понедельник, 16 января 2017 г.

Анти-фрод системы и как они работают

Анти-фрод системы в отечественных компаниях за последние несколько лет набирают все большую популярность. В свете последних событий и ужесточения требований Банка России к защите платежных систем, использование анти-фрод комплексов становится не просто рекомендуем, но  теперь и обязательным. В связи с этим рынок решений анти-фрод систем динамично растет, компании-интеграторы и разработчики ИБ предполагают новые виды сервисов и специализированных программых решений для защиты от мошенничества. 

Сегодня в публикации мы кратко рассмотри, что такое фрод, как он связан с банками и другими финансовыми организациями, почему так актуален в современных обстоятельствах. Так же заглянем "под капот" анти-фрод систем, рассмотрим базовые принципы работы и некоторые технические детали

Введение

Термины фрод (англ. fraud) и анти-фрод (англ. anti-fraud) довольно часто упоминаются в речи как профессионалов, экспертов и специалистов в области ИБ, так и часто в обывательской речи. Хотя толкование терминов на русский язык возможно в более широком спектре, особенно часто эти слова можно слышать в отношении тем связанных с банками, платежными системами, финансовыми учреждениями и электронными деньгами. И это вполне оправданно, так наибольший расцвет фрод получил именно в связи с мошенничеством в финансовом секторе.

И так, давайте  определимся  на сколько этот термин широк и, что мы будем понимать под фродом в нашем частном контексте 

Фрод как в широком смысле наиболее адекватно переводят на русский язык, - это мошенничество, т.е. действия связанные с хищением чужого имущества (актива) или приобретение права на чужое имущество (актива) путём обмана или злоупотребления доверием. При этом под обманом понимается как сознательное искажение истины (активный обман), так и умолчание об истине (пассивный обман)

Согласно действующему уголовному законодательству России, ст.159 УК РФ, определяет мошенничество  как «совершенные с корыстной целью путём обмана или злоупотребления доверием противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или иному владельцу этого имущества, либо совершенные теми же способами противоправное и безвозмездное приобретение права на чужое имущество».

Отличительной особенностью  фрода является  то, что все действия с жертвой так или иначе основаны на обмане. Классическим примером для ИТ-отрасли могут стать примеры уже известных манипуляций - кардинг (подделка платежных карт), фишинг (создание поддельных сайтов), вишинг (злоупотреблением доверия клиента), фарминг (перенаправленние на чужие ip-адреса), а так же мобильное мошенничество и многие другие связанные с методами социальной инженерии

В целом в теории принято разделять все виды фрода на четыре основные группы:
  • искажение финансовой отчетности;
  • неправомерное использование/присвоение имущества компании;
  • злоупотребление должностным положением;
  • фрод в электронных системах.

Для предотвращения фрода на организационно-административном уровне, т.е. без применения специального ПО  в организациях как правило предпринимается набор мер, в который входяn, например, следующие мероприятия:
  • внутренний аудит;
  • обучение сотрудников (anti-fraud awareness program);
  • управление физическим и логическим доступом;
  • выявление и контроль над конфликтами интересов;
  • процедуры согласования и авторизации действий.

Однако, когда все  бизнесс процессы подпадающие под риск фрода обрабатываются в информационных системах, то одних административных мер становится явно не достаточно. На помощь приходят  специальные  продукты - антифрод системы

В контексте финансовых реорганизаций фрод сводится к более узкому трактованию:

Фрод (англ. fraud) - умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб

Анти-фрод системы (Fraud Detection System) - специализированные программные или программно-аппаратные комплексы, обеспечивающий мониторинг, обнаружение и управление уровнем фрода. Системы ориентированы прежде всего для банков, телеком-операторов, платежных систем. 

Еще несколько лет назад фрод угрозы для банков и платежных систем были преимущественно связаны со скиммингом и кардингом. Довольно часто в перссе появлялись сообщения о специальных закладках на АТМ-устройствах, банковских терминалах, устанавливаемый на клавиатуру для негласного съема данных с карты жертв.

Сегодня же вектор кибер-атак сместился на сервисы ДБО, вредоносное ПО для мобильных устройств и специализированном фроде в автоматизированных банковских системах (внутренний или инсайдерский фрод).

Для борьбы с выше описными угрозами ИБ в банках и других крупных компаниях (к примеру, телеком-операторы, клиринговые центры  т.д.) применяют специализированное ПО  называемое общим словом анти-фрод системы.

Законодательство

В соответствии со ст.9 ФЗ-161 “О национальной платежной системе” оператор обязан возместить клиенту “сумму операции, совершенной без согласия клиента”, т.е. мошенническую операцию. Да, отделы безопасности банков плотно сотрудничают с различными государственными органами. 

А в не давно вышедшем  документе Банка России№552-П “О требованиях к защите информации в платежной системе Банка России” устанавливается, что все банки должны будут сообщать о несанкционированных переводах денежных средств через платежную систему (т.е. о фрод-операциях), подозрениях о возникновении или о возможности возникновения инцидентов в сегментах сети, где расположено рабочее место доступа к платежной системе в ведомственный FinCERT  Более подробно об этих инициативах мы кратко писали еще в прошлом году.

Крупные хищения денежных средств со счетов клиентов чаще всего доводятся до суда, но случаи мошеннических платежей по банковским картам через интернет-магазины на сегодняшний момент в России практически не расследуются. По информации размещенной  в одной публикации на Хабре, общий объем ущерба от кардинга (мошенники — жители СНГ) составляет 680 млн долларов за 2013-2014 гг. и еженедельно компрометируется 3-6 тысяч карт российских банков.  Более подробно о данных инцидентах можно почитать на форуме bankir.ru

Сейчас на доработке находится законопроект, усиливающий уголовную ответственность за киберпреступления. В частности, он вводит в статью 158 УК пункт о краже с банковского счета и электронных денежных средств, а в статью 183 УК - пункт о незаконном сборе информации путем злоупотребления доверием.

По мимо этого Банк России определился с концепцией регулирования краудфандинга. "При этом безусловным приоритетом будет защита прав потребителей". - поясняет заместитель  начальника ГУБиЗИ Артем Сычев. Основные риски краудфанддинга, по мнению ЦБ, связаны с непрозрачностью площадок и возможностью использования мошеннических схем вплоть до создания финансовых пирамид. Кроме того, возможен риск невозврата средств в случае, если проект не наберет требуемую сумму для запуска.

Анти-фрод системы

И так давайте же попробуем чуть-чуть заглянуть к ним внутрь и разобраться как работают эти системы, на сколько они действительно могут защитить от фрода.

1. Принципы работы
Не смотря на различные алгоритмы реализованные тем или иным вендором в каждом продукте, общие принципы на которых работает анти-фрод система остаются неизменными. Прежде сего это поиск аномалий  (нетипичных событий, действий, бухгалтерских проводок) в часто повторяющихся операциях с большим массивом данных. Большинство систем по умолчанию "из коробки" будут иметь типовой набор антипичных действия,который далее нужно адаптировать под каждый частный случай.

Основной флаг для опознавания - неоднородные данные и не типичное действие
  • формируем снимок стандартного рабочего дня
  • настраиваем автоматическое оповещение
  • ввыявленных отклонениях «подогреваем» области возможного фрода
Алгоритм формирование паттернов (шаблонов) для поиска Фрода


Основная задача внутренней антифрод системы

2. Анализируемые  данные
В каждом отдельном конкретном случае набор анализируемых данных для анти-фрод системы будет разным. Выбор прежде всего зависит от специфики работы самой компании в которой установлена система, так для банка это один набор данных, для телеком-оператора другой, для депозитария или клиринговый центра третий.  В целом эти данные собираются из множества финансово-значимых систем, к примеру, АБС для банка, базы дынных по транзакциям для платежных систем и т.д.  Так же будут варьироваться и критерии отбора, так для для SAP систем будут значимы операции и действия отображаемые в главной книге, для операторов связи это трафик и действия ведущие к изменению баланса счета\услуг клиента и т.д.

3. Архитектура 
Анти-фрод системы  как полноценный ИБ-продукт для крупных компаний будут ориентированы в строну клиент-серверного построения. Технические особенности во многом будут сильно зависть от дизайна конкретного разработчика продукта и ИТ-инфраструктуры в которую он внедряется. Но в целом система всегда будет содердать такие компоненты как:
  • ядро системы
  • база данных
  • клиентские модули
  • сервера (консоли) управления
 К примеру для телеком-оператора это может выглядеть так:


Машинное обучение и BigData в анти-фрод системах

Интеллектуальные антифрод-системы, установленные в промышленных дата-центрах или серверных помещения внутри собственной ИТ-инфраструктуры банков внутри своих алгоритмов используют математические модели "типичного рабочего дня", то время как формирование частных (т.е. заточенных под бизнес-процессы конкретного клиента) моделей поведения происходит на основе технологии машинного обучения с получением данных из больших массивов информации, получивших название BigData. Самообучение системы с учётом накопления данных позволяют со временем снижать вероятность возникновения ошибок первого (ложная тревога) и второго (пропуск реальной атаки) родов, что положительно сказывается на их эффективности. 

Тем не менее, риск пропуска атак все же сохраняется, так как киберпреступники придумывают всё более изощрённые способы атак. Более того, при целевой атаке, даже если антифрод-система выявит подозрительную транзакцию, киберпреступник, к примеру, может заранее узнать номер телефона клиента, на который будет звонить банк для подтверждения транзакции, и перенаправить вызов на свой телефон. О том, что перенаправление звонков вполне возможно и не является чем-то фантастическим, писалось в блоге компании PT на Хабре.

Мнения экспертов

Подавляющее большинство хищений денег (свыше 90 процентов) с использованием удаленных каналов обслуживания происходит с помощью методов "социальной инженерии". Это не требует каких-то специальных средств: потерпевший либо сам переводит деньги, либо выдает преступникам все реквизиты карт, контрольную информацию и так далее. Многие клиенты так глубоко попадают под обаяние мошенников, что подтверждают правомерность операций даже после того, как к ним обращается служба безопасности банка, -  рассказывает представитель Сбербанка Евгений Калинин.



Анти-фрод системы в сервисах Онлайн-банк

Для обеспечения безопасности операций с финансами для физических лиц   в сервисах  ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
  • ограничение количества покупок по одной банковской карте или одним пользователем за определенный период времени;
  • ограничение на максимальную сумму разовой покупки по одной карте или одним пользователем в определенный период времени;
  • ограничение на количество банковских карт, используемых одним пользователем в определенный период времени;
  • ограничение на количество пользователей, использующих одну карту;
  • учёт истории покупок по банковским картам и пользователями (так называемые «черные» или «белые» списки)
Обязательным требованием к реализации таких правил является распознавание пользователя по различным параметрам и алгоритмам. Соответственно, преимущество антифрод сервиса определяется его способностью быстро и с максимальной степенью вероятности распознать мошенника. Ещё одной функцией фрод-мониторинга является способность оценивать поведение покупателя в процессе проведения электронного платежа, к примеру в интернет-магазине. Насколько правдивую информацию указывает о себе человек и насколько совокупность параметров пользователя соответствует стандартным шаблонам поведения добропорядочных покупателей — все эти факторы, которые фрод-мониторинговые сервисы стараются учесть при оценке вероятности мошенничества.

Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.

Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка», которая характеризует способ обработки транзакции. Существуют три типа меток: 

  • «Зеленая» отмечает транзакции с низкой вероятностью возникновения мошеннической операции. 
  • «Желтой» меткой отмечаются транзакции, в которых шанс возникновения мошеннической операции выше среднего, и для проведения платежа потребуются дополнительного внимания. 
  • «Красной» отмечаются транзакции, которые с наибольшей вероятностью могут оказаться мошенническими, и при их проведении потребуется документальное подтверждение аутентичности владельца карты.

Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок; обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.

И так:

С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure. А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом — напрямую.

Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.

«Красную» метку система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.

Проблемы использования анти-фрод систем 

По данным портала www.banki.ru, самый популярный тип мошенничества с банковскими картами — это так называемый «friendly fraud» («дружеский фрод»). Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) — возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.

Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода. Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.

Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства». Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям.  Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки  системы электронных платежей PayOnline варьируется в рамках 93-96% — и это очень хороший показатель для рынка. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию. 

Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей, как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS, а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом. 

И немного  инфографики в тему фрода в России


Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.