Кража денег со счёта, социальная инженерия, фрод (fraud)

В про­шлой статье мы поняли, что это за яв­ле­ние такое – несанк­ци­о­ни­ро­ван­ная опе­ра­ций (на­зо­вем ее проще – фрод (fraud)). Можно ко­неч­но спо­рить, яв­ля­ет­ся ли опе­ра­ция фро­до­вой если сам клиент ее провел, но при этом будучи вве­ден­ным в за­блуж­де­ние или же нет? Мое мнение-да, это в чистом виде фрод сродни под­ло­гу. Рас­смат­ри­вая по­след­ствия уже слу­чив­ше­го­ся фрода необ­хо­ди­мо по­ни­мать, как может по­сту­пить банк при об­ра­ще­нии к ней кли­ен­та, ко­то­рый стал жерт­вой по­доб­но­го со­ци­аль­но­го мо­шен­ни­че­ства.

В первой статье мы четко вы­яс­ни­ли, что со­ци­аль­ная ин­же­не­рия – это ин­стру­мент по­буж­де­ния кли­ен­та к на­ру­ше­нию усло­вия бан­ков­ско­го об­слу­жи­ва­ния (проще говоря к раз­гла­ше­нию данных и/или предо­став­ле­нию до­сту­па к ним), что на корню уби­ва­ет ра­бо­то­спо­соб­ность 9й статьи, что соб­ствен­но ак­ку­рат­но за­яв­ля­ет ЦБ в своем еже­год­ном обзоре (https://​www.​cbr.​ru/​Content/​Document/​File/​103609/​Review_​of_​transactions_​2019.​pdf) самый по­след­ний абзац (не прошло и года, как го­во­рит­ся). Но пока ни­ка­ких за­яв­ле­ний о том, как именно они хотят ее менять непо­нят­но, бан­ков­ское со­об­ще­ство од­но­знач­но примет эту но­вость нега­тив­но и не на­прас­но.

Стоит от­ме­тить, что в 21 м веке на слуху термин «Кли­ен­то­ори­ен­ти­ро­ван­ность», ко­то­рая яв­ля­ет­ся про­из­вод­ной от кра­е­уголь­но­го камня со­вре­мен­ных фи­нан­со­вых тех­но­ло­гий – удоб­ства. Кре­дит­ные ор­га­ни­за­ции в зна­чи­тель­ной сте­пе­ни бес­по­ко­ят­ся о так на­зы­ва­е­мом CSI (Customer Satisfaction Index или Индекс Кли­ент­ской Удо­вле­тво­рен­но­сти), ко­то­рый из­ме­ря­ет­ся как пра­ви­ло в раз­ре­зе ком­му­ни­ка­ций по схеме Банк-Клиент. Это важный по­ка­за­тель, ко­то­рый де­мон­стри­ру­ет на­сколь­ко в дей­стви­тель­но­сти клиент удо­вле­тво­рен ра­бо­той банка и его вза­и­мо­дей­ствия с ним. Если пе­ре­ло­жить эту схему на об­ра­ще­ния кли­ен­та в банк по те­ма­ти­ке «со­ци­аль­ное мо­шен­ни­че­ство», то можно с вы­со­кой сте­пе­нью уве­рен­но­сти пред­по­ло­жить, что по данной те­ма­ти­ке этот индекс скорее всего будет весьма низкий по вполне по­нят­ной при­чине, ко­то­рая за­клю­ча­ет­ся в том, что у кли­ен­та в ре­зуль­та­те несанк­ци­о­ни­ро­ван­ной опе­ра­ции были по­хи­ще­ны де­неж­ные сред­ства, есте­ствен­ное же­ла­ние ко­то­ро­го в таком случае –вер­нуть их. Банк, рас­смат­ри­вая такое об­ра­ще­ние может либо удо­вле­тво­рить тре­бо­ва­ние кли­ен­та за счет соб­ствен­ных средств и в слу­ча­ях, опи­сан­ных в про­шлой статье, несмот­ря на на­ру­ше­ние усло­вий до­го­во­ра кли­ен­том либо от­ка­зать в вы­пла­те. В любом случае кре­дит­ная ор­га­ни­за­ция несет убыток либо в виде воз­ме­ще­ния средств кли­ен­ту – «по­куп­ки» так на­зы­ва­е­мо­го CSI, либо в виде сни­же­ния CSI в случае отказа кли­ен­ту воз­ла­гая на себя ре­пу­та­ци­он­ный риск с воз­мож­ны­ми от­ло­жен­ны­ми по­след­стви­я­ми.

Так или иначе решить данную про­бле­му таким об­ра­зом, чтобы удо­вле­тво­ре­ны оста­лись все, на­сколь­ко мне из­вест­но, не уда­лось пока никому и нигде (стра­хо­ва­ние тоже не па­на­цея, а просто пе­ре­нос во­про­са с боль­ной головы на здо­ро­вую, да еще и с неко­то­ры­ми ню­ан­са­ми). Но су­ще­ству­ет ли такое ре­ше­ние на самом деле? По­про­бу­ем от­ве­тить на этот вопрос далее, пред­ва­ри­тель­но рас­смот­рев, что еще пред­при­ни­ма­ют банки для ре­ше­ния данной задачи.

• По­вы­ше­ние фи­нан­со­вой гра­мот­но­сти кли­ен­та

Ряд кре­дит­ных ор­га­ни­за­ций осо­бен­но круп­ных, (в том числе и ЦБ) ста­ра­ют­ся раз­ме­щать на своих сайтах ин­фор­ма­цию о мерах без­опас­но­сти и спо­со­бах про­ти­во­дей­ствия со­ци­аль­но­му мо­шен­ни­че­ству, до­пол­ни­тель­но рас­про­стра­няя в своих от­де­ле­ни­ях и офисах спе­ци­аль­ные бук­ле­ты с ана­ло­гич­ным со­дер­жа­ние как и прочие ма­те­ри­а­лы о без­опас­ном ис­поль­зо­ва­нии элек­трон­ных средств пла­те­жа, па­рал­лель­но рас­про­стра­няя спе­ци­а­ли­зи­ро­ван­ные ролики на тему про­ти­во­дей­ствия со­ци­аль­но­му мо­шен­ни­че­ству через опре­де­лен­ные ком­па­нии, так на­зы­ва­е­мые «кон­тент­мей­ке­ры», ко­то­рые спе­ци­а­ли­зи­ру­ют­ся на по­пу­ля­ри­за­ции опре­де­лен­ных тем в пуб­лич­ном про­стран­стве в случае если кре­дит­ной или другой ор­га­ни­за­ции тре­бу­ет­ся со­хра­нить статус ин­ко­гни­то для хеджи­ро­ва­ния вполне кон­крет­ных рисков воз­ник­но­ве­ния ре­пу­та­ци­он­но­го ущерба. Такой подход в свою оче­редь можно на­звать весьма осто­рож­ным и фак­ти­че­ски он вы­гля­дит как «одер­ги­ва­ние самого себя за рукав», при­ни­мая во вни­ма­ние, воз­мож­ные риски для ре­пу­та­ции, кре­дит­ные ор­га­ни­за­ции как пра­ви­ло воз­дер­жи­ва­ют­ся от из­лиш­ней по­пу­ля­ри­за­ции от своего лица мер про­ти­во­дей­ствия со­ци­аль­но­му мо­шен­ни­че­ству (можно пред­по­ло­жить, что об­ще­ствен­ность по­ду­ма­ет, что данная кре­дит­ная ор­га­ни­за­ция не без­опас­на. Хотя на мой взгляд такой подход – за­блуж­де­ние), и та же стра­ни­ца по без­опас­но­сти на­хо­дит­ся далеко не в самом видном месте . В итоге, тео­ре­ти­че­ская эф­фек­тив­ность этих мер носит скорее ре­клам­ный ха­рак­тер нежели несет какую-либо прак­ти­че­скую пользу при этом из­ме­рить ее крайне про­бле­ма­тич­но.

• Раз­ви­тие систем фрод-мо­ни­то­рин­га (от англ. Fraud – мо­шен­ни­че­ство).

Уже много лет банки уде­ля­ют вни­ма­ние раз­ви­тию своих систем фрод-мо­ни­то­рин­га или за­куп­ке го­то­вых ре­ше­ний от раз­но­го рода ком­па­ний. Это си­сте­мы, ко­то­рые при­зва­ны от­сле­жи­вать опе­ра­ции кли­ен­та банка, в бан­ко­ма­тах банка, POS-тер­ми­на­лах и уда­лен­ных ка­на­лах об­слу­жи­ва­ния. Смысл этих систем за­клю­ча­ет­ся в том, что должны быть в полной мере иден­ти­фи­ци­ро­ва­ны, как и сам клиент её со­вер­ша­ю­щий. В итоге счета и карты каж­до­го кли­ен­та пред­став­ля­ют для кре­дит­ной ор­га­ни­за­ции не только набор наших пер­со­наль­ных данных, но и в первую оче­редь про­филь наших опе­ра­ций, т.е. для кре­дит­ной ор­га­ни­за­ции клиент – это набор при­ход­но/рас­ход­ных опе­ра­ций со всеми его устрой­ства­ми и тд. Данные си­сте­мы могут быть как он­лай­но­вы­ми, квази-он­лай­но­вы­ми так и оф­флай­но­вы­ми, то есть такие си­сте­мы могут от­сле­жи­вать опе­ра­цию в ре­аль­ном вре­ме­ни до мо­мен­та её со­вер­ше­ния (каналы ДБО), в момент со­вер­ше­ния (в про­цес­син­ге кре­дит­ной ор­га­ни­за­ции) или же уже после ее со­вер­ше­ния (офлай­но­вый мо­ни­то­ринг). Мы же по­го­во­рим о тех, ко­то­рые ра­бо­та­ют в онлайн режиме и в ка­на­лах ДБО, так как они наи­бо­лее эф­фек­тив­ны из всех пред­став­лен­ных.

Как только клиент по­па­да­ет в кре­дит­ную ор­га­ни­за­цию и на­чи­на­ет поль­зо­вать­ся её про­дук­та­ми в раз­лич­ных ка­на­лах, то си­сте­ма фрод-мо­ни­то­рин­га на­чи­на­ет от­сле­жи­вать его опе­ра­ции и фор­ми­ро­вать про­филь кли­ен­та (более про­стые версии систем, просто от­сле­жи­ва­ют опе­ра­ции). Смысл такого мо­ни­то­рин­га на самом деле не в то­таль­ном кон­тро­ле за нашими опе­ра­ци­я­ми, а в риск-ме­недж­мен­те, так как по­стра­дав­ший клиент – про­бле­ма для банка во всех смыс­лах. Непо­сред­ствен­но сам мо­ни­то­ринг тех­ни­че­ски пред­став­ля­ет собой некий набор правил, по ко­то­рым про­ве­ря­ют­ся все опе­ра­ции в под­от­чет­ной си­сте­ме канале. В случае если опе­ра­ция со­от­вет­ству­ет за­ло­жен­но­му в си­сте­ме пра­ви­лу, то она выдает со­труд­ни­ку кре­дит­ной ор­га­ни­за­ции опо­ве­ще­ние с разной сте­пе­нью риска и тре­бу­ет раз­но­го рода дей­ствий. Какие это дей­ствия и что кон­крет­но делает си­сте­ма с по­до­зри­тель­ной опе­ра­ци­ей за­ви­сит от кон­крет­ных правил, кон­крет­ной кре­дит­ной ор­га­ни­за­ции и кон­крет­но­го случая, но как пра­ви­ло ва­ри­ан­тов дей­ствия несколь­ко, а именно. Опе­ра­ция про­пус­ка­ет­ся, опе­ра­ция бло­ки­ру­ет­ся, опе­ра­ция и про­филь бло­ки­ру­ет­ся, бло­ки­ру­ет­ся личный кабине – про­филь кли­ен­та ДБО (личный ка­би­нет или же мо­биль­ное при­ло­же­ние). Далее кли­ен­ту от­прав­ля­ет­ся уве­дом­ле­ние с прось­бой пе­ре­зво­нить в банк или же банк са­мо­сто­я­тель­но со­вер­ша­ет звонок кли­ен­ту.

Цель такого рода вза­и­мо­дей­ствия всего одна –понять дей­стви­тель­но ли сам клиент со­вер­ша­ет опе­ра­цию. В про­тив­ном случае кли­ен­та могут по­про­сить об­ра­тить­ся в банк для под­твер­жде­ния своей лич­но­сти, несмот­ря на то, что в за­ко­но­да­тель­стве ука­за­но (По­ло­же­ние о пра­ви­лах осу­ществ­ле­ния пе­ре­во­дов де­неж­ных средств 383 П, п.1.24), что, если опе­ра­тор по пе­ре­во­ду (это банк) принял платеж, то клиент уже яв­ля­ет­ся иден­ти­фи­ци­ро­ван­ным, что по сути яв­ля­ет­ся удоб­ным только для со­ци­аль­ных мо­шен­ни­ков, так как будучи вве­ден­ным в за­блуж­де­ние клиент дей­стви­тель­но са­мо­сто­я­тель­но со­вер­ша­ет пе­ре­вод или же на­ру­ша­ет усло­вия об­слу­жи­ва­ния.

В целом же данная си­сте­ма может быть эф­фек­тив­на, при усло­вии на­ли­чия се­рьез­ных ком­пе­тен­ций у спе­ци­а­ли­стов её на­стра­и­ва­ю­щих, но тем не менее сама по себе тоже не па­на­цея (хотя лучше ничего еще не при­ду­ма­ли и в нашей стране пла­теж­ная без­опас­ность раз­ви­та лучше всех) от такого рода со­ци­аль­но­го мо­шен­ни­че­ства, что как раз кре­дит­ные ор­га­ни­за­ции и осо­зна­ют, так как эти самые пра­ви­ла в любом случае на­стра­и­ва­ют­ся вруч­ную под из­вест­ную логику несанк­ци­о­ни­ро­ван­ных опе­ра­ций и хра­нит­ся эта логика за семью пе­ча­тя­ми по вполне по­нят­ным при­чи­нам. Так же су­ще­ству­ют по­пыт­ки со­здать про­дви­ну­тые си­сте­мы фрод-мо­ни­то­рин­га, ко­то­рые ба­зи­ру­ют­ся на бай­е­сов­ских сетях и спо­соб­ны к са­мо­обу­че­нию.

Как след­ствие, к рас­по­знаю опе­ра­ции, ко­то­рая от­ли­ча­ет­ся от ти­пич­но­го фи­нан­со­во­го про­фи­ля кли­ен­та кре­дит­ной ор­га­ни­за­ции, но эф­фек­тив­ность такой си­сте­мы вы­зы­ва­ет со­мне­ния, так как опи­ра­ясь на ста­ти­сти­ку выше, можно за­дать­ся во­про­сом, а почему тогда доля несанк­ци­о­ни­ро­ван­ных опе­ра­ций, в том числе, и про­гно­зи­ру­е­мых растет? (К слову, это за­яв­ле­ние от кре­дит­ной ор­га­ни­за­ции, об­ла­да­ю­щей в том числе такой си­сте­мой фрод-мо­ни­то­рин­га для ка­на­лов ДБО, при этом стоит учесть, что многие кли­ен­ты, став жерт­вой со­ци­аль­но­го мо­шен­ни­ка не об­ра­ща­ют­ся в кре­дит­ную ор­га­ни­за­цию, по­ни­мая низкую ве­ро­ят­ность воз­вра­та средств. То есть оценка за­ни­же­на есте­ствен­ным об­ра­зом). Можно до­пу­стить пред­по­ло­же­ние, ко­то­рое будет верно с вы­со­кой долей ве­ро­ят­но­сти, что для эф­фек­тив­но­го са­мо­обу­че­ния таких систем тре­бу­ет­ся в под­от­чет­ном ей канале(ах) в бук­валь­ном смысле по­ка­зы­вать си­сте­ме какие опе­ра­ции яв­ля­ют­ся по­до­зри­тель­ны­ми, несанк­ци­о­ни­ро­ван­ны­ми, а какие ле­ги­тим­ны­ми в опре­де­лен­ном про­цент­ном со­от­но­ше­нии от общего объема опе­ра­ций про­хо­дя­щих в этих ка­на­лах, а при­ни­мая во вни­ма­ние, что чем круп­нее кре­дит­ная ор­га­ни­за­ция тем слож­нее эта задача из-за за­гру­жен­но­сти тех самых ка­на­лов. При этом необ­хо­ди­мо учесть до­ста­точ­но боль­шую сто­и­мость таких систем, ко­то­рая делая их ма­ло­до­ступ­ны­ми для неболь­ших кре­дит­ных ор­га­ни­за­ций при­во­дит нас к выводу о низкой эф­фек­тив­но­сти таких систем, до­пол­ни­тель­но учи­ты­вая, что при этом обу­чать такую си­сте­му нужно вруч­ную и со­от­вет­ствен­но без ошибок, так как невер­ная мар­ки­ров­ка опе­ра­ции при­ве­дет к на­ру­ше­нию логики и модель просто пе­ре­ста­нет ра­бо­тать эф­фек­тив­но, со­зда­вая боль­шие труд­но­сти для кре­дит­ной ор­га­ни­за­ции и самих кли­ен­тов. По­доб­ные си­сте­мы яв­ля­ют­ся слож­ным ме­ха­низ­мом с очень тонкой на­строй­кой и со­про­вож­де­ни­ем по­это­му на­пол­не­ны они теми же стан­дарт­ны­ми пра­ви­ла­ми, как и обыч­ные си­сте­мы фрод-мо­ни­то­рин­га и именно по­это­му в пуб­лич­ном про­стран­стве нет ши­ро­кой оглас­ки таких плат­форм фрод-мо­ни­то­рин­га в виде про­рыв­ной тех­но­ло­гии и от­ча­сти это одна из причин роста несанк­ци­о­ни­ро­ван­ных опе­ра­ций.

Вот прак­ти­че­ски все меры, ко­то­рые есть на се­го­дняш­ний момент. В целом борьба с фродом (осо­бен­но со­ци­аль­ной ин­же­не­ри­ей) ве­дет­ся у нас на уровне каж­до­го банка от­дель­но, от­дель­но в пра­во­охра­ни­тель­ных ор­га­нах и от­дель­но в ЦБ. Один за всех и каждый за себя, при том, что ре­ше­ние этой про­бле­мы уже есть…но об этом, как и глав­ных при­чи­нах роста фрода в сле­ду­ю­щих ма­те­ри­а­лах.