© 1995-2021 Компания «Инфосистемы Джет»
Общий взгляд на рынок мошенничества и антифрод тенденций
Информационная безопасность

О том, какова сегодня ситуация на рынке фрода, чего стоит опасаться больше всего и могут ли предпринимаемые государством действия исправить ситуацию, мы побеседовали с Павлом Крыловым, product-менеджером одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества Group-IB.

04.05.2016

Посетителей: 40

Просмотров: 36

Время просмотра: 1.8 мин.

О том, какова сегодня ситуация на рынке фрода, чего стоит опасаться больше всего и могут ли предпринимаемые государством действия исправить ситуацию, мы побеседовали с Павлом Крыловым, product-менеджером одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества Group-IB.

Павел, для каких отраслей российского рынка проблема фрода сейчас наиболее актуальна и по каким причинам?

Если говорить именно про хищение денежных средств, то в первую очередь в зоне риска находится банковский сектор. Но злоумышленники работают сегодня не только на хищение денег. Есть широкий спектр видов мошенничества, где нет прямого воровства с банковских счетов, но он так или иначе наносит ущерб небанковскому сектору. И редки случаи, когда таких мошенников призывали к ответу. Направление заметно активизировалось совсем недавно и очень бурно растет. Например, до недавнего времени для ритейл-компаний, с которыми мы ведем диалог, не было особых последствий от работы мошенников. А сейчас в этом направлении заметен подъем. Видимо, ситуацию усугубляет нынешняя экономическая ситуация. Народ ищет пути, как сэкономить и заработать.

вы оценивали объем рынка рисков?

Не так давно к нам обратилось несколько компаний, у которых возникли проблемы с мошенничеством на их интернет-порталах. И мы, изучив, что происходит на андерграундных (подпольных) площадках, увидели, что там продают то, что даже нельзя вывести – учетные записи к личным кабинетам, игровые монеты и вещи, бонусы и т.д. Это направление шире, чем банковское, по видам мошенничества и объемам ниши. Измерить его в денежном эквиваленте сложно. Но, думаю, что потери здесь сопоставимы с банковскими или даже превышают их.

Чем отличаются страны СНГ с точки зрения зрелости подхода к противодействию мошенничеству от России?

Тут сказывается разница в размерах банков. Крупнейшие банки находятся в России. Естественно, мошенники в первую очередь нацелены на крупный банк, и практика это подтверждает. Только когда крупный банк научится эффективно бороться с новой группировкой, тогда мошенники переключатся на следующие банки. Такая тенденция есть, даже когда банки используют ДБО одного вендора, и у мошенников есть данные по клиентам разных банков. Логично, что новая волна хищений через системы ДБО докатится до небольших организаций в последнюю очередь. Поскольку кейсов мошенничества в странах СНГ мало, то и знаний о том, что и как надо защищать, у специалистов банков там тоже мало. Поэтому крайне важен обмен информацией и опытом, в чем мы с удовольствием участвуем.

Как вы отмечаете в своем отчете, по различным направлениям мошенничество имеет различные тенденции к увеличению/уменьшению. С чем связано увеличение и снижение атак по определенным направлениям?

Здесь сформировалась разнонаправленная тенденция. То, что сразу выбивается по сравнению с 2014 годом, – это тенденция к уменьшению мошенничества, связанного с физлицами. По классическому ДБО это происходит в первую очередь из-за сокращения числа преступных группировок. За прошедший год вместе с правоохранительными органами мы пресекли деятельность двух из трех существующих группировок, их участники сейчас находятся под следствием. Осталась одна многопрофильная группировка. Она, хотя и продолжает работать, но уже не так активно, как раньше. Противоположная тенденция сложилась в области хищений через мобильный банкинг: количество группировок, использующих и развивающих мобильные трояны, за последний год выросло в 3 раза. Эффект от их «работы» еще предстоит ощутить. Тем не менее общий объем хищений у физлиц не идет ни в какое сравнение с объемом хищений у юрлиц и у самих банков в результате целенаправленных атак на них.

 

По юрлицам работали 2 большие профессиональные группировки, которые разрабатывали собственный вредоносный код. Но в связи с курсовой разницей они переориентировали свою активность за рубеж. Теперь им выгоднее похитить один раз условно 1 млн долларов, чем 1 млн рублей. Из «старичков» в России осталась только одна группировка, использующая вредоносное ПО собственной разработки. Вот она продолжает развиваться. Но заметно, что она стала смещаться на более мелкие банки. Вместе с тем появились несколько новых группировок (по состоянию на конец 3-го квартала 2015 года нам было известно о еще 6 группах). Они используют не свое, а покупное вредоносное ПО, которое продается на андерграундных площадках. И в основном похищают через удаленное подключение. Это атака проводится в ручном режиме, и поэтому ее нельзя масштабировать. Но их много из-за доступности необходимых «вредоносов».

 

К сожалению, ситуация с сокращением числа банков и персонала в них способствует увеличению числа успешных атак. Специалисты, уволенные из финансовых организаций, вполне могут оказаться склонны к перепродаже имеющихся у них тайных знаний.

Вы сказали, что плотно следите за жизнью группировок. Некоторые из них уже перестали существовать. Насколько вероятен процесс, что их инструменты «всплывут» позже в другом месте или будут проданы?

Есть различные случаи, о которых я пока не могу рассказывать, потому что еще идет расследование. Из публичных вещей – продажа исходных кодов Buhtrap. Этот троян использовался при атаках на юрлиц и банки. Он был бесплатно выложен в интернет, народ расхватал его, и кто как дальше этим воспользуется, неизвестно. Скорее всего, чуть позже это событие поспособствует росту количества группировок и случаев мошенничества.

А каков жизненный цикл вредоноса?

От случая к случаю он разный. Надо понимать, что у группировок тоже есть свои циклы. Когда к ним слишком близко подбираются, они прячутся. А потом через какое-то время снова всплывают. Но в среднем требуется от полугода до года, чтобы они научились лучше работать.

 

Также надо понимать, что у легкодоступного вредоноса есть свои ограничения по функционалу. И выше его не прыгнуть. Хочешь больше денег, придется набирать больше народа. А это риск, что поймают. Если же это собственноручно разрабатываемые вредоносы, здесь скорость будет сильно выше. Потому что они будут работать более целенаправленно против конкретного банка, фокусируясь на нем. И уровень проникновения будет глубже.

Тенденция последнего времени, источником которой является Центробанк, – это попытка бороться не столько с угрозой, сколько с дальнейшим выводом денег – дропперами. По вашему опыту, как организуются подобные счета? Насколько эффективной может быть борьба с последствиями атаки? Или же надо бороться с причиной?

Вообще защита должна быть эшелонированной. Но очевидно, что бороться надо с причинами. Но это сложно и ресурсозатратно. И Центробанк сейчас делает то, что можно сделать в первую очередь, чтобы пресечь дальнейший вывод денег за пределы банка. И это правильно. Создание инструмента, который обеспечит сбор и обмен информацией о фроде в режиме реального времени, довольно существенно повлияет на уровень фрода в банках.

 

Что касается целенаправленных атак, здесь ЦБ не борется с последствиями, скорее, все чаще бьет тревогу, что банки не хотят бороться с причинами, которые на самом деле находятся в их поле ответственности и контроля.

Центральный банк в последнее время стал уделять повешенное внимание антифроду. Насколько, с вашей точки зрения, он планирует встроиться в область контроля платежных операций?

Думаю, что интеграция будет глубокой. Есть веские причины, которые подвигают ЦБ РФ задумываться и производить такие серьезные шаги. И то, что было до этого рекомендательным, сейчас имеет шанс стать обязательным. Уже анонсирована идея создания системы межбанковского антифрода. В публичных источниках проходила информация о том, что FinCERT’у будет выделен бюджет и будут набираться специалисты.

Одно из ключевых преимуществ антифрод-сервисов – это взаимодействие участников с целью оперативного анализа текущих инцидентов. Как вы полагаете, готовы ли банки взаимодействовать между собой через стороннюю площадку?

Те банки, которые сталкиваются с фродом часто (несколько раз в месяц), думаю, готовы. Потому что они, во-первых, понимают, что достигли своих пределов эффективности в одиночной борьбе. Следовательно, надо объединяться. Во-вторых, оценивая опыт западных банков, они видят, насколько эффективно такое взаимодействие.


Иначе дело обстоит со средними и малыми банками, у которых подобных случаев происходит всего несколько в год, и потому у них еще нет осознания того, что собственных сил уже не хватает. Они либо «проглатывают» случившуюся пару инцидентов, либо обрабатывают их собственными силами.Пока еще существует некоторое опасение по поводу использования единой площадки для информационного обмена, связанное с возможными рисками нарушения банковской тайны и использованием переданных данных конкурентами.

С вашей точки зрения, в чем проблемы банковской отрасли в целом? Что должно произойти, чтобы объем мошенничества стал снижаться?

Если говорить в разрезе целенаправленных атак, это неготовность банков к новым технологиям, свежему вектору, отсутствие подготовленных кадров. Сегодня в большинстве своем банки, пострадавшие от мошенничества, не имеют в штате специалистов по информационной безопасности, а вопросам защиты уделяют крайне мало внимания. Выход здесь видится только в обучении, а, следовательно, повышении информированности банков относительно этой проблемы.

 

Необходимо заниматься не бумажной, а практической безопасностью. В разрезе мошенничества в системах ДБО обмен информацией о дропах и жертвах, думаю, сильно снизит успешность массовых атак, но не исключит их полностью. Это поле самой тяжелой битвы. Здесь важно выстраивать эффективные способы коммуникации и обмена опытом.

Вы ведете бизнес за пределами России, схожи ли проблемы и задачи на международном рынке с положением дел в нашей стране?

Мы отмечаем большую разницу в зависимости от региона. Например, в Индии нет высокотехнологических хищений. Здесь более распространены «социалка» и простые средства. СЗИ, которые здесь используются, тоже тривиальны. Следовательно, похитить деньги проще.

 

Если брать Европу и Штаты, то там уровень технологий, используемых мошенниками, сопоставим с нашей ситуацией. Тем более что есть очевидное проникновение туда русскоговорящих мошенников.

 

Свою роль также играет ярко выраженный региональный признак: мошенники работают по какому-то региону, в котором используются свои технологии вывода денег и т.д. Но есть и переход этих границ, смена фокуса, концентрация на другие страны. И этот переход – самый благоприятный для мошенников с точки зрения «заработка». Потому что в другом регионе, как правило, никто не готов к новым технологиям и способам мошенничества, что дает шанс похитить больше за определенный период времени. Например, никто на Западе не готов к технологиям, используемым российскими мошенниками. А между тем русскоговорящие вирусописатели широко разошлись по миру. Заметен интерес западных группировок к нашим вредоносам.

Павел, спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Оленеводы в пределах Садового кольца

Стремительное развитие российского ритейла характеризуется автоматизацией кас-совых операций, операций ценообразования и логистики, развитием области кредитования и функций платежных агентов

Рабочая лошадка современного антифрода

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

Использование омниканального подхода в ретейле

До второй половины двадцатого века розничная торговля была сосредоточена на экспансивном развитии – на охвате новой аудитории за счет территориального расширения. Наступление ближе к концу двадцатого века эпохи информации и ИТ привело к необходимости смены приоритетов. Динамическая экспансия достигла своего предела, охват платежеспособной аудитории приобрел транснациональный масштаб, всё это происходило на фоне бурного развития коммуникационных технологий вообще и сети Интернет в частности.

Компания «Инфосистемы Джет» оценила годовые потери российского бизнеса от мошенничества

Компания «Инфосистемы Джет» подготовила экспертную оценку годовых потерь от мошенничества для трех сфер отечественного бизнеса – телеком-операторов, кредитно-финансовых и ритейловых компаний. Расчеты выполнены в рублях с распределением по ключевым категориям рисков и позволяют сравнить показатели 2014–15 гг.

Самые значимые ИТ- и ИБ-проекты 2016 года

Банковское обозрение отметило три проекта, реализованных в финансовой сфере компанией «Инфосистемой Джет» в 2016 году

Как у ритейлеров утекают деньги

Мы часто задаёмся вопросом, чем для ритейл-компаний является мошенничество. Это проблема, которую нужно оперативно решать, угроза, риски которой нужно постоянно учитывать, или факт, неизменно сопутствующий бизнесу компании?

Вы говорите «Информационная безопасность…»

Большинство существующих мер позволяют обеспечить должный уровень защиты в 90, 95, а иногда даже в 99% случаев наступления риска.

Jet Detective — новое слово в индустрии антифрод-систем

Компания «Инфосистемы Джет» создала собственное антифрод-решение Jet Detective с использованием технологий машинного обучения

Гарантирование доходов и противодействие мошенничеству в телекоммуникационных компаниях

В лексиконе крупных компаний, занимающихся розничной продажей товаров народного потребления, существует такое понятие как «shrinkage», (пер. с англ. – «сокращение, усушка, уварка»). Это термин означает потерю части товара (а значит, и потенциальной выручки) в результате его порчи, утери, воровства и т. п.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня