Финансовая сфера

Банковское обозрение


  • Алексей Голенищев (Альфа-Банк): О клиентоориентированном фрод-мониторинге
28.09.2017 Интервью

Алексей Голенищев (Альфа-Банк): О клиентоориентированном фрод-мониторинге

Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-Банка, рассказал о наиболее распространенных случаях мошенничества по отношению к клиентам банков и о том, что служба фрод-мониторига может этому противопоставить


— Алексей, какой вектор атак на клиентов Банка, на ваш взгляд, сейчас наиболее распространен?

— Если говорить о розничных, клиентских рисках, то, наверное, сейчас угроза номер один — это социальная инженерия, ставшая для всех настоящим бичом. Как бы банки ни защищали свои продукты, каналы ДБО и прочие технологии, голова клиента продолжает оставаться самым слабым звеном в цепочке обеспечения безопасности операций. К огромному сожалению, сотрудники службы ИБ не в состоянии залезть в мозг, по сути, персональный компьютер, каждого клиента и установить там антивирус, чтобы он мог корректно распознавать угрозы, исходящие извне, и реагировать на них.

Сами по себе банковские технологии достаточно надежно защищены. Сейчас, например, уже повсеместно используется двухфакторная аутентификация. Но это совершенно не гарантирует 100%-ную защиту, когда атака идет не на банковскую «технологию», а на, например, компьютер или сознание клиента. Злоумышленники постоянно изучают все новинки, принципы работы банковских IT и т.д., причем делают это далеко не кустарным образом и не работают «на авось». Мы наблюдаем многоходовые атаки хорошо организованных преступных групп. Ведь перехват SMS с кодом подтверждения, например, при выполнении операций перевода с карты на карту, — технически дело непростое, в отличие от применения к клиенту методов «социальной инженерии».

— А как насчет судебной практики по таким инцидентам?

— На сегодня уже есть и кейсы, и судебная практика, где суды признают тот факт, что SMS — рисковый канал передачи информации, поэтому его нельзя считать доверенным. Он, как и публичный Wi-Fi, не может быть должным образом защищен в силу особенностей своей технической реализации. Причем защита здесь находится вне зоны компетенции банка, на стороне третьей стороны в лице оператора мобильной связи. В связи с этим возникают соответствующие риски.

— Вернемся к социальной инженерии. Какие методы удалось выявить?

— Довольно распространена практика, которую называют «схема Avito». Оговорюсь, к Avito у нас никаких претензий нет, аналогичных интернет-площадок сейчас тоже достаточно много. Но схема часто упоминается именно в таком названии.

Ее смысл в том, что некий человек размещает в Интернете какое-то объявление о продаже товара. Если он продает что-то дорогое, скорее всего, на него выйдут практически сразу, и ему будет совершен звонок от «потенциального покупателя», благо свой номер телефона как первичный идентификатор, необходимый мошеннику, продавец сам любезно публично выкладывает.

Итак, с продавцом связывается мошенник, представляясь покупателем, и начинается обработка потенциальной жертвы: к ней влезают в доверие, выстраиваются доверительные отношения, ищутся дополнительные элементы и приемы выстраивания доверия к «покупателю» и т.д. Если продается что-то довольно специфическое, злоумышленники зачастую изучают характеристики этого товара, чтобы разговаривать «на общем языке», и тем самым вводят продавца в еще большее заблуждение и укрепляют скрепы доверия.

Дальше, как правило, следует монолог: «Я крайне заинтересован в покупке! Давайте я вам переведу предоплату, чтобы вы были уверены в твердости моих намерений по сделке, и как гарантию, что вы никому другому не продадите» и т.п.! Естественно, продавец с радостью диктует ему номер своей банковской карты и срок ее действия. Потом на телефон покупателя приходит sms. Но он не понимает, что эта sms с подтверждением списания с его карты, а не перевода ему. Человек называет код вслух и становится жертвой, а деньги с его карты уходят на карту мошенника. Причем в нашей практике бывало, что за один звонок мошенника жертва может перевести деньги пять, шесть и даже семь раз: якобы у злоумышленника операция не прошла, что-то не сработало и надо попробовать еще раз... Таким образом, недостаточная финансовая грамотность и умелая «психологическая» обработка лежат в основе техники социальной инженерии.

— Неужели на эту простейшую удочку попадаются люди?

— И еще как! Конкретный пример. Товарищ одного из сотрудников нашего Банка продавал посредством Интернета дорогую и очень специфическую запасную часть от КАМАЗа. Ему позвонили достаточно быстро. И разговаривали они на одном техническом языке, говорили о характеристиках, свойствах и т.д. И он в итоге таки «попал». В первый раз у него списали около 20 тыс. рублей. Потом сказали: «Ой, извините, что-то не получилось, давайте еще раз». Ему пришел еще один код, и только тут он понял, что «попал на развод». Более того, наш собственный сотрудник попался на похожий «разводняк» семь раз подряд при попытке провести предоплату, «заболтали» бедолагу так, что сам не понял, как все произошло.

Кто эти мошенники? В основном этим занимаются те, кто сидят в местах не столь отдаленных. Причем, это отлично организованный «бизнес», в который вовлечены сидельцы с хорошо поставленной речью и знанием потребительских свойств товаров и т.д. Это, к сожалению, достаточно организованное явление. Причем, насколько я знаю, существуют специализированные на этом бизнесе зоны во Владимирской области, в Димитровграде, Саратове и т.д. Часто работают адресно, под конкретный банк или интернет-площадку. При звонках клиентам первым делом часто спрашивают: «У вас карточка какого банка?»

Все это наводит на мысль, что операции проводятся не без помощи бывших сотрудников банков, а к сожалению, те, кто должны контролировать, чтобы на этих зонах люди исправлялись, мотивируют их на то, чтобы продолжать заниматься преступной деятельностью.

— Как реагируют правоохранительные органы на подобную информацию?

— Мы, естественно, обращаемся с этим в полицию. Но тут все очень сложно, потому что исправительные структуры — это «государство в государстве». Туда так просто не попадешь с проверкой.

— То есть, сидеть там не скучно?

— Абсолютно! И крутятся там, на самом деле, очень большие средства. Как мы оценивали с Mastercard, около 70–80% хищений по операциям происходят там, где не используется физическая карта: интернет-операции и переводы с карты на карту, то есть там, где требуются только реквизиты карты. Это очень большие деньги, и бороться с этим достаточно сложно.

— Надо ли людям знать такие подробности о криминале?

— Конечно, это необходимо знать! Мы и наши коллеги не устаем показывать, рассказывать и учить элементарной финансовой грамотности. Многие пострадавшие попадаются не только на «социальной инженерии», но и на поддельных интернет-сайтах, предлагающих, например, «дешевые» авиабилеты, товары, предоставляющих «услуги» по переводу денег с карты на карту и др.

Например, одному человеку нужно со своей карты перевести другому деньги на его карту. Все сейчас продвинутые, и первым делом о том, как это сделать, спрашивают у поисковых систем, например в Яндексе. Я сам недавно проверял те сайты, которые он выдал мне на аналогичный запрос. Практически всегда на первом месте в выдаче находился поддельный сайт. К сожалению, «накрутить» рейтинг на любой интернет-ресурс сегодня не так сложно и дорого. И вот, человек кликает на первую ссылку и попадает на фейковую страницу, которая ничем, кроме незаметных мелочей, не отличается, скажем, от страницы известного банка. И человек сам вводит данные перевода с указанием номера карты, на которую он хочет перевести деньги, но деньги уходят на другую карту, реквизитов которой он не видит, они подставляются скрыто.

Поэтому здесь основной совет — пользоваться исключительно сайтами банков и легальных сервисов переводов либо делать это в своих мобильных приложениях. И не надо ни в какие поисковики лазить и искать приключений. На официальных сайтах, в отличие от мошеннических в адресной строке наверху отражается, что соединение идет в защищенном режиме SSL с адресом https:// , в отличие от мошеннических с http://

— Вы не раз уже говорили о проблемах с sms.

— Я надеюсь, что одноразовые пароли по sms уйдут с рынка. Уже есть иные решения, например основанные на новом стандарте 3-DSecure 2.0, где в явном виде вот код подтверждения операции не будет приходить. Кроме того, сейчас развиваются технологии токенизации.

— Приоткройте немного завесу, что представляет собой служба фрод-мониторинга Альфа-Банка?

— Служба фрод-мониторинга — это целый комплекс, а не просто отдельный, оторванный от всего сервис. Это служба, основанная на действиях операторов, в круглосуточном режиме работающих с системой, которая выявляет рисковые операции, основываясь на определенным образом настроенных политиках безопасности, правилах, профилях поведения, скорринге.

Что-то система делает сама и может принять решение: одобрить операцию или нет. Но в большинстве случаев кейсы идут на экспресс-разбор, осуществляемый сотрудниками службы мониторинга, потому что любая «железка» склонна ошибаться. А учитывая особенности отечественного пользовательского менталитета, каждая «вторая» карточная операция может казаться подозрительной. Поэтому мы свой фрод-мониторинг строили, если так можно сказать, клиентоориентированным.

— Альфа-Банк был выбран финансовым партнером FIFA в проведении чемпионата мира по футболу в 2018 году в России. Сообщалось, что Банк займется созданием платежной инфраструктуры, выпуском карт с символикой чемпионата и эквайрингом. Наверняка антифрод помог?

— Да, я считаю, что отчасти и это способствовало выбору нас официальным финансовым партнером FIFA, в том числе по продажам билетов на ЧМ через Интернет. Нашу службу мониторинга проверяли и признали одной из лучших. Мы расцениваем это как признание наших успехов!

У нас, кроме того, есть отдельные команды, которые занимаются мониторингом ДБО. Мы — уникальный игрок на рынке. Мало кто из банков перекрывает все каналы онлайн-мониторингом как физлиц, так и юрлиц. Причем этот функционал мы запустили раньше всех, семь лет назад. То есть почти все, что попадает в электронную среду Банка, подвергается мониторингу.

— Вы разожгли у меняинтерес... А можно ли привести реальные примеры срабатывания системы и поимки мошенников?

— Во время посещения известных недешевых ночных клубов в Москве нескольких наших клиентов опаивали, некоторых грабили. Выходили сильно выпившие на дорогу поймать такси, а там уже специально «ждущий» водитель их мгновенно подбирал. Почему они ловили машину? Ну, полагаю, в нетрезвом состоянии довольно сложно не то что вызвать «Яндекс-такси» или Uber, вообще сложно попасть пальцем в телефон. Дальше клиент засыпал либо происходил грабеж с применением силы. Отнимали телефон, банковские карты, и все, что можно сделать с телефоном, с картами, они, в общем-то, делали. Вплоть до того, что привозили к банкомату и заставляли снимать деньги.

Это продолжалось месяца два, за которые нам удалось по крупицам собрать информацию и понять, что имеют место не отдельные эпизоды, а работает организованная преступная группа. Детали я не буду разглашать, но смысл в том, что современные системы аналитики значительно продвинулись и позволяют выявлять очень сложные криминальные и мошеннические схемы. В итоге центральное УВД по Москве провело операцию, задержали сразу пять человек, а наши аналитические данные полностью подтвердились.

— Какие особенности при работе с фродом можно еще выделить?

— Фрод сейчас становится многоканальным, атакуют везде и всех. Нельзя сказать, что в одном банке он больше, а в другом меньше. Во многом результат зависит от того, где и как с ним борются. Бывает, что со счета в одном банке крадут деньги и переводят на счет в другом. В этом случае на первый план выходит эффективность взаимодействия с коллегами по «цеху» — деньги нужно перехватить до того, как к ним подберется мошенник, чтобы, например, обналичить их в банкомате. Потому что законодательство здесь, к сожалению, нам не сильно в помощь: только по решению суда и судебному постановлению можно не зачислить какие-то деньги или сделать что-то иное. По законодательству все, что пришло на счет, мы должны выдать клиенту.

— О каких еще видах мошенничества, по вашем опыту, необходимо рассказать клиентам банков?

— Надо быть очень аккуратными при работе с электронной почтой. Пришел к нам в один прекрасный день в Банк клиент и заявил, что у него через Интернет и смартфон вывели деньги со счета. Он согласился предоставить нам для анализа свои смартфон и компьютер. Выяснилось, что у него в почте есть сообщение, что у него просрочен пароль в iCloud, а отправитель, естественно, не из Apple. Человек прошел по гиперссылке в письме на страничку, очень похожую на настоящую. Там у него попросили для генерации нового пароля ввести в форме старый, а у него в iCloud лежала, помимо всего, резервная копия всего телефона, с приложениями, записями, логинами, паролями и т.д. Дальше мошенники «развернули» дубликат его телефона на своем планшете, и деньги «ушли».

В итоге совет: не храните в облачных хранилищах резервные копии. За нашей жертвой охотились специально, и даже не столько за его деньгами, сколько за рабочей перепиской, а это порой куда ценнее денег.

— Где же тогда хранить резервные копии?

— Лучше это делать локально, на компьютере, который имеет ограниченный выход в Интернет, или на съемных носителях. И не надо удивляться, когда вам звонят люди и поразительно много о вас знают. А ответ прост: вы сами все это о себе любимом выложили в соцсетях, чатах и др.

В завершение не могу обойти вниманием тему заработков в Интернете. То и дело людям приходят спамерские письма: «Хватит сидеть, давай, зарабатывай». От каких-нибудь там быстрых лотерей, мгновенных выигрышей, сервисов быстрых заработков. И схемы «честного» отъема денег у населения только множатся. Могут попросить заплатить вперед комиссию за перевод «выигрыша» и т.д. Тема «Форексов» в Интернете — это отдельный вид массового лохотрона. Помимо прочего, многие операции этого «Форекса» идут как пополнение электронных кошельков с одноразовыми паролями, операции по которым и оспорить-то сложно. Тут и мы, и Visa, и Mastercard не раз били тревогу. Но деньги ни людям, ни банкам вернуть назад уже практически невозможно. Бесплатный сыр бывает только в мышеловке!

Альфа-Банк получил международные награды Visa за безопасность и клиентоориентированность

По итогам работы в 2016 году Альфа-Банк был удостоен наград от международной платежной системы Visa в рамках глобальной программы Visa Global Service Quality Award за высокое качество предоставляемых операционных услуг клиентам Банка, держателям карт Visa. Банк в четвертый раз подряд стал победителем в номинациях Best International Risk Efficiency и Chargeback Effectiveness. Альфа-Банк стал лучшим по этим показателям среди 21 тыс. банков — членов международной платежной системы Visa.

«Это заслуга всей нашей большой команды — риск-мониторинга, чарджбеков, процессинговых центров в Москве, Екатеринбурге и каждого сотрудника в отдельности, — прокомментировал Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-Банка. — Это прекрасный результат, особенно сейчас, когда перед Альфа-Банком стоят грандиозные цели и задачи. Делать для наших клиентов повседневное пользование банковскими сервисами и продуктами удобным и безопасным, эффективно помогая им в разрешении финансовых проблем, — чрезвычайно важная задача. Приятно осознавать, что мы это делаем в лучших мировых стандартах! По сути дела, данные награды — это признание Альфа-Банка одним из самых безопасных и клиентоориентированных банков в мире», — добавил Алексей Голенищев.

Номинация Best International Risk Efficiency рассчитывается как минимальное соотношение мошеннических операций к общему обороту при наибольшем уровне одобренных операций. Чтобы победить в этой номинации, нужно не просто правильно, но и оптимально при наилучшем уровне успешных операций клиентов выстроить механизм риск-мониторинга.

Номинация Chargeback Effectiveness оценивает работу с претензиями клиентов по операциям и возмещению им денежных средств.






Новости Новости Релизы
Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ