А один в поле воин? Эссе о домохозяйках, мышах и антифроде

А один в поле воин? Эссе о домохозяйках, мышах и антифроде

Сергей Вихорев, советник генерального директора ООО «ИТ-Экспертиза»:

ХОЗЯЙКА ЗРИТ В КОРЕНЬ

Антифрод – это важно. Но как-то однобоко мы подходим к этой проблеме. С одной стороны, повышение осведомлённости клиента. Правда, непонятно, насколько это эффективно. Ведь ещё незабвенный дедушка Крылов правильно заметил:

«Уж сколько раз твердили миру,
Что лесть гнусна, вредна; но только всё не впрок,
И в сердце льстец всегда отыщет уголок».

С другой стороны, мы стараемся определить всеми возможными способами, в том числе и с использованием искусственного интеллекта, причём по косвенным признакам, а то ли лицо, которому положено, совершило эту транзакцию. А в целом получается, что вектор наших усилий направлен только в одну сторону: клиент, совершающий сделку. Но ведь палка всегда о двух концах. И если есть «жертва», то всегда будет и «злоумышленник». Причём он не дурак, он мимикрирует, он подстраивается под ситуацию, он, в конце концов, ловит «хайп». И это важный элемент в мошеннических действиях по совершению операции без согласия клиента, который полностью выпадает из поля зрения антифрода.

А как борется с мышами хорошая хозяйка? Разве она пытается закрыть все дыры, через которые они лезут? Нет, она раскладывает отраву, чтобы уничтожить зло в корне.

О ПРОФИЛЕ ЗЛОУМЫШЛЕННИКА

И тут вырисовывается новое направление в борьбе с фродом. А не задуматься ли нам не о профиле клиента, а о профиле злоумышленника? Сложно? Да. Возможно? Да.

Давайте рассмотрим такую ситуацию. Положим, злоумышленник хочет либо получить данные клиента, либо убедить его перевести деньги на другой счёт. Он будет звонить потенциальной жертве и обрабатывать её. По всей вероятности, он будет использовать какой-то кол-центр или несколько разных сим-карт. При этом злоумышленник вряд ли будет бегать по городу, чтобы каждый раз сделать звонок из другого места. Следовательно, можно выделить первый демаскирующий признак: местоположение злоумышленника, из которого либо идёт много звонков с одного или нескольких номеров, либо используют много разных сим-карт.

Пойдём дальше. Злоумышленник вряд ли будет звонить наобум (хотя и это не исключено, но это другой случай), ему нужно для начала иметь какую-то базу, где есть по крайней мере Ф. И. О. жертвы, её телефон и, лучше всего, банк, в котором у жертвы счёт или номер банковской карты. Такую базу злоумышленник, скорее всего, купит в даркнете. Не думаю, что таких баз у злоумышленника в один день будет «в работе» несколько. Следовательно, скорее всего, свои звонки он будет совершать клиентам одного банка. Это позволяет нам дополнить и расширить демаскирующий признак: местоположение злоумышленника, из которого либо идут много звонков клиентам одного банка с одного или нескольких номеров, либо используют для этих целей много разных сим-карт. Ну а дальше, используя современные методы геолокации (а может быть, и искусственного интеллекта), вполне реально вычислить «лёжку» злоумышленника.

А дальше всё просто: берём и ликвидируем «лёжку» и тем самым спасаем много-много дедушек и бабушек от возможности потерять свои средства. Заметьте, это не методы социальной инженерии, это не технические методы, это скорее аналитические методы. Мы должны не только анализировать действия клиента, но ещё и научиться анализировать действия злоумышленника. Иначе в вечной борьбе «действие – противодействие» мы всегда будем в отстающих.

А теперь вопрос. Это дело службы банка? Нет! Здесь уже зона ответственности силовых структур, операторов связи, аналитиков и прочая. Вот и получается, что проблема антифрода – это проблема скорее не банка, а внешних структур. Но и с банка ответственность не снимается. Всё-таки хорошая хозяйка в первую очередь постарается залить мышиную норку цементом с битым стеклом…

Андрей Курило, советник по вопросам ИБ ФБК и FBK Cyber Security:

Согласен с С. Вихоревым в том, что борьба с мошенничеством (возьмём пошире) – это далеко не проблема банков. Это дело государственное, так как в нём слишком много различных составляющих, слишком много центров управления отдельными компонентами, и государственные интересы, прямо обозначенные в Конституции РФ, пересекаются тут с интересами бизнеса.

А что касается формирования профилей преступника – вопрос хороший, однако мне кажется, что этот подход труднореализуем, так как слишком высока неопределённость в такой задаче, сложно будет выработать решение на блокирование операции на основании не слишком точных данных.

С. Вихорев в ответ спросит: зачем блокировать транзакцию? Надо блокировать мошенника. И это правильно, но долго и непонятно, насколько эффективно. Ведь нужно будет доказать в суде, что задержанное лицо–мошенник. Иначе никак.