Сессионный антифрод против социальной инженерии: как поведенческая биометрия ловит мошенников, диктующих жертвам переводы

День, когда перестали работать пароли

Пару лет назад считалось: если у пользователя не угнали устройство, не подобрали пароль и не перехватили SMS, то и проблем быть не должно. Мошенники крутились вокруг технических брешей — уязвимостей в протоколах, слитых баз данных, фишинговых сайтов. Сегодня ландшафт изменился.

Техническую защиту пробить сложно. Банки и крупные сервисы строят многослойные периметры: шифрование, антифрод, анализ транзакций. И мошенники пошли в обход — не через код, а через человека. Они больше не взламывают систему. Они уговаривают пользователя открыть дверь самому.

Схема стара как мир, но исполнение вышло на новый уровень. Звонок с подменой официального номера, убедительный голос, знание деталей последней покупки — и человек уже не просто продиктовал данные карты, а под диктовку зашел в приложение и перевел деньги «на безопасный счет». Сам. Добровольно. Под камерами и с корректно введенным паролем.

Для классических антифрод-систем такая операция выглядит стерильно чистой: устройство знакомое, геолокация домашняя, пароль верный, сумма обычная. Ни один детектор не чихнет. А деньги ушли.

Здесь в игру вступает сессионный антифрод и поведенческая биометрия — единственное, что видит разницу между человеком, который хочет перевести деньги, и человеком, которому сказали перевести деньги.

Что такое oversharing в новом прочтении

Термин oversharing обычно переводили как «избыточное раскрытие информации»: когда человек сам выкладывает в сеть лишнее, а потом этим пользуются мошенники. Но сейчас oversharing — это про другое.

Это ситуация, когда пользователь под влиянием извне раскрывает не данные, а управление своими действиями. Мошенник не спрашивает пароль — он говорит: «Зайдите в приложение, сейчас я научу, как защитить счет». Дальше начинается сессия под диктовку.

Как это выглядит на практике

Звонок. Человек слышит: «Беспокоитесь? Правильно, с вашего счета пытались списать деньги. Сейчас зайдите в приложение, я помогу отменить операцию». Голос спокойный, номера телефонов совпадают с теми, что в базе банка (спасибо подмене).

Жертва заходит. Мошенник ведет ее по интерфейсу: «Нажмите на переводы, теперь введите номер карты, сейчас придет SMS, продиктуйте код». Человек все делает руками, своими пальцами, со своего телефона. Но делает не то, что хотел, а то, что ему сказали.

С точки зрения системы — идеальная сессия. Устройство то же, поведение? Ну, может, чуть медленнее обычного, но мало ли. Атака происходит прямо сейчас, но формальных признаков взлома нет. Транзакционный антифрод видит лишь корректные реквизиты, а сессионный антифрод начинает накапливать аномалии.

Поведенческая биометрия: как это работает без мистики

Поведенческая биометрия звучит сложно, но на деле это просто про привычки. У каждого человека есть манера водить мышью, нажимать кнопки, печатать текст. Кто-то стучит по клавиатуре резко, кто-то плавно скользит пальцами по экрану. Кто-то всегда кликает дважды, кто-то привык выделять текст мышкой, а не клавишами.

Эти паттерны формируются годами и не осознаются самим человеком. Это делается на автомате.

Сессионный антифрод считывает эту автоматику и строит профиль. Не статическую фотографию, а динамическую модель: как быстро человек скроллит страницы, с какой силой тапает, сколько держит палец на кнопке, есть ли у него привычка останавливаться перед определенными действиями.

Когда мошенник диктует, этот профиль ломается. Не потому что кто-то ввел неверный пароль, а потому что человек начал двигаться иначе.

Маркеры, которые выдают диктовку

Собрал несколько признаков, по которым поведенческая аналитика отличает самостоятельную работу от работы под диктовку. Ни один из них по отдельности не приговор, но в совокупности они дают высокую точность.

Паузы не там, где нужно

При самостоятельной работе человек останавливается, когда думает: перед выбором раздела, после прочтения условий, в момент принятия решения. При диктовке паузы возникают в неестественных местах: после клика, перед набором цифр, в середине заполнения формы. Это паузы ожидания — жертва слушает следующую инструкцию.

Движения мыши становятся «слепыми»

Когда человек сам знает, куда идти, курсор движется по прямой или с небольшими естественными дугами. Когда ему диктуют, курсор начинает «искать»: дергается, останавливается, движется хаотично, потому что пользователь не знает, где находится нужная кнопка, и вынужден сканировать экран глазами и мышью одновременно.

Пропадает «шум»

В любой нормальной сессии есть куча лишних микродвижений: прокрутил страницу туда-сюда, постучал пальцем по столу (если тачпад), кликнул мимо кнопки, задумался и поводил мышью. При диктовке этих шумов почти нет. Жертва максимально сконцентрирована на инструкции и делает только то, что сказали. Поведение становится неестественно «чистым».

Набор текста меняет ритм

Диктовать номер карты вслух — это не то же самое, что набирать его по памяти. Появляются микропаузы между цифрами, меняется сила нажатия, человек чаще ошибается и исправляет, но исправления выглядят механически. Система видит разницу в таймингах: как долго палец держится на клавише, с какой скоростью происходит переход к следующей.

Смена темпа

Обычно человек работает в своем темпе: кто-то быстро заполняет формы, кто-то медленно читает. При диктовке темп становится рваным: то быстрее (мошенник торопит), то внезапные остановки (жертва переспрашивает или пытается осмыслить). Плавный ритм сессии ломается.

Кейс из практики: момент, когда сработала аналитика

Один крупный банк недавно делился внутренними данными (без названий, конечно). У них был клиент — мужчина средних лет, типичный пользователь: заходит вечером, проверяет баланс, изредка переводит небольшие суммы семье. Устройство одно и то же, геолокация стабильная, поведение предсказуемое.

В один из дней он заходит днем. Уже странно, но не критично. Система начинает считывать сессию: первые 30 секунд — полное бездействие. Просто открыто приложение, но ничего не происходит. Потом резкое движение мыши, курсор дергается, ищет раздел переводов. Дальше — набор номера карты с длинными паузами между цифрами. Нет ни скролла, ни просмотра баланса, ни других обычных для этого клиента действий.

Сессионный антифрод насчитал больше 85 баллов риска по поведенческим аномалиям. Транзакционный антифрод получил сигнал и поставила перевод на холд. Клиенту ушло уведомление: «Вы подтверждаете операцию?»

Он очнулся. На том конце провода бросили трубку. Деньги остались на месте. Банк потом выяснил: мошенник звонил 20 минут, убеждал, что счет под угрозой, и диктовал, что нажимать. Клиент не понял, что его разводят, пока не увидел вопрос от банка.

Это идеальный пример, где сработала именно поведенка. Формально все было чисто, но то, как человек двигал мышью и набирал текст, выдало атаку.

Почему транзакционного антифрода  недостаточно и как сессионный закрывает пробелы

Транзакционный антифрод — это база. Без него никуда: он проверяет суммы, частоту операций, историю устройства, геолокацию, черные списки. Он отвечает на вопрос: «Похожа ли эта операция на то, что обычно делает клиент?» И с этим справляется хорошо.

Но у него есть слепая зона — контекст. Он видит результат, но не видит процесса. Операция может быть идеальной по цифрам, но при этом совершенной под диктовку мошенника. Транзакционная система смотрит на событие, а социальная инженерия происходит задолго до события — в поведении.

Здесь в игру вступает сессионный антифрод. Он добавляет к транзакционной математике человеческий слой: как клиент шел к этой операции, не дергалась ли мышь, не было ли неестественных пауз, не менялся ли темп набора. Сессионный антифрод отвечает на вопрос: «Похоже ли это на то, как клиент обычно совершает такие действия?»

Когда эти два слоя работают вместе, возникает синергия. Транзакционный антифрод видит аномалию в сумме или получателе. Сессионный видит, что перед этим человек вел себя как под гипнозом. Сигналы складываются, и система принимает решение не по одному признаку, а по полной картине.

В идеальном мире мошенник подбирает жертву так, чтобы транзакционные метрики были в зеленой зоне: устройство чистое, геолокация своя, перевод в пределах обычных трат. Но он не может подделать микроповедение. Именно здесь сессионный антифрод дает тот самый недостающий контекст, который превращает «стерильную» операцию в очевидную атаку.

Поэтому правильный вопрос не «что лучше — транзакционный или сессионный антифрод?», а «как они усиливают друг друга?». Транзакционный защищает от прямых финансовых угроз, сессионный — от угроз, которые маскируются под нормальное поведение.

Скачать White Paper «Session vs Transaction Fraud Protection: Стратегия построения многоуровневой защиты. Сессия и транзакция: два уровня защиты, которые работают лучше вместе».

Транзакционный защищает от прямых финансовых угроз, сессионный — от угроз, которые маскируются под нормальное поведение. Вместе они закрывают сценарии, которые по отдельности неизбежно пропускают.

Тренд 2026: deepfake в голосовых каналах

В этом году добавилась новая головная боль — deepfake-голоса. Мошенники больше не нанимают актеров с убедительными интонациями. Они берут открытые источники (интервью, подкасты, ютуб), прогоняют через нейросети и генерируют голос, который звучит точно как голос знакомого человека или официального представителя.

Были случаи, когда звонили от имени родственников с просьбой срочно перевести деньги. Были звонки от «директоров» компаний сотрудникам бухгалтерии. Идентифицировать подделку на слух почти невозможно.

Здесь сессионный антифрод работает в связке с системами анализа голосового канала. Если во время звонка (пусть даже с подмененного номера и deepfake-голосом) пользователь заходит в приложение и начинает вести себя нестандартно, риск-скор вырастает кратно. Каналы пересекаются, и аномалия становится видимой. Фрод транзакции через deepfake становится всё более реальной угрозой, и только поведенческий анализ помогает её выявить.

Что бизнес получает на выходе

Компании, которые уже используют поведенческую аналитику против социальной инженерии, отмечают несколько эффектов. Они не любят говорить цифрами вслух, но тенденции понятны.

Первое — успешных атак действительно становится меньше. Не потому что мошенники сдались, а потому что они перестают тратить время на те сессии, где система реагирует на аномалии. Им проще найти другую жертву, чем пробивать поведенческую защиту.

Второе — падает нагрузка на фрод-аналитиков. Когда система не просто блокирует, а показывает цепочку: вот здесь была пауза, вот здесь аномальное движение, вот это не похоже на обычное поведение — расследование занимает минуты, а не часы.

Третье — клиенты меньше злятся. Потому что бесшовная защита не требует от них дополнительных действий. Никакой капчи, никаких лишних звонков, никаких «подтвердите, что это вы» каждый раз. Система работает в фоне и срабатывает только тогда, когда действительно что-то идет не так.

Четвертое — это про регуляторов. В 2026 году ЦБ и Роскомнадзор все пристальнее смотрят не просто на факт защиты данных, а на методы обнаружения аномалий. Поведенческая аналитика становится частью compliance-стратегии, а не просто маркетинговой фишкой.

Вместо заключения

Социальная инженерия никуда не денется. Она будет становиться только изощреннее: нейросети, подмена голоса, синтез видео, комбинированные атаки через несколько каналов. Технические методы защиты развиваются, но мошенники каждый раз находят лазейку через человека.

Единственное, что пока не удается подделать — это поведение. Неосознанные микродвижения, привычный ритм, естественные паузы и шумы. Сессионный антифрод ловит именно это. Не потому что он умнее, а потому что смотрит туда, куда мошенник еще не научился заглядывать. В связке с транзакционным антифродом он формирует барьер, который одинаково эффективен и против классических фрод транзакций, и против сложных атак с человеческим фактором.