Руслан Рахметов, Security Vision
Мошенники и интернет-аферисты придумывают различные уловки для обмана граждан, а конечной целью зачастую становятся денежные средства и персональные данные жертв. В свою очередь, банки, страховые компании, ритейлеры, маркетплейсы, соцсети предпринимают ряд мер для блокирования вредоносной и подозрительной активности кибермошенников. Противодействие мошенничеству, т.е. фроду, называется антифродом и включает в себя ряд технических и организационных мер, о которых мы расскажем в данной статье.
В предыдущей статье мы обсудили интернет-мошенничество и привели ряд примеров, которые наглядно демонстрируют опасность подобных действий. В финансовой сфере действия, сопряженные с намеренным обманом, называют фродом (англ. fraud) - первыми примерами стали аферы по подделке чековых книжек, дорожных чеков и слабозащищенных банковских карт в США ещё в прошлом веке. С развитием технологий у мошенников появилось гораздо больше возможностей по совершению дистанционного мошенничества и злонамеренной выдачи себя за другое лицо. Сегодня основными типами фрода являются:
1) Банковское мошенничество - использование данных украденных банковских карт, несанкционированный доступ к банковскому счету (например, за счет фишинга, телефонного мошенничества или заражения устройства клиента вирусом), копирование банковских карт с магнитной полосой с использованием скиммера, использование особенностей банкоматов (например, подготовка в банкомате данных для перевода денег и ожидание, что следующий клиент вставит карту и введет PIN-код, тем самым завершив мошенническую операцию и по невнимательности переведя деньги со своего счета);
2) Финансовое мошенничество - финансовые пирамиды, поддельные инвестиции, авансовые переводы денег за различные товары, вывод денег со счетов компании инсайдерами, ложное банкротство;
3) Мошенничество с интернет-магазинами - создание фишинговых клонов известных площадок, использование бонусных баллов из взломанных личных кабинетов, злонамеренная эксплуатация особенностей алгоритмов формирования скидок и начисления бонусных баллов, покупка подарочных карт с украденных банковских карт, ложные чарджбэки;
4) Мошенничество с учетными записями - взлом или подбор учетных данных для аутентификации под именем жертвы и выполнения дальнейших вредоносных действий в социальных сетях (рассылка сообщений с просьбой о переводе денег, копирование данных и шантаж их разглашением, рассылка ВПО и фишинговых ссылок);
5) Мошенничество со страховыми выплатами - подделка документов на получение страховых компенсаций, оформление вымышленных страховых случаев, завышение размера ущерба.
Наиболее опасные типы фрода связаны с финансовыми операциями в банках, МФО, ритейле, маркетплейсах и прочих интернет-площадках, на которых можно выполнять действия, связанные с переводом денежных средств или их эквивалентов (бонусов, баллов, призов, подарков, атрибутики и прочего). Для выявления мошенничества подобные площадки внедряют различные меры противодействия скамерам, включая антифрод-системы.
Системы антифрод можно разделить на несколько типов в зависимости от принципа их работы:
1) Транзакционный антифрод - это поиск признаков мошеннических операций в данных, которые хранятся и обрабатываются операторов - банком, страховой, интернет-площадкой. Например, в банках системы транзакционного антифрода анализируют платежи, данные об эмитированных банковских картах и сведения о клиентах. Например, могут быть введены лимиты на число платежей и на общую их сумму в течение определенного периода, могут отслеживаться операции смены привязанных банковских карт в личном кабинете определенного пользователя - частая смена привязанных карт может свидетельствовать о попытках использовать данные украденных карт для совершения мошеннических операций CNP (Card-Not-Present, операции без физического предъявления банковской карты). Кроме того, может проводиться анализ по попыткам разных пользователей использовать данные одной и той же карты, могут мониториться неуспешные авторизации при попытке оплатить товар, может оцениваться история заказов и использования различных карт пользователями. В банках могут применяться алгоритмы географической привязки карты - оценивается страна выдачи карты, страна совершения CNP-операции, страна расположения мерчанта (интернет-магазина, продавца). Кроме того, транзакционный антифрод позволяет заблокировать денежные переводы на счета, попавшие в «черные списки» (счета мошенников и преступников), а также приостановить перевод денежных средств при превышении определенного лимита по числу операций.
2) Сессионный антифрод - это поиск признаков того, что устройство или учетная запись пользователя были скомпрометированы. Устройство (ноутбук, смартфон) пользователя могут быть заражены ВПО, трояном удаленного доступа, или же мошенники могли уговорить пользователя запустить программу для удаленного администрирования. В этом случае анализируется информация, касающаяся пользовательской сессии с банком или интернет-площадкой, а также данные об устройстве пользователя. В случае с доступом клиента через браузер на веб-страницу банка или маркетплейса внедряется специальный JavaScript (иногда он называется блоком антифрода), который получает цифровой отпечаток (fingerprint) браузера, включающий информацию об IP-адресе и ОС устройства, установленных шрифтах и плагинах, параметрах CSS, WebGL, Canvas - эта информация собирается и накапливается в системе сессионного антифрода. В случае с использованием мобильного приложения система сессионного антифрода используется специальный программный антифрод-блок, который встраивается в мобильное приложение банка и выполняет роль локального сборщика информации о смартфоне (производитель, модель, версия ОС, установленные приложения и т.д.), а также может включать в себя антивирусный функционал для выявления заражения ВПО или использования программ для удаленного администрирования. Например, «красными флагами» для системы сессионного антифрода будут использование браузера в режиме Headless, поддельный (импортированный) отпечаток браузера, использование эмулятора мобильной ОС, клонирование приложения, использование кастомизированных сборок ОС, использование прокси или VPN. В результате, банк или маркетплейс получает информацию о том, насколько можно доверять текущему устройству и учетной записи - если механизмы сессионного антифрода не выявили отклонений от ретроспективных данных по предыдущим подключениям, то пользователь может спокойно совершать транзакции.
3) Поведенческий антифрод - это анализ аномалий в поведении пользователя и устройства по сравнению с накопленными историческими данными. При поведенческом антифроде с помощью антифрод-блоков производится анализ действий пользователя с приложением или сайтом - оценивается скорость движения мыши, скорость нажатий на клавиши, перемещение по экрану приложения, порядок работы с сайтом или приложением. Данная информация накапливается и затем строится модель типичного поведения для каждого пользователя, а отклонения от неё считаются аномалией и приводят к временной блокировке учетной записи и невозможности проведения финансовых транзакций. Например, подозрение системы поведенческого антифрода могут вызвать автоматическое заполнение полей на странице, мгновенный скролл веб-страницы, переход в нетипичные для клиента разделы (например, в настройки лимитов операций). Кроме указанных механизмов, можно использовать данные о профиле пользователя (возраст, пол, предпочтения) и выявлять отклонения от операций клиентов в той же группе - например, для клиентов пенсионного возраста нехарактерно досрочное закрытие вклада и снятие больших сумм в банкоматах, что может быть нормальным для молодых людей.
4) Риск-ориентированный антифрод - это анализ потенциально вредоносного и подозрительного поведения пользователей в приложении или на веб-сайте компании. Например, в перечень критериев, используемых для риск-скоринга, могут попадать IP-адрес (подозрения вызовут подключения из Даркнета), использование средств анонимизации (например, различные privacy-плагины для браузеров), перебор всех товаров на сайте (возможен скрейпинг), перебор промокодов, попытки входа с различными учетными данными, «вбив» украденных данных платежных карт с попыткой покупки товара, массовое создание новых аккаунтов, обращение к ресурсам по API. Еще одним риск-фактором может стать доступ к сайту со стороны устройств, зараженных ВПО - они могут быть частью контролируемого ботнета и выполнять команды оператора.
5) Антифрод с использованием машинного обучения и искусственного интеллекта позволяет обрабатывать огромные массивы метаданных и логов, которые собирают интернет-площадки, банки и маркетплейсы, чтобы находить в них скрытые корреляции и аномалии, выявлять потенциально опасные устройства и скомпрометированные учетные записи, прогнозировать и заранее предотвращать опасные действия. В отличие от традиционных систем, которые основаны на сигнатурах (характерных признаках мошеннических операций) и создаваемых аналитиками правилах, антифрод-решения на базе ML и ИИ могут самостоятельно адаптироваться под постоянно меняющиеся мошеннические схемы и эффективно выявлять аномалии поведения пользователей.
Проблема банковского мошенничества стоит в России как никогда остро. Так, в обзоре ЦБ РФ сказано, что в 2024 году объем операций без согласия клиентов составил 27,5 млрд рублей - по сравнению с 2023 годом рост составил практически 75%. Кроме того, в сообщении МВД РФ подчеркивается, что в период с января по июль 2025 года ущерб от противоправных действий, совершенных с использованием информационно-телекоммуникационных технологий, составил почти 120 млрд. рублей. Подобные объемы не могут не вызывать озабоченность, поэтому на государственном уровне непрерывно ведется работа по противодействию мошенничеству различными способами, в том числе за счет создания различных информационных систем и принятия нормативных актов. Так, в 2018 году ЦБ РФ на базе платформы АСОИ ФинЦЕРТ создал АС «Фид-Антифрод», которая собирает данные по несанкционированным переводам денежных средств и распространяет фиды (атрибуты получателей несанкционированных переводов) среди участников информационного обмена с Банком России. Уже в 2022 году ФГУП "ГРЧЦ" была официально запущена единая платформа верификации телефонных вызовов (ЕПВВ) «Антифрод», которая призвана не пропускать мошеннические звонки с подменой телефонного номера в сетях операторов связи. Далее, 1 апреля 2025 года был подписан 41-ФЗ о создании государственной информационной системы (ГИС) противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий (ИКТ), а 14 августа был утвержден план реализации этой системы. Данная система подразумевает создание специализированной цифровой платформы, которая позволит правоохранительным органам, ЦБ РФ, кредитным организациям и операторам связи обмениваться информацией, необходимой для выявления правонарушений в российском киберпространстве.
Государство принимает необходимые меры по борьбе с мошенничеством и на стратегическом уровне. Так, первый пакет антифрод-мер включает в себя некоторые законодательные требования, которые начнут действовать уже с 1 сентября 2025 года:
1) Вводится обязательная маркировка звонков от организаций;
2) Граждане смогут отказаться от массовых телефонных обзвонов;
3) Граждане смогут установить самозапрет на оформление сим-карт от их имени;
4) Запрещено будет передавать свои учетные записи и управление номером телефона третьим лицам;
5) Граждане смогут подключить сервис "второй руки" для защиты от мошенников - это позволит назначить доверенное лицо для подтверждения или отклонения денежных переводов;
6) Вводится дополнительный антифрод-контроль при выдаче наличных через банкоматы. В Приказе ЦБ РФ определены 9 признаков фрода при выдачи наличных в банкоматах, включая нехарактерное поведение клиента, нетипичное местоположение банкомата, получение клиентом необычно большого числа СМС-сообщений и звонков, снятие наличных сразу после оформления кредита.
Отметим, что в настоящий момент обсуждается новый, второй пакет государственных мер по борьбе с мошенничеством.
