Заказать счет на подписку у менеджера
Журнал для генеральных директоров и собственников бизнеса
Поделитесь с друзьями:

"Защищает ли банк своих клиентов от мошенников?"

С полными текстами всех статей вы можете ознакомиться на страницах журнала

Противодействие мошенничеству стало обязательной статьей расходов в банках на законодательном уровне (167-ФЗ). Основная проблема в этой сфере – социальная инженерия. Ведь перед ней бессильны даже самые современные системы обеспечения информационной безопасности.

Сценариев здесь – множество. Один из возможных вариантов действий мошенников: получить номер телефона и карты жертвы, затем «включить» механизм социальной инженерии, когда в телефонном разговоре злоумышленник выманивает у жертвы пароль из смс-сообщения. Затем осуществляется привязка карты жертвы к мобильному приложению для дальнейшего вывода средств, или повторные запросы для перевода денежных средств с карты жертвы на карту мошенника. Да, бывает и такое, что жертва настолько доверяет мошеннику, что сообщает раз за разом код из смс. В рамках подготовительных работ мошенники могут использовать открытые источники (включая сайты объявлений или социальные сети), содержащие информацию о потенциальной жертве (персональные данные).

К примеру, вам приходит смс с информацией о проведенной операции на небольшую сумму c номером телефона, на который нужно обратиться, а когда вы перезваниваете, то слышите в ответ что-нибудь типа «Служба безопасности визамастеркард», звучит внушительно. Но если подумать, то Visa и Mastercard - это совершенно разные платежные системы, что должно заставить бдительного пользователя задуматься. Но схемы часто работают, выманив данные карты у жертвы мошенник заполняет на сайте стороннего банка форму по переводу денежных средств, где получателем указывает свою карту, и, убедив жертву в том, что для отмены операции (которой не было) ему нужен код из вашей смс, он переводит себе средства.

В описанной схеме чаще всего задействовано целых 4 участника: клиент банка как физическое лицо (жертва), первый банк – это эмитент карты отправителя, второй банк – это эквайер терминала, через который проходит P2P операция и третий банк, это эмитент карты получателя, держателем которой является мошенник. Для банка эквайера это доход, поэтому ему не выгодно предотвращать операции, с которых он получает выгоду.

Основные жертвы: это физическое лицо, которое лишается безвозвратно своих денежных средств, и банк, который несет репутационные риски и, как следствие, отложенный ущерб. С точки зрения закона, клиент сам осуществляет перевод денежных средств, поскольку сообщает информацию, которую нужно хранить в секрете.

Злоумышленники преимущественно используют терминалы и карты тех банков, которые меньше всего защищены, и есть возможность выводить большие объёмы средств. И напротив, если в банке успешно работает антифрод-система и предприняты иные меры борьбы с мошенничеством, то злоумышленникам становится дорого осуществлять свои атаки на банк и его клиентов как по времени, так и по способам реализации атак (конечно, от человеческого фактора все равно не уйти), проще поискать жертву в другом банке, менее защищенную.

Одним из основных трендов в банковской сфере в части борьбы с мошенничеством на сегодняшний день является использование моделей машинного обучения для систем защиты. Это поддерживается регуляторами, в том числе, ЦБ России, поэтому банки готовы выделять очень большие бюджеты на исследования и внедрение решений в данной области. На первый взгляд, система выглядит очень эффектной в части автоматизации: эксперты создают модели, обучают их на исторических данных и запускают в промышленную эксплуатацию. В результате, эти модели даже выявляют факты мошенничества, но на самом деле на практике всё сложнее. Во-первых, создание, обучение и сопровождение модели требует дополнительных дорогостоящих программных и интеллектуальных ресурсов со стороны банка, а цена ошибки ИИ ещё выше[1]. Во-вторых, массив данных должен быть органическим, корректно отмечен аналитиком, чтобы исключить обучение модели на недостоверных, или того хуже, на заранее мошеннических активностях, что понизит эффективность работы такой модели в реальных условиях. Также на уровне правительства РФ предпринимаются шаги по развитию искусственного интеллекта[2]. Учитывая все вышесказанное, как нам кажется, можно утверждать, что будущее - за машинным обучением и математическими моделями, хоть на данном этапе, особенно в сфере противодействия мошенничеству, предстоит еще проделать большой путь для достижения ожидаемых результатов, которое может дать нам машинное обучение.

Ещё один тренд на сегодня - это кросс-канальная система антифрода. Она включает в себя получение данных из разных каналов банка, включая процессинг, ДБО, кредитный конвейер и т. д. Система для определения легитимности операции может использовать в своих правилах как транзакционные, так и сессионные активности. Данный подход повышает эффективность не только предотвращения мошенничества, но также может способствовать более удобному и быстрому проведению платежей клиентом и таргетированному распространению рекламы.

Наша компания АО «Кросс Технолоджис» занимается внедрением одной из самых современных и эффективных систем кросс-канального предотвращения мошенничества антифрод-системы IBM Safer Payments (прежнее название IRIS Analytics). Кроме интеграции и настройки системы наши аналитики создают группы правил по согласованию с заказчиком, тестируют их на исторических данных, а самые эффективные запускают в продуктивную среду для выявления. Для достижения максимальной отдачи существует интеллектуальная система генерации правил, где ключевые алгоритмы построены опытными экспертами по распознаванию мошенничества. Система самостоятельно генерирует легко читаемые и изменяемые правила, даже на малом количестве данных. Благодаря возможности гибко настраивать правила и обрабатывать запрос со средним временем обработки запроса не   превышающим 25 мс, это является отличным инструментом для предотвращения мошенничества в режиме онлайн в банковской сфере и не только.

Для эффективного противодействия фактам применения социальной инженерии нужен комплексный подход. Недостаточно бороться со стороны банка только при помощи антифрод-системы, необходима работа с клиентами и информирование их, как через СМС сообщения, но также при выдаче карт в момент заключения договоров и обзвонов, в первую очередь, возрастной группы клиентов. Каждый пользователь банка должен знать, что сотрудник никогда не просит сообщить такие данные, как срок действия карты, и, тем более, CVV карты и пароль из смс. И если возникают сомнения в какой-то ситуации при общении с представителями банка, необходимо просто набрать номер телефона, который указан на вашей банковской карте.

Ещё одна из возможных перспективных процедур противодействия - это оперативное оповещение банком эмитентом жертвы, банка эмитента получателя украденных средств и эквайера о проведенной мошеннической транзакции. Так же от банка эмитента мошеннической карты необходима информация о данных держателя карты, но в этом случае закон о персональных данных препятствует обмену такими списками и реализовать всё это законным путем будет крайне сложно. Правда, если все-таки этот процесс осуществить, то может эффективно работать во всех финансово-кредитных организациях принцип «знай своего клиента», что усложнит мошенникам процесс открытия карт/счетов, а также насторожит подставных лиц если они будут знать о последствиях. Помимо закона о персональных данных, на процедуру противодействия мошенническим действиям влияет некорректность идентификации злоумышленников от честных клиентов. Но если предположить возможность создания такого списка и его своевременное обновление, даже в рекомендательной форме, он существенно поможет сократить уровень мошенничества в части социальной инженерии.

АО «Кросс технолоджис»

https://crosstech.su/


[1] Греф признал потерю миллиардов рублей из-за искусственного интеллекта
Подробнее на РБК:
https://www.rbc.ru/finances/26/02/2019/5c74f4839a7947501397823f

[2] Путин поручил разработать нацстратегию в области искусственного интеллекта

https://ria.ru/20190227/1551399645.html





Для того, чтобы добавить публикацию,
вам необходимо или зарегистрироваться


Статьи журнала "Директор по безопасности"

Инструкция по букве законаИнструкция по букве закона
Как известно, все требования пожарной безопасности представлены в Техническом регламенте (ФЗ №123-ФЗ...
Особенности перевозки крупных сумм наличных средств
Несмотря на то что в настоящее время активно внедряется система безналичных расчетов, отказа от услу...
Обработка персональных данных без использования средств автоматизацииОбработка персональных данных без использования средств автоматизации
Когда начинаешь проливать свет на это заблуждение, многие впадают в шок: «Что, содержание личн...
Договор  на предоставление  охранных услугДоговор на предоставление охранных услуг
Предоставление охранных услуг производится на основании договора, заключаемого заказчиком с исполнит...
Все статьи

Журнал

В следующем номере

  • Как написать рабочий регламент для персонала
  • Место преступления: вымогатели оставляют следы
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Поделитесь с друзьями:

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Wed, 05 Aug 2020 09:59:13


Разработка и производство аналитического оборудования