Мошенничество как неизбежность – антифрод как сервис

Возьмем, к примеру, ДБО (особенно физических лиц), эквайринговые площадки, небанковские системы личных кабинетов, порталы продаж и услуг. Именно это основной сегмент массового онлайн-мошенничества, где господствует вредоносное ПО, средства удаленного управления клиентскими устройствами, социальная инженерия, фарминг и фишинг.

Из нашей практики чаще всего подвержены рискам несанкционированных операций именно системы ДБО. При этом бичом является уязвимость конечной инфраструктуры и самого клиента, вне зависимости от уровня применяемых средств идентификации и аутентификации. Вы скажете – клиент сам виноват, – и будете правы. Но мошенники "жируют" за счет этого, и часть пострадавших в любом случае будет предъявлять претензии банку, в котором злоумышленники смогли применить столь очевидные схемы мошенничества. Кроме того, не стоит забывать и о потере лояльности – второй раз клиент вряд ли захочет стать жертвой злоумышленников и предпочтет перевести свои деньги на хранение в другую, более надежную финансовую организацию.

Примеров атак на ДБО, особенно на мобильные приложения, масса. Останавливаться на них нет смысла. Сегодня важно то, что не только банки стали объектами атак на клиентов. Аналогичная ситуация сложилась в ритейле, в других крупных компаниях, работающих с массовым сегментом (в транспортной отрасли (авиа, ж/д), у провайдеров услуг и пр.). Большинство этих организаций работают через Интернет, принимая платежи/ оплату через карты и платежные системы, оказывают сервисы по дистанционному управлению счетами и услугами. Многие из них имеют программы лояльности, счета которых уже не один год являются лакомым куском для мошенников, вследствие чего убытки уже перевалили за миллиард рублей.

Вот лишь один пример: регистрация на прием в одно из государственных учреждений проводилась через Интернет. Что сделали злоумышленники? Наладили авторегистрацию всего свободного времени в момент открытия и организовали на форуме перепродажу этого времени по 5–10 тысяч рублей за запись.

На чем же построены сегодня классические схемы защиты различных сегментов от мошенничества?

Для каналов ДБО – это анализ поведенческой модели клиента, начиная от белых списков получателей и заканчивая анализом поведения на сайте, попыток контролировать устройство, а точнее, его смену, и т.д. Очевидно, что существуют пользователи, которых сложно профильтровать, а метод тотального контроля всех "новых" операций не применим. Например, когда количество операций на одного уникального клиента равно 1–2 в течение года или за все время работы с отдельно взятым сервисом. Потенциальный клиент в этом случае – инкогнито, и определить, будет ли операция мошеннической, исходя из его действий, почти невозможно. Нет ни истории, ни достаточных данных, которым можно доверять…

Что же тогда работает?

Уже примерно десять лет между участниками межбанковской системы существует обмен информацией о доверии и потенциальном риске клиента, совершаемых ими операциях в том или ином канале в банковской деятельности. И если еще вчера эти каналы взаимодействия не были регламентированы и работали с нарушением норм и правил регуляторов, то сегодня промышленный и экспертный подходы позволили организовать процесс обмена на должном уровне с соблюдением всех норм информационной безопасности.

Пример тому – облачный антифрод. Это классический антифрод, но с измененными ценностями. Если в первом варианте на стороне компании можно было сказать: "Мы знаем почти все о своем клиенте и можем прогнозировать его поведение", то облачные сервисы – это предоставление небольшой части условно связанной с клиентом информации, но зато полученной там, где раньше не было возможности вести подобный контроль, то есть на стороне клиента.

Какие преимущества есть у облачных сервисов перед классическим антифродом? Первое – возможность получения сведений о клиенте в масштабе конкретной отрасли, а не в разрезе инфраструктуры одной компании. Что такое клиент в Интернете? Это не человек и не логин, это, прежде всего, устройство. Однозначного соответствия между клиентом и устройством не существует, но даже нечеткое соответствие позволяет изменить картину с условно неопределенной до заслуживающей доверия в оценке рискованности/не рискованности работы с тем или иным клиентом. Это возможность видеть то, что злоумышленник скрывает от глаз компании-провайдера или компании-агента: свой IP, данные своего окружения и т.д. Возьмем ту же проверку IP на подлинность. Если в банк приходит клиент и намеренно некорректно указывает свои паспортные данные – банк откажет ему в кредите? Однозначно, да. Так почему же, если клиент скрывает свой IP или иную информацию, по которой можно определить его благонадежность, банк обязан работать с ним и проводить его операцию?

Таким образом, облачные сервисы борьбы с мошенничеством стремятся к формированию репутации того объекта, с которым мы вступаем в информационное взаимодействие. Сейчас эта репутация крайне небогата и порой не структурирована. Представьте, какова бы она была, если бы тот же антифрод имел возможность оперировать данными Яндекса, Google, Facebook, MAIL.ru. Хотя даже репутация, сложившаяся исходя из статичной информации об объекте, IP, параметрах устройства, динамичных сведениях о характере операций, профиле работы с ним, дала бы огромный эффект в концепции "знай своего клиента".

И тут срабатывает классическое НО: банки и другие заинтересованные компании хотят получать эту информацию, но совершенно не готовы ею делиться. По нашей статистике, лишь один из пяти участников готов обмениваться с сервисом данными о потенциальном мошенническом характере операции по своему клиенту. В случае же, если это клиент не компании, т.е. между банком и субъектом отсутствуют договорные отношения, информация о которых может быть передана другим участникам, то таковых становится приблизительно две трети от общего числа участников. И лишь 2% готовы публиковать сведения в полном объеме, т.е. доводить до других участников/пользователей сервиса не только информацию, прошедшую проверку на репутацию, факты атак на клиента, а абсолютно все сведения о рисках и свершившихся фактах противоправных операций со стороны клиента.

На днях Центробанк объявил о переводе в обязательные требования части рекомендаций к участникам межбанковского взаимодействия. Но изменит ли это "честность" сообщества? Каждый банк опасается повышенного внимания к себе, а значит, будет по-прежнему скрывать топовые инциденты, важные сведения и т.д. Изменит ситуацию, возможно, во-первых, гарантия того, что раскрытие инцидента не приведет затем к наложению санкций на банк; а во-вторых, существование нескольких моделей мотивации участников – тех, кто больше дает, и тех, кто больше получает. В этом же есть и залог стабильности системы.

Пока же подобные сервисы работают не совсем так, как хотелось бы. Государственные существуют на основании требований к участию, коммерческие предлагают дополнительные инструменты (такие как выявление активности вредоносного ПО, удаленного управления и прочих угроз), побуждая каждого участника раскрывать и делиться итоговыми сведениями.

Кроме того, по мнению представителей банков из списка ТОП-20, сервисы, подобные облачному антифроду, дают сегодня незначительный эффект из-за низкой добавочной стоимости получаемой информации относительно той, которую они уже имеют. Но не стоит забывать о том, что компании из ТОП-20 могут обеспечить себе и своим клиентам наилучшие технологии защиты и сделать эту защиту эшелонированной, тем самым снижая риск уязвимости одного из компонентов. Чего не скажешь о банках ниже ТОП-уровня, а также о ритейлерах, не попавших в аналогичную двадцатку крупнейших в интернет-сегменте. В текущих условиях они не имеют возможностей и бюджетов на передовые разработки вендоров или штат аналитиков экстра-уровня. И для них актуальная информация – это ценность, с помощью которой вместе с правильными внутренними регламентами информация становится оружием в борьбе со злоумышленниками.

Трансформация сведений, получаемых от таких сервисов, в конечное действие на стороне банка (например, при детектировании фишинга – блокировка операций CNP или всей активности по скомпрометированной карте) и есть ключевой элемент, отличающий понимание о рисках от реагирования на риски. Тем самым необходимо формировать внутри себя эффективную модель реагирования, начиная с уровня экспертного консалтинга (создание регламентов или построение внутренних процессов в компании) и заканчивая уровнем автоматизации такого реагирования на базе существующих ИT-компонент или использования специализированных решений, в том числе антифрода. При этом решение задач автоматизированной классификации риска должно происходить не только относительно прецедента на стороне клиента или пользователя защищаемого ресурса и сервиса, но и относительно общей совокупности действий, регистрируемых в информационных системах компании, этот сервис предоставляющих.

Как показывает наша практика использования облачных сервисов – результаты их работы условно можно разделить на три категории:

• требующие незамедлительной реакции;
• требующие обогащения сведениями из внутренних источников (данные клиента, реквизиты операции, недоступные внешним сервисам);
• информационные сведения.

И приведение 2-й и 3-й категории к реагированию возможно лишь экспертом либо специализированным решением.

Отсутствие же автоматизации получаемых с помощью сервиса данных ведет к большим внутренним рискам: ведь информация о потенциальных угрозах уже доступна службе внутренней эксплуатации, а незамедлительного учета в схеме обслуживания клиентов все еще нет.