ПРАКТИКА ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ Актуальные методы противодействия мошенничеству Востребованность новых решений по противодействию мошенничеству в финансовой сфере неуклонно растет. Этому способствуют не только требования регулятора и изменения в законодательстве, но и то, что безопасность денежных средств и данных является безусловным приоритетом в условиях растущей конкуренции на финансовом рынке. О методах противодействия мошенничеству говорится в статье. О. А. ГЛЕБОВ, ведущий консультант отдела продвижения и поддержки продаж компании R-Style, эксперт по информационной безопасности Н аличие безопасных ресурсов и сервисов не только напрямую влияет на уровень доверия клиентов к кредитным организациям, но и способствует повышению значимости служб информационной безопасности (ИБ). При удаленном взаимодействии с клиентами целевая аудитория банков преимущественно состоит из активных пользователей Интернета и владельцев мобильных устройств. Именно в этих областях число нарушений ИБ и количество угроз растут из года в год, что обусловливает и рост заинтересованности финансовых организаций в актуализации методов и средств противодействия мошенничеству. Типичная модель мошенничества и методы противодействия ему «Жизненный цикл» любого мошенничества можно разделить на три этапа (рис.), которые проходят злоумышленники: подготовка атаки, ее реализация и монетизация (получение выгоды). Рассмотрим их подробнее. Подготовка мошеннической атаки, нацеленной на клиентов банка, в силу специфики удаленного взаимодействия основывается на методах социальной инженерии и технических манипуляциях с веб-сайтом банка – на несанкционированном и незаконном получении доступа к идентификационным данным, подмене и модификации легитимного сайта компании, подмене легитимных данных трансакций клиентов. Если опустить простые методы социальной инженерии, например, обзвон с просьбой продиктовать пин-код или код проверки подлинности карты (Card Verification Value, CVV), то злоумышленники чаще всего прибегают к средствам подмены сайта банка или действуют от его лица в среде Интернета. В рамках 74 БАНКОВСКОЕ ДЕЛО №9 2014 этапа подготовки злоумышленники скачивают вебсайт кредитной организации, анализируют его и вносят изменения в код страниц, затем размещая модифицированную версию на новом хостинге со схожим доменным именем. При этом важной частью подготовки к атаке становится выбор целевого банка, группы клиентов и пространства для реализации (например, группы в социальной сети или форума). Для реализации подготовленной схемы чаще всего создается либо фишинговый сайт для кражи данных, либо вредоносная ссылка якобы от лица сотрудника банка, ведущая к странице с зараженным программным обеспечением (ПО). Злоумышленник в состоянии ввести в заблуждение даже подготовленных клиентов банка. Если человек попадает на фишинговый сайт, то может потерять данные своей карты и личные идентификационные данные для доступа к аккаунту в банке. При переходе же по зараженной ссылке, например с форума, действует более технологичный способ атаки, связанный с захватом управления компьютером или устройством пользователя. С такого контролируемого устройства злоумышленник уже может проводить несанкционированные трансакции, списывать денежные средства со счета владельца или использовать счет жертвы для последующих мошенничеств. Например, счет может быть использован для переброски денежных средств с другого взломанного счета с целью запутать следы до счета дроппера, с которого и будет произведено обналичивание. Завершающий этап – монетизация, т. е. получение злоумышленником денежных средств или иной выгоды от незаконных действий по отношению к клиентам кредитной организации. ПРАКТИКА Этапы жизненного цикла типового мошенничества Подготовка Анализ оригинального вебсайта Неавторизо­ Тестирование ванное копиро- вредоносного вание сайта сайта Реализация Атака Монетизация Область работы большинства антифрод-систем Потерянное время Классические антифрод-решения На противодействие мошенничеству нацелены средства защиты или анализа конечных устройств, с которых генерируется банковская трансакция. К таким решениям можно отнести системы профилирования устройств (сбора данных об устройстве и формирования его отпечатка во времени), создания доверенной среды (защищенный браузер, контейнеризация, USB-токены с программным обеспечением и т. д.). На российском рынке подобные системы часто приравнивают к антифрод-системам (от англ. fraud – мошенничество, обман, махинация – системы своевременного обнаружения мошеннических действий в интернет-банкинге). Но назначение таких систем заключается в снижении риска возникновения мошенничества, а не в выявлении фактов атак или в глубоком анализе. Применение исключительно средств защиты и контроля конечных рабочих мест банковских клиентов может быть высокозатратным (в случае, например, предоставления каждому клиенту USB-токена с ПО) и неэффективным с точки зрения защиты от мошенничества. Использование подобных средств целесообразно только в комплексе с классическими антифродсистемами. Распространенные на рынке классические антифрод-системы ориентированы преимущественно на этап монетизации – они выполняют выявление и противодействие фактам вывода денежных средств. Среди таких систем могут быть как решения транзакционного анализа (статистические механизмы, профилирование аккаунтов), так и решения усиленной рисковой аутентификации и анализа поведения пользователей удаленных сервисов банка. Подобные решения просто блокируют любую подозрительную или рискованную трансакцию клиента. Применение антифрод-решений в кредитных организациях оправдано тем, что уровень доверия и контроля пользовательских устройств выходит за рамки возможностей службы ИБ банка. Система анализа на стороне банка имеет преимущество в том, что не подвержена внешним воздействиям и не может быть скомпрометирована. Но при работе подобного рода систем, даже если факт мошенничества установлен, остается неизвестным, как оно было реализовано, какими методами было скомпрометировано устройство или обманут сам владелец аккаунта. В результате мошеннические действия не прекращаются, а применяемые в борьбе с ними методы и средства становятся неэффективными со временем. Проактивное обнаружение фактов готовящейся атаки Первый этап (подготовка атаки) оказывает наибольшее негативное влияние на состояние бизнеса финансовых организаций. Для противодействия этому банкам необходимо иметь сквозной контроль и создавать действительно многоуровневую систему противодействия мошенничествам. Среди ключевых технологий, необходимых для проактивной защиты клиентов и бренда кредитной организации, можно выделить: обнаружение и блокировку фишинговых атак, направленных на бизнес компании; защиту и контроль HTML-кода веб-сайта; раннее обнаружение и оповещение о начальных стадиях атак в реальном времени; обнаружение новых (ранее неизвестных) фишинговых атак; Abstract. The demand for new solutions to mitigate fraud in the financial industry has been steadily increasing. This is facilitated not only by the requirements of regulators and changes in legislation, but also the fact that the security of banking services and clients data is an absolute priority in the context of growing competition in the financial market. This article focusing on the actual methods for implementing anti-fraud process and solutions in banks. Keywords. Brand Intelligence, antifraud, fraud threat intelligence. Ключевые слова. Защита бренда, антифрод, проактивное противодействие мошенничеству. №9 2014 БАНКОВСКОЕ ДЕЛО 75 ПРАКТИКА ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ оперативное обнаружение и закрытие фишинговых сайтов; мониторинг и формирование адекватной отчетности; расследование выявленных фактов мошенничества. Обзор существующих методов проактивного обнаружения Защита бренда Обычно защита бренда кредитной организации представляется в виде облачного сервиса, который в режиме реального времени отслеживает в Интернете вредоносные (похожие или копированные) домены и упоминания от лица компании или о компании в социальных сетях и на сайтах с пользовательским контентом. Тем самым сервис предоставляет оперативную информацию о наличии в Интернете дубликатов, фишинговых сайтов и похожих доменов, а также о наличии вредоносных ссылок, которые ведут на сайты, размещаемые от лица компании. Защита кода веб-сайта Технология защиты сайта компании строится на тесной интеграции облачного сервиса с защищаемым сайтом посредством небольшого скрипта-ловушки, размещенного в коде страницы. Использование скрипта позволит существенно повысить осведомленность об аномальной активности по отношению к сайту банка. Скрипт-ловушка, встроенный в HTML-код, будет сам оповещать облачный портал мониторинга о всех фактах копирования сайта, его модификации и размещении на других доменах в Интернете. Это позволит своевременно узнавать о появлении фишинговых сайтов и доменов, зарегистрированных с целью компрометации компании. Выявление скомпрометированных карт Доступ к мониторингу ресурсов с пользовательским контентом (форумов, чатов и т. д.) позволяет облачному сервису отслеживать факты размещения информации о краденных кредитных и дебетовых картах, а также идентификационных данных клиентов кредитной организации. Удобство такой технологии в том, что при желании банк может создавать списки номеров своих карт, которые будут непрерывно детектироваться в Интернете. Как только подобная информация найдена, она отображается в пользовательском 76 БАНКОВСКОЕ ДЕЛО №9 2014 портале для предупреждения банка и клиентов о том, что их идентификационные данные или карты скомпрометированы. Контроль мобильных приложений Доступ к официальным и неофициальным магазинам приложений позволяет производить глубокий анализ мобильного контента на предмет появления вредоносного ПО под брендом защищаемой компании. Это становится актуальным в условиях незаконного модифицирования мобильного приложения банка или злонамеренной подмены приложения у клиентов. Например, на форуме или в СМСсообщениях якобы от лица сотрудника банка может быть распространена ссылка на приложение («новую улу чшенную версию мо бильного банка»). Информация о найденных копиях или подделках легитимного приложения для клиентов автоматически отображается в пользовательском портале администрирования облачного сервиса. Перспективы использования сервисов защиты бренда Технически применение проактивных методов обнаружения мошенничеств на ранних этапах не требует тесной интеграции с банковской инфраструктурой. Для запуска системы в работу достаточно лишь заполнить готовый шаблон с указанием словосочетаний, доменов, ключевых слов и другой информации. Впоследствии система сама начинает работу по поиску информации в Интернете и ее анализу на предмет соответствия заданным параметрам. Облачный сервис предоставляет возможности администрирования через пользовательский портал безопасности, где пользователь получает отчеты о состоянии информационного пространства в привязке к индивидуальному бренду финансовой организации. Облачный сервис может быть успешно интегрирован с антифрод-решениями следующих уровней анализа и выявления аномалий. Примером может служить повышение в системе трансакционного анализа скоринга проводимой трансакции (или автоматическая блокировка), в случае обнаружения данных владельца на сайтах распространения краденых карт. Использование облачного сервиса не только целостно дополнит процессы выявления и противодействия мошенничеству, но и даст много новой и важной информации о состоянии информационного пространства вокруг бренда финансовой организации.