Предложение по решению проблем обеспечения защиты в системах обработки больших данных в финансово-кредитных организациях. ЧАСТЬ 2.

1   2   3

---

2. Анализ технологий противодействия мошенничеству

 

2.1. Практика мошенничества в системах ДБО, АБС. Средства выявления мошеннических действий, осуществленных со стороны Клиента/третьего лица/сотрудника Банка

 

Основная проблема корректной организации дистанционного банковского обслуживания состоит в серьезном росте процента операций. При этом около 80% клиентов банков используют электронные платежи для приобретения не менее четверти всех товаров и услуг. Расширение цифровых каналов породило специализированные онлайн-банки, которые осуществляют исключительно электронные платежи. В связи со стремительным развитием дистанционного облуживания банки вынуждены сокращать свои реальные отделения и сотрудников, что приводит к снижению уровня безопасности отслеживания операций.

Использование электронного платежа практически не оставляет банку времени на проверку самой транзакции и отправителя и получателя. Соответственно, стандартные признаки мошеннической транзакции, которую мог бы уловить сотрудник при наличии определённого времени и доступа к информации, могут быть реализованы без специальной подготовки. Электронные платежи также в значительной мере снижают вероятность возмещения, так как риски не отследить мошенническую транзакцию вырастают в разы: за несколько секунд средства со счета могут перейти через несколько счетов и осесть в оффшорных зонах, возврат средств из которых практически невозможен в связи с особенностями используемого законодательства в банковской сфере.

Относительно новым видом мошенничества стали так называемые операции без присутствия карты (Card Not Present transaction, CNP). Они представляют собой тип транзакций по банковским платежным картам, при которых физическое присутствие держателя карты со своей картой во время и в месте осуществления оплаты не требуется. Наиболее характерной данная операция является при заказе и оплате товара через сеть Интернет, по факсу, телефону, почте (Mail Order/Telephone Order (MO/TO)). Очевидно, что подобные транзакции стали весьма привлекательными для злоумышленников.

Основной трудностью для продавца, принимающего заказ, в операциях без присутствия карты можно считать осуществление проверки, было ли разрешение со стороны держателя карты на проведение транзакции. Чаще всего, выполняется проверка номера карты (PAN), верификационного кода (например, для карт типа Visa – это CVV2), а также срока действия карты (expired).

При заявлении о факте мошенничества типа CNP на банк-эквайрер, выполняющий обслуживание счета продавца, на который выполняется поступление денежных средств от мошеннической операции, возлагается ответственность по возмещению средств. В то же время, ответственность за возврат при операциях с магнитной полосой  возлагается на эмитента карты. Повышенный риск операций диктует необходимость некоторым эмитентам карт взимания увеличенной оплаты за осуществление CNP. В качестве защиты для эквайрера используется протокол 3-D Secure, дающий возможность осуществления дополнительных проверок держателя карты и переноса ответственности на банк-эмитент.

В соответствии с данными «Лаборатории Касперского» в русскоязычном сегменте сети Интернет наблюдается тенденция к повышению объемов так называемого scam (мошенничество с авторизованными платежами), а также онлайн-объявлений и рассылок мошеннического характера. Цель подобных операций проста – выманивание денежных средств пользователей. По итогам первого полугодия 2020 года аналитиками компании было обнаружено не менее 23 тысяч ресурсов подобного рода, что практически в четыре раза больше по сравнению с аналогичным периодом прошлого года. Число попыток перехода пользователей на scam-страницы также возросло почти в два раза и составило 28 миллионов.

Фактически, scam является сообщениями, в которых злоумышленники предлагают пользователям достаточно крупное денежное вознаграждение в обмен на прохождение опроса или участие в определенной акции. Для получения денежных средств пользователю необходимо осуществить оплату «комиссии» или «закрепительного платежа». Чаще всего, эта сумма является незначительной, в настоящее время она составляет около 350 рублей. Однако, что естественно, никакие выплаты пользователю не поступают, а «комиссия» поступает на счет мошенников. Кроме того, пользователь, выполнивший ввод данных карты, получает дополнительный риск, связанный с сохранностью своей платежной информации.

Согласно данным исследования, можно утверждать о росте мошеннических ресурсов, на которых размещены предложения о выплате пользователям различных социальных выплат. С начала 2020 года «Лабораторией Касперского» было выявлено в 5 раз больше подобных страниц, чем за первое полугодие 2019 года. Мошенниками часто осуществляется имитация оповещения от несуществующих фондов на предмет финансовой помощи, пособий, страховых взносов, доплат, а также иных видов доплат.

Для предотвращения таких угроз специалистами «Лаборатории Касперского» предлагается помнить об основополагающих правилах безопасности, заключающихся в недопустимости перехода по подозрительным ссылкам в социальных сетях и почте, а также в скептическом и здравом отношении к сообщениям, касающимся крупного выигрыша или неожиданной выплаты.

Основными инструментами банка, позволяющими снизить риск мошеннических переводов, на данный момент являются установки лимитов и увеличение уровней идентификации транзакций.

Дополнительным методов для усиления безопасности является идентификация не только отправителя, но и получателя, а также необходимость предоставления не только счета на оплату, но и получаемой квитанции. Такое средство защиты связано с участившимися случаями, в которых мошенники представляются телекоммуникационными или другими компаниями, предоставляющими услуги, и предлагают оплатить счет. Проверка квитанций получателя снижает риск отправки средств по звеньям длинных транзакций.

Как показывает практика, в случае использования дистанционного банковского обслуживания, основную роль в борьбе с мошенническими действиями должны играть сами клиенты, которые и осуществляют переводы своих средств на счета сторонних организаций. При этом банки должны предоставлять клиентам полную информацию о возможных вариантах мошенничества и средствах защиты от него.

Получая данные о мошеннических действиях в сфере ДБО, банки используют следующие внешние каналы (рисунок 2.1):

• сообщения от клиентов (89%%);
• данные от третьих лиц (55%).

На стороне банка:

• отслеживание проводят специализированные автоматизированные системы (до 82%);
• осуществление внутреннего и внешнего аудита (58%);
• получение данных от информаторов (до 68%).

 

Также следует остановиться на особом виде мошенничества, связанном с использованием АБС (автоматизированная банковская система).

Злоумышленники в определенной мере переориентировались и пытаются убедить людей в существовании угрозы их накоплениям. Другими словами, вместо сценарий поступления сообщений типа «с вашего счета выполнен перевод денежных средств» осуществляется другой – сообщения «существует непосредственная угроза вашему депозиту». Вместе с тем, суть мошенничества осталась неизменной – необходим перевод денежных средств на безопасный, защищенный счет. С этой целью от человека требуется добровольная передача данных карты, кодов из SMS-сообщений и т.д. Такой интерес со стороны злоумышленников легко объясним – депозиты представляются гораздо более интересной мишенью, чем остаток денежных средств по обычному счету, поскольку появляется возможность одномоментного получения значительной суммы денежных средств. Данное смещение интереса может означать, что в массовом сегменте, в котором на величину дохода мошенника оказывало непосредственное влияние количество обзвонов жертв, намечается тенденция снижения величины прибыльности. При этом количество обзвонов неуклонно растет, однако их результативность очевидно снижается. Отсутствует существенное увеличение сумм похищенных денежных средств. Также специалистами отмечается, что процент несанкционированных операций в общем объеме платежей снижается. Кроме того, отмечаются попытки злоумышленников совершать звонки несколько раз по одному и тому же номеру, да еще и в течение нескольких дней подряд. Это может свидетельствовать либо о наличии нескольких групп мошенников, либо об одной, но у которой наблюдается дефицит доходов. Фактически, процент удачных звонков (со стороны злоумышленников), увенчавшихся хищением денежных средств, уменьшается. На снижение эффективности массовых обзвонов несомненно оказало влияние и повышение информированности граждан о существовании обзвонщиков-мошенников, увеличение настороженности к звонкам с неизвестных номеров.

Как известно, для совершения звонков злоумышленникам необходима клиентская база. В последние годы рост утечек в финансовом секторе не наблюдается. Можно утверждать об относительной стабильности черного рынка нелегальной информации, касающейся персональных данных. Разговор о каких-то всплесках в данной отрасли является неуместным и не подкрепленным фактами. Продажа подобных утечек осуществляется в гораздо меньшем объеме, чем утверждается самими злоумышленниками. Интересен тот факт, что на этом черном рынке стало появляться большое количество мошенников, обманывающих других мошенников. Ими заявляется о существовании миллиона, например, записей из банка, тогда как в реальности они могут предложить, в лучшем случае, несколько тысяч подобных записей, при этом они получены не из банка, а в результате утечки из других организаций или представляют собой скомпилированную выборку из источников открытого типа, например, социальных сетей. На подобных рынках представлено большое количество материалов, выдаваемых за актуальные данные, тогда как в действительности они являются очень давними утечками, не представляющими особого интереса.

Безусловно, необходимо ужесточение правил защиты информации в различных организациях, однако даже это не является полным решением проблемы. Люди сами разглашают о себе, например, в социальных сетях, интернет-магазинах, фишинговых сайтах информацию, представляющую интерес для злоумышленников, и об этом необходимо помнить.

Кроме того, проблема утечек должна рассматриваться комплексно. Кража данных осуществляется в целях использования в противоправных действиях. Используя технологии социальной инженерии, обзвонщики побуждают людей к совершению поступков, приводящих к утечке денежных средств от законного владельца к злоумышленнику. Выполняя сравнение объемов утечек из банков с количеством людей, которым поступают звонки от злоумышленников, можно отметить диспропорцию: звонки мошенниками осуществляются гораздо большему количеству людей, чем число клиентов банков, данные которых были похищены. Это позволяет сделать вывод, что проблема утечек является характерной не только и даже не столько для банковских учреждений.

В отличие от ситуации, сложившейся со внешним мошенничеством, специалистами отмечается, что общая и средняя сумма потерь, а также число случаев внутреннего мошенничества в последние годы остается на одном и том же уровне. Вместе с тем, данное утверждение может неадекватно отражать реальную угрозу совершения операций мошеннического характера, которые осуществляются внутри банковских учреждений, так как практический опыт свидетельствует о том, что при совершении внешних действий мошеннического характера часто совершается с помощью сговора между злоумышленниками и сотрудниками банков, хорошо владеющими спецификой функционирования банковских систем, средств контроля и процессов (фактически, всех сфер, не попадающих в зону ответственности систем контроля, а также всеми недочетами в существующих средствах контроля) [18, 19].

С учетом возможности для сотрудников банковских организаций использования уязвимых мест средств контроля для хищения наиболее значимых активов банка, размер потенциального ущерба от внутреннего мошенничества может быть столь же значителен, как и от внешнего, если не более. В соответствии с реальным характером данной угрозы, в банковских организациях существует необходимость продолжения активного поиска возможностей, направленных на выявление случаев мошенничества со стороны собственных сотрудников.

 

1.2.   Принципы работы антифрод системы. Построение правил

 

Как уже было сказано выше, роль сервисов дистанционного банковского обслуживания (ДБО) в сегменте продуктов, предлагаемых банками физическим и юридическим лицам, неуклонно растет. Объемы платежей, осуществляемых через ДБО, постоянно увеличиваются. Значительная часть стратегии развития банковского бизнеса неотъемлемо связана с повышением объема подобных сервисов, увеличением качества и скорости их функционирования. Такой подход способствует, очевидно, повышению степени лояльности клиентов банка, снижению расходов на операционную деятельность с одновременным повышением оперативности и удобства осуществления платежных операций. Вместе с тем, увеличивающиеся объемы удаленных банковских транзакций влекут за собой рост мошеннических действий в рамках сервисов дистанционного банковского обслуживания. Не является секретом, что в Российской Федерации доля операций мошеннического характера, выполняемых через каналы ДБО, занимает свое место в тройке видов операционного банковского мошенничества, начиная еще с 2010 года.

Специалистами отмечается возможность повышения значимости мошеннических операций в общем объеме платежей в несколько раз в течение одного года. Такие темпы роста, очевидно, свидетельствуют о невозможности снижения объемов мошенничества до приемлемого уровня только за счет усиления процедур, связанных с обеспечением целостности и конфиденциальности данных, или внедрения передовых технологий, направленных на обеспечение аутентичности выполняемых операций.

На сегодняшний день большей частью банковских организаций уже выполнена оценка (положительная) эффективности применения технологий контроля, не зависящих от клиента. Другими словами, можно отметить нацеленность банков на использование таких инструментов для определения и предотвращения действий мошеннического характера, которые никак не зависят от соблюдений клиентом общих требований информационной безопасности.

В данном случае, речь идет о системах фрод-мониторинга (Fraud Monitoring) или Fraud Management System (FMS). В основе возможности подобных систем осуществлять идентификацию незаконных операций лежат методы формирования правил и политик, дающих возможность выполнять детектирование хищений [9].

С повышением степени развития и гибкости инструментов настройки и моделирования в системе потенциально увеличиваются возможности, связанные с определением мошенничества, предоставляемые ею. Помимо этого, системы подобного рода дают возможность определения не только совершаемых атак, но и предотвращения готовящихся краж путем всестороннего исследования процессов на клиентской стороне.

Практический опыт применения систем типа Fraud Monitoring или FMS свидетельствует, что внедрение систем данного типа повышает возможности банка, связанные с предотвращением существенного количества хищений денежных средств со счетов клиентов через сервисы дистанционного банковского обслуживания [20].

Общую схему функционирования практически любого механизма фрод-мониторинга можно описать следующим образом: в момент совершения оплаты с помощью банковской карты осуществляется сбор совокупности показателей определенного типа (у каждой из антифрод-систем они различаются) – это и IP-адрес компьютера, и статистика оплат по данной карте и многое другое. Число фильтров может достигать сотни (например, система электронных платежей PayOnline насчитывает более ста двадцати фильтров). В системе содержится набор определенных правил, то есть лимитов фильтров безопасности. Каждым из фильтров осуществляется проверка пользователя, а именно его персональных и карточных данных [23, 25].

Основная цель подобной системы заключается в подтверждении того, что пользователь является реальным владельцем карты, осуществляющим определенную покупку на сайте. При определении активности подозрительного характера, то есть превышении какого-нибудь установленного параметра, происходит автоматическая блокировка фильтром возможности осуществления платежа по этой карте. Целесообразно пошаговое рассмотрение антифрод-системы [10].

Пользователем осуществляется оплата на сайте. Данные о платеже поступают в систему фрод-мониторинга. Фактически, в этот момент в антифрод присутствуют два пакета – информация о данном единичном платеже и профиль, присущий среднестатистическому плательщику этого интернет-магазина . Благодаря разработанным алгоритмам для системы фрод-мониторинга существует возможность оценки группы факторов, среди которых особого внимания заслуживают следующие:

• государство, с территории которого осуществляется данный платеж;
• размер (сумма) платежа;
• общее количество платежей, совершенных с данной карты;
• платежная история банковской карты;
• профиль среднестатистического плательщика магазина.

Далее осуществляется начальный (первичный) анализ транзакции с использованием вышеперечисленных и других факторов. Основываясь на результатах анализа, совершается присваивание транзакции «метки», характеризующей способ обработки данной транзакции. В настоящее время эти метки бывают трех типов. «Зеленая» метка предназначена для пометки транзакций, вероятность возникновения мошеннических операций при проведении которых низка. «Желтая» метка присваивается транзакциям, в которых вероятность появления операции мошеннического характера выше среднего, что, безусловно, требует дополнительного внимания при осуществлении платежа. Наконец, «красная» метка свидетельствует о том, что транзакция со значительной долей вероятности относится к мошенническим, и для ее проведения необходимым является документальное подтверждение аутентичности владельца карты [12].

Необходимо отметить, что дальнейшая судьба всех присвоенных меток сугубо индивидуальна. Графическая схема жизненного цикла транзакций всех трех типов представлена на рисунок 2.2. Далее, с использованием нескольких довольно простых примеров, будут рассмотрены транзакции всех трех типов и пояснен количественный и качественный состав проверок, определяемых транзакциям системой фрод мониторинга в соответствии с уровнем риска появления фрода.

Транзакции с присвоенной «зеленой» меткой наиболее просты. Например, оплата осуществляется плательщиком с территории Российской Федерации, картой, выпуск которой был произведен российским банком. Сумма платежа не выше, чем средний чек магазина.

Системой мониторинга данной транзакции присваивается «зеленая» метка. После этого выполняется отправка транзакции на проверку с помощью 3-D Secure. В случае, если отсутствует подписка данной карты на сервис одноразовых паролей, либо банком-эмитентом данный сервис еще не поддерживается, будет осуществлен обычный способ (напрямую) направления запроса на авторизацию этой транзакции в процессинговый центр банка-плательщика [15].

Рисунок 2.2 – Жизненный цикл транзакций с различными типами риска возникновения мошеннической операции

Для среднего уровня риска появления фрода характерен другой путь проверки оплаты на допустимость. Присваивание метки «желтого» цвета выполняется транзакциям, имеющих средний и выше среднего уровень возникновения операций мошеннического характера. Например, в интернет-магазине, находящемся на территории Российской Федерации, выполняется оплата покупки банковской картой, которая выпущена в России, однако сумма оплаты значительно превышает размер среднего чека магазина.

В этом случае выполняется пометка данной транзакции «желтой» меткой, после чего ее авторизация может потребовать дополнительных действий со стороны плательщика. Если у данной карты существует подпись на 3-D Secure, то для авторизации транзакции (как и для случая с «зеленой» меткой) будет использован одноразовый пароль. Однако, при недоступности данного способа для авторизации платежа клиентом, то будет осуществлено автоматическое перенаправление его банковской карты на онлайн-валидацию, либо ручную проверку.

«Красная» метка автоматически назначается системой фрод-мониторинга транзакциям, имеющим высокий уровень риска совершения операций мошеннического характера, Например, оплата в интернет-магазине, находящемся на территории Российской Федерации, осуществляется картой, выпуск которой был произведен в США, а физическое местоположение плательщика – Франция.

Если до этого момента оплата с помощью этой банковской карты не выполнялись, системой фрод-мониторинга данная транзакция будет помечена «красной» меткой с одновременным переводом ее в ручной режим авторизации из автоматического. Будет осуществлена отправка платежа специалистами департамента рисков на модерацию в ручном режиме. В этом случае, аутентификация владельца банковской карты будет нуждаться в документальном подтверждении, а именно, отсканированном изображении банковской карты и документа, который удостоверяет личность владельца. В случае поступления со стороны владельца корректных сканов документов будет осуществлен перевод операции из «красного» в «зеленый» цвет с последующим направлением на авторизацию в процессинговый центр банка. Если же операция признана сомнительной (не прошла ручную модерацию), то она будет отклонена во избежание риска появления операций мошеннического характера.

Следовательно, можно говорить об автоматическом проведении анализа транзакций системой фрод-мониторинга сразу на трех уровнях: уровне единичной банковской карты, уровне профиля предприятия электронной коммерции, а также уровне общего потока транзакций, обработка которых выполняется IPSP. Необходимо отметить, что постоянно происходит совершенствование алгоритмов автоматического сбора, обработки и анализа данных о выполненных платежах. Это обстоятельство вместе с многоуровневым анализом транзакций дает возможность системе фрод-мониторинга осуществлять своевременное изменение, что ведет к повышению уровня безопасности выполнения оплат на сайтах клиентов, а также к снижению рисков, связанным со всеми видами фрода, характерными для электронной и интернет-коммерции.

Далее необходимо остановиться на факторах, способных вызвать подозрение у антифрод-системы. Ниже представлены наиболее ключевые параметры, которые, чаще всего, привлекут внимание системы на предмет осуществления операций мошеннического характера:

• оплата по одной карте выполняется с различных устройств, идентификация которых производится с помощью различных IP-адресов;
• обратный случай – с одного и того же устройства (один IP-адрес) осуществляются операции с использованием большого количества банковских карт;
• с одной карты выполняется несколько неудачных попыток оплаты (существует вероятность, что для пользователя прохождение процедуры подтверждения представляет значительные трудности);
• имя плательщика, которое указано на платежной форме, не совпадает с именем владельца карты;
• различные страны регистрации интернет-магазина, покупателя и банка-эмитента;
• выявлена ситуация регистрации одного и того же клиента под несколькими аккаунтами с применением различных адресов электронной почты, а также оплаты с одной карты.

Приведенная совокупность «подозрительных ситуаций» позволяет получить общее представление о логике функционирования системы. Для специалистов, задействованных в сферах риска и бизнес-аналитики, важным является учет всех нюансов, добавление (при необходимости) принципиально новых фильтров, направленных на защиту бизнеса интернет-предприятий от действий злоумышленников. Также следует сказать о том, что в соответствии с платежным сервис-провайдером может происходить изменение логики работы системы фрод-мониторинга, а также ее соответствующих параметров.

Кроме того, наблюдается различие настроек системы фрод-мониторинга в соответствии с типом бизнеса. При этом учету подлежит целая совокупность параметров, а именно:

• профиль плательщика (среднестатистический);
• уровень рисков в данном сегменте бизнеса;
• специфика реализуемых товаров и услуг (цифровой или физический их характер);
• сумма среднего чека.

В некоторых случаях бизнес является очень узкоспециализированным, что приводит к невозможности прохождения некоторыми платежами стандартных настроек антифрода без соответствующей индивидуальной настройки, хотя и не содержащих в себе мошеннических операций.

Например, следует отметить ограничения, связанные с географией, платежей в сфере онлайн-туризма: у клиента может возникнуть необходимость приобретение билета на самолет, находясь в командировке за границей, при этом подобный платеж будет заблокирован системой, поскольку он осуществляется не из того государства, в котором был произведен выпуск карты плательщика.

В данном случае решение заключается в тонкой настройке фильтров: допустимо задание условий, в соответствии с которыми платеж будет признан легитимным даже в при невыполнении условия географии платежа. Очевидно, что внесение подобных изменений в систему допустимо только по результатам анализа вероятных рисков, при непосредственном участии специалистов, и по результатам согласования изменений с уполномоченным представителем конкретного интернет-магазина.

Ручной режим внесения изменений в работу системы сопряжен с риском значительных потерь – действительно, одобрив операции мошеннического характера, интернет-магазин принимает на себя обязательство возврата денежных средств на карту владельца даже при условии совершившейся фактической отгрузки мнимому покупателю. Кроме того на интернет-магазин могут быть наложены штрафные санкции в соответствии с объемами мошенничества, а в случае систематического повторения подобных ситуаций – приняты санкции особого характера от международных платежных систем (МПС).

На основании вышесказанного, достоинства системы мониторинга операций мошеннического характера заключаются в автоматическом предотвращении сомнительных транзакций, защите интернет-магазина от неизбежных последующих конфликтных ситуаций с платежными системами, банками и реальными держателями банковских карт. Помимо этого, важную роль играет минимизация финансовых и репутационных рисков. Репутационный уровень интернет-магазина сохраняется на высоком уровне, что способствует доверию со стороны пользователей подобному ресурсу и повышению их лояльности.

Вместе с тем, как и любой сервис, система фрод-мониторинга обладает и рядом существенных недостатков. Отклонение платежей, в перспективе, может вызвать отток клиентов и, соответственно, уменьшение доходности. При недостаточно профессиональной настройке фильтров возможна ситуация блокирования ими важных для интернет-магазина (или другого подобного предприятия) транзакций, что точно не буде способствовать поддержанию лояльности покупателей на приемлемом уровне.

Выбирая платежного сервис-провайдера, следует обратить непосредственное внимание на уровень заявленной конверсии в успешные платежи: сервисы, декларирующие «100% успешных оплат», чаще всего, либо неадекватно оценивают свои функциональные возможности, либо подвергают клиентов значительному риску стать жертвой мошенников. Например, уровень конверсии в успешные платежи после «ручной» настройки (или у стандартных интернет-магазинов, имеющих стандартную клиентскую аудиторию) системы электронных платежей PayOnline находится в диапазоне 93,2-96%, что является весьма хорошим показателем для соответствующего рынка.

Еще один малоприятный, но ключевой момент, которого не получится избежать при разработке системы фрод-мониторинга на стороне интернет-магазина, связан с необходимостью защиты данных пользователей, как платежных, так и персональных. Существует необходимость прохождения сертификации соответствия требованиям стандарта PCI DSS, а также учета ограничений, связанных с хранением и обработкой данных, которые регулируются законом. Данное обстоятельство имеет отношение, по большей части, к тем, кто собирается осуществлять самостоятельную разработку антифрод-системы, следовательно все возможные риски и проблемы ложатся, в данном случае, на плечи разработчиков.

Безусловно, осуществление мониторинга операций мошеннического характера является необходимостью в современной реальности электронной коммерции. Для банковского учреждения сумма затрат, расходуемых на поддержку и развитие антифрод-системы, представляет более чем адекватную сумму, которая многократно окупится в процессе ее эксплуатации.

Также и для платежного сервис-провайдера система фрод-мониторинга относится к одному из наиболее важных сервисов, предоставляемых предприятиям-клиентам.

Однако, для предприятий, относящихся к малому и среднему бизнесу, разработка собственной антифрод-системы является заведомо убыточным и нецелесообразным проектом. С учетом постоянно повышающихся требований к подобным механизмам они более тонко обрабатывают полученную информацию с учетом статистики и поведенческих факторов. Для обеспечения эффективности работы системы и ее соответствия современным требованиям необходимым является наличие штата высококвалифицированных специалистов и существенных технических мощностей. Очевидно, что для большинства игроков сферы электронной коммерции такие постоянные затраты являются неприемлемыми, что приводит их к необходимости делегирования мониторинга операций мошеннического характера платежным сервис-провайдерам, специализация которых и ориентирована на анализ и обработку платежных операций. Например, для осуществления деятельности, связанной с мониторингом операций мошеннического характера, в PayOnline разработана собственная система Fraud Management System (FMS). В данной системе предусмотрена тонкая настройка безопасности в соответствии со 140 фильтрами.

 

2.3. Анализ сомнительных операций на предмет наличия мошеннических действий со стороны клиента или сотрудника Банка

 

Наиболее очевидным механизмом обеспечения безопасности финансовых операций в сервисах ДБО, в частности, в «онлайн-банке», является применение совокупности ограничений или лимитов на совершение операций, так называемой второй линии обороны, находящейся в составе комплекса фрод-мониторинговых решений:

• ограничение числа покупок по одной банковской карте или одним пользователем в течение заранее определенного периода времени;
• ограничение, накладываемое на число банковских карт, которые может использовать один пользователь в течение определенного периода времени;
• накопление истории покупок по банковским картам и конкретно пользователями (иногда используется терминология создания так называемых «черных» или «белых» списков);
• ограничение на количество пользователей, которые могут использовать одну и ту же банковскую карту;
• ограничение, накладываемое на максимальную сумму единоразовой покупки по одной карте или одним пользователем в течение заранее определенного периода времени.

Безусловно, обязательное требование к реализации вышеприведенных правил состоит в необходимости корректного распознавания пользователя в соответствии с различными параметрами и алгоритмами. В связи с этим, достоинство антифрод-сервиса определяется согласно его способности максимально быстро и эффективно осуществлять распознавание злоумышленника. Еще одна значимая функция фрод-мониторинга заключается в способности выполнения оценивания покупателя в процессе совершения электронного платежа, например, а интернет-магазине. Практически все фрод-мониторинговые системы, в первую очередь, стараются учитывать, насколько информация, указанная человеком о себе, соответствует действительности, и насколько набор параметров пользователя удовлетворяет стандартным шаблонам поведения добропорядочных пользователей [16].

На сегодняшний день растет проблема не просто мошенничества, а именно цифрового мошенничества. Это связано со стремительным погружением человечества в цифровые технологии. И ряд платежных сервисов, о которых ранее можно было прочесть только в произведениях писателей-фантастов, например, оплата покупок с помощью часов или перевод друг другу денежных средств по фото, становятся неотъемлемой частью повседневной жизни [21].

Естественно, что актуальные технологии становятся привлекательными не только для новых клиентов, но и для всякого рода злоумышленников. Практически большинство людей хотя бы раз становился целью мошенников в дистанционных каналах, поэтому данная проблема может уже быть отнесена к наиболее массовым и социальным.

Центральный банк отмечает всю актуальность данной проблематики – осуществляется выпуск рекомендаций как для банковских организаций, так и для клиентов, готовятся соответствующие законопроекты, в одном из которых, как декларируется, будет явно прописано обязательство для кредитной организации обладать антифрод-механизмами для эффективного противодействия фродстерам, в противном случае на банк будут наложены обязательства, связанные с резервированием существенной суммы для компенсации возможных потерь. Однако большая часть банков и без этого законопроекта прониклась серьезностью вопроса, поскольку со стороны банков значительно возром интерес к различным антифрод-сервисам.

Безусловно, у банковских организаций возникает соблазн переложить ответственность на собственных партнеров (интернет-магазины, платежные системы). Однако у банков существует уверенность, что при таком подходе уровень рисков значительно возрастет и станет практически неконтролируемым, а на репутацию банка непосредственное влияние станет оказывать качество функционирования антифрод-сервисов сторонних предприятий. Очевидно, что серьезные предприятия, к которым конечно же относятся банки, не могут допустить такой ситуации и осуществляют внедрение собственных систем, ответственность за уровень риска возлагая на себя, а антифрод-сервисы партнеров играют в данном случае роль дополнительных факторов для обработки информации, связанной с возможным мошенничеством [17].

Кроме того, невозможность смещения ответственности в сторону партнеров объясняется еще и тем, что для этого необходимо обладать качественно выстроенной претензионной работы абсолютно со всеми контрагентами. Она должна быть абсолютно понятной для каждого из участников, наделять их определенным уровнем ответственности. Если в платежных системах подобный механизм давно уже отлажен и качественно функционирует, то в условиях постоянного появления новых платежных сервисов такой арбитраж установлен далеко не везде и не во всех случаях. Результатом этого является необходимость со стороны пользователя в случае появления у него определенных проблем, связанных с его платежом (операционная ошибка, мошенничество) обращения в банк. Именно со стороны банка, скорее всего, будут возмещаться потери клиента за счет собственных средств, а если подобная проблема примет массовый характер – будет просто выполнен отказ от такого сервиса.

Есть еще один аспект. Излишнее доверие партнерам в области мониторинга клиентских операций приводит, в определенной степени, к снижению уровня управляемости уровня клиентского сервиса. Подходы и технологии, применяемые злоумышленниками, постоянно совершенствуются, следовательно управление процессами определения операций мошеннического характера и формирования эффективных преград для злоумышленников относится к перманентным задачам для антифрод-офицеров. Если управление данным процессом выстроено без должного качества, то возможны проблемы у добросовестных клиентов и благая цель станет играть роль преграды для доступа к полюбившимся сервисам. Это окажет непосредственное негативное влияние на качество оказываемых услуг, на степени лояльности клиентов к банкам, на удовлетворенность банковскими сервисами. Очевидно, что при наличии возможности у клиентов смены собственного банка за очень короткий интервал времени, такая ситуация категорически недопустима.

Поэтому вопрос самостоятельного управления рисками мошенничества относится к наиболее ключевым аспектам бизнес-репутации банка, а разработка эффективной системы противодействия мошенничеству – к факторам, влияющим на успешное и стабильное развития бизнеса банка.

Так уж сложилось, что злоумышленники практически всегда находятся на шаг впереди даже наиболее современных и актуальных антифрод-механизмов. Это опережение, конечно же, необходимо устранять по возможности. Задача разработки антифрод-решений и состоит в сведении данного отставания до минимума и предоставления инструментария, предназначенного для оперативного реагирования на перманентно возникающие новые схемы мошенничества.

Только определенная вариативность может помочь организациям в эффективной борьбе со злоумышленниками в различных каналах. Для мошенников характерно следование по пути наименьшего сопротивления – например, с момента начала выпуска банками в соответствии с процессами EMV-миграции только карт с чипами сразуже проявилась тенденция перемещения скимингового фрод в государства, которым еще не подписано Соглашение о переносе ответственности (Liability Shift), а в других странах фрод мигрировал в онлайн-каналы. Следует учитывать, что при малейшем наличии у злоумышленников лазейки (как глобальной, так и на уровне локального банка) будет предпринята мгновенная попытка воспользоваться данной уязвимостью. Соответственно, задача антифрод-сервиса – своевременное определение подобной активности и максимально оперативное предотвращение без каких-либо потерь для бизнеса.

До последнего времени для большей части банков характерным было использование собственных самописных антифрод-систем, а для достижения уменьшения риска от целевых атак, новых мошеннических схем, массового фрода использовалось установка лимитов. Однако понятно, что такие мероприятия могут относительно минимизировать потери банка от потенциальной атаки мошенников, но, как и любые ограничения, являются существенной помехой для полноценного развития бизнеса.

Поэтому на данный момент передовые компании полным ходом внедряют интеллектуальные системы мониторинга, которые дают возможность качественного определения «своего» и «чужого», а также содействуют развитию бизнеса.

Внедрение подобных систем позволяет решить сразу две банковских задачи. Первая задача – это обеспечение качества данных, вторая – увеличение конверсии переводов. Наличие качественных данных позволяет организовать не только корректную коммуникацию с клиентом, но и автоматизированные целевые маркетинговые кампании и персональные предложения. Кроме того, без них невозможна организация процесса эффективного взыскания задолженности, качественных процессов управления рисками.

Вообще говоря, разработка на основе антифрод системы совершенного понимания даст возможность банку составить обобщенный портрет клиента вплоть до отдельной персоны, выполнять оценку его не только вразрезе возможного фрода по отношению к его счетам, но и одновременно осуществлять качественное управление его ожиданиями.

К эффектам синергетического характера относится и увеличение конверсии переводов. Для достижения этого необходимо досконально понимать поведенческие реакции своих клиентов. Например, в случае типичной клиентской операции нецелесообразной является отсылка клиенту SMS для входа в систему дистанционного банковского обслуживания или для подтверждения транзакции в сети интернет. В соответствии с имеющейся практикой, только такие весьма простые действия приводят к повышению конверсии переводов от 25% до 45%, при этом затраты на SMS уменьшаются для крупного банка на миллионы рублей в год.

Следовательно, современную интеллектуальную антифрод-систему следует считать не только системой мониторинга, которая привычна для сотрудников безопасности, занимающейся определением фрод в соответствии с зашитыми в систему шаблонами. Данный подход в современных условиях постоянно изменяющихся схем мошенничества стремительно теряет свою эффективность. Она должна являться совокупностью механизмов, способствующих, в первую очередь, понятию поведения каждого из клиентов во всех банковских каналах и мониторингу его в режиме реального времени с определением не только фрод, но и нужд клиента в отдельных услугах.

В кросс-канальной системе онлайн-мониторинга выполняется анализ не только параметров, характеризующих конкретный платеж, но и анализ информации нефинансового характера, например, данных по сессии клиента в системе дистанционного банковского обслуживания, а также данных по активности пользователя в других платежных каналах. Для иллюстрации типичен следующий пример: если за полтора часа до осуществления карточной операции в Индии системой было зафиксировано обращение клиента в отделение банка, то эта операция подлежит безусловному отклонению.

Такая возможность обеспечивается способностью в режиме реального времени выполнять оценку активности клиента в любом из предоставляемых банком каналов – терминал самообслуживания, мобильное приложение, колл-центр или банкомат. С повышением количества каналов, подключенных к мониторингу, увеличивается точность понимания профиля клиента, где, когда и в каком объеме им осуществляются платежи, сколькими контрагентами он обладает и каков характер взаимоотношений с ними, какими устройствами он пользуется и т.д.

После этого системой осуществляется анализ специфичных для конкретного пользователя параметров с последующим формированием заключения об уровне риска того или иного события. Для этого происходит одновременное использование как механизмов экспертного характера (бизнес-правил, черных и белых списков), так и механизмов, в основе которых лежит машинное обучение, предназначенных для определения аномалий в действиях клиентов.

Такой подход дает возможность системам рассматривать транзакцию не только с позиции единичного клиента, но и проводить анализ поведения других клиентов. Например, предполагается, что со счета клиента была фиксация платежа в пользу, с начальной точки зрения, нового для него контрагента в нетипичное для клиента время из странного для него места. Вместе с тем системе данный получатель достаточно хорошо известен – это лояльный банку клиент, имеющий кредиты и депозиты, активно использующий другие банковские продукты, кроме того, в его пользу в течение длительного времени осуществляются платежи и другими пользователями, материальные претензии к нему отсутствуют. По этим соображениям анализируемый платеж не будет удостоен высокого уровня риска, невзирая на нетипичность самой операции для данного клиента.

Это является весьма важным, поскольку применение подобного всестороннего анализа дает возможность избежать прямого обращения к клиенту тогда, когда в этом отсутствует необходимость.

В основу современной антифрод-системы закладывается глубокая клиентская аналитика, предназначенная для генерации в автоматическом режиме правил и построения моделей определения мошенничества. Благодаря этому существенно сокращаются трудовые затраты на разработку новых алгоритмов и их тестирование, а также увеличивается точность за счет определения скрытых от человека закономерностей в очень больших объемах данных. К тому же существующие инструменты антифрод-системы способствуют оперативному получению требуемой информации при расследовании инцидентов и мгновенному реагированию на внедрение актуальных алгоритмов определения операций мошеннического характера, на этот процесс уходят считанные минуты.

Также следует упомянуть о возможности проведения всех изменений в системе пользователями самостоятельно, без участия вендора, что, конечно, же, обеспечивает наилучшую оперативность и гибкость процесса управления риском. Важность такого управления риском объясняется возможностью быстрой адаптации банка к постоянно изменчивым условиям, например, при внедрении новых продуктов или при появлении новых клиентских сегментов, например, в рамках пакетных предложений, оценка которых должна осуществляться автономно. Это позволяет одновременно выполнять эффективное противодействие мошеннической активности и достигать этих целей с наибольшей степенью незаметности для клиентов банка. Фактически, реализуется стремление на возможность разрешения клиенту наибольшего количества операций при сохранении уровня риска на приемлемом уровне.

Fнтифрод-сервисы обладают устоявшейся твердой репутацией в мире. Например, клиентами компании SAS являются такие крупные компании, как Wells Fargo, ICBC, Bank Of America, HSBC. Клиентская база банков, которые используют антифрод-решения от SAS, составляет 1 миллиард человек. Вместе с тем, на российском рынке данная компания прежде всего ассоциируется прежде всего с рисками или с клиентской аналитикой, но точно не с антифрод. На такую ситуацию влияет разница в подходах к решению проблемы фрода в Российской Федерации и в мире. Так, за рубежом принят подход просчета рисков на годы вперед, что требует определенных инвестиций сегодня в те отрасли бизнеса, которые могут причинить проблемы в будущем. Российские компании в основном исходят из текущей ситуации, поэтому внедряют соответствующий инструментарий по мере возникновения необходимости. Однако на сегодняшний день подобная необходимость очевидна – уровень мошенничества не только растет, его вариативность и изощренность делает невозможной борьбу с ним с помощью классических средств «наколеночных» систем. К тому же, как уже было сказано выше, регулятором постоянно ужесточаются правила путем введения новых стандартов и инициации законопроектов, прямо предписывающих обязательность наличия антифрод-систем. Благодаря этому, в Российской Федерации серьезно обратили внимание на данную проблему мошенничества и количество внедренных различных антифрод-механизмов заметно увеличилось.

Одним из первых проектов кроссканальной системы стал проект в банке ВТБ24, где система не была написана с нуля, а осуществлено дополнение существующей антифрод-системы современной мощной аналитикой. По итогам, банку была присуждена награда от VISA за лучший сервис для работы с клиентами (наиболее высокий уровень одобрения операций клиентов при минимально низком уровне риска).

Вопрос противодействия мошенничеству является комплексным, он не имеет одного единственного решения, так как подразумевается как взаимодействие с клиентами, так и работа внутри банка. Так, должен быть налажен постоянный контакт с клиентами, направленный на повышение степени их осведомленности о рисках мошенничества. Для увеличения заинтересованности клиентов целесообразным является даже задействование определенных бонусных схем.

Кроме того, противодействие фроду требует реализации определенных процессов и внутри кредитного предприятия: от изучения разного рода документации на предмет определения процессов, уязвимых для мошенничества, до работы с антифрод-системой.

При этом, если банком принято решение о начале серьезной борьбы с мошенничеством и открытии проекта по внедрению антифрод-системы, должно быть понимание, что подобная система сходна с домашним питомцем, нуждается во внимании и уходе за собой, в противном случае ее содержание превратится в обузу, а эффект может быть прямо зеркален ожидаемому.

Приведенные аргументы свидетельствуют о необходимости создания в банке команды, в должностные обязанности которой будет входить работа с этой системой. В состав команды должны быть включены администраторы, операторы и аналитики.

В задачи операторов входит проведение дополнительного анализа в тех случаях, когда система не в состоянии принять решение самостоятельно. Например, при приеме нового клиента на обслуживание банк не владеет практически никакой информацией о нем, а им уже начато совершение операций, обладающих высоким уровнем риска. Считается, что подобных сотрудников не должно быть более одного на каждые 2-3 миллиона клиентов. Это связано с направленностью разработки антифрод-системы на максимально самостоятельное принятие ею решений.

Количество администраторов тоже не должно превышать одного-двух человек. В их обязанности входит управление системой и мониторинг ее постоянной и бесперебойной работы.

Аналитики в команде необходимы для отслеживания актуальности применяемых антифрод-механизмов и своевременного внедрения новых и актуальных. В соответствии с практическим опытом, для таких аналитиков характерна универсальность, что дает возможность одновременного их использования в нескольких подразделениях в банке – например, на кредитных рисках, работа которых подразумевает аналитические исследования, на CRM и других внутренних службах, применяющих инструментарий подобного рода.

Следует уточнить, что в соответствии с решаемой проблемой в качестве заказчиков могут выступать различные подразделения. Например, решение проблем в сфере дистанционного банковского обслуживания или интернет-банкинга возлагается чаще всего на подразделения информационной безопасности, поэтому именно они и выступают в качестве заказчиков. В сфере карточного бизнеса привлекаются подразделения, занимающиеся развитием продукта как такового. В качестве заказчиков модуля антифрод платформы чаще можно видеть либо службы, обеспечивающие внутреннюю безопасность, либо службы, занимающиеся операционными рисками.

Однако при необходимости внедрения кросс-канальной системы определения мошеннических операций инициатива всегда должна исходить от высшего руководства кредитного предприятия. Другую ситуацию представить трудно, поскольку необходимо наличие человека, отвечающего не за определенное направление, а за весь банковский бизнес, либо его существенную часть, например, за корпоративный бизнес или розничный бизнес. В такой ситуации, как правило, осуществляется назначение фрод-менеджера, в задачи которого входит курирование процесса определения фрода с самого начала, то есть с момента старта этой инициативы.

Как уже упоминалось, после внедрения интеллектуальной антифрод-системы повышается качество управления процессами мошенничества и снижаются расходы на него. Другими словами, снижается количество уведомлений системы, что позволяет уменьшить количество сотрудников, ответственных за связь с клиентами. Кроме того, уменьшается и нагрузка на подразделения, работа которых ориентирована на обработку претензий клиентов, поскольку общее количество претензий сократится. Такими подразделениями являются фронт-офис, колл-центр, службы по работе с платежными системами, службы безопасности, подразделения качества клиентского обслуживания. Это коснется даже юридической службы, поскольку клиенты достаточно часто осуществляют обращения в суды для оспаривания списанных с их счетов денежных средств – а это все приводит не только к существенным расходам для предприятия, но и к репутационному риску, оценка уровня которого представляется весьма проблематичной.

Вместе с этим, интеллектуальная антифрод-система дает возможность накопления информации о своем клиенте, что приводит к разного рода синергетическому эффекту. Благодаря только увеличению конверсии клиентских платежей в сети интернет и экономии на очень дорогих сегодня SMS-уведомлениях, срок окупаемости затрат на внедрение подобной системы может снизиться и составить всего несколько месяцев.

---

1   2   3