Журнал ТЗ № 2 2023 |
  бюро находок  
  Где искать        
наши издания
главная
наши анонсы






2024
№ 1
2023
№ 6
№ 4-5
№ 3
№ 2
2022
№ 1-2023| 6
№ 5
№ 4
№ 2-3
№ 1
2021
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2020
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2019
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2018
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2017
№ 6
№ 5
№ 4
№3
№2
№1
2016
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2015
№6
№ 5
№ 4
№ 3
№ 2
№ 1
2014
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2013
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2012
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2011
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2010
Фоторепортаж с конференции \"Samsung Vision Day 2010\"
№ 6
№ 5
№ 4
№ 3
№ 2
№ 1
2009
№ 6
№ 5
№ 4
№ 3
№2
№ 1
2008
№6
№5
№ 4
№ 3
№2
№1
2007
№ 6
№ 5
№ 4
статьи
Журнал ТЗ № 2 2023



Раздел: КОНТРОЛЬ ДОСТУПА
Тема: СКУД (системы контроля и управления доступом)
Автор: Александр ГОРШКОВ, CBO компании Iris Devices

Миф и реальность санкционированного мошенничества


В прошлом году появился новый термин – «санкционированное мошенничество». А кем оно санкционировано и чем отличается от «несанкционированного мошенничества»? В этой статье рассказывается о таком мошенничестве и как используют биометрию для борьбы с этим явлением за рубежом.

Ситуация с санкционированным мошенничеством

Несанкционированное мошенничество легко обнаружить – захват учётных записей, подделка документов, подписей и кража паролей со стороны третьих лиц распространены повсеместно. Часто в прессе освещаются новости о мошенниках, реализующих свои планы с использованием OTP1 (англ. One time password).

В последнее время наблюдается рост нового вида мошенничества – санкционированного. Санкционированное мошенничество выглядит как законная транзакция, совершённая подлинным пользователем. На самом деле, это реальный потребитель услуги, которого обманули или принудили к действию с помощью тактики социальной инженерии или другими способами. Оспорить такие мошеннические операции практически невозможно.

О том, насколько эта проблема серьёзна в Азиатско-Тихоокеанском регионе, свидетельствуют следующие данные: только малайзийцы сообщили о 51631 случае онлайн-мошенничества. На Филиппинах компания Globe Telecom всего за две недели заблокировала более 30 миллионов СМС-сообщений, подозреваемых в спаме или мошенничестве. А за первые семь месяцев 2022 года в Гонконге количество телефонных мошенничеств выросло на 60%2.

Санкционированное мошенничество основано на том, что злоумышленник выдаёт себя за другого человека или представителя организации, и это выглядит как легитимный запрос о переводе денег, оплате поддельных товаров или услуг, неуплаченных налогов или даже сообщение о том, что банковский счёт жертвы был взломан, и для сохранности средств необходимо перевести деньги на безопасный счёт. Используя методы социальной инженерии, предназначенные для того, чтобы вызвать у жертв стресс и панику, или подделывая различные информационные сообщения и документы, мошенники обманывают как жертву, так и банк.

Санкционированное мошенничество может быть оспорено, но и в этом случае кто-то из участников сделки будет потерпевшим – банк или его клиент.

17 января 2023 года Верховный суд Российской Федерации удовлетворил жалобу истца, признав «ничтожным» кредитный договор в Хоум Кредит Финанс (ХКФ) Банке, оформленный третьими лицами через интернет-банк с помощью СМС-кода3: в марте 2020 года клиентка ХКФ-банка, будучи пользователем его электронных сервисов, сообщила третьим лицам по телефону два СМС-кода.

По этим кодам банк дистанционно заключил с клиенткой договор страхования и одобрил кредит на сумму более 200 тыс. руб. под почти 19% годовых. Затем деньги были выведены на неизвестный счёт. Клиентка обратилась в суд с просьбой признать недействительным кредитный договор, утверждая, что не заключала сделку. Три инстанции отказали, подчеркнув, что стороны должны соблюдать конфиденциальность в отношении СМС-кода. Клиентка оспорила выводы нижестоящих инстанций в Верховном суде. Ранее в подобных спорах суды обычно вставали на сторону банков. Вполне вероятно, что кредитным организациям в итоге придётся пересмотреть подходы к защите операций клиентов.

Исследовательская компания Forrester сообщает, что за последние 18 месяцев санкционированное мошенничество или авторизованные push-платежи (APP) 4 рассматривались как серьёзная проблема для 66% финансовых служб и организаций потребительского банкинга в Азиатско-Тихоокеанском регионе5. Эти же организации согласны с тем, что сочетание поведенческой биометрии, динамических сообщений с предупреждением о мошенничестве и обнаружении угроз будет иметь большое значение для решения этой проблемы.

Традиционные предупреждения игнорируются

В настоящее время достигнут такой уровень авторизованного мошенничества, и оно стало настолько распространённым, что предупреждающие сообщения банков и других поставщиков цифровых услуг регулярно игнорируются потребителями. Тем не менее, подход к борьбе с мошенничеством в интернете основывается на использовании устаревших методов и процессов – предполагается, что потребитель может определить и понять, как выглядит мошенничество или обман. Но этот подход не работает, не решает проблему санкционированного мошенничества и даже не уменьшает количество мошеннических атак.

Требуется динамическое вмешательство в режиме реального времени

Банки являются крупными инвесторами в собственную безопасность. Опрос Callsign6 показывает, что 53% потребителей Азиатско-Тихоокеанского региона ожидают, что правительства создадут более безопасный цифровой мир, а 79% хотят, чтобы была развернута система цифровой безопасности, и ещё 39% опрошенных ожидают, что это будет внедрено в ближайшие 12 месяцев.

Противоядие от санкционированного мошенничества обязательно должно включать изменение мнения у банков и других поставщиков цифровых услуг о том, что потребители знают, как выявлять и предотвращать мошенничество, даже если они сталкиваются с технически подкованными мошенниками, которые используют технологии XXI века и методы социальной инженерии для обмана своих жертв.

Пока потребитель и поставщик услуги по-прежнему считают, что другая сторона полностью или частично несёт ответственность за борьбу с мошенничеством и защиту конфиденциальных данных, мошенничество будет продолжаться.

Решение состоит в том, чтобы отойти от традиционных представлений о безопасности и использовать современные технологии, такие, как динамическое вмешательство, когда аномальное поведение идентифицируется цифровым способом, и биометрическая идентификация в режиме реального времени.

Динамическая блокировка мошенника

Санкционированное мошенничество происходит, когда клиент оказывается в необычной ситуации. При стрессе поведение человека меняется, в том числе, меняется способ использования телефона, например он начинает медленнее печатать, под другим углом держать смартфон или иначе взаимодействовать пальцем с экраном.

Динамическое вмешательство прерывает операцию с помощью контекстного сообщения в тот момент, когда клиент может оказаться в опасности. Такое вмешательство предоставляет интеллектуальные и контекстуальные предупреждения о мошенничестве, возможно, запрашивая у клиента уточняющую информацию о транзакции. В отличие от других сообщений о мошенничестве, которые потребители игнорируют, динамические вмешательства персонализированы и происходят при выявлении подозрительной активности самого потребителя, а не до или после события. В результате мошенники не знают7, в какой момент такие вмешательства появятся.

Когда мы всё больше доверяем нашу личную информацию онлайн, поставщики цифровых продуктов и услуг обязаны делать всё возможное для защиты потребителей. Динамические вмешательства позволяют сделать именно это, не усложняя действий для клиента, и при этом они станут важным шагом в смягчении последствий санкционированного мошенничества.

Использование биометрии для борьбы с несанкционированным и санкционированным мошенничеством

В докладе «Практический кейс использования биометрии в странах АРАС8» на Форуме All-over-IP Игорь Ермак, руководитель Finbridge по направлениям антифрода и операционных рисков, поделился опытом использования биометрии и машинного зрения для борьбы с несанкционированным и санкционированным мошенничеством9.

Самый простой способ мошенничества – это когда мошенники оформляют заявки на разных физических лиц с различными регистрационными данными, в том числе, указывая для подтверждения личности номера своих телефонов.

Такой вид мошенничества составлял 4% от всех мошеннических операций банка. Внедрение биометрии позволило сократить потери банка на 10% (примерно до 2,5% в номинале). За полтора месяца база мошенников такого типа только по Вьетнаму составила более 1000 человек. Использование машинного зрения позволило выявить общий признак одного из таких мошенничеств – это наличие на фотографиях для разных кредитных заявок одной и той же руки, в которой заявитель держит перед камерой удостоверение личности.


Рис. 1. Фотомонтаж человека с поддельным удостоверением личности

После выявления таких подделок и отклонения заявок на кредиты мошенники стали использовать схему, которая существенно сложнее для выявления обмана. Они стали оказывать «социальную помощь», когда гражданам предлагались бесплатные или предоплаченные SIM-карты местных операторов связи или продовольственные наборы для малоимущих. При этом они регистрировали для отчётности биометрические данные реальных лиц. Полученные от жертв обмана персональные данные использовались для получения кредитов. В этом случае даже биометрия по лицу не позволяла выявить обман, так как были сделаны фотографии реальных людей и представлены сканы подлинных удостоверений личности.


Рис. 2. Фотографии реальных людей и предоставленные ими удостоверения личности

Найти решение для противодействия такому типу мошенничества позволило машинное обучение с анализом метаданных фотографий, предоставляемых вместе с кредитными заявками. Алгоритм позволил выявить специфические характеристики поведения мошенников. Оказалось, что мошенники и добропорядочные граждане по-разному используют смартфон для создания фотографий к кредитной заявке. После группировки различных способов фотографирования на смартфон и сопоставления этих данных с оформленными на мошенников кредитов, были определены характерные признаки мошеннических заявок. Для некоторых комбинаций такая вероятность достигала 60%10. Добропорядочные заёмщики чаще делали селфи, держа смартфон вертикально правой рукой.

Согласитесь, что в окружающем нас мире правшей на несколько порядков больше чем левшей, и заявки, оформленные предположительно левшами, требуют более пристального изучения и вероятность, что такая заявка может быть оформлена мошенником, очень большая.

Борьба меча и щита продолжается

Для предотвращения финансового мошенничества разрабатываются различные решения. Некоторые из них не получают широкого распространения из-за высокой стоимости, но предлагаются для защиты клиентов, совершающих крупные траты. Как сообщает агентство Reuters, крупным частным и государственным банкам Индии был дан зелёный свет на проведение биометрических проверок по лицу и радужной оболочке глаз людей, которые проводят значительные финансовые операции в течение года11. Алгоритмы машинного зрения лица и радужной оболочки глаз позволяют в реальном времени выявить нетипичное поведение человека, например, нахождение под действием алкоголя или наркотических веществ, или совершение действий под принуждением. Надо учесть, что для обхода финансово ёмких решений требуются и большие затраты со стороны мошенников, что делает экономически невыгодными такие атаки.

После выявления нового способа массового обмана специалисты вырабатывают решение для противодействия ему.

Когда число успешных операций с определённым типом мошенничества сокращается, мошенники перестают его использовать. Однако практика показывает, что мошенники никогда не прекращают свои атаки. Они постоянно проверяют, не изменилась или не ослабла ли политика контроля.

Как только будет выявлена возможность вновь повторить отработанные ранее массовые мошеннические операции или будет найдена новая уязвимость в защите, они тут же возобновляют атаки. Именно поэтому необходимо продолжать поддерживать ранее реализованные решения, усиливая их динамическим вмешательством и биометрической идентификацией. Мошенники и их помощники стремятся не оставлять свои биометрические данные, а значит, борьба меча и щита будет продолжена.


1 https://ru.wikipedia.org/wiki/Одноразовый_пароль
2 https://www.biometricupdate.com/202212/authorized-fraud-myth-or-reality
3 https://www.kommersant.ru/doc/5774899
4 https://en.wikipedia.org/wiki/Authorized_push_payment_fraud
5 https://www.callsign.com/knowledge-insights/complimentary-copyforrester-opportunity-snapshot-online-scams
6 https://www.callsign.com/digital-trust-index
7 https://www.biometricupdate.com/202212/authorized-fraud-myth-or-reality
8 https://ru.wikipedia.org/wiki/Азиатско-Тихоокеанский_регион
9 https://www.all-over-ip.ru/hubfs/Digital/SS/SS_ADAPT/AoIP_01-12-22_Ермак.pdf
10 https://youtu.be/G9bXaXSh_LM
11 https://www.reuters.com/world/india/india-lets-banks-use-face-recognition-iris-scan-some-transactions-sources-2023-01-13/


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0  (голосов: 0)
Ваша оценка:

назад
|
Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2022 «Технологии защиты».