Внутренний фрод

CNews: Насколько по вашим оценкам велика проблема мошенничества в банках? Как вы оцениваете ее развитие в ближайшем будущем?

Алексей Коняев: Я бы отметил не просто проблему мошенничества, а проблему цифрового мошенничества. Почему так? С каждым днем мы все больше погружаемся в цифровые технологии. И те платежные сервисы в виде, например, оплаты покупок с помощь часов или перевод средств друг другу по фото, о которых мы еще несколько лет назад могли прочитать в книгах писателей-фантастов, сегодня становятся неотъемлемой частью нашей повседневной жизни.

Однако новые платежные технологии привлекают не только новых клиентов в банки – они все чаще становятся целью злоумышленников. Практически уверен, что кто-то из ваших знакомых так или иначе уже становился целью мошенников в дистанционных каналах, поэтому проблема мошенничества приобретает все более массовый, социальный характер. Не даром Центральный банк так активно взялся за данную проблематику – выпускает рекомендации как для банков, так и для клиентов, готовит законопроекты, один из которых, как планируется, будет явно обязывать кредитную организацию иметь антифрод-механизмы для эффективного противодействия фродстерам, в противном случае банк будет обязан зарезервировать значительную сумму под возможные потери. Но, я думаю, большинство банков и без этого законопроекта понимают серьезность вопроса, так как на данный момент мы видим все больший интерес, в частности, к нашим продуктам.

CNews: Не проще ли банку переложить эту задачу на своих партнеров – платежные системы, интернет-магазины. То есть на непосредственные точки контакта с возможными злоумышленниками.

Алексей Коняев: С одной стороны, это может показаться действительно проще. Однако банки прекрасно понимают, что в данном случае риск становится неконтролируемым, а репутация банка зависит от качества работы антифрод-сервисов других организаций. Безусловно, серьезные кредитные организации позволить себе этого не могут и внедряют свои системы, уровнем риска которых управляют они сами, а антифрод-сервисы партнеров используют как дополнительные факторы для обработки информации о возможном мошенничестве.

К тому же, смещение ответственности только в сторону партнеров, на мой взгляд, может стать стратегически неверным решением хотя бы еще с той точки зрения, что для этого должна существовать качественно выстроенная претензионная работа абсолютно со всеми контрагентами: понятная для каждого из участников, с определенным уровнем ответственности. И, если в платежных системах такой механизм давно уже отработан и прекрасно работает, то в условиях перманентного появления новых платежных сервисов, такой арбитраж появляется не везде и не всегда. Это приводит в конечном итоге к тому, что в случае возникновения у пользователя каких-либо проблем, связанных с его платежом — будь то мошенничество или просто операционная ошибка – он обратится в банк, который, скорее всего, будет возмещать клиентские потери за счет собственных средств, а в случае массовости – просто отказываться от такого сервиса.

Кроме того, доверяя партнерам мониторинг клиентских операций, банк в определенной степени перестает управлять уровнем клиентского сервиса. Технологии и подходы злоумышленников постоянно изменяются, поэтому управление процессом выявления мошенничества и выстраивания эффективных барьеров для преступников является перманетной задачей для антифрод-офицеров. Однако, при некачественном управлении данным процессом можно навредить добросовестным клиентам и благие намерения в миг станут преградой для доступа к привычным сервисам. Это напрямую сказывается на качестве предоставляемых услуг, на удовлетворенности банковскими сервисами и уровне лояльности клиентов к банкам, что в условиях, когда клиенты могут сменить свой банк за часы, становится критичным.

Таким образом, вопрос самостоятельного управления рисками мошенничества становится одним из ключевых аспектов деловой репутации банка, а построение эффективной системы противодействия мошенничеству – залогом успешного и стабильного развития его бизнеса.

CNews: Как меняются действия злоумышленников, почему, несмотря на усилия разработчиков решений ИБ появляются все новые и новые мошеннические схемы?

Алексей Коняев: Я, наверное, не открою большой тайны, если скажу, что злоумышленники всегда были и, возможно, будут впереди любых самых современных антифрод-механизмов. Вопрос только в том, насколько впереди. Наша задача, как поставщиков антифрод-решений, сократить такое отставание до минимума и предоставить инструментарий для немедленного реагирования на постоянно появляющиеся новые схемы мошенничества.

Если вспомнить уроки истории и провести аналогию с громкими завоеваниями, казалось бы, непреступных крепостей, то мы поймем, что высокие и толстые стены никогда не являлись гарантом защиты сооружений. Многолетняя эффективная оборона была результатом слаженной работы оборонявшихся и наличием разнообразного инструментария для этого.

Именно эта вариативность и помогает организациям эффективно бороться со злоумышленниками в различных каналах. Мошенники всегда идут по пути наименьшего сопротивления – так, например, как только банки, следуя процессам EMV-миграции, стали выпускать только карты с чипами, то скиминговый фрод стал перемещаться в страны, которые не подписали Соглашение о переносе ответственности (так называемый, Liability Shift), а в других странах фрод переместился в онлайн-каналы. Надо понимать, что как только у мошенников будет возникать лазейка – неважно, глобальная или на уровне локального банка – они обязательно постараются этим воспользоваться, а наша задача – вовремя выявить такую активность и максимально оперативно пресечь без какого-либо аффекта на бизнес.

CNews: Какой должна быть антифрод-система, чтобы «срабатывать на опережение», быть на шаг впереди злоумышленников?

Алексей Коняев: Еще совсем недавно подавляющее число банков использовало так называемые самописные антифрод-системы, а снижение риска от целевой атаки, массового фрода и новых мошеннических схем достигалось за счет установления лимитов. Однако все мы понимаем, что хоть такие меры и позволят банку ограничить размер потенциальных потерь от возможной атаки злоумышленников, фактически любые ограничения – помеха для полноценного развития бизнеса.

Поэтому сегодня уже никого не удивить внедрением интеллектуальных систем мониторинга, позволяющих с одной стороны качественно определять, где «свой», а где «чужой», а с другой стороны способствовать развитию бизнеса.

И это не просто слова – наши проекты показывают, что при внедрении таких систем попутно решается как минимум две задачи в банке – обеспечение качества данных и повышение конверсии переводов. При этом качественные данные – это не только корректная коммуникация с клиентом, но и автоматизированные таргетированные маркетинговые кампании и персональные предложения, это эффективный процесс взыскания задолженности, качественные процессы управления рисками и пр.

Создание на базе антифрод-системы абсолютного понимания, кто же такой наш клиент вплоть до отдельной персоны, позволяет нам не только оценивать его на предмет возможного фрода по отношению к его счетам, но и одновременно управлять его ожиданиями.

Алексей Коняев: Всесторонний анализ позволяет нам не тревожить клиента тогда, когда в этом нет необходимости

Синергетическим эффектом также является и повышение конверсии переводов. Это достигается за счет лучшего понимания поведения своих клиентов. Так, например, мы не будем высылать ему смс для входа в систему ДБО или для подтверждения транзакции в интернете, если понимаем, что это типичная клиентская операция. Как показывает практика, только такие простые действия позволяют увеличить конверсию переводов от 20 до 40%, а затраты на смс уменьшить на миллионы рублей в год.

Таким образом, современная интеллектуальная антифрод-система – это не просто система мониторинга, с которой привыкли работать сотрудники безопасности, выявляя фрод по зашитым в систему шаблонам, что абсолютно неэффективно для выявления постоянно меняющихся схем мошенничества. Современная антифрод система – это механизмы, позволяющие в первую очередь понять поведение каждого клиента во всех банковских каналах и мониторить его в режиме реального времени, выявляя не только фрод, но и потребности клиента в отдельных услугах.

CNews: Как работает ваше решение? Какие технологии используются, что означает в данном случае – «кросс-канальная»?

Алексей Коняев: Кросс-канальная система онлайн-мониторинга подразумевает анализ не только параметров конкретного платежа, но и анализ нефинансовой информации, например, данных по сессии клиента в системе ДБО, а также информацию по активности клиента в других платежных каналах. Для примера – если за час до совершения карточной операции в Таиланде мы зафиксировали обращение клиента в отделение банка, то такая операция будет отклонена.

Это возможно благодаря способности в режиме реального времени оценивать активность клиента во всех предоставляемых банком каналах – будь то банкомат, терминал самообслуживания, колл-центр или мобильное приложение. Чем больше каналов будет подключено к мониторингу, тем точнее мы будем понимать профиль нашего клиента: где, когда, в каком объеме и сколько он платит, сколько у него контрагентов и каков их характер, какие устройства использует и пр, и пр.

Далее система анализирует специфичные для конкретного пользователя параметры и формирует заключение о степени риска того или иного события. При этом одновременно используются как экспертные механизмы (бизнес-правила, черные и белые списки), так и механизмы, основанные на машинном обучении, позволяющие выявить аномалии в действиях клиентов.

Очевидно, что такие системы имеют возможность смотреть на транзакцию не только с позиции одного клиента, но и анализировать поведение других клиентов. Предположим, со счета клиента зафиксирован платеж в пользу, казалось бы, нового для него контрагента в нетипичное для клиента время из нетипичного места. Но мы хорошо знаем получателя – это хороший клиент, с кредитами и депозитами, он активно пользуется другими банковскими продуктами, да и в его пользу уже долгое время совершают платежи и другие пользователи, а материальных претензий в отношении него не было. В целом анализируемому платежу не будет присвоен высокий уровень риска, несмотря на нетипичность самой операции для совершаемого операцию клиента.

Это важно, так как такой всесторонний анализ позволяет нам не тревожить клиента тогда, когда в этом нет необходимости.

CNews: Приведите примеры работы антифрод-системы, типичные и нетипичные случаи.

Алексей Коняев: В основе работы нашей антифрод-системы лежит глубокая клиентская аналитика, позволяющая в автоматическом режиме генерировать правила и строить модели выявления мошенничества. Это позволяет существенно сократить трудозатраты на разработку новых алгоритмов и их тестирование, а также повысить точность за счет выявления скрытых от человека закономерностей в огромных объемах данных. Одновременно с этим инструментарий антифрод-системы дает возможность оперативно получить необходимую информацию при расследовании инцидентов и мгновенно реагировать на внедрение новых алгоритмов выявления мошенничества – система позволяет это сделать буквально за считанные минуты.

Важно отметить, что все изменения в системе пользователи могут проводить самостоятельно без привлечения вендора, что обеспечивает максимальную оперативность, а процесс управления риском становится невероятно гибким. Это важно, так как управление риском позволяет банку быстро адаптироваться к постоянно меняющимся условиям, например, при запуске новых продуктов или когда появляются новые клиентские сегменты, например, в рамках пакетных предложений, оценка которых должна производится по-своему. Все это позволяет эффективно противостоять мошеннической активности, и одновременно осуществлять это максимально незаметно для клиентов банков. Другими словами, мы стремимся дать банкам возможность разрешать клиенту максимум операций, оставляя уровень риска на допустимом уровне.

CNews: Если можно – расскажите об уже реализованных проектах

Алексей Коняев: Уже почти 15 лет мы внедряем кросс-канальные системы по всему миру – нашими клиентами являются такие гиганты, как HSBC, Wells Fargo, Bank of America, ICBC и другие. Клиентская база банков, использующих наши антифрод-решения только для транзакционного фрода, превышает 1 миллиард человек. Получается, что каждый седьмой житель нашей планеты защищен антифродом от SAS. Однако, при этом у большинства в России SAS ассоциируется именно с клиентской аналитикой как таковой или на худой конец с рисками, но не с антифродом. Это связано в первую очередь с разницей в отношении к проблеме фрода в России и за ее пределами. В частности, за рубежом привыкли просчитывать риски на годы вперед, что подразумевает определенные инвестиции сегодня в те части бизнеса, которые могут стать проблемными в будущем. В России же привыкли исходить из реалий и внедрять инструментарий по факту возникновения такой необходимости. И сегодня такая необходимость назрела – уровень мошенничества только увеличивается, его вариативность уже не позволяет справляться с ним классическими средствами «наколеночных» систем, регулятор закручивает гайки введением новых стандартов и инициацией законопроектов, прямо указывающих на наличие антифрод систем. Все это способствует тому, что в России всерьез занялись проблемой мошенничества и стали активно внедрять различные антифрод-механизмы.

Первые проекты появились и у нас. Так, нашей первой ласточкой в построении кросс-канальной системы стал проект в банке ВТБ24, где мы не использовали весь свой инструментарий для противодействия мошенничеству, а дополнили уже существующую антифрод систему своей мощной аналитикой. В итоге банк получил награду от VISA за лучший клиентский сервис (самый высокий уровень одобрения клиентских операций при очень низком уровне риска), а мы вместе – награду банковского сообщества за лучшее антифрод решение на рынке.

Возможно, посмотрев на успешность проекта в ВТБ24, коллеги из Почта Банка решили создать на базе нашей системы свою аналитическую антифрод платформу, с помощью которой планируется защитить все транзакционные каналы и решить задачи связанные с выявлением схем по отмыванию средств. Здесь мы уже говорим о том, что будет задействован весь наш мощный инструментарий для выявления фрода, поэтому у нас нет никаких сомнений, что данный проект будет успешным. И мне бы очень хотелось, чтобы он стал своего рода эталоном для других банков.

Одновременно мы видим большой интерес со стороны банков, поэтому, надеюсь, скоро мы сможем вам рассказать и про другие наши интересные проекты.

CNews: Что требуется от банка, чтобы бороться с мошенничеством, в том числе и фродовыми операциями? Какие данные, какие действия нужны?

Алексей Коняев: В целом, вопрос борьбы с мошенничеством – вопрос комплексный, у него нет одного единственного решения, ведь он подразумевает как работу с клиентами, так и работу внутри банка. Так, с клиентами должна постоянно проводиться работа по повышению их осведомленности о рисках мошенничества. Возможно, даже мотивировать клиентов на это с помощью бонусных схем – мне довелось видеть реализацию такой идеи в одном из банков и, я скажу, это было весьма эффективно.

Второе – борьба с фродом подразумевает определенные процессы и внутри кредитной организации: от исследования различного рода документации на предмет выявления процессов, подверженных мошенничеству и до работы с антифрод-системой.

При этом, когда банк решает серьезно взяться за борьбу с мошенничеством и открывает проект по внедрению антифрод-системы, он должен понимать, что антифрод-система, как, если позволите, домашний питомец, требует внимания и ухода за собой, в противном случае ее содержание станет обузой, а эффект может быть противоположным ожидаемому.

Это означает, что в банке должна быть создана команда, которая будет работать с этой системой – это операторы, администраторы и аналитики.

Операторы должны проводить дополнительный анализ в тех случаях, когда система не смогла принять решение самостоятельно. Например, когда клиента только приняли на обслуживание, и мы еще совершенно ничего о нем не знаем, а он уже совершает высокорисковые операции. В нашей парадигме таких сотрудников не должно быть больше одного на 2–3 миллиона клиентов. Ведь учитывая вышесказанное, мы стараемся настроить антифрод-механизмы таким образом, чтобы система принимала решения максимально самостоятельно.

Администраторы – это, как правило, один-два человека, которые должны управлять системой и следить за тем, чтобы круглые сутки все работало как швейцарские часы.

И аналитики, которые будут следить за актуальностью используемых антифрод-механизмов и своевременно применять новые. По нашей практике, такие аналитики являются универсальными и спокойно могут работать на несколько подразделений в банке – например, на кредитные риски, работа которых также так или иначе связана с аналитикой, на CRM и др. внутренние службы, использующие подобный инструментарий.

CNews: Расскажите о том, как вы работаете с банками – от кого чаще исходит инициатива, от руководства, от службы ИБ или ИТ? С кем вы взаимодействуете?

Алексей Коняев: В зависимости от решаемой задачи нашими заказчиками могут выступать различные подразделения. Так, например, для решения задач в области Дистанционного банковского обслуживания или интернет-банкинга нашими заказчиками чаще всего выступают подразделения информационной безопасности. В случае с карточным бизнесом – это подразделения, отвечающие за развитие продукта как такового. Заказчиками же модуля антифрод платформы для выявления внутреннего мошенничества примерно поровну являются либо службы внутренней безопасности, либо операционные риски.

Однако, если мы говорим о кросс-канальной системе выявления мошенничества, то инициатива всегда исходит от высшего руководства кредитной организации. По-другому оно, наверное, и быть не может, так как должен быть человек, который отвечает не за определенное направление, а за весь бизнес банка или какую-то значимую его часть, например, за розницу или корпоративный бизнес. В этом случае, как правило, назначается фрод-менеджер, который будет курировать процесс выявления фрода с самого начала, то есть с момента запуска такой инициативы.

CNews: Как быстро окупаются затраты на внедрение антифрод-системы?

Алексей Коняев: Внедрение интеллектуальной антифрод системы позволяет более качественно управлять процессами мошенничества и снизить расходы на него. Это означает, что станет меньше уведомлений системы, а это значит, что количество сотрудников, которые должны связываться с клиентами существенно снизится. Снизится и нагрузка на подразделения, работа которых связана с обработкой клиентских претензий, так как самих претензий станет меньше – это и колл-центр, и фронт-офис, и подразделения качества клиентского обслуживания, и службы по работе с платежными системами, службы безопасности и пр. Даже юридическая служба, так как клиенты все чаще обращаются в суды для оспаривания списанных с их счетов сумм – а это все, как мы понимаем, не только существенные расходы для организации, но и репутационный риск, уровень которого оценить весьма проблематично.

Одновременно с этим, как я уже говорил, умная антифрод-система позволяет лучше узнать своего клиента, что дает разного рода синергетический эффект. Одного только повышения конверсии клиентских платежей в интернете и экономия на очень дорогих сегодня смс-уведомлениях, порой, достаточно для того, чтобы окупить затраты на внедрение системы за несколько месяцев.

При инвестировании своих денежных средств в рекламную кампанию, каждый владелец ожидает, что реклама будет показана только целевому пользователю, который является потенциальным клиентом товара или услуги. Но на самом деле, в цифровой среде не все так идеально, как хотелось бы. Часть показов и кликов, которые вы отслеживаете в своей системе аналитики, могут быть накручены ботами — компьютерными программами или другими методами для истощения вашего бюджета.

Фрод в digital-рекламе — это накручивание кликов, показов, конверсий с целью получения выгоды. Данное мошенничество может быть осуществлено благодаря следующим методам:

  • боты: программы написанные для определенных целей;
  • инсталл-фермы: в данном случае операторы вручную осуществляют просмотры, переходы и загрузки с замаскированными IP адресами;
  • фейковые объявления: пользователь кликает на рекламу для дальнейшего просмотра контента, но он его после перехода не находит.

Из-за мошеннических действий, рекламодатели теряют примерно 20% своего рекламного бюджета. При больших вложениях в свою РК этот процент превращается в значительные суммы потерянных средств.

Методы определения мошенничества

Самый первый повод присутствия фрода на который стоит обратить внимание, является слишком высокий CTR на площадке.

Основные факторы фрода , которые необходимо знать:

  • слишком большое количество кликов с одного IP адреса;
  • различные гео клика и целевого действия. Сейчас злоумышленники могут менять свои IP адреса. Клик совершен был с одного адреса, а целевое действие через небольшой промежуток времени осуществлен с другого IP адреса;
  • малый промежуток времени между кликом и целевым действием, либо наоборот слишком большой промежуток;
  • активность пользователей в ночное время суток;
  • однотипное поведение пользователей после клика по объявлению.

Методы борьбы с фродом и как защитить себя:

  • необходимо знать, откуда идет ваш трафик. Отслеживайте, чтобы ваша реклама размещалась на релевантных сайтах с качественным трафиком. Обсудите с подрядчиком этот момент и попросите показать список сайтов для размещения;
  • не таргетироваться на устаревшие операционные системы;
  • можно использовать сервисы со встроенным антифродом;
  • использовать антифрод-системы, которые в основном платные (IAS Integral Ad Science, MOAT, Kraken, Skalarr и др.).

Scalarr: пример панели сервиса, на которой можно сопоставлять различные данные, анализировать информацию и распознавать мошенническое поведение:

IAS Integral Ad Science приводит пример того, как поэтапно происходит мошеннический трафик на сайте:

Чтобы понять, стоит ли оплачивать эти системы, можно протестировать пробную версию сервиса и определиться выгодно ли продлевать дальше. Если программа обнаружит фрод, можно сравнить затраты на систему и фродовый трафик;

  • необходимо тщательно проводить аналитику своей рекламной кампании. Использование Яндекс.Метрики позволит вам определить роботность совершенно бесплатно.

Отслеживание роботности в Яндекс.Метрике

В отчетах метрики можно отслеживать переходы роботов, так как они загружают страницы активируя счетчик.

Также здесь можно увидеть отчет о действиях всех видов роботов с разбивкой по правилам фильтрации.

В ЯМ существует три варианта фильтрации роботности:

  • можно учитывать визиты всех роботов;
  • по умолчанию: исходя из IP адресов и данных User Agent;
  • по строгим правилам и поведению.

Также по графикам можно наблюдать аномальное повышение трафика в ночное время суток. Если доля новых пользователей отличается от остальных источников, то это является признаком фрода.

Всякий раз, запуская свою рекламную кампанию необходимо четко определить стратегию и знать, как бороться с фродом в случае его возникновения, чтобы не стать жертвой мошеннических действий и не слить свой рекламный бюджет впустую.

Внутренний фрод — название мошенничества, совершаемого сотрудниками какой-либо организации благодаря занимаемому положению и доступу к телекоммуникационному оборудованию. Жертвами могут стать как сама компания, в которой работают нечистоплотные сотрудники, так и ее клиенты.

В англоязычных странах слово «fraud» означает любое мошенничество; в России термином «фрод» называют более узкую категорию преступлений — мошенничество в сфере информационных технологий. Денежные потоки здесь многочисленны: оплата за переговоры, интернет-трафик, онлайн-покупки и заказы, мобильный банкинг. Неудивительно, что у некоторых людей появляется желание путем мошенничества направить небольшой «ручеек» в свой личный карман.

В целом фрод можно разделить на четыре большие категории:

  • Пользовательский (абонентский). Сюда относят незаконное подключение к услугам операторов связи и их неоплату, звонки за чужой счет, подделку банковских карт и т.п.
  • Операторский. Это — всевозможные сомнительные действия телекоммуникационных компаний по отношению к клиентам. В эту категорию входят, например, автоматическое подключение платных услуг или установка высокой стоимости отписки от них.
  • Межоператорский. Под этим понимают попытки операторов обмануть друг друга: всевозможные перенаправления трафика, представление дорогих видов связи как дешевых и т.д.
  • Внутренний, который мы рассматриваем в настоящее время.

Классификация и способы внутреннего фрода

В свою очередь, внутренний фрод можно подразделить на две большие категории — воровство и злоупотребление. В первом случае имеет место прямая кража денег либо других материальных ценностей, во втором — извлечение материальной или нематериальной выгоды, не связанное с прямым хищением.

Как уже говорилось, в IT-сфере постоянно перемещаются огромные деньги: от клиента к банку или оператору, между клиентами, между фирмами. Некоторые сотрудники компаний, участвующих в этом процессе, находят возможность поживиться за счет работодателя либо клиентов. Например, возможны случаи оказания фиктивных услуг или услуг по завышенным ценам, заключения договора с аффилированным подрядчиком. Другой сценарий — махинации с абонентской платой: скажем, со счета клиента мобильного оператора регулярно списываются определенные суммы (иногда — несколько раз в день), и если сотрудник прибавит к ним небольшой платеж на собственный счет, жертва вряд ли заметит. Обработав таким образом несколько десятков или даже сотен тысяч клиентов, можно получить внушительную сумму.

В плане злоупотреблений информационные технологии также предоставляют широкое поле для злонамеренной деятельности: от подключения друзей к выгодным внутрикорпоративным тарифам до оформления миллионных счетов за фиктивные (чаще всего — информационные, т.е. нематериальные) услуги.

Рис. 1-2. Виды экономических преступлений: основные области риска, на что обратить внимание

Большой проблемой является и завышение результатов. Множество фиктивных клиентов может принести сотруднику или подразделению внушительные реальные премии.

Стоит также отметить злоупотребления, связанные с доступом к оборудованию. В отличие от традиционной промышленности, где финансовые аферы являются уделом руководства и бухгалтерии, в информационной отрасли технические специалисты также способны организовать различные мошеннические схемы благодаря соответствующей настройке серверов и другого оборудования. Например, они могут исключать из учета некоторые виды трафика, регистрировать дорогие звонки как дешевые, а затем подключать к ним отдельные номера. Выявить такие преступления очень сложно, а доказать — еще труднее, ведь неправильную настройку всегда можно объяснить случайной ошибкой.

Наконец, IT-компании подвержены всем тем злоупотреблениям, что существовали задолго до расцвета информационной эры: устройство на работу фиктивных сотрудников (обычно друзей и родственников начальства), выписывание завышенных премий, списание еще работоспособного оборудования с целью его дальнейшей продажи, использование служебного транспорта и другого имущества в личных целях.

Кто страдает от внутреннего фрода

Объектами воздействия мошенников могут стать оборудование и программное обеспечение компании, бумажные и электронные финансовые документы, выше- и нижестоящие сотрудники.

Серверы, маршрутизаторы и другое оборудование весьма уязвимы в силу зависимости их работы от множества выполняемых узким кругом специалистов настроек, в которых все остальные, как правило, совершенно не разбираются. Это дает инженерам и программистам широкие возможности по перенаправлению трафика, искажению отчетов о нем, заражению вредоносными программами.

Лица, имеющие доступ к финансовым системам, могут как напрямую красть небольшие, а потому незаметные суммы со счетов множества клиентов, так и оформлять фальшивые счета, платежные документы, запросы на возврат якобы ошибочно переведенных средств и т.д.

Вариантами обмана сотрудников могут быть завышение показателей для получения высоких премиальных выплат, фальшивые запросы на перевод денег, выведывание у коллег логинов и паролей более высокого уровня доступа.

Источник угрозы

В соответствии с объектами воздействия можно выделить три основных источника внутреннего фрода в IT-сфере.

Люди, имеющие криминальное прошлое, легче идут на мошеннические действия. Поэтому любая компания должна осуществлять проверку кандидата до приема на работу и мониторинг его дальнейшей деятельности, поддерживать высокую корпоративную культуру и внедрять эффективные схемы мотивации. В конце концов, достойный и стабильный официальный заработок привлекательнее временных (и к тому же грозящих уголовным преследованием) мошеннических схем.

К категориям особого риска следует отнести системных администраторов и других сотрудников с высоким уровнем доступа, а также лиц, осуществляющих переводы денежных средств. Отдельную категорию составляют увольняющиеся сотрудники — особенно те, кто вынужден уйти в случае сокращений либо увольнений за нарушения в работе. Движимые обидой либо желанием получить компенсацию, они могут попытаться украсть базы данных, внести неправильные настройки в работу оборудования, заразить компьютеры вредоносными программами.

Анализ риска внутреннего фрода

Внутреннему фроду подвержены все организации, в которых можно чем-то «поживиться»: банки, государственные органы, транспортные предприятия, нефтегазовые компании и т.п. Другая проблема — сложность отрасли. Часто сотрудникам, особенно новичкам, требуется немало времени для освоения сложных программ; при этом операции выполняются с нарушением строгих норм, а любое нарушение есть лазейка для мошенничества. В свою очередь, четкая прозрачная структура с хорошим внутренним контролем оставляет мошенникам очень мало возможностей для афер.

Помимо внутреннего контроля обязателен также регулярный внешний аудит — как техники, так и финансовых операций, что позволит выявить неправильную настройку серверов и компьютеров, сомнительные переводы денег. Уже сама возможность раскрытия мошеннических схем заставит многих отказаться от своих планов.

Необходимо анализировать показатели эффективности отдельных сотрудников и целых подразделений. Порой их резкий рост является не следствием улучшения работы, а мошенническим завышением ради получения больших премий.

Наконец, огромное значение имеет общая корпоративная культура. При ее отсутствии, при низкой трудовой дисциплине всё нередко начинается с небольших злоупотреблений, на которые закрывают глаза. Безнаказанность подталкивает человека искать (и находить) более масштабные схемы, при которых компания и клиенты теряют уже миллионы.

Для противодействия внутреннему фроду используются DLP-системы, средства профилирования сотрудников, поведенческий анализ (UBA / UEBA).

Импровизированный CTF от BSS показал, как легко можно «взломать» один фактор защиты.

Кибермошенничество продолжает оставаться для банковской сферы одной из самых болезненных тем. Использование канала ДБО для кражи денежных средств излюбленное направление для киберпреступников. Банки и вендоры предпринимают все усилия, чтобы противодействовать мошенничеству, в том числе внедряя и совершенствуя антифрод системы.

О современных средствах защиты приложений ДБО от киберпреступников говорит в своем выступлении директор департамента систем безопасности компании BSS Виктор Гулевич. Чтобы показать, как легко можно использовать несовершенство антифрода в мошеннических целях, спикер предложил участникам сессии небольшой импровизированный Capture the flag (CTF) – игру на перехват учетной записи.

Эксперт объяснил, как работают программы сессионного антифрода, анализирующие паттерны действий пользователя. Они отслеживают все действия владельца и запоминают их характеристики и особенности. Если мошенник попытается воспользоваться его банковским аккаунтом, чтобы завладеть денежными средствами, антифрод это определит и транзакцию заблокирует.

Виктор Гулевич подчеркнул, что злоумышленники с легкостью могут обмануть приложение, если используется только один фактор идентификации — и для наглядности предложил аудитории «взломать» собственный банковский аккаунт.

Обмануть сессионный антифрод получилось с помощью фотографии. Это сделал один из участников мероприятия. Для подтверждения транзакции всего лишь необходимо было со второго телефона показать фотографию владельца аккаунта и транзакция была одобрена. Это наглядно демонстрирует, как легко обойти один включенный фактор.

«Но на самом деле поведенческих факторов очень много. Где вы находитесь, как вы держите телефон, какой рукой и как перемещаетесь по приложению. Все паттерны владельца, как и характерные паттерны мошенников записаны и это позволяет противостоять преступлениям, — отметил Виктор Гулевич. – Учитывая это, мы предоставляем комплексные услуги по информационной безопасности, в том числе и систему эшелонированной защиты от мошенничества, как внешнего, так и внутреннего».

Комплекс базируется на собственной антифрод-платформе «FRAUD-Анализ» куда дополнительно могут быть внедрены технические и биометрические способы идентификации плательщика и его устройства. Это позволяет не только с большой вероятностью защититься от мошенников, но и обеспечить легкую аутентификацию пользователя в приложении ДБО, даже без ввода пароля, отпечатка пальца, или Face ID (так называемая frictionless authentication), что сильно повышает частоту использования приложения ДБО банка для получения дополнительных услуг.

Как все происходило — смотрите видео выступления Виктора Гулевича: https://youtu.be/YvLbfIeE8eQ.