы безопасности, то есть финансовые институты сами воспитывают нужные кадры или имеют возможность принять на работу соответствующих специалистов. В более мелких организациях обращаются к сторонним компаниям, занимающимся фрод-мониторингом.
- Нет ли рисков для банка, когда он передает подобные функции сторонней компании?
Безусловно, нет стопроцентных гарантий, что утечки информации о фактах успешных или неуспешных атак не произойдет, страховых инструментов для поддержки данных взаимоотношений нет. Но здесь вопрос все-таки нужно рассматривать в другом ключе, а именно в проведении эффективной борьбы с мошенничествами. И для имиджа банка гораздо лучше сказать: да, попытки мошенничеств были, но мы их пресекли. Это главный месседж, который кредитные организации могут донести до клиента, продемонстрировав свою надежность и заботу о клиенте.
- А как обстоят дела с фрод-мониторингом в Европе?
В Европе более половины ведущих банков передают данную функцию на аутсорсинг. Для оценки клиентских запросов на предмет мошенничеств принято обращаться к специализированным компаниям. Во-первых, подобные организации, как правило, консолидируют информацию по нескольким банкам, что позволяет уберечь от опасности тех, на кого атака пока не началась. Во-вторых, специализированные организации имеют в своем штате высококвалифицированных аналитиков, которые по результатам анализа всех данных о мошенничествах делают прогнозы по развитию схем атак и предлагают конкретные меры противодействия. Правда, здесь возникают различные риски, работа партнера влияет на бизнес банка. Некачественный сервис может привести к негативным последствиям вплоть до перерывов в работе. Плюс вопрос банковской тайны, конечно, в данном случае стоит остро. Однако, практика показывает, что подобный подход эффективен. В России пока все банки выстраивают свою систему фрод-мониторинга, независимо от того, осуществляют внедрение самостоятельно, силами ИТ и службы безопасности, либо силами квалифицированных специалистов вендора или его российского партнера.
Собственно, выходит, что риски у наших банков и иностранных разные в корне. Для иностранных главное - правильно выбрать аутсорсингового партнера, для российских - выстроить в своем банке эффективную систему мониторинга.
Как устроена пошагово работа по внедрению решения фрод-мониторинга в банке? С чего начинается весь процесс?
В первую очередь, следует отметить, что внедрение такого решения - это существенное изменение процесса обслуживания клиентов, к этому нужно хорошо подготовиться. При этом в разных банках процесс внедрения решения начинается по-разному, в зависимости от внутреннего заказчика, которым может быть служба безопасности либо бизнес-подразделения. На мой взгляд, последнее более правильно, но оба варианта имеют право на существование, и в обоих случаях можно выстроить эффективную систему по борьбе с мошенничествами.
Начнем с варианта, когда в роли заказчика выступает бизнес. В этом случае сначала продумывается весь процесс проведения мониторинга с учетом процесса оказания услуг клиентам. По ходу обработки поступающей от клиента информации осуществляется адаптивная аутентификация, которая позволяет уточнять по ходу проведения операций, он ли это. Если сравнить с цветовой палитрой, можно сказать, что грубый процесс контроля мошенничеств проводится путем разделения входящей информации на черное и белое, что означает однозначное признание источником информации мошенника или клиента. В случае с эффективным фрод-мониторингом - это некая градация серого. Проводится определенный скоринг уровня подозрительности каждой операции, который уточняется при необходимости. Это и есть адаптивная аутентификация. Для этого используются различные инструменты, самый простой пример - звонок из колл-центра клиенту с контрольным вопросом в случае обнаружения повода для реагирования (снятие слишком большой суммы, работа в интернет-банкинге в нетипичное для клиента время, и многое другое) или отправка SMS.
Здесь есть важный момент для банка - найти баланс. Ведь подобные звонки и проверки могут надоедать клиентам. Но тут либо надо донести до них, что это в интересах их собственной безопасности, либо не начинать использование подобных инструментов. По сути, надо изучить своих клиентов на предмет того, как им будет комфортно. И если заказчиком выступает бизнес, то, как правило, так и происходит.
Если заказчик - служба безопасности, то процесс начинается с определения того, кто в нашем понимании будет мошенником. То есть - кого ловим, как ловим, как противодействуем.
В любом случае внедрение решения фрод-мониторинга несет в себе определенные трудности, и первая из них - это интеграция с различными системами внутри банка, ведь такое решение влияет на действия всех сотрудников банка.
- Готовы ли люди, банковский персонал, к такому внедрению морально и технически?
Морально готовы, большинство уже осознали необходимость создания подобных систем по борьбе с мошенничествами. Но вот технически и технологически - не очень. Большинство автоматизированных банковских систем не имеет необходимой информации и необходимых инструментов для интеграции с системой фрод-мониторинга. Дистанционные каналы банковского обслуживания требуют доработки, они не могут качественно предоставить информацию об источнике сообщения - используемом рабочем месте клиента, самом клиенте и т.д. Плюс во многих банках до сих пор нет качественно работающей системы риск-менеджмента, которая бы могла переводить риски в деньги. Некоторым проще использовать варианты страхования убытков, чем бороться с рисками превентивными методами.
- Как происходит сопровождение системы фрод-мониторинга в банке?
Процесс сопровождения можно разделить на 2 составляющих - это сервисная (техническая) поддержка программно-аппаратной составляющей и сопровождение алгоритмов и методик «оценки на фродовость» с точки зрения учета постоянно усовершенствующихся мошеннических действий. Сервисная поддержка фрод-мониторингу нужна точно так же, как и любой автоматизированной системе, как любому программному обеспечению. И это банки частично могут делать собственными силами, даже если решение внедрено специализированной компанией. Второе - это оперативное реагирование на изменения и актуализация данных. Фрод-мониторинг должен быть постоянно обучающейся системой. Тут банку предстоит решить, может ли он это делать самостоятельно, либо ему потребуется помощь вендора или партнера. В редких случаях службы безопасности сами могут контролировать «рынок мошенничества», поскольку это требует больших затрат рабочего времени. Например, есть ресурсы, где хакеры вывешивают данные о взломе систем, раскрытых счетах клиентов, и др. Система фрод-мониторинга должна быть постоянно в таком состоянии, чтобы она могла противодействовать атакам со стороны мошенников.
- Помогает ли фрод-мониторинг бороться с инсайдом?
Фрод-мониторинг базируется на определении поведенческой модели пользователя и формальных (статических) правилах. В случае с инсайдером (сотрудником банка) речь идет о модели работы сотрудника в соответствии с должностной инструкцией. В целом известно, с какими документами, программами и системами, в каком объеме работает тот или иной сотрудник. Когда выявляется какое-то отклонение (аномалия в поведении) - это повод для дополнительного контроля. К примеру, обычно человек обрабатывает 100 заявок на кредит, а тут вдруг обработал 250. Или резко увеличился объем одобренных сотрудником кредитов по сумме. Это является основанием для проведения проверки - не являются ли данные аномалии результатом проведения или подготовки к проведению мошеннического действия.
Поможет ли фрод-мониторинг, если кредитный менеджер решил выдать кредит какому-то «своему» человеку с тем, чтобы тот его не возвращал?
В данном случае должны подключаться кредитные аналитики и служба безопасности. Фрод-мониторинг только поможет выявить отклонения от типичного рабочего процесса данного кредитного менеджера, если таковые обнаружатся. Например, в виде существенно короткого периода времени рассмотрения кредитной заявки.
- Каковы перспективы рынка фрод-мониторинга?
Безусловно, развитие и рост. Темпы роста зависят от многих факторов: от развития каналов дистанционного банковского обслуживания, да и от самих мошенников, и многого другого. Неплохим стимулом могут послужить действия страховых компаний, при объявлении готовности страховать ответственность банков только в случае наличия системы фрод-мониторинга в кредитной организации.
Международная ассоциация операторов сетей GSM выработала свою классификацию для фрод преступлений.
По данным Mummert+Partner более 1,5 млн обладателей мобильных телефонов ежегодно отказываются оплачивать выставленные счета.
Фрод используется для воровства средств с мобильных телефонов.
Фрод - это метод превышения лимита количества отправляемых SMS -запросов, обусловленный техническими возможностями платформы ОСС , приводящий к получению абонентом заказываемых услуг без фактической их оплаты.
Возможен вариант открытия платного сервиса, со способом оплаты посредством SMS сообщений. При этом технически возможно получение отрицательного баланса на SIM-карте с дебетным тарифным планом.
Для предотвращения этого вида мошенничества используется Фрод-порог, который обновляется для каждого номера 1 раз в 60 минут .
Мошенничество с помощью кредитных карт (кардинг включает в себя кражу данных карты в интернете (фишинг), копирование информации, содержащейся на магнитной полосе карты (скимминг), а также мошенничество при оплате при физическом отсутствии карты (Card not present transaction англ.). Ещё одним способом являются возвраты (чарджбек).
Фродом являются также и операции с поддельными картами. Подделываются кредитные карты так - берётся гибридная карточка, копируются записи её магнитной полосы и переносятся на другую карточку только с магнитной полосой или на гибридную карточку с «кривым» чипом (например, сожжённым или неперсонализированным). Операции будут успешно выполняться или в режиме оффлайн (подлимитные операции), или в режиме fallback (перехода). Ответственность за такой фрод ложится на эмитента карточки .
Wikimedia Foundation . 2010 .
абонентский фрод - Один из наиболее простых видов мошенничества, при котором абонент вносит первоначальную абонентскую плату, а затем интенсивно использует сотовый телефон или просто перепродает эфирное время, а по истечении отчетного периода не оплачивает его,… … Справочник технического переводчика
Золотой век ее продолжался до завоевания ее Норвегией (1264). Норвежский монах Теодерих (XII в.) называет исландцев самым искусным из северных народов в поэзии и историографии; в XIII в. Саксон Грамматик в предисловии к своей истории изумляется… … Энциклопедический словарь Ф.А. Брокгауза и И.А. Ефрона
Саги стали записываться в мирные годы, последовавшие запеременою веры (1002), когда дела героев прошлого еще хранились внародной памяти. Предварительно они путем устной передачи успелиприобрести известную стереотипную форму, которая сделалась… … Энциклопедия Брокгауза и Ефрона
Savoy Пол Воктор Савой Основная информация Жанр поп рок … Википедия
У этого термина существуют и другие значения, см. Мошенники. Мошенничество хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием. При этом под обманом понимается как сознательное… … Википедия
Сотовые системы связи первого поколения, такие как NMT, TACS и AMPS, имели небольшие возможности в плане безопасности, и это привело к существенным уровням мошеннической деятельности, которая вредит и абонентам и сетевым операторам. Множество… … Википедия
