Если вы живёте в России, то линия невидимого фронта всегда проходит рядом, как бы далеко вы ни находились от «ленты». Кибератаки вымогателей, хактивистов, скамеров, фишеров — своего рода продолжение боевых действий. Мошенники воюют с мирными жителями, сидя в мягких креслах колл-центров. Их оружие – социальная инженерия и чувствительная информация, которую преступники черпают из многочисленных утечек данных. Каждый день они обрушивают на мирных граждан миллионы телефонных звонков и ложных сообщений в мессенджерах. Их цель – украсть деньги, а иногда – заставить жертву пойти против закона.
Пока 100% способа защитить человека от обмана, кажется, пока не придумали: человек остаётся самым слабым звеном. Но можно сделать так, чтобы свести к минимуму количество успешных мошеннических атак. Как – знает руководитель департамента компании F6 по противодействию финансовому мошенничеству (Fraud Protection) Дмитрий Ермаков. За его плечами – почти 20 лет работы в сфере информационной безопасности в крупнейших банках России. Теперь этот опыт помогает ему создавать технологический «купол» для защиты миллионов российских пользователей от мошенников.
«Инсайдеров ловили десятками»
Путь в кибербез начался с поддержки в банке. Это было во времена Windows NT, когда АБС (автоматизированные банковские системы) работали под DOS, а сети – на Novell. Среди рабочих задач приходилось заниматься администрированием систем информационной безопасности (ИБ), расследованиями и исследованиями эксплуатации уязвимостей. Так я оказался в службе информационной безопасности, где проводил расследования случаев мошенничества – внешнего, внутреннего и гибридного, когда у нас есть инсайдер, чьи действия приводят к потерям для внешних клиентов.
Десять лет назад главной угрозой для банков были финансово мотивированные группы. Они готовили мошеннические атаки «под ключ» своими силами, не использовали никаких внешних сервисов. В те времена у мошенников была цель украсть много за один раз. Не то, что сейчас, с использованием социальной инженерии похитить понемногу, но у многих клиентов. Соответственно, тогда злоумышленники атаковали либо непосредственно банки, – это были атаки на АРМ КБР (автоматизированное рабочее место клиента Банка России), либо юридических лиц и пытались вывести деньги с их счетов, например, с использованием Buhtrap.
Инсайдеры внутри финансовых организаций были, есть и будут, но с каждым годом риски для них растут. Таких сотрудников мы ловили за руку неоднократно. На моей памяти – примерно 30 кейсов, в которых я участвовал лично. Совокупность средств информационной безопасности позволяла нам находить инсайдеров, которые уже утащили какую-то информацию, но ещё не успели передать её мошенникам. Мы предотвращали эти утечки, применяли к сотрудникам различные меры в рамках трудового законодательства, расставались с ними.
Стоит инсайдеру один раз слить информацию мошеннику, и он на крючке. И не важно, по какой причине сотрудник нагрешил: из-за денег или неосознанно, не понимая, что своими действиями вредит клиенту. Кейсы были самые разные, и часто сотрудников вводили в заблуждение. Был случай, когда сотрудника колл-центра просто просили сфотографировать карточку клиента, его остатки. По дружбе, так сказать. А это был премиальный клиент, на которого потом провели мошенническую атаку. После первого взаимодействия с преступниками этот фактор начинает работать против сотрудника. Ему начинают угрожать: ты уже совершил проступок, назад пути нет, иначе мы всё расскажем, всплывут все факты. Другие сотрудники, наоборот, устраивались в банк для участия в мошеннических схемах. Их не интересовала зарплата, они зарабатывали на преступлениях куда больше, чем все окружающие.
Сейчас обнаружить инсайдера можно быстрее, чем раньше. За десять лет появилось больше технических возможностей, чтобы на стороне банков выявлять и пресекать такие факты слива информации. Как показывает мой личный опыт, когда есть признак инсайдерства, их нужно расследовать в совокупности, учитывать информацию со всех систем. Есть определённые DLP-системы (Data Loss Prevention, предотвращение утечки данных), которые позволяют контролировать утечки данных, активность сотрудников, антифрод-системы, другие внутренние системы, которые позволяют отслеживать действия сотрудников. В совокупности весь набор данных, который эти системы предоставляют, позволяют банку провести полноценное расследование с учётом вплоть до данных СКУД (система контроля управления доступом). И понять, совершал ли сотрудник неправомерные действия.
«Банки не успевали за антифрод-системами»
Система борьбы с мошенничеством начиналась с анализа критичных операций «на коленке». По оценке нашей компании, финансовая сфера – одна из самых защищённых от киберугроз. Банки пришли к этому эволюционным путём. Когда я пришёл в службу информационной безопасности, анализ расходных операций клиентов проводился оффлайн. Мы работали на копии куска базы данных АБС и выявляли фрод постфактум. Брали критичные операции спустя значительное время после того, как они произошли, анализировали в Access (Microsoft Access — система управления базами данных). Постепенно эти процессы перешли на рельсы автоматизации. Алгоритмы из Access переехали в АБС на уровне СУБД (система управления базами данных) в хранимые процедуры. Позже появились коробочные вендорские решения, на тот момент западных разработчиков. В банке, где я работал, мы одними из первых внедрили достаточно крупную систему с передовой на тот момент архитектурой и механикой работы. Это позволило повысить уровень защиты физических лиц и на довольно длительное время свести случаи мошенничества к минимуму.
Эффективность противодействия мошенничеству на 50% зависит от инструментов, технологий, которые в них заложены, а оставшиеся 50% – от людей, которые их используют, и данных. Без хорошей сильной команды, без ресурса ни одно решение не покажет той эффективности, на которую оно способно.
Сначала банки не успевали за антифрод-системами, теперь наоборот. Сейчас киберпреступники тестируют на России передовые технологии финансового мошенничества. И сама банковская отрасль нашей страны изменилась. Инструменты западных вендоров либо так или иначе переработанные решения не успевают за ситуацией, в которой оказалась банковская сфера, когда все работают на микросервисах. У всех очень сложная архитектура, огромное количество продуктов, которые необходимо защищать, и при этом жёсткие требования к тому, чтобы сохранять приемлемый уровень комфорта для работы пользователей в системах.
«Обмануть для них – за доблесть»
Эволюция угроз финансового мошенничества произошла стремительно. От финансово мотивированных киберпреступников, которые были достаточно сильно подкованы технически, сами разрабатывали мошеннический софт и проводили атаки, выводили деньги, то есть делали всё «под ключ», за 10 лет мы пришли к совершенно иной ситуации. После того, как эра финансово мотивированных хакеров закончилась громкими задержаниями и приговорами, мы пришли к социальной инженерии, когда атаковать стали не сами банки, а их клиентов. Средний мошеннический чек, доход от одного преступления, стал сильно меньше, но телефонное мошенничество стало массовой историей, и совокупный ущерб от этих преступлений значительно вырос. Многие такие атаки происходят из сопредельных государств, по сетевой инфраструктуре и телеметрии это видно. С началом СВО мы оказались в ситуации, когда имеем дело в проправительственными киберпреступными группировками, для которых мошенничество в отношении граждан России – главная цель на уровне национальной идеи. Обмануть людей из нашей страны для этих жуликов считается доблестью.
Можно сказать, что атаки мошенников – это продолжение боевых действий, а их цель – мирные граждане. Телефонные звонки, ложные сообщения в мессенджерах идут ежедневно. Атаки стали массовыми, а порог входа в финансовое мошенничество снизился до минимума. Множество сервисов в Telegram и на тематических площадках в даркнете предоставляют услуги по выводу похищенных денег, закупке дропов, разработке вредоносного ПО. Не нужно, как раньше, много денег и ресурсов вкладывать в атаку, разбираться в механике работы вредоносных приложений. Мошеннику достаточно прочитать три-четыре инструкции и уже можно проводить те или иные атаки.
Социальная инженерия – главная угроза для банковских клиентов. Мошенники постоянно совершенствуют и усложняют сценарии, адаптируют их под меняющиеся условия. Скрипты, по которым работают мошеннические колл-центры, строятся на точном психологическом расчёте. Эти сценарии предусматривают большинство возможных реакций человека.
Мошенники достигают цели даже с учётом меняющегося законодательства и всех усилий регулятора. Потому что в России платёжные сервисы, финансовые технологии, в целом финтех ушли далеко вперёд. Если бы в ходу были только наличные деньги или в банкоматах не использовалась бы технология NFC (Near Field Communication, беспроводная передача данных малого радиуса действия), то картина была бы совсем другая. Обилие продуктов, технологий, сервисов позволяет мошенникам так или иначе адаптироваться под изменения, вводимые запреты и ограничения. Самый яркий пример – NFCGate.
Угроз меньше не станет: мошенники активно вкладываются в развитие технологий. Соответственно, что будет дальше? Социальная инженерия продолжит эволюционировать, адаптироваться, возможно, уходить в иные каналы и принимать новые формы. Очевидно, будет развиваться фишинг. Недавно мы изучали статистику и прогнозы развития мошенничества в других странах. Например, в Соединённых Штатах, которые не находятся в такой сложной геополитической ситуации, как Россия, прогнозируется 30-процентный рост автоматизированных атак. Уже сейчас 54% атак на финансовые отрасли приводят к краже личности – угону аккаунтов.
«Предлагаешь новое? Проверь антифродом!»
Бурный рост технологий приводит к их усложнению как со стороны мошенников, так и со стороны защитников. Эффективность противодействия фроду в этих условиях зависит от экспертизы, ресурсов, взаимодействия внутри компании. И в целом – от консолидации сервисов, решений в рамках антифрода. Чтобы построить качественный антифрод, нужно иметь определённый набор решений и продуктов в рамках одного подразделения, которое отвечает за противодействие мошенничеству. Это подразделение должно иметь достаточный ресурс, чтобы не только отражать атаки и защищать клиентов, но и проводить достаточную экспертизу тех продуктов, которые бизнес создаёт для клиентов. Когда это всё работает как единое целое, живой организм и внутри выстроено правильное взаимодействие, в том числе и с бизнесом, а не противодействие бизнесу, тогда всё работает наиболее эффективно.
Важно, чтобы новые банковские продукты не играли против пользователей. Не давали мошенникам новые возможности для обмана клиента, были устойчивы к действиям со стороны киберпреступников. К сожалению, единого подхода нет. Во всех банках по-разному. Кто-то максимально активно подключает антифрод-подразделения к анализу новых продуктов. Позиция и мнения антифрод-подразделения для таких банков – одна из ключевых. Вывод новых продуктов в промышленную эксплуатацию и доставка их до пользователя без одобрения антифрод-подразделения при таком подходе невозможен. А кто-то игнорирует и сначала выкатывает продукт в общий доступ для клиентов, рассчитывая, что антифрод можно будет подключить позже или при появлении мошеннических кейсов.
Лучшая практика – когда бизнес ещё на стадии разработки продукта получает экспертизу от антифрод-команды. В этом случае продукт выходит, во-первых, заранее интегрированный с антифродом, когда критичные операции проходят все необходимые проверки, и во-вторых, защищённый от определённых типов атак и максимально безопасный.
«Эффективность антифрода на 70% зависит от вендора»
В противодействии финансовому мошенничеству участвуют четыре стороны. Это банк, клиент – пользователь его услуг, государство и вендор. От разработчика антифрод-решений зависит до 70% успеха. Потому что от качества решения и от экспертизы вендора зависит, насколько быстро банк сможет адаптироваться к новым тактикам, инструментам, сценариям атакующих. Роль регулятора здесь – создать единые правила игры для всей отрасли. У нас есть банки, ритейл и есть e-commerce (электронная коммерция), куда фрод уходит из банков в момент конечной монетизации. А в e-com у нас Дикий Запад в смысле нормативно-правовой базы. Если в банках всё хорошо зарегулировано, есть система обмена и понятно, что делать в той или иной мошеннической ситуации, то в остальных отраслях у нас такой нормативной базы нет, и мошенники эти пробелы активно эксплуатируют.
Главная задача – заблокировать мошенника на ранних этапах атаки. Не дать ему добраться до счёта клиента, его персональных данных, банковской тайны. Соответственно, вендор должен предоставить банку качественное решение, которое может отражать все типы современных атак на каждом этапе, не допуская финансовых и иных потерь. А для этого вендору необходима экспертиза в части исследования актуальных угроз, атак. Если вендор не погружён в то, что происходит на рынке, он не сможет разработать качественное решение.
При развитии наших продуктов мы используем ровно такой подход. Мы понимаем, как устроены банки, как устроен рынок, технологические процессы и программное обеспечение на стороне мошенников. Только такой комплексный подход позволяет создавать качественный продукт и помогать антифрод-подразделениям противостоять атакам.
Мошенникам становится как минимум сложнее, а как максимум дороже, проводить атаки на клиентов. Любые нормативные изменения, инициативы регулятора, новые законы оказывают позитивное влияние на противодействие мошенничеству в нашей стране. Перед вступлением в силу закона об уголовной ответственности для дропов (действует с 5 июля 2025 года) цены на услуги дропов поднялись достаточно серьёзно. На тот момент средняя цена на карты российских банков, которые предоставляют дропы, была в диапазоне от 40 до 60 тысяч рублей, за «хорошие» карты – до 80 тысяч.
Рентабельность атак с использованием дропов становится чувствительной для мошенников. В краткосрочной перспективе мы ожидаем спад предложений дропов. Как подсказывает опыт, далее мошенники найдут способ адаптироваться под эти ограничения. Есть трансграничные платежи, которые злоумышленники уже сейчас используют для вывода средств. Есть криптокошельки. До сих пор непонятны последствия широкого распространения вредоносных версий NFCGate и объём скомпрометированных карт, который оказался на руках у мошенников. По нашим данным, речь идёт о сотнях тысячах карт, и многие из них, вероятно, не заблокированы. Это позволяет киберпреступникам использовать карты обычных граждан как карты дропов, обналичивать через них деньги. Они могут не подозревать, что их карты используют для вывода похищенных средств, их могут ввести в заблуждение. Как, например, раньше, когда мошенники использовали схемы с зарплатными проектами и при трудоустройстве от сотрудника требовали данные карты, якобы для перевода зарплаты. Простора для манипуляций остаётся ещё много.
«Мошеннические сервисы уходят в “облака”»
NFCGate – самое неожиданная угроза со стороны мошенников за последнее время. Эксплуатация различных уязвимостей операционной системы Android была ожидаемой, но схема с использованием NFCGate и скорость её эволюции оказалась непредсказуемой. Казалось бы, старая технология. Основная библиотека легитимного приложения NFCGate используется с 2015 года. А затем произошла его быстрая адаптация под атаки киберпреступников. Путь от «чистой» библиотеки NFCGate, которая лежит на GitHub, до глобального сервиса, MaaS-платформы (malware-as-a-service) SuperCard X злоумышленники прошли за короткое время. Теперь это мошеннический сервис, который работает в «облаке» в режиме реального времени, включает в себя возможности «прямой» и «обратной» версий NFCGate, со встроенными механизмами защиты и сбора данных с банковских карт.
Среди новых трендов 2025 года, кроме NFCGate – атаки на банковских клиентов через детей. Злоумышленники подкарауливают детей на различных игровых платформах, вводят их в заблуждение, а затем просят тайком от родителей совершить определённые действий на их телефонах. Кроме того, практически все банки подвержены схемам фишинга. Были достаточно интересные истории с автоматизированными сценариями вывода средств из кабинетов ДБО (дистанционного банковского обслуживания), приложений, дистанционного банковского обслуживания крупных банков. Но это обычный фон, которая с нами исторически присутствует и к которому все так или иначе готовы.
На горизонте ближайших 10 лет мошенничество продолжит усложняться. Злоумышленники будут ещё активнее использовать различные средства автоматизации, алгоритмы машинного обучения. Явно будет набирать обороты история с дипфейками, голосовыми и визуальными. Мы ожидаем бурный рост автоматизированных атак. Киберпреступникам необязательно похищать деньги: можно собрать определённый объём чувствительных данных, и это принесёт больше выгоды. Фишинг уже сейчас становится достаточно изощрённым и всё более сложным, маскирующимся под сервисы, которыми мы с вами там ежедневно используем, к которым привыкли.
Тренд на развитие фрода как сервиса приведёт к повышению его доступности. Порог входа уже сейчас близок к нулю. То есть не нужно вообще не обладать никакими знаниями, чтобы совершить атаку. Всё началось с дропов и сервисов обналичивания средств за определённый процент. Постепенно это переросло в другие сервисы, включая разработку вирусного программного обеспечения, как, например, «экосистема» приложений на основе SpyNote. Зачастую они доставляются по модели лицензирования (если это можно так назвать), когда мошенники предоставляют программное обеспечение в аренду за фиксированную плату либо за процент от похищенных денег.
Мошеннические группировки становятся всё более продвинутыми. Уже сейчас они активно исследуют реакции антифрод-решений на проведение конкретной атаки. И когда мошеннический сервис предоставляет услугу, то сопровождает её инструкцией, как обойти антифрод. Всё автоматизируется, и гонка будет только набирать обороты. Но конечная цель атаки – всегда человек, и в этом – главная преграда для мошенников. Решающее условие: поверит он или не поверит. То есть успех мошенничества зависит от человека.
Иногда меня спрашивают: есть ли надежда, что через сколько-то лет перестанут верить мошенникам. Как мне кажется, у нас исторически заложен определённый менталитет с давних времён, когда мы все были порядочными, хорошо воспитанными людьми, и было принято доверять. Особенно из-за этого страдает старшее поколение. Но ключ в другом. Неважно, что делает пользователь на своём устройстве. С кем он общается, какие он кнопки нажимает. Находится он под воздействием мошенников или нет. Мы должны строить систему противодействия мошенничеству таким образом, чтобы этого пользователя гарантированно защитить. Причём на стороне не банка, а пользователя.
Устройства и сервисы должны быть настолько безопасными, чтобы любые манипуляции мошенников – вербальные или невербальные – не приводили к возможности причинения ущерба клиенту. Нужно довести защиту на стороне пользователя до такого уровня, чтобы у мошенника не было возможности провести ту или иную расходную операцию в свою пользу. Под угрозой мошенничества до сих пор остаются все. Да, сейчас чаще атакуют граждан, физических лиц. Но атаки с использованием ресурса внутри банка, атаки на юридических лиц никуда не ушли.
«Цель – сделать мошенничество нерентабельным»
В F6 пришёл, когда компания уже была лидером продаж в России по направлению Fraud Potection. Моя задача была сохранить и приумножить это наследие, уровень экспертизы. Как мне кажется, у нас это получается. Исторически мы стремились к тому, чтобы построить комплексный антифрод, охватывающий все возможные каналы проведения мошенничества. Сейчас у нас есть экосистема из трёх ключевых продуктов. Это транзакционный антифрод, решение для выявления автоматизированных атак Preventive Proxy и лучший на рынке сессионный антифрод, который позволяет выявлять атаку на ранних этапах развития. Теперь мы движемся к тому, чтобы создать комплексную систему, объединяющую все сервисы по защите конечного пользователя на всех этапах проведения атаки. Задача такой системы – в режиме реального времени противодействовать мошенничеству в межбанковском и межотраслевом режиме. Это ключевой вызов. А конечная цель – добиться того, чтобы мошенничество в отношении жителей России стало для мошенников крайне трудозатратным и нерентабельным.
Мы компактнее, быстрее адаптируемся и наш вектор направлен на развитие продукта. В этом одно из отличий нашей компании от любого крупного забюрократизированного банка. Поэтому мы, условно, набираем 5 разработчиков и 1 менеджера, а не наоборот. И в целом упор делаем на то, чтобы наша команда состояла в первую очередь из сильных инженеров, аналитиков, ресерчеров. Они – наш костяк. Всё это позволяет максимально быстро адаптировать решение под те тенденции, которые требует рынок, под те техники мошенничества, которые эксплуатируют мошенники. Поскольку мы разрабатываем все сами и не зависим ни от каких вендоров, это нам сильно помогает.
Уникальность нашего антифрод-решения в том, что оно написано с нуля. Мы не используем каких-то готовых компонентов архитектурных подходов, обрабатываем в режиме реального времени огромный массив данных по всем нашим клиентам. Наш TPS (Transactions per second, число транзакций в секунду) – 5000 пакетов в секунду. RPS (Requests Per Second, одна из базовых метрик производительности) – 200 000 запросов в секунду. Возможности нашего решения позволяют в момент обработки данных обмениваться индикаторами компрометации в рамках всего сообщества и выявлять мошенничество на самых ранних этапах его эксплуатации.
Мы отсекаем мошенника сразу, как он так или иначе «засветился» в рамках тех правил, которые мы собираем, будь это автоматизированная атака, поведение в сессии, отклонение в транзакции. И если раньше решения анализировали транзакцию, платёжное поручение в момент вывода средств, когда было уже поздно и мошенник находился внутри кабинета, пробуя совершить ту или иную финансовую операцию, то мы, наоборот, стараемся такого не допускать в принципе. И только в самом конце переходим к анализу транзакций.
Наше решение достаточно серьёзно опережает других игроков за счёт высокого уровня зрелости. Есть решения других вендоров, которые пытаются собирать телеметрию и определённые данные. Но за счёт того, что у нас многолетняя экспертиза, огромный объём накопленного опыта, алгоритмов, мы идём впереди. Наше решение максимально безопасное и держит огромную нагрузку. Мы защищаем порядка 300 приложений в России. Среди наших клиентов – ведущие российские банки, маркетплейсы, страховые компании, интернет-магазины. Практически у каждого пользователя мобильного устройства либо веб-браузера так или иначе используются наши агентские модули, которые собирают определённые данные для выявления мошенничества в режиме реального времени. Мы возвращаем ответ о выявлении отклонений, признаков мошенничества в течение 300 мс (миллисекунд) после получения данных с устройства. Такие скорости обмена информацией не каждый банк внутри себя поддерживает.
«Адаптироваться под любой сервис – наша фишка»
Сейчас наше антифрод-решение полностью перекрывает потребности, которые есть у банков. Когда одна система анализирует всю активность пользователя и внутри себя имеет встроенную корреляцию событий, это наиболее эффективный, правильный подход к противодействию мошенничеству в режиме реального времени. Но тут важно оговориться: каждый банк уникален. Достаточно сильно отличаются модели продаж, продуктов, технологическая архитектура, устройство антифрод-подразделений. Но в целом мы успешно адаптируемся под запросы заказчиков и готовы поставлять «под ключ» антифрод-решение, которое автоматизирует выявление мошенничества от момента инициализации сессии и первых запросов в приложение до момента совершения той или иной продуктовой либо расходной операции. Это наша историческая фишка, что мы умеем адаптироваться фактически под любой вызов, под любую финансовую систему, используя нестандартные подходы. Поэтому, да, мы готовы реализовывать комплексные антифрод-решения, вне зависимости от того, какую систему, сервис или страну необходимо защитить.
Практика использования антифрод-решений в российских банках отличается. Одни сочетают продукты от нескольких вендоров, другие – от одного. Если говорить про лучшие практики – это единый движок, в который заходят все каналы, все операции и на котором построена единая логика выявления признаков мошенничества. И неважно, где оно происходит – в банкомате, в кабинете либо в мобильном приложении. У многих банков эти решения разрозненные, более того, между собой они не обмениваются информацией. И карточное мошенничество может анализироваться совершенно отдельно от мошенничества в кабинете дистанционного банковского обслуживания, система никак не коррелирует события между собой. Это достаточно серьёзная проблема, с которой банки стараются бороться.
После введения санкций часть банков осталась на решениях западных вендоров, лишившись их поддержки, и сейчас пытаются эту ситуацию переломить. Но реинтеграция антифрод-решения в инфраструктуре банка – достаточно длительный сложный процесс, который необходимо планировать, к которому нужно готовиться. Это не просто удалить и поставить новую программу. Это реинтеграция всех бизнесовых, продуктовых данных в иную систему.
«Новый движок позволит работать на высочайшей скорости»
Сейчас мы активно развиваем движок анализа транзакционных событий. Транзакционных – не значит, что речь идёт именно о транзакции в смысле списания средств финансовых операций. Это движок, позволяющий анализировать любую операцию, которая произошла в том или ином кабинете пользователя приложения и может привести к ущербу для пользователя либо для организации. Соответственно, новый движок позволит заказчикам достаточно легко и безболезненно подключать к нашему антифроду новые операции, проводить необходимые проверки и выявлять мошенничество в режиме реального времени, поскольку скорость работы будет на высочайшем уровне.
Матрица мошенничества – это своего рода википедия фрода. Мы уже заканчиваем работу над ней и планируем предоставить открытый доступ к матрице всему антифрод-сообществу. Чтобы любой антифрод-аналитик мог зайти на портал и описать технику мошенничества, которую он зафиксировал, и тем самым поделиться с сообществом. Либо изучить те или иные техники, с которыми он мало знаком, но которые потенциально могут эксплуатироваться в его компании, изучить техники митигации этого мошенничества. Цель нашей матрицы – дать инструмент, который будет использовать единый подход к описанию мошенничества и мошеннических схем, который будет понятен всему антифрод-сообществу.
Сейчас каждый банк по-своему называет те или иные схемы мошенничества, по-разному их описывает. Этот рассинхрон достаточно сильно мешает в коммуникации, расследовании мошеннических кейсов, не говоря уже о том, что у нас нет достаточно полного каталога. Наша матрица будет состоять непосредственно из техник мошенничества, и каждая будет внутри содержать подробное описание. На будущее ставим цель, чтобы наша антифрод-система при выявлении мошенничества автоматически подсвечивала, что эксплуатируется вот такая конкретная техника.
«Задача банка – максимально защитить клиента»
Что можно противопоставить росту автоматизации финансового мошенничества? Всё сводится к простому тезису. Создаваемые продукты должны быть безопасными. Ими должны обогащаться антифрод-решения. Либо это должно быть комплексное антифрод-решение и все процессы должны быть максимально автоматизированы. Неважно, какой продукт бизнес предоставляет пользователю. Продукт попадает в антифрод-систему, она проводит анализ событий этого продукта, профиля пользователя, исторических активностей. И в случае выявления отклонений накладывает определённые ограничения на активность пользователя, при этом не блокируя ему сервис полностью, а вводя какие-то точечные ограничения с учётом риска. Автоматизация в ответ на автоматизацию – это ключевое, к чему должен стремиться кибербез.
Кто несёт ответственность, если пользователя обманули мошенники – вопрос сложный. Банк предоставляет пользователю тот или иной сервис. Задача банка – сделать сервис этот безопасным. Донести до пользователя правила безопасного поведения в этом сервисе. Как это будет сделано: в игровой форме, в виде каких-то инструкций – дело десятое. А также строить свои системы таким образом, чтобы обеспечивать максимально высокий уровень защиты пользователя. А если этот сервис не безопасен, не защищён антифродом, тут ответственность должна быть на стороне банка. Конечно, и пользователям нужно соблюдать базовые требования цифровой гигиены. В интересах банков учить клиентов этим простым правилам, стимулировать их выполнение.
Наверное, мы уже созрели до некого безопасного устройства, которое будет предназначено для определённой категории банковских клиентов – например, людей старшего возраста. И которое будет гарантировать защиту от мошеннических атак. С помощью решений, которые смогут обеспечить защиту любого пользователя, использующего устройства на Android. Работать как проактивная защита с учётом последних тенденций мошенничества.
«Драйв – когда видишь, что у мошенников ничего не получается»
С детства интересно было что-то взять, расковырять, посмотреть, как всё устроено. Дома все телевизоры разобрал. Половину из них сжёг, пока собирал обратно. Один компьютер тоже сжёг на первой неделе работы. Обязательно нужно было вытащить процессор, поглядеть, как он стоит, неправильно поставить на место, чтобы он вышел из строя. Потом долго мучиться и покупать новый. То же самое делал с операционными системами: хотел разобраться, как работают программы, игры, как обходить разные защиты. Позже стал заниматься интеграцией и доработкой бухгалтерских программ под нужды компаний, и этот опыт, в свою очередь, помог устроиться в банк.
Тем, кто интересуется антифродом, советую начать с книги Кевина Митника про социальную инженерию. Читается интересно и легко. Помогает понять, с чего всё начиналось. Стараюсь постоянно мониторить профильные источники, следить за фрод-сообществом, тенденциями: какой вредоносный софт разрабатывается, какие атаки эксплуатируются без блоков. Периодически читаю блог Брайна Кребса (американский журналист, рассказывает о киберпреступности). Ну и, конечно, советую мониторить каналы мошенников, чтобы знать врага в лицо.
У меня нет рецепта цифрового детокса, потому что токса нет. Если ты любишь своё дело, свою работу, свою команду, то никакого отторжения это вызывать в принципе не должно. Да, информация сыпется 24/7, но это информация, которая позволяет нам быть лучше, развиваться и не отставать от рынка, следить за действиями мошенников. Это наша пища.
В работе меня вдохновляет, когда видишь практический результат. Когда в режиме реального времени отражаешь атаку и видишь, что у мошенников ничего не получается, а иногда ещё видишь, как они бесятся. Ты в этот момент спасаешь конкретных пользователей – десятки, сотни, и не даёшь мошенникам ничего сделать с ними. Это самое интересное, это мощный драйв.
