К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.

Воры на доверии: как научиться технике финансовой безопасности

Фото Silas Stein / DPA / TASS
Фото Silas Stein / DPA / TASS
Технологии упрощают денежные переводы, но этим пользуются и злоумышленники. Какая роль у финансовых организаций и пользователей в современном соревновании технологий

В мире персональных финансов произошла техническая революция, в результате которой стало возможным управлять своими деньгами с телефона в любом месте, где есть интернет — например, сделать моментальный денежный перевод. Люди получили в свое распоряжение удобные технологии, но для того, чтобы использовать их безопасно и не потерять свои деньги, им необходимы новые навыки. И с приобретением этих новых привычек наблюдаются проблемы. Тем временем преступность становится все более технологичной, и беспечность при использовании современных финансовых инструментов порождает все новые риски для кошелька.

Эволюция мошенничества в финансовой сфере

Еще в начале 2010-х годов более 90% преступлений составляли банальные физические кражи и скимминг (кража данных банковской карты при помощи специального считывающего устройства на банкомате). К середине нашего десятилетия мошенники вышли на новый уровень и освоились в киберпространстве: появились высокоорганизованные преступные группы, которые делали ставки на вредоносное программное обеспечение. А с 2016 года мошенники практически полностью переместились в киберсреду — согласно нашим исследованиям, сейчас 98% преступлений в банковской сфере проводятся через интернет.

При этом главную опасность представляют не хакеры и не компьютерные вирусы. Ключевой угрозой стала социальная инженерия, которая взламывает не машины, а людей, пользуясь их неосведомленностью и наивностью.

Именно этот вид киберпреступности в последние годы вышел на первом место. Мы фиксируем тысячи попыток в неделю, которые предпринимают «социальные инженеры», чтобы завладеть деньгами наших клиентов. По нашим данным, на социальную инженерию сегодня приходится более 80% мошенничества.

 

В 2017 году служба кибербезопасности нашего банка пресекла более 300 000 попыток хищения средств наших клиентов как с помощью методов социальной инженерии, так и с помощью вирусного ПО. Предотвращен ущерб на сумму более 20 млрд рублей. Для сравнения: за 2016 год объем предотвращенных хищений был на 20% меньше — 16 млрд рублей.

Основные сценарии социальной инженерии

Сценарии однотипны и отличаются лишь деталями: мошенник под видом работника госоргана (или сотрудника банка, или покупателя с сайта объявлений) узнает у клиента паспортные данные, номер карты и одноразовый SMS-пароль. Этих данных достаточно, чтобы получить доступ к средствам на счете через личный кабинет интернет-банка или мобильного приложения.

 

Есть и более экзотические схемы, на первый взгляд примитивные, но как показывает практика, весьма эффективные. Одна из таких схем — «Романтическое знакомство». Люди, которые ищут свою единственную и неповторимую любовь в интернете, склонны верить в чудо. И когда это чудо, на их взгляд, происходит, они теряют бдительность. А между тем их партнеры по романтической интернет-переписке зачастую являются тривиальными мошенниками, которые стремятся выведать данные для доступа к их счетам.

Одним из самых популярных инструментов социальной инженерии остается фишинг. Это уже давно известный вид мошенничества, и казалось бы, о фишинговых письмах знает каждый пользователь. К сожалению, это не так, и на практике 30% получателей их открывает, а 20% открывают вложения таких писем. Эта проблема на массовом уровне решается только повышением киберкультуры.

Кроме того, в последнее время распространились фишинговые сайты-ловушки, которые предлагают «супервыгодное предложение» или «подарок» якобы от имени банка. В остальном схема похожа на описанную выше: введенные номер карты и пароль мошенники используют для регистрации в интернет-банке и вывода денег со счета. Подделывают и другие сайты, например, для перевода с карты на карту или для покупки билетов.

 

ИИ против мошенников

Банки отвечают на вызовы киберпреступников в целом и «социальных инженеров» в частности тем, что совершенствуют свои системы фрод-мониторинга: анализа, выявления и предотвращения мошенничества. Несколько лет назад весь процесс проводился вручную. Хотя такая система помогала сдерживать мошенников, серьезно изменить ситуацию она не могла — злоумышленники быстро адаптировались и находили способы обойти новые правила. А выявлять новые тренды и угрозы «ручной» фрод-мониторинг не мог, система включала в себя ограниченное число алгоритмов, созданных человеком, поэтому она работала только с известными типами и схемами мошенничества.

У такой системы были и другие недостатки. Она не позволяла эффективно отслеживать и сопоставлять подозрительные действия в разных каналах обслуживания: в интернет-банке, мобильных приложениях, SMS-банке, банкоматах, контактном центре. Поддержка растущего числа правил требовала все больше ресурсов и сложно масштабировалась. Одним из ее главных недостатков было, конечно, неудобство для клиента: в систему был «зашит» ряд ограничений, из-за которых клиенты должны были производить множество дополнительных действий.

Современные системы фрод-мониторинга используют искусственный интеллект и выявляют подавляющее большинство всех попыток мошенничества. Модель, выполняющая скоринг операций, вместо статичных правил строит динамические на основе анализа больших данных. Подобные системы в автоматическом режиме не только отслеживают подозрительные операции и оповещают клиентов, но и предостерегают их от действий, совершаемых под влиянием мошенников.

Укрепить слабое звено

Важно понимать, что любая новая технология может быть использована не только во благо, но и во вред. Тот же искусственный интеллект сегодня служит хакерам инструментом, с помощью которого они генерируют новые вирусы. Таким образом, гонка между киберпреступниками и специалистами по кибербезопасности продолжается: первые ищут уязвимые места и атакуют их, вторые пытаются не просто отбиваться, но и играть на опережение.

А что же с простыми пользователями? Очевидно, что они остаются самым слабым звеном для мошенников. Но научиться элементарным правилам кибергигиены вполне реально для каждого. Убежден, что именно обучение граждан, повышение их осведомленности, выработка практических навыков противостояния мошенникам — залог успеха.

 

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

иконка маруси

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+