Что делают банки для того, чтобы защитить нас от мошенников?

ЭкспертHi-Tech

Слишком хорошо знают своих клиентов

Что делают банки для того, чтобы защитить нас от мошенников? Придется ли нам заплатить за это удобством совершения операций или разрешением им следить за нами?

Алексей Долженков

Кибербезопасность в финансовой сфере в условиях пандемии становится все более актуальной темой. По данным Банка России, объем операций без согласия клиентов во втором квартале 2021 года превысил три миллиарда рублей. Это на 38% выше показателя второго квартала 2020 года. При этом доля возвращенных средств сократилась с 12,8 до 7,4%. Что касается социальной инженерии, главного способа хищения денег с банковских счетов, то ее доля сократилась с 68,6 до 47%.

Однако радоваться рано: это связано с сокращением доли социальной инженерии в сфере оплаты товаров и услуг в интернете. В наиболее же проблемной по этому показателю сфере дистанционного банковского обслуживания (ДБО) ситуация практически не изменилась. Там доля социальной инженерии по сравнению с аналогичным периодом предыдущего года снизилась только на 5% — с 86,8 до 81,8%, а общая сумма операций без согласия клиентов выросла на 70% и достигла 1,24 млрд рублей. Иными словами, мошенникам проще атаковать клиентов банков напрямую, чем пытаться выманить деньги, используя схемы с использованием онлайн-магазинов.

Почему именно этот сегмент наиболее уязвим для действий мошенников? Что делают банки для защиты своих клиентов в этой сфере? Попробуем разобраться.

Для начала придется признать, что никаких глобальных прорывов за последние года два не произошло. Все так же слабым звеном в системах защиты остается человек — чаще всего это сами клиенты банков, но и сотрудники банков могут слить чувствительную информацию или базу данных на сторону.

Слежка за сотрудником

Для начала отметим, что технологические способы защиты информации о наших счетах постоянно совершенствуются и злоумышленникам становится все сложнее их преодолевать. По данным того же ЦБ, использование ошибок при разработке программного обеспечения для получения доступа к деньгам клиентов снизилась во втором квартале 2021 года по сравнению с аналогичным периодом 2020-го) на 70%. Значительно снизился и уровень фрода (англ. fraud — мошенничество) при установке финансовых приложений. По данным отчета AppsFlyer, в период со второго квартала 2020 года по первый квартал 2021-го уровень этого вида мошенничества снизился в России на 62%. Приложения, ворующие данные, сдают позиции везде: во Франции уровень фрода при установке приложения упал на 52%, в Африке — на 50%, в Германии и Великобритании — на 50 и 30% соответственно, на Ближнем Востоке на 20%.

К сожалению, даже самые совершенные технологические решения не могут обеспечить стопроцентной защиты данных, во многом из-за человеческого фактора. «Полностью исключить возможность утечки персональных данных из банков — практически неразрешимая задача, — поясняет директор компании “Антифишинг” Сергей Волдохин. — Причина в том, что организация и сопровождение процесса хранения данных требует администратора — человека, который будет управлять работой системы и поддерживать ее в рабочем состоянии. А если есть человек, значит, можно найти способ воспользоваться его слабостями: запугать, предложить денег или помощь в решении каких-то проблем в обмен на данные из хранилища».

Финансовые организации, реально обеспокоенные вопросом защиты клиентских данных в своих системах, в последнее время занимаются оптимизацией доступа своих сотрудников к данным клиентов. Цель — сделать так, чтобы сотрудники получали доступ только к той информации о клиенте, которая нужна прямо сейчас. Например, чтобы они не видели телефонный номер клиента (звонок идет через систему банка), чтобы у сотрудников не было возможности получить доступ к полной клиентской базе.

«Используются различные системы анализа активности сотрудников — ролевой доступ (ограничение/предоставление доступа к данным в зависимости от того, какую роль в данный момент выполняет пользователь системы. — “Эксперт”), анализ использования данных и анализ утечек, — рассказывает банкир, основатель финтех платформы TalkBank Михаил Попов. — Они позволяют по первым выверенным утечкам определять возможные источники и проводить внутреннее расследование относительно конкретных сотрудников. Используется также технология разделения данных между сотрудниками, с тем чтобы у одного сотрудника одновременно не формировалась вся картина по клиенту. Используется ограничение по количеству данных, которые могут быть запрошены единоразово. Контролируется то, как сотрудник может сохранять эти данные. Используются различные системы слежения, чтобы никто не фотографировал, не сканировал или не копировал клиентские данные, и так далее».

Пандемия внесла в этот процесс еще один фактор неопределенности — необходимость перевода части сотрудников на удаленку. Банкам, впрочем как и другим компаниям, пришлось обеспечивать безопасность при удаленном доступе к внутренним системам банков и данным клиентов. В этом случае внимание к вопросам безопасности должно быть еще выше, чем при работе из офиса. В дома и квартиры камеры скрытого наблюдения не поставишь.

Слежка за клиентом

С клиентами вопрос значительно сложнее. За ними такую плотную слежку, к счастью, установить невозможно. Впрочем, пользователи банковского приложения Сбера жалуются, что для работы оно требует большое количество разрешений, например к фотографиям и звонкам. С одной стороны, это нарушение права на личную жизнь, особенно если приложение отказывается работать без этих разрешений, с другой — позволяет банкам, не только Сберу, анализировать больше параметров поведения своих клиентов и находить подозрительные, выходящие за рамки привычек клиента, действия. В качестве примеров можно назвать крупную покупку в другой стране, когда клиент еще час назад что-то купил в супермаркете рядом со своим домом, или перевод крупной суммы на номер карты или телефон, при том что этого номера нет в его книге контактов и раньше он делал только небольшие переводы.

Такого рода антифрод-решения применяются банками уже некоторое время. Но сравнительно недавно за счет все большего внедрения технологий искусственного интеллекта и анализа больших данных появилась возможность анализировать поведение каждого клиента в отдельности. Раньше же приходилось ограничиваться общими настройками антифрода, в лучшем случае для групп клиентов.

«Активно идет анализ поведенческих характеристик транзакционной активности клиента. Это необходимо, чтобы антифрод-система срабатывала именно на нехарактерных для клиента активностях, работая более персонализировано и гибко, — поясняет Михаил Попов. — Раньше были единые правила для всех клиентов, что часто сопровождалось дискомфортом. Сейчас задача антифрод-системы — подходить более персонализированно к каждому конкретному клиенту, понимать привычные для него задачи, типичный размер операций и их типы. При этом используются различные системы анализа цифрового следа: как в приложении, так и на сайтах и других устройствах».

«В целом можно выявлять и пресекать бóльшую часть аномальных для клиента действий, — рассуждает Алексей Коняев, руководитель департамента решений по безопасности “SAS Россия/СНГ”. — Однако следует помнить, что в таком случае система будет реагировать и на другие похожие аномалии. Не нужно думать, что современная умная антифрод-система обладает какой-то магией — нет, она так же ошибается, ведь ее настраивал человек, который сам совершает ошибки. И чаще всего она ошибается, когда очень мало знает про клиента: сколько и где он платит, какими средствами платежа пользуется, как часто совершает операции, в какое время, откуда. Согласитесь, это очень похоже на наше поведение. Например, когда вы впервые приходите в кофейню, бармен тщательно вас расспрашивает относительно ваших вкусов, однако уже на третий раз, уже завидя вас издалека, скажет: “Вам, как обычно, латте на кокосовом молоке с ванильным сиропом?” При этом в первый ваш визит он, вероятно, ошибется, если попытается предугадать ваш заказ. Так и с антифрод-системой: чем дольше вы обслуживаетесь в банке, чем чаще совершаете операции и чем они разнообразнее, тем больше она знает про вас, тем меньше вероятность ошибки даже в случае анализа нестандартной операции. Проводя ту же аналогию с кофейней: вы приходите к вашему любимому бариста и узнаете, что кокосовое молоко сегодня уже закончилось. Бариста спокойно отреагирует, если вы скажете “тогда давайте на обычном молоке”, но сильно удивится, если услышит “тогда я буду чай”, который вы никогда не заказывали, и, скорее всего, переспросит, что именно вы хотите заказать. Вот и антифрод-система должна уметь понимать, когда без сомнения “принять заказ”, а когда нужно “переспросить” еще раз, не вызвав раздражения у клиента».

Кто звонит?

Идет и активное внедрение биометрии. Главное преимущество биометрической авторизации в том, что обычно она не требует сложных действий от клиента, и по сравнению с традиционными методами авторизации это улучшает его клиентский опыт. Мошенники еще не освоили в полной мере технологии обхода биометрии, пока это, скорее, сцены из фантастических фильмов. Впрочем, для большей надежности авторизация уже сейчас должна быть многофакторной, например по лицу и голосу или лицу и отпечатку пальца. Кстати, стоит отметить, что отпечаток пальца — это наиболее уязвимый способ биометрической идентификации. Его можно снять с любой гладкой поверхности, например с самого утерянного смартфона или даже с высококачественной фотографии, на которой видна ладонь.

Возвращаясь к теме защиты от мошенников, стоит упомянуть популярную дополнительную услугу, которую стали предлагать банки. Речь идет о сервисе проверки входящих вызовов, который предупредит о том, что звонит мошенник. Конечно, придется предоставить приложениям банков доступ к отслеживанию входящих звонков, но многие пользователи банковских приложений это и так уже разрешили. Кстати, достаточно большое количество мошеннических звонков отсекает и обычная функция запрета спам-вызовов от мобильного оператора. Чаще всего мошенники занимаются массовым прозвоном и их телефоны попадают в списки спамеров.

В начале сентября Общероссийский народный фронт на круглом столе по борьбе с телефонным мошенничеством предложил целый ряд мер. В том числе обязать сотовых операторов бесплатно информировать клиентов о том, что поступивший звонок имеет признаки незаконной рекламы или мошенничества. Особого энтузиазма это предложения не вызвало ни у представителей операторов, ни даже у Банка России и Минцифры. Впрочем, по оценке директора департамента обеспечения кибербезопасности Минцифры Владимира Бенгина, такая мера снизит число пострадавших на 20–30%, но не на 90100%. Он считает, что помимо информирования нужно бороться с самой проблемой. Владимир Бенгин также напомнил, что его ведомство полностью поддерживает законопроект по обмену данными между банками и телекомами. Цель этого законопроекта как раз помощь в борьбе с мошенничествами.

В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности

Страховать или штрафовать?

Следующий метод борьбы банков с мошенничествами, скорее, борется с их последствиями. Речь идет о страховании вкладов/счетов от мошенничества и хищения. Это выглядит как поиск простого решения, замена реальных вложений в кибербезопасность плюс способ заработать на страховках. Тем более что доказать факт хищения часто не удается.

«Анализ рисков и иная аналитика, проводимая банковскими организациями, показывает, что гораздо выгоднее покрывать за счет страхования случаи мошенничества, — констатирует руководитель группы ИБ Лиги цифровой экономики Владимир Асташов. — Более того, у застрахованных лиц не всегда получается доказать, что случай действительно является страховым и по нему положена компенсация. Зачастую пользователи сами передают мошенникам чувствительную информацию, соответственно, у банка нет оснований считать транзакцию нелегитимной, а случай — страховым».

«Если смотреть на ситуацию со стороны потребителя банковских продуктов, то важнее, чтобы банки умели различать, кто совершил действия: реальный пользователь или злоумышленник, — отмечает руководитель направления по развитию ИБ-решений облачного бизнеса МТС Александр Карпузиков. — При этом важно, чтобы возврат средств на пользовательский счет осуществлялся как можно скорее, не вынуждая пользователей доказывать свою невиновность». Эксперт уверен, что представители банковской сферы вполне способны еще повысить надежность сервисов, развивая свою внутреннюю ИБ-экспертизу, привлекая внешних специалистов и пользуясь технологичными решениями по защите.

Можно, конечно, стимулировать банки вкладывать в информационную безопасность через увеличение штрафов, которые теоретически существуют и сейчас (ведь банки обязаны хранить наши деньги). Но вопрос, скорее, не в размере штрафов, а в том, как происходит процесс расследования инцидентов, насколько сложно клиентам получить компенсацию от банков и как именно применяются уже действующие законы.

«Это вопрос правоприменительной практики, потому что утечки, которые связаны с действием или бездействием банков, уже в текущей законодательной базе подлежат ответственности, — разъясняет Михаил Попов. — На банке лежит ответственность за сохранность средств и данных клиента. Но значительная доля атак происходит без использования непосредственно банковских данных. Мошенники во многом ориентируются на социальный инжиниринг, когда клиенты популярных банков получают звонки от мошеннических организаций. Это происходит не потому, что конкретные мошенники знают, что они обслуживаются в этой финансовой организации, а потому, что таких клиентов много. В целом здесь вопрос не в большей ответственности, а в применении ответственности к банкам с тем, чтобы шло удовлетворение исков со стороны обворованных банковских клиентов. Важно, чтобы суммы соответствовали реальному ущербу, а не были просто штрафами, связанными с административной ответственностью. Но, скорее, нужно выстраивать процесс правоприменения, нежели создавать новые законы».

На самом деле сложность борьбы с мошенничеством в финансовой сфере связана не только с самими мошенниками. В этом вопросе тесно переплелись интересы самих банков и их клиентов. В подавляющем большинстве случаев надежность защиты сопровождается неудобствами в использовании финансовых приложений. Мы не готовы жертвовать своим удобством ради безопасности. Многие клиенты предпочтут уйти из безопасного банка, если им для совершения платежа или перевода придется каждый раз проходить сложную и длительную процедуру авторизации и подтверждения платежа.

«Все те средства защиты, которые незаметны для пользователя и при этом обеспечивают сохранность его данных и средств, уже внедрены всеми банками и используются. Практика показывает, что этого недостаточно. Но внедрение дополнительных проверок снижает удобство, замедляет обслуживание и в итоге делает сервисы банка менее привлекательными, чем у конкурентов. Поэтому для финансовых организаций представляется разумным компромиссный подход, когда те риски, которые не удается исключить, какими-либо средствами страхуются», — заключает технический директор Trend Micro в России и СНГ Михаил Кондрашин.

Фото: FERRARI /- ZUMA\TASS

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Трехколесная мануфактура Трехколесная мануфактура

Ирбитский мотоциклетный завод сумел вывести свой бренд на мировой уровень

Эксперт
Запасной аэродром: как узнать, что ты им стала Запасной аэродром: как узнать, что ты им стала

Как понять, ухаживает он за тобой или просто держит «на всякий случай»?

Cosmopolitan
«Делимобиль»: трудности коммунистического роста «Делимобиль»: трудности коммунистического роста

Выход «Делимобиля» на IPO призван решить проблему внушительного долга компании

Эксперт
Почему Китай ополчился на BTS, Blackpink и другой корейский поп Почему Китай ополчился на BTS, Blackpink и другой корейский поп

Амбассадоры коммунизма не дремлют

GQ
Маршал Воробьёв, инженер Победы Маршал Воробьёв, инженер Победы

Маршал Михаил Петрович Воробьёв сделал очень многое для обороны Москвы

Дилетант
Опытным путем Опытным путем

Что из западного опыта в образовании мы могли бы использовать в России

Домашний Очаг
Американский флот слабеет. Китай получает исторический шанс Американский флот слабеет. Китай получает исторический шанс

Сравнительный анализ военно-морских сил США и Китая

Эксперт
Секс лечит насморк, а борода нужна для защиты: все лаутераты Шнобелевской премии — 2021 Секс лечит насморк, а борода нужна для защиты: все лаутераты Шнобелевской премии — 2021

Ты мог бы прожить и без этих открытий, но разве это можно назвать жизнью?

Maxim
Смотрим лучшие клипы королевы современной поп-музыки – Бейонсе Смотрим лучшие клипы королевы современной поп-музыки – Бейонсе

Лучшие клипы Бейонсе: Destiny's Child, ранние работы и фиты с Jay-Z

GQ
Почему во рту появляется неприятный запах и как от него избавиться Почему во рту появляется неприятный запах и как от него избавиться

Галитоз, или запах изо рта — не приговор, избавиться от него можно

Популярная механика
Ума Турман написала колонку против закона о запрете абортов в Техасе. Она призналась, что в подростковом возрасте ей пришлось прервать беременность Ума Турман написала колонку против закона о запрете абортов в Техасе. Она призналась, что в подростковом возрасте ей пришлось прервать беременность

Ума Турман выступила против принятого в Техасе закона о запрете абортов

Esquire
Остывший фронтир. Почему власти не удается заманить людей на Дальний Восток Остывший фронтир. Почему власти не удается заманить людей на Дальний Восток

Возможно ли спасти Дальний Восток от вымирания?

СНОБ
Есть работа — есть город Есть работа — есть город

Не стоит фетишизировать цифру целевой численности новых городов

Эксперт
Залечили своих детей до смерти: самые ужасные случаи синдрома Мюнхгаузена Залечили своих детей до смерти: самые ужасные случаи синдрома Мюнхгаузена

Резонансные случаи делегированного синдрома Мюнхгаузена.

Cosmopolitan
Вышел клип Хаски Вышел клип Хаски

Как снимали клип Хаски "Реванш"

Esquire
8 самых французских фактов о фильме «Амели» 8 самых французских фактов о фильме «Амели»

Почему все так любят «Амели»?

Maxim
Как нами манипулируют. Разбираем распространенные риторические уловки Как нами манипулируют. Разбираем распространенные риторические уловки

Разбираем словесные приемы и неэтичные риторические установки

Inc.
Отцовская забота – кальмары спариваются с самками и уплывают, но до этого находят “квартиру” для будущих детей Отцовская забота – кальмары спариваются с самками и уплывают, но до этого находят “квартиру” для будущих детей

Самцы кальмаров могут проявлять заботу по отношению к своему потомству

Популярная механика
5 «секретных» фраз, которые действуют на девушек лучше афродизиаков 5 «секретных» фраз, которые действуют на девушек лучше афродизиаков

Делимся с тобой сакральными знаниями о девушках

Playboy
Скромность не украшает. Тест-драйв Audi RS Q8 Скромность не украшает. Тест-драйв Audi RS Q8

Что вы получите, купив Audi RS Q8

РБК
«Увидимся в суде». Как ведутся дела о врачебной халатности и почему родственники умерших пациентов соглашаются на компенсации, не дожидаясь разбирательства «Увидимся в суде». Как ведутся дела о врачебной халатности и почему родственники умерших пациентов соглашаются на компенсации, не дожидаясь разбирательства

Отрывок из книги «Неидеальная медицина» о врачебных ошибках

СНОБ
8 лучших ролей Моники Белуччи 8 лучших ролей Моники Белуччи

Мы решили вспомнить лучшие роли Моники Белуччи

Maxim
Васту и баста Васту и баста

Соблюдение канонов философии васту в дизайне интерьера — нешуточная головоломка

AD
Родина воды Родина воды

В названии Твери слышен плеск

Seasons of life
Ян Гэ и Милош Бикович: зарубежные актеры, ставшие звездами российского кино Ян Гэ и Милош Бикович: зарубежные актеры, ставшие звездами российского кино

Кто из иностранных артистов завоевал популярность в России?

Cosmopolitan
Откажите себе в удовольствие Откажите себе в удовольствие

Правила вежливого отказа

GQ
Энергия победителя Энергия победителя

Суперзвезда НХЛ и один из величайших хоккеистов в истории

OK!
О человеке, о войне и о любви: фильмы и сериалы осени 2021 года О человеке, о войне и о любви: фильмы и сериалы осени 2021 года

Отечественные картины, часть из которых уже оценили на зарубежных смотрах

РБК
В тени: старшая дочь Маликовых и другие дети звезд, отказавшиеся от публичности В тени: старшая дочь Маликовых и другие дети звезд, отказавшиеся от публичности

Далеко не все дети знаменитостей хотят идти по стопам родителей

Cosmopolitan
Окружение намного сильнее влияет на пользователей соцсетей, чем считалось раньше: новое исследование Окружение намного сильнее влияет на пользователей соцсетей, чем считалось раньше: новое исследование

Как люди в онлайновых социальных сетях влияют друг на друга

Популярная механика
Открыть в приложении