© 1995-2021 Компания «Инфосистемы Джет»
Особенности детектирования и противодействия фроду в Аэрофлоте
Информационная безопасность

В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма.

30.05.2016

Посетителей: 300

Просмотров: 258

Время просмотра: 1.8 мин.

«В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма. В реальности мы вовлечены примерно в такое же противостояние», – рассуждает по ходу нашей беседы Евгений Пономарев, начальник отдела защиты информационных ресурсов департамента обеспечения экономической безопасности (ОЗИР ДОЭБ) ПАО «Аэрофлот».

— Так что же делать? – забеспокоился Балаганов. – Как снискать хлебнасущный?
— Надо мыслить, – сурово ответил Остап. – Меня, например, кормят идеи.

Илья Ильф, Евгений Петров,
«Золотой теленок»

Евгений Борисович, что такое фрод для «Аэрофлота» – это проблема, угроза или факт, сопутствующий бизнесу компании?

Хотел бы уточнить, что для меня к понятию «фрод» можно отнести не только классическое мошенничество, но и другие противоправные действия субъектов, наносящие ущерб компании. Поэтому, на мой взгляд, фрод для «Аэрофлота» – это и первое, и второе, и третье, поскольку регулярно приходится сталкиваться с реальными случаями его проявления. На сегодняшний день довольно большая их часть направлена на личные кабинеты участников программы лояльности «Аэрофлот Бонус»: взломы, переоформление доступа на себя и, как следствие, неправомерное использование бонусных миль владельцев аккаунтов. Ведь мили, начисляемые участникам программы, фактически являются материальным активом компании: на них можно приобретать премиальные билеты, оплачивать проживание в отелях, выбирать премии от партнеров из каталога и т.д.

 

В целом же в настоящее время, когда число автоматизируемых сервисов в компании постоянно увеличивается, угрозы принимают глобальный характер. Злоумышленники используют различные уязвимости информационных ресурсов, включая необдуманные действия самих владельцев аккаунтов (использование простых паролей, доверие к фишингу и т.п.), поэтому для противодействия этому необходимо применять комплексные решения с широким использованием технических средств. При таких объемах информации, какие есть в «Аэрофлоте», вручную отследить подобный фрод практически невозможно.

О каких объемах идет речь?

Миллионы записей об операциях, сотни гигабайт информации. Поэтому одним из наиболее приоритетных направлений, по моему мнению, является разработка и внедрение собственной антифрод-системы, позволяющей онлайн выявлять и предотвращать мошеннические и другие противоправные операции.

Вы уже частично сказали о рисках мошенничества, которые характерны для вашей компании. Можно ли отнести какие-то угрозы к уникальным – присущим только транспортным компаниям?

Я затрудняюсь говорить за отрасль в целом, могу только подробнее остановиться на некоторых схемах, с которыми приходится сталкиваться на практике. Например, до недавнего времени потратить мили нашей программы лояльности можно было лишь на крупные покупки – на премиальные билеты. В среднем на одного участника приходилось несколько премий в год. Поэтому в дополнительном подтверждении операций с помощью SMS-информирования не было нужды. Когда же был введен каталог премий, подразумевающий траты баллов «небольшими порциями», фрод (кража миль) лавинообразно вырос. Было принято решение обязать всех участников программы лояльности указать номера мобильных телефонов в своих данных в личном кабинете. Соответственно, любое списание миль идет через SMS-подтверждение транзакций. Кроме того, SMS информируют о большинстве действий в личном кабинете: входе/выходе, изменении персональных данных и т.д. Это позволяет предотвратить, в том числе, кражу и несанкционированное использование персональных данных участников программы «Аэрофлот-бонус».

 

Другое направление, которому уделяется серьезное внимание, – это борьба с мошенническими сайтами, предлагающими фиктивные билеты «Аэрофлота», условно говоря, за полцены. Полностью имитируются бронирование и выдача электронного билета. В конце концов выясняется, что такого билета в природе не существует, а «Аэрофлот» несет существенный имиджевый ущерб.

 

Конечно же, приведенные риски – это примеры из довольно длинного списка имеющихся опасностей, но я хотел бы ограничиться сказанным.

По каким признакам вы определяете, что кабинет пользователя скомпрометирован, что имеет место мошенничество, если не считать обращений самих пользователей?

В качестве инструмента используется выявление паттернов поведения мошенников. Например, возьмем механизм регистрации поддельных аккаунтов в «Аэрофлот Бонус». Один из негласных принципов любой программы лояльности заключается в том, что в ней никогда не регистрируются все 100% клиентов компании. Допустим, человек летает нечасто, но на дальние расстояния, за которые начисляется внушительное количество миль, при этом бонусную карту не заводит. Злоумышленник устанавливает таких клиентов и, используя их данные, регистрирует аккаунты в программе лояльности, на которые фактически неправомерно начисляются бонусные мили, а затем тратит их на вполне осязаемые блага.

 

Похожая мошенническая схема характерна для ритейла: кассир при покупке спрашивает, есть ли у покупателя бонусная карта, и в случае ее отсутствия использует свою, получая от покупателя полную сумму и откладывая в свой карман разницу. Отмечу также, что подобные паттерны лучше всего выявляются на большом объеме информации, как в нашем случае.

 

К сожалению, я не могу привести ряд других примеров, поскольку они являются основой для материалов, направляемых в правоохранительные органы для принятия соответствующих мер, вплоть до возбуждения уголовных дел.

Насколько за последние 3 года изменилась динамика мошенничества, направленного на «Аэрофлот» и клиентов компании? Может быть, у вас есть конкретные цифры?

Процесс очень динамичен, он напоминает синусоиду: появление новых сервисов и возможностей для клиентов обычно вызывает рост фрода, иногда в разы. Злоумышленники моментально обнаруживают в них уязвимости и начинают их эксплуатировать. Когда мы закрываем «дыры», ситуация нормализуется. Это диалектический принцип действия и противодействия. Например, мы ввели SMS-подтверждение транзакций, но злоумышленники могут перехватывать сами SMS-ки, используя для этого клоны SIM-карт. И, несмотря на то, что это пока не зафиксировано, проработки вариантов пресечения уже ведутся. Так что говорить о каких-то стабильных процентах роста или снижения фрода в целом вряд ли возможно.

 

Отмечу, что построить систему защиты от фрода, через которую не пробьется ни один злоумышленник, практически нереально. Важно вовремя находить аномалии и определять, что это: случайное проникновение, уже закономерное явление или принципиально новая схема, после чего оперативно применять адекватные и действенные меры.

Допустим, мошенничество касается использования кобрендинговых банковских карт «Аэрофлот Бонус». Как в этом случае выстраивается противодействие – вы работаете совместно, в тандеме со службой экономической безопасности партнера? Кто кому передает информацию?

Проще рассмотреть на примере: случаем мошенничества по кобрендинговым картам может быть начисление миль при отсутствии соответствующих транзакций. Когда подобное выявляется, партнеру направляется сообщение об инциденте. Возможно, на его стороне действуют злоумышленники, или же у банка свои, индивидуальные договоренности с этим клиентом. Поскольку при начислении бонусных миль по кобрендинговым картам расходы несет банк-партнер, материального ущерба для «Аэрофлота» нет. И после информирования партнера реакция идет на его стороне.

Обозначьте, пожалуйста, место, которое занимает функция противодействия мошенничеству в структуре вашей компании. Насколько она значима для бизнеса?

В более широком понимании фрода одним из основных подразделений, занимающихся антифродом, является наш департамент обеспечения экономической безопасности, кратко – ДОЭБ, в функции которого входит и обеспечение информационной безопасности. В ДОЭБ есть несколько отделов, отвечающих за определенные направления. Так, наш отдел обеспечивает защиту информационных ресурсов, другой отдел в том числе выявляет и проводит расследования по фактам внутреннего фрода, а отдел обеспечения безопасности электронных продаж отвечает за предотвращение внешнего фрода при онлайн-продажах билетов. Для этого он использует свою дежурную смену, которая проверяет транзакции на предмет наличия мошеннических операций.

 

При этом процесс противодействия фроду также организуют владельцы информационных ресурсов – бизнес-подразделения компании. Например, клиент обнаруживает кражу своих миль или изменение ФИО в личном кабинете, обращается на горячую линию, которая передает информацию в бизнес-подразделение. Специалисты начинают разбираться, в чем причина инцидента. Если она носит технический характер, подключают для решения проблемы ИТ-департаменты, если же есть подозрение на фрод, передают данные в ДОЭБ, который проводит расследование и ставит в известность владельца ресурса – бизнес-подразделение – о том, имело ли место мошенничество или другие противоправные действия. Если ответ положителен, бизнес-подразделение принимает решение о формате реагирования, вплоть до передачи материалов в правоохранительные органы. Само взаимодействие с этими органами – уже задача нашего департамента. То есть факт наличия проблемы констатирует владелец ресурса, ДОЭБ выявляет мошенничество и контролирует фрод-риски, решение о том, как именно будут пресекаться конкретные выявленные угрозы, – за бизнесом, а противодействие фроду – это совместная деятельность бизнеса, ДОЭБ, а также ИТ-департаментов. Естественно, это не отменяет самостоятельную деятельность нашего департамента по выявлению возможных рисков – техническими и организационными методами.

Вы упомянули совместную работу с ИТ-департаментами. В чем конкретно она проявляется?

Собственно, за техническую сторону реализации полномасштабного SMS-информирования при входе/выходе из личного кабинета, внесении изменений в персональные данные клиентов, подтверждении операций с милями и т.п. отвечали ИТ-специалисты. И как оказалось, реализовать его было не так-то просто: до недавнего времени управление нашей программой лояльности осуществлялось на базе решения Sabre, компании, которая владеет крупнейшей системой бронирования и обслуживает десятки авиакомпаний по всему миру. В этих условиях расширение функционала системы под нас было нецелесообразно экономически, поскольку доработки глобальной системы объективно стоят неадекватно больших денег. В настоящее время в ПАО «Аэрофлот» внедрена собственная CRM-система, в которой настроено соответствующее SMS-информирование с подтверждением транзакций.

Кто, по вашему мнению, должен являться пользователем антифрод-системы в компании, иметь к ней доступ?

Отдельные модули системы должны эксплуатировать бизнес-подразделения, пользующиеся информационными ресурсами, в отношении которых возможен фрод. Наработанные шаблоны, раскрытые схемы мошенничества должны быть доступны им в автоматическом режиме для противодействия угрозам. Кроме того, обязательными пользователями системы должны являться соответствующие отделы нашего департамента.

Одна из запретных тем – это внутреннее мошенничество. Все о нем знают и все отрицают факты на своей стороне. Насколько часто вы сталкиваетесь с внутренними угрозами? И если они имеют место, где чаще всего «орудуют» сотрудники?

Опять-таки напомню, что внутренний фрод, о котором я буду говорить, – понятие более широкое, чем мошенничество, включающее, помимо него, и другие противоправные действия инсайдеров, наносящие ущерб компании.

 

По моим сведениям, на сегодняшний день в «Аэрофлоте» не было зафиксировано серьезных инцидентов по части внутреннего фрода. Грамотная кадровая политика нашего руководства способствует этому.

 

Тем не менее вряд ли можно утверждать, что в такой большой компании, как «Аэрофлот», такого явления вообще нет. Здесь есть другой аспект: может быть, искать нужно более тщательно. Я недавно ходил на прием к врачу, и на мою фразу «вообще-то я абсолютно здоров, это случайное недомогание» он ответил: «Здоровых людей нет, есть не дообследованные». Так что оценивать я не берусь. Могу высказать только свое мнение, что более тщательный поиск объективно невозможен без автоматизации процесса. Причем необходимо именно специализированное, комплексное решение, анализирующее движение информации внутри компании, ее состав и действия владельцев этой информации.

 

При этом подчеркну, что я не вижу большой разницы между внутренним и внешним фродом: и в том, и в другом случае компания несет ущерб и стоит задача по его предотвращению. Основная задача – пресекать любые действия, направленные против компании, а кто их инициатор – вопрос второго порядка. Более того, теоретически возможен случай, когда внешние злоумышленники, эксплуатируя пока еще не закрытые уязвимости наших информационных ресурсов, могут получить доступ к ним, аналогичный разрешенному доступу сотрудников компании. При этом грань между внутренним и внешним фродом практически полностью стирается. Еще один пример – сговор между отдельным работником и внешним мошенником. Атака идет извне, однако с полным пониманием внутренних процессов. Это, пожалуй, самый опасный и труднее всего выявляемый фактор, который можно отнести к элементам внутреннего фрода.

Какие факты внутреннего фрода вы выявляете?

Бывают случаи незаконных апгрейдов: когда по билету, приобретенному в эконом-класс, человек летит бизнес-классом; мошенничество с перевесом багажа (например, «разумное» распределение багажа между пассажирами во избежание перевеса у кого-то из них, для того чтобы не доплачивать авиакомпании). При этом пассажир, получивший такой апгрейд или имеющий перевес багажа, платит меньшую сумму в карман работнику. Такие «шалости» бывают нечасто и наносят компании довольно небольшой ущерб. Кроме того, назвать это полностью внутренним фродом нельзя, поскольку на стойках регистрации далеко не всегда работают сотрудники «Аэрофлота», чаще это представители компаний-партнеров.

Что грозит внутренним мошенникам?

Сотрудники при приеме на работу подписывают документ, в котором указывается их ответственность за те или иные действия. Когда выявляются факты злоупотребления должностными полномочиями, проводится тщательное служебное расследование, по его результату руководство рассматривает меры дисциплинарного воздействия вплоть до увольнения. Такие случаи в «Аэрофлоте» были, но благодаря грамотной кадровой политике руководства они практически единичны.

Евгений Борисович, большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Основные функции системы противодействия мошенничеству

Антифрод-системы позволяют решать вполне прикладные бизнес-задачи – выявлять и предотвращать совершение мошеннических операций, так-же они служат источником первичной информации о выявлении злоумышленников и следах хищения

Самые значимые ИТ- и ИБ-проекты 2016 года

Банковское обозрение отметило три проекта, реализованных в финансовой сфере компанией «Инфосистемой Джет» в 2016 году

Jet Detective — новое слово в индустрии антифрод-систем

Компания «Инфосистемы Джет» создала собственное антифрод-решение Jet Detective с использованием технологий машинного обучения

Внедрение антифрод-решения – взгляд менеджера проекта

Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

Использование омниканального подхода в ретейле

До второй половины двадцатого века розничная торговля была сосредоточена на экспансивном развитии – на охвате новой аудитории за счет территориального расширения. Наступление ближе к концу двадцатого века эпохи информации и ИТ привело к необходимости смены приоритетов. Динамическая экспансия достигла своего предела, охват платежеспособной аудитории приобрел транснациональный масштаб, всё это происходило на фоне бурного развития коммуникационных технологий вообще и сети Интернет в частности.

Antifraud Russia 2016: новые угрозы, новая защита

Специалисты по информационной безопасности поделились опытом противодействия фроду в рамках Antifraud Russia 2016

Поймай меня, если сможешь

В одних компаниях мошенничество легко поддается оценке, выбрать способы защиты тоже не составляет труда

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня