В апреле этого года Минюст зарегистрировал документ о внесении изменений в положение ЦБ 375-П, которое определяет требования к правилам внутреннего контроля кредитных организаций. Оно нацелено на противодействие отмыванию денег и финансированию терроризма. Александр Ермакович – руководитель направления решений «Лаборатории Касперского» по предотвращению онлайн-мошенничества – рассказывает, каким образом будут внедряться нововведения.
Теперь, согласно поправкам, банки должны анализировать уникальные и специфические настройки и параметры устройств, с помощью которых их клиенты совершают денежные переводы. И далее присваивать этим гаджетам идентификаторы. Если в результате анализа уникальные идентификаторы устройств разных людей совпадут, банки обязаны считать владельцев этих гаджетов клиентами с повышенным уровнем риска. Подобные меры обосновываются тем, что совпадение идентификаторов устройств может быть признаком мошеннической схемы.
На самом деле все немного сложнее. Традиционные системы отслеживают сами трансакции (источник и адресат денежных переводов), а также их параметры в целом. Это надежная технология, отработанная годами. Теперь же на рынке появился новый пласт технологий, который дополняет уже существующий сегодня трансакционный анализ. Речь идет о подходе, работающем на совершенно других принципах. Собираемые параметры нужны для дальнейшего более глубокого анализа.
Трансакции в данном случае не исследуются, в основе лежит анализ поведения пользователя, устройств и их окружения
Трансакции в данном случае не исследуются, в основе лежит анализ поведения пользователя, устройств и их окружения. Собираются сотни параметров: информация о самом устройстве, его характеристики, особенности его использования, среда его функционирования, поведение клиента в банк-клиенте, его связь с другими пользователями или гаджетами. Все эти параметры собираются, после чего с помощью машинного обучения выявляются аномалии поведения и шаблоны, которые позволяют отличить мошенников и «обнальщиков» от обычных пользователей. Такой подход очень хорошо дополняет традиционный трансакционный анализ.
Если устройство было замечено в мошенничестве хотя бы одной организацией, то эта информация мгновенно станет доступной для других
Кроме того, используется так называемая глобальная репутация устройств: поскольку система облачная, она собирает, анализирует и хранит информацию о плохих и хороших устройствах. Если устройство было замечено в мошенничестве хотя бы одной организацией, то эта информация мгновенно станет доступной для других. Также с помощью глобальной репутации строятся связи между пользователями и устройствами, что позволяет выявлять группы, состоящие из сотен мошенников. Как правило, все эти злоумышленники замечены далеко не одним банком. В результате система позволяет наладить межбанковский обмен информацией.
Стоит отметить, что существует путаница по поводу IP-адреса. IP-адрес – это не характеристика устройства. Чтобы выделить и отследить гаджет, используется технология так называемого фингерпринта.
Прежде в банковской среде системы кибербезопасности работали в основном по конкретным правилам: если, к примеру, операция инициируется из Нигерии или превышается определенный порог, то происходит блокировка. Однако сегодня мошенники достаточно легко обходят такие правила, хотя на их создание и поддержку тратится много времени.
Поэтому в настоящее время актуальна инициатива ЦБ по сбору информации такого типа, и специалисты «Лаборатории Касперского» участвуют в консультациях с регулятором как эксперты. В частности, в июне этого года было дополнено положение 375-П по включению сбора необходимой информации. Все эти сведения будут составлять репутацию клиента, которая, в свою очередь, будет находиться в едином хранилище ЦБ. Одним из поставщиков информации в этой экосистеме станут в том числе вендоры и банки. Кредитные организации будут эту информацию собирать и также сдавать ее в центральное хранилище. Схема пока обсуждается, но до конца года в том или ином виде она должна быть реализована.
