В прошлом году появился новый термин – «санкционированное мошенничество». А кем оно санкционировано и чем отличается от «несанкционированного мошенничества»? В этой статье рассказывается о таком мошенничестве и как используют биометрию для борьбы с этим явлением за рубежом.
Ситуация с санкционированным мошенничеством
Несанкционированное мошенничество легко обнаружить – захват учётных записей, подделка документов, подписей и кража паролей со стороны третьих лиц распространены повсеместно. Часто в прессе освещаются новости о мошенниках, реализующих свои планы с использованием OTP1
(англ. One time password).
В последнее время наблюдается рост нового вида мошенничества – санкционированного. Санкционированное мошенничество выглядит как законная транзакция, совершённая подлинным пользователем. На самом деле, это реальный потребитель услуги, которого обманули или принудили к действию с помощью тактики социальной инженерии или другими способами. Оспорить такие мошеннические операции практически невозможно.
О том, насколько эта проблема серьёзна в Азиатско-Тихоокеанском регионе, свидетельствуют следующие данные: только малайзийцы сообщили о 51631 случае онлайн-мошенничества. На Филиппинах компания Globe Telecom всего за две недели заблокировала более 30 миллионов СМС-сообщений, подозреваемых в спаме или мошенничестве. А за первые семь месяцев 2022 года в Гонконге количество телефонных мошенничеств выросло на 60%2.
Санкционированное мошенничество основано на том, что злоумышленник выдаёт себя за другого человека или представителя организации, и это выглядит как легитимный запрос о переводе денег, оплате поддельных товаров или услуг, неуплаченных налогов или даже сообщение о том, что банковский счёт жертвы был взломан, и для сохранности средств необходимо перевести деньги на безопасный счёт. Используя методы социальной инженерии, предназначенные для того, чтобы вызвать у жертв стресс и панику, или подделывая различные информационные сообщения и документы, мошенники обманывают как жертву, так и банк.
Санкционированное мошенничество может быть оспорено, но и в этом случае кто-то из участников сделки будет потерпевшим – банк или его клиент.
17 января 2023 года Верховный суд Российской Федерации удовлетворил жалобу истца, признав «ничтожным» кредитный договор в Хоум Кредит Финанс (ХКФ) Банке, оформленный третьими лицами через интернет-банк с помощью СМС-кода3: в марте 2020 года клиентка ХКФ-банка, будучи пользователем его электронных сервисов, сообщила третьим лицам по телефону два СМС-кода.
По этим кодам банк дистанционно заключил с клиенткой договор страхования и одобрил кредит на сумму более 200 тыс. руб. под почти 19% годовых. Затем деньги были выведены на неизвестный счёт. Клиентка обратилась в суд с просьбой признать недействительным кредитный договор, утверждая, что не заключала сделку. Три инстанции отказали, подчеркнув, что стороны должны соблюдать конфиденциальность в отношении СМС-кода. Клиентка оспорила выводы нижестоящих инстанций в Верховном суде. Ранее в подобных спорах суды обычно вставали на сторону банков. Вполне вероятно, что кредитным организациям в итоге придётся пересмотреть подходы к защите операций клиентов.
Исследовательская компания Forrester сообщает, что за последние 18 месяцев санкционированное мошенничество или авторизованные push-платежи (APP) 4 рассматривались как серьёзная проблема для 66% финансовых служб и организаций потребительского банкинга в Азиатско-Тихоокеанском регионе5. Эти же организации согласны с тем, что сочетание поведенческой биометрии, динамических сообщений с предупреждением о мошенничестве и обнаружении угроз будет иметь большое значение для решения этой проблемы.
Традиционные предупреждения игнорируются
В настоящее время достигнут такой уровень авторизованного мошенничества, и оно стало настолько распространённым, что предупреждающие сообщения банков и других поставщиков цифровых услуг регулярно игнорируются потребителями. Тем не менее, подход к борьбе с мошенничеством в интернете основывается на использовании устаревших методов и процессов – предполагается, что потребитель может определить и понять, как выглядит мошенничество или обман. Но этот подход не работает, не решает проблему санкционированного мошенничества и даже не уменьшает количество мошеннических атак.
Требуется динамическое вмешательство в режиме реального времени
Банки являются крупными инвесторами в собственную безопасность. Опрос Callsign6 показывает, что 53% потребителей Азиатско-Тихоокеанского региона ожидают, что правительства создадут более безопасный цифровой мир, а 79% хотят, чтобы была развернута система цифровой безопасности, и ещё 39% опрошенных ожидают, что это будет внедрено в ближайшие 12 месяцев.
Противоядие от санкционированного мошенничества обязательно должно включать изменение мнения у банков и других поставщиков цифровых услуг
о том, что потребители знают, как выявлять и предотвращать мошенничество, даже если они сталкиваются с технически подкованными мошенниками, которые используют технологии XXI века и методы социальной инженерии для обмана своих жертв.
Пока потребитель и поставщик услуги по-прежнему считают, что другая сторона полностью или частично несёт ответственность за борьбу с мошенничеством и защиту конфиденциальных данных, мошенничество будет продолжаться.
Решение состоит в том, чтобы отойти от традиционных представлений о безопасности и использовать современные технологии, такие, как динамическое вмешательство, когда аномальное поведение идентифицируется цифровым способом, и биометрическая идентификация в режиме реального времени.
Динамическая блокировка мошенника
Санкционированное мошенничество происходит, когда клиент оказывается в необычной ситуации. При стрессе поведение человека меняется, в том числе, меняется способ использования телефона, например он начинает медленнее печатать, под другим углом держать смартфон или иначе взаимодействовать пальцем с экраном.
Динамическое вмешательство прерывает операцию с помощью контекстного сообщения в тот момент, когда клиент может оказаться в опасности. Такое вмешательство предоставляет интеллектуальные и контекстуальные предупреждения о мошенничестве, возможно, запрашивая у клиента уточняющую информацию о транзакции. В отличие от других сообщений о мошенничестве, которые потребители игнорируют, динамические вмешательства персонализированы и происходят при выявлении подозрительной активности самого потребителя, а не до или после события. В результате мошенники не знают7, в какой момент такие вмешательства появятся.
Когда мы всё больше доверяем нашу личную информацию онлайн, поставщики цифровых продуктов и услуг обязаны делать всё возможное для защиты потребителей. Динамические вмешательства позволяют сделать именно это, не усложняя действий для клиента, и при этом они станут важным шагом в смягчении последствий санкционированного мошенничества.
Использование биометрии для борьбы с несанкционированным и санкционированным мошенничеством
В докладе «Практический кейс использования биометрии в странах АРАС8» на Форуме All-over-IP Игорь Ермак, руководитель Finbridge по направлениям антифрода и операционных рисков, поделился опытом использования биометрии и машинного зрения для борьбы с несанкционированным и санкционированным мошенничеством9.
Самый простой способ мошенничества – это когда мошенники оформляют заявки на разных физических лиц с различными регистрационными данными, в том числе, указывая для подтверждения личности номера своих телефонов.
Такой вид мошенничества составлял 4% от всех мошеннических операций банка. Внедрение биометрии позволило сократить потери банка на 10% (примерно до 2,5% в номинале). За полтора месяца база мошенников такого типа только по Вьетнаму составила более 1000 человек. Использование машинного зрения позволило выявить общий признак одного из таких мошенничеств – это наличие на фотографиях для разных кредитных заявок одной и той же руки, в которой заявитель держит перед камерой удостоверение личности.
|