Москва, 2024
Антифрод против телефонных мошенников: что и где улучшить
Актуальность темы
Телефон остается основным инструментом финансовых мошенников. Аферисты реализуют до 90% схем с его помощью. В 20% случаев злоумышленники используют подмену номера, еще 40% — приходится на связь в мессенджерах, и 40% — на звонки, совершенные с помощью виртуальных DEF-номеров. В 2023 году россияне, по данным начальника управления противодействия кибермошенничеству Сбербанка Сергея Велигодского, потеряли рекордные 14,2 млрд рублей, попавшись на уловки телефонных мошенников.
Согласно результатам опроса Всероссийского центра изучения общественного мнения, случаи телефонного мошенничества участились. За последний год аферисты звонили 67% россиян. В 2022 году о таком опыте рассказали 63% респондентов, а в 2021 году — чуть больше половины граждан (57%).
Одна из очевидных причин, по которой кибераферисты предпочитают звонить жертвам по телефону, — в личном в разговоре проще расположить к себе или запугать человека, чтобы получить доступ к его банковскому счету или обманом вынудить перевести деньги.
Банки, операторы, государство и регулятор борются с финансовым мошенничеством, в том числе, с помощью антифрода — систем мониторинга и предотвращения мошеннических операций.
Антифрод-платформы в режиме реального времени проверяют по разным параметрам каждый платеж или звонок и блокируют те, что кажутся им подозрительными.
Центр медиапрактик Института коммуникационного менеджмента НИУ ВШЭ и Банк «Уралсиб» исследовали, как в России используют антифрод-системы для противодействия телефонным мошенникам, где узкие места у отечественного фрод-мониторинга и есть ли технические возможности для того, чтобы их расширить.
Согласно результатам опроса Всероссийского центра изучения общественного мнения, случаи телефонного мошенничества участились. За последний год аферисты звонили 67% россиян. В 2022 году о таком опыте рассказали 63% респондентов, а в 2021 году — чуть больше половины граждан (57%).
Одна из очевидных причин, по которой кибераферисты предпочитают звонить жертвам по телефону, — в личном в разговоре проще расположить к себе или запугать человека, чтобы получить доступ к его банковскому счету или обманом вынудить перевести деньги.
Банки, операторы, государство и регулятор борются с финансовым мошенничеством, в том числе, с помощью антифрода — систем мониторинга и предотвращения мошеннических операций.
Антифрод-платформы в режиме реального времени проверяют по разным параметрам каждый платеж или звонок и блокируют те, что кажутся им подозрительными.
Центр медиапрактик Института коммуникационного менеджмента НИУ ВШЭ и Банк «Уралсиб» исследовали, как в России используют антифрод-системы для противодействия телефонным мошенникам, где узкие места у отечественного фрод-мониторинга и есть ли технические возможности для того, чтобы их расширить.
Единым фродом: что сделано
Разберемся, как в России борются с телефонным спуфингом — это метод мошенничества, когда злоумышленники маскируют свой номер телефона, подменяя его, чтобы убедить жертву, что звонок поступил, например, из банка, а также рассмотрим, какие антифрод-решения, разработанные телеком-операторами, тестируются сейчас в финансовых организациях.
По итогам 2023 года система не пропустила 622 млн звонков с подменных номеров. Однако для того, чтобы полностью решить проблему, к платформе должны присоединиться все российские федеральные и региональные операторы связи. Сегодня это сделали всего три четверти из них (904 из 1183).
После того как система «Антифрод» заработает в полную силу, предполагается, что у злоумышленников не будет технологической возможности подменить номер.
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Антифрод-система может, например, определить, является ли входящий звонок «типичным» для абонента. Звонок от нового контакта — это «нетипичный» вызов. Кроме того, платформа может выявить отклонения от паттернов поведения абонента. У каждого человека есть средняя продолжительность разговора. Условно говоря, обычно беседа длится не больше 10-15 минут, в случае если она затянулась на полчаса, а косвенные признаки указывают на то, что звонок подозрительный, система может направить сигнал в банк: «Нам кажется, что вашего клиента сейчас «прессуют» злоумышленники, обратите внимание». Такие технологии пока не получили широкого распространения, но они существуют и уже пилотируются в финансовых организациях.
Крупные телеком-операторы разрабатывают для банков антифрод-платформы для борьбы с социальной инженерией. Например, система МТС в режиме реального времени маркирует для финансовых организаций номера абонентов, которые могут находиться под воздействием телефонных мошенников.
Алгоритмы антифрод-системы МТС, работающие на основе машинного обучения, анализируют каждого пользователя. Платформа составляет профиль абонента на основе его действий, используя десятки различных признаков, а также анализирует его звонки и СМС в поиске шаблонов, которые используют мошенники. Это помогает определить, является ли клиент жертвой социальной инженерии.
Оператор мобильной связи Tele2 также предложил решение для финансового сектора — его антифрод-платформа позволяет уменьшить число случаев незаконного вывода денег с карт клиентов с помощью подменных номеров. Телеком-оператор и банк синхронизируют данные о сигнальном трафике с CRM-системой банка. Кроме того, Tele2 ставит на мониторинг все звонки клиентам с так называемых А-номеров — телефонов, с которых сотрудники банков могут звонить держателям карт.
Антифрод-система «МегаФона» выявляет подозрительные звонки и обменивается этими данными с банком. Если человеку звонят с номера кредитного учреждения, но антифрод-платформа со стороны банка не подтверждает вызов, значит, он идет от мошенников. В таком случае система безопасности финансовой организации может оперативно заблокировать транзакции клиента и не допустить несанкционированный перевод. Такие решения сейчас тестируются в крупных банках.
- Система Роскомнадзора «Антифрод»
По итогам 2023 года система не пропустила 622 млн звонков с подменных номеров. Однако для того, чтобы полностью решить проблему, к платформе должны присоединиться все российские федеральные и региональные операторы связи. Сегодня это сделали всего три четверти из них (904 из 1183).
После того как система «Антифрод» заработает в полную силу, предполагается, что у злоумышленников не будет технологической возможности подменить номер.
- Антифрод-системы операторов связи для финансовых организаций
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Антифрод-система может, например, определить, является ли входящий звонок «типичным» для абонента. Звонок от нового контакта — это «нетипичный» вызов. Кроме того, платформа может выявить отклонения от паттернов поведения абонента. У каждого человека есть средняя продолжительность разговора. Условно говоря, обычно беседа длится не больше 10-15 минут, в случае если она затянулась на полчаса, а косвенные признаки указывают на то, что звонок подозрительный, система может направить сигнал в банк: «Нам кажется, что вашего клиента сейчас «прессуют» злоумышленники, обратите внимание». Такие технологии пока не получили широкого распространения, но они существуют и уже пилотируются в финансовых организациях.
Крупные телеком-операторы разрабатывают для банков антифрод-платформы для борьбы с социальной инженерией. Например, система МТС в режиме реального времени маркирует для финансовых организаций номера абонентов, которые могут находиться под воздействием телефонных мошенников.
Алгоритмы антифрод-системы МТС, работающие на основе машинного обучения, анализируют каждого пользователя. Платформа составляет профиль абонента на основе его действий, используя десятки различных признаков, а также анализирует его звонки и СМС в поиске шаблонов, которые используют мошенники. Это помогает определить, является ли клиент жертвой социальной инженерии.
Оператор мобильной связи Tele2 также предложил решение для финансового сектора — его антифрод-платформа позволяет уменьшить число случаев незаконного вывода денег с карт клиентов с помощью подменных номеров. Телеком-оператор и банк синхронизируют данные о сигнальном трафике с CRM-системой банка. Кроме того, Tele2 ставит на мониторинг все звонки клиентам с так называемых А-номеров — телефонов, с которых сотрудники банков могут звонить держателям карт.
Антифрод-система «МегаФона» выявляет подозрительные звонки и обменивается этими данными с банком. Если человеку звонят с номера кредитного учреждения, но антифрод-платформа со стороны банка не подтверждает вызов, значит, он идет от мошенников. В таком случае система безопасности финансовой организации может оперативно заблокировать транзакции клиента и не допустить несанкционированный перевод. Такие решения сейчас тестируются в крупных банках.
Антифрод против телефонных мошенников: узкие места
Антифрод-системы постоянно совершенствуются, но мошенники придумывают новые схемы, учатся обходить умные алгоритмы. Чтобы искоренить фрод, эксперты, государство и участники рынка рассматривают разные решения.
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Единая антифрод-платформа позволит всем участникам рынка, финансовым организациям, операторам связи, а также правоохранительным органам, оперативно и комплексно реагировать на противоправные действия. В частности, необходимо объединить усилия банков и МВД, чтобы финансовые организации могли в реальном времени передавать силовым органам информацию о мошеннических операциях. Также важна консолидация усилий банков и операторов связи. И здесь ФинЦЕРТ Банка России мог бы взять на себя функцию транслятора информации — то есть, передавать кредитным организациям сведения от телеком-операторов о подозрительных звонках, поступивших их клиентам. Возможно, эту задачу могла бы взять на себя Национальная система платежных карт (НСПК). Схема может быть следующая — оператор передает в НСПК информацию о фальшивом звонке, НСПК, в свою очередь, проверяет, счета в каких банках привязаны к данному номеру телефона, и сигнализирует финансовым организациям, что их клиент может совершить операцию под воздействием мошенников. То есть, стоит задача — на базе единой платформы создать интегрированную систему, где все участники могут взаимодействовать друг с другом и делиться информацией. Полагаю, что появление такой платформы — это вопрос если не сегодняшнего дня, то точно ближайшего будущего.
По словам министра цифрового развития, связи и массовых коммуникаций России Максута Шадаева, была создана рабочая группа для проработки вопроса о запуске единой цифровой платформы по борьбе с мошенничеством. Как отмечают в Центробанке, инициативу обсудили на заседании рабочей группы с участием банков, МВД, Минцифры, Роскомнадзора и операторов сотовой связи и приняли решение о необходимости развития обмена информацией, в том числе между кредитными организациями и телеком-операторами. Форматы координации действий сейчас прорабатываются.
Андрей Курило, к.т.н., доцент кафедры комплексной безопасности критически важных объектов Российского университета нефти и газа, советник по информационной безопасности вице-президента аудиторской компании ФБК:
— Звонки в мессенджерах, WhatsApp, Telegram, Viber, никак не контролируются, поэтому эти каналы так популярны среди мошенников. Возникает вопрос, что делать? Этим вопросом должен заниматься Роскомнадзор. Нужно выстраивать сложные процедуры, связанные с внутренним анализом трафика в мессенджере с целью выявления признаков противоправных действий, и оперативно передавать эту информацию в банки, чтобы они могли помешать человеку, допустим, снять в банкомате какую-то сумму и передать ее мошенникам.
Пока технического решения для мониторинга голосовых вызовов через интернет и их блокировки нет, но предполагается, что к 2029-му система Роскомнадзора «Антифрод» сможет выявлять инциденты в мессенджерах WhatsApp, Viber, Telegram и блокировать такие звонки.
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Если мы будем знать, что в момент активных действий со своим счетом, клиент, например, висит на телефоне или разговаривает через мессенджер, можно предположить, что, скорее всего, он действует под давлением. Банк получает от оператора связи сигнал, что в момент проведения операции у клиента есть телефонное соединение, и принимает меры. Технически это можно сделать, если объединить усилия банков и телекома.
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Нельзя настроить антифрод-систему раз и навсегда, следует постоянно анализировать ее работу, оценивать уязвимости и процент ложных срабатываний, отказываться от одних правил и дорабатывать другие. Специалист, который занимается этим, должен разбираться в широком спектре вопросов, потому что от его квалификации зависит, насколько эффективно будет работать платформа. Может быть, в России есть вузы, которые готовят такие кадры, но я о них не знаю.
- Внедрение единой антифрод-платформы
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Единая антифрод-платформа позволит всем участникам рынка, финансовым организациям, операторам связи, а также правоохранительным органам, оперативно и комплексно реагировать на противоправные действия. В частности, необходимо объединить усилия банков и МВД, чтобы финансовые организации могли в реальном времени передавать силовым органам информацию о мошеннических операциях. Также важна консолидация усилий банков и операторов связи. И здесь ФинЦЕРТ Банка России мог бы взять на себя функцию транслятора информации — то есть, передавать кредитным организациям сведения от телеком-операторов о подозрительных звонках, поступивших их клиентам. Возможно, эту задачу могла бы взять на себя Национальная система платежных карт (НСПК). Схема может быть следующая — оператор передает в НСПК информацию о фальшивом звонке, НСПК, в свою очередь, проверяет, счета в каких банках привязаны к данному номеру телефона, и сигнализирует финансовым организациям, что их клиент может совершить операцию под воздействием мошенников. То есть, стоит задача — на базе единой платформы создать интегрированную систему, где все участники могут взаимодействовать друг с другом и делиться информацией. Полагаю, что появление такой платформы — это вопрос если не сегодняшнего дня, то точно ближайшего будущего.
По словам министра цифрового развития, связи и массовых коммуникаций России Максута Шадаева, была создана рабочая группа для проработки вопроса о запуске единой цифровой платформы по борьбе с мошенничеством. Как отмечают в Центробанке, инициативу обсудили на заседании рабочей группы с участием банков, МВД, Минцифры, Роскомнадзора и операторов сотовой связи и приняли решение о необходимости развития обмена информацией, в том числе между кредитными организациями и телеком-операторами. Форматы координации действий сейчас прорабатываются.
- Мониторинг голосовых вызовов через интернет
Андрей Курило, к.т.н., доцент кафедры комплексной безопасности критически важных объектов Российского университета нефти и газа, советник по информационной безопасности вице-президента аудиторской компании ФБК:
— Звонки в мессенджерах, WhatsApp, Telegram, Viber, никак не контролируются, поэтому эти каналы так популярны среди мошенников. Возникает вопрос, что делать? Этим вопросом должен заниматься Роскомнадзор. Нужно выстраивать сложные процедуры, связанные с внутренним анализом трафика в мессенджере с целью выявления признаков противоправных действий, и оперативно передавать эту информацию в банки, чтобы они могли помешать человеку, допустим, снять в банкомате какую-то сумму и передать ее мошенникам.
Пока технического решения для мониторинга голосовых вызовов через интернет и их блокировки нет, но предполагается, что к 2029-му система Роскомнадзора «Антифрод» сможет выявлять инциденты в мессенджерах WhatsApp, Viber, Telegram и блокировать такие звонки.
- Расширение взаимодействия между банками и телеком-операторами
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Если мы будем знать, что в момент активных действий со своим счетом, клиент, например, висит на телефоне или разговаривает через мессенджер, можно предположить, что, скорее всего, он действует под давлением. Банк получает от оператора связи сигнал, что в момент проведения операции у клиента есть телефонное соединение, и принимает меры. Технически это можно сделать, если объединить усилия банков и телекома.
- Подготовка кадров для работы с антифрод-системами
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Нельзя настроить антифрод-систему раз и навсегда, следует постоянно анализировать ее работу, оценивать уязвимости и процент ложных срабатываний, отказываться от одних правил и дорабатывать другие. Специалист, который занимается этим, должен разбираться в широком спектре вопросов, потому что от его квалификации зависит, насколько эффективно будет работать платформа. Может быть, в России есть вузы, которые готовят такие кадры, но я о них не знаю.
Не антифродом единым
Искусственный интеллект и антифрод-разработки не всегда способны защитить россиян от действий телефонных мошенников. Чтобы снизить количество киберпреступлений, следует не только совершенствовать и внедрять инновационные технологии в работу финансового сектора и телеком-операторов, но и проводить комплексную работу.
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— «Большая четверка» телеком-операторов следует всем предписанным контрольным процедурам по выдаче сим-карт, однако есть небольшие субоператоры, которые, к сожалению, не очень замотивированы на то, чтобы выполнять требование о подтверждении личности человека, использующего корпоративную сим-карту. Они бесконтрольно раздают блоки номеров компаниям. Решить эту проблему и уменьшить количество незарегистрированных номеров можно, только ужесточив нормативное регулирование. Это задача Минцифры и Минкомсвязи.
Андрей Курило, к.т.н., доцент кафедры комплексной безопасности критически важных объектов Российского университета нефти и газа, советник по информационной безопасности вице-президента аудиторской компании ФБК:
— История с серыми сим-картами длится уже больше десяти лет. Этот процесс нужно поставить под контроль — каждая сим-карта должны быть привязана к физическому лицу по паспорту. Важно добиваться, чтобы это было реализовано. В стране не должно быть неидентифицированных сим-карт.
Минцифры с Роскомнадзором и участниками рынка уже готовят поправки к закону «О связи», которые должны ужесточить процесс продажи сим-карт в России. Также речь идет о верификации абонентов при участии МВД. В случае принятия мер активировать сим-карту будет возможным только после проверки паспортных данных пользователя силовиками. Среди других выдвинутых предложений — ввести ограничение количества сим-карт, которые можно зарегистрировать на один паспорт и активация сим-карты только после верификации пользователя на портале Госуслуги.
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Важно мотивировать банки проводить работу с населением по повышению финансовой грамотности. Банк России активно развивает эту тему. Регулятор предписал всем финансовым организациям обращаться к своим клиентам, сотрудничать со школами, вузами, разъяснять основные правила личной финансовой безопасности, а также рассказывать, как действовать, если вам поступил подозрительный звонок.
Андрей Курило, к.т.н., доцент кафедры комплексной безопасности критически важных объектов Российского университета нефти и газа, советник по информационной безопасности вице-президента аудиторской компании ФБК:
— В первую очередь нужно работать с населением, а не бить по хвостам, бороться с причинами, а не со следствием. Подорвать финансовое могущество мошенников можно, только повышая финансовую грамотность россиян и ужесточив меры по борьбе с дропом.
- Ужесточить контроль за оборотом сим-карт
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— «Большая четверка» телеком-операторов следует всем предписанным контрольным процедурам по выдаче сим-карт, однако есть небольшие субоператоры, которые, к сожалению, не очень замотивированы на то, чтобы выполнять требование о подтверждении личности человека, использующего корпоративную сим-карту. Они бесконтрольно раздают блоки номеров компаниям. Решить эту проблему и уменьшить количество незарегистрированных номеров можно, только ужесточив нормативное регулирование. Это задача Минцифры и Минкомсвязи.
Андрей Курило, к.т.н., доцент кафедры комплексной безопасности критически важных объектов Российского университета нефти и газа, советник по информационной безопасности вице-президента аудиторской компании ФБК:
— История с серыми сим-картами длится уже больше десяти лет. Этот процесс нужно поставить под контроль — каждая сим-карта должны быть привязана к физическому лицу по паспорту. Важно добиваться, чтобы это было реализовано. В стране не должно быть неидентифицированных сим-карт.
Минцифры с Роскомнадзором и участниками рынка уже готовят поправки к закону «О связи», которые должны ужесточить процесс продажи сим-карт в России. Также речь идет о верификации абонентов при участии МВД. В случае принятия мер активировать сим-карту будет возможным только после проверки паспортных данных пользователя силовиками. Среди других выдвинутых предложений — ввести ограничение количества сим-карт, которые можно зарегистрировать на один паспорт и активация сим-карты только после верификации пользователя на портале Госуслуги.
- Повышение уровня финансовой грамотности населения
Василий Окулесский, к.т.н., вице-президент по информационной безопасности «ЦМРБанка»:
— Важно мотивировать банки проводить работу с населением по повышению финансовой грамотности. Банк России активно развивает эту тему. Регулятор предписал всем финансовым организациям обращаться к своим клиентам, сотрудничать со школами, вузами, разъяснять основные правила личной финансовой безопасности, а также рассказывать, как действовать, если вам поступил подозрительный звонок.
Андрей Курило, к.т.н., доцент кафедры комплексной безопасности критически важных объектов Российского университета нефти и газа, советник по информационной безопасности вице-президента аудиторской компании ФБК:
— В первую очередь нужно работать с населением, а не бить по хвостам, бороться с причинами, а не со следствием. Подорвать финансовое могущество мошенников можно, только повышая финансовую грамотность россиян и ужесточив меры по борьбе с дропом.
Заключение
Совместная работа Банка России, Минцифры России, участников финансового рынка и операторов связи позволила существенно снизить количество звонков с использованием городских телефонных номеров (ABC-нумерация). За 2023 год ЦБ инициировал блокировку 575,6 тыс. номеров. Тем не менее злоумышленники начали более активно задействовать мобильные телефонные номера (DEF-нумерация), а также мессенджеры. Это те вопросы, которые еще только предстоит решить. Технические возможности для этого появляются — отечественный рынок антифрод-систем растет. Эксперты полагают, что решения российских компаний не уступают, а иногда и превосходят антифрод-платформы зарубежных разработчиков, хорошо интегрируются и работают друг с другом.
