Вы находитесь на странице: 1из 26

Современные реалии предотвращения

мошенничества в платежных системах:


АНТИ-ФРОД в банках

Спикер:
Иван Пискунов
23-24 апреля

Москва
2018
ЧТО ТАКОЕ ФРОД?
Фрод как в широком смысле наиболее адекватно переводят на русский
язык как мошенничество, т.е. действия связанные с хищением чужого
имущества (актива) или приобретение права на чужое имущество (актива)
путём обмана или злоупотребления доверием. При этом
под обманом понимается как сознательное искажение истины (активный
обман), так и умолчание об истине (пассивный обман).

ст.159 УК РФ, определяет мошенничество как «совершенные с


корыстной целью путём обмана или злоупотребления доверием
противоправные безвозмездное изъятие и (или) обращение чужого
имущества в пользу виновного или других лиц, причинившее ущерб
собственнику или иному владельцу этого имущества, либо совершенные
теми же способами противоправное и безвозмездное приобретение права на
чужое имущество».
ФРОД ДЛЯ БАНКОВ И ПЛАТЕЖНЫХ СИСТЕМ
В контексте финансовых реорганизаций фрод сводится к более узкому трактованию
термина:

Фрод (англ. fraud) - умышленные действия или бездействие физических


и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей
материальный и/или нематериальный ущерб

Анти-фрод системы (Fraud Detection System) -


специализированные программные или программно-аппаратные
комплексы, обеспечивающий мониторинг, обнаружение и управление уровнем
фрода. Данные системы ориентированы прежде всего на целевые сектора, такие как
банки, телеком-операторы, платежные системы.
ПОЧЕМУ ВАЖНО КОНТОЛИРОВАТЬ ФРОД?
В соответствии со ст.9 ФЗ-161 “О национальной платежной
системе” оператор обязан возместить клиенту «сумму операции, совершенной
без согласия клиента», т.е. мошенническую операцию. Да, отделы безопасности
банков плотно сотрудничают с различными государственными органами.

№552-П “О требованиях к защите


В документе Банка России
информации в платежной системе Банка России” устанавливается,
что все банки должны будут сообщать о несанкционированных переводах денежных
средств через платежную систему (т.е. о фрод-операциях), подозрениях о
возникновении или о возможности возникновения инцидентов в сегментах сети, где
расположено рабочее место доступа к платежной системе в ведомственный
FinCERT.
Сейчас на доработке находится законопроект, усиливающий уголовную
ответственность за киберпреступления. В частности, он вводит в статью 158
УК пункт о краже с банковского счета и электронных денежных средств, а в
статью 183 УК - пункт о незаконном сборе информации путем
злоупотребления доверием
ТИПОВЫЕ ВЕКТОРА АТАК В СТИЛЕ ФРОДА
Старая школа
• Кардинг – подделка банковских карт, эмуляция
• Скимминг – копирование данных с карты с помощью
технического устройства на АТМ-устройствах

Новая школа
• Фишинг и социальная инженерия – фейковые web-страницы и
«лотереи»

• Card not present transaction - мошенничество при оплате при физическом


отсутствии карты (PayPass, virtual card и др.)
ОСОБЕННОСТИ НОВЫХ АТАК
• Атака «Человек посередине» - атака производится на каналы ДБО с
целью подменить (модифицировать) легитимный трафик между
конечными узлами. При этом клиент видит мошенника как сервер, а
сервер видит мошенника как клиента. Клиент совершает платеж, и его
средства утекают на мнимый сервер – к злоумышленнику.

• Атака «Человек в браузере – атака, в ходе котрой, мошенник путем


введения вредоносного ПО (malware) в браузер получает возможность
менять параметры транзакции в режиме реального времени.

• Фейковые базовые станции мобильной связи – связана с


перехватом и подменой SMS-сообщений содержащих параметры входа
(одноразовые пароли, коды подтверждений, информирование об
операциях)
СИТУАЦИЯ «РАНЬШЕ» И «СЕЙЧАС»

Небольшое сравнение
СТАТИСТИКА ПО ОНЛАЙН ФРОДУ
Исследование онлайн-фрода 2016 от PayOnline
СТАТИСТИКА ПО КАРТОЧНОМУ ФРОДУ
КАК РАБОТАЮТ «АНТИ-ФРОД СИСТЕМЫ»?
Режим:
• Автоматический (паттерны)
• Смешанный (авто + ручной)
Задачи:
• Контроль (целостность транзакции)
• Санкционирование операций
• Предотвращение потерь ($ и репутация)
АЛГОРИТМЫ (ПАТТЕРНЫ)
Типовая схема работы Анти-фрода для ПС
Принципы работы Анти-Фрод систем

Типовые метрики:
• одна карта – много IP, и обратный случай: один IP –
много карт;
• одна карта – много покупок/неудачных попыток;
• один клиент – много карт (особенно эмитированных
различными банками);
• один клиент – много индексов, email'ов;
• имя клиента не совпадает с именем владельца аккаунта
на сайте мерчанта (если есть);
• страна клиента не совпадает со страной владельца
эккаунта на сайте мерчанта (если есть);
• оплата происходит ночь (по локальному времени
клиента).
НЕКОТОРЫЕ ПРОБЛЕМЫ «Анти-Фрод систем»

Типовые проблемы:
• клиент находится за границей
• клиент делегировал свой карту члену семьи

Традиционные методы подтверждения транзакций:


• СМС-сообщение
• Звонок в банк
• Запрос контрольной информации
Будущее Анти-Фрод систем
ПЕРСПЕКТИВНЫЕ ТЕХНОЛОГИИ
Машинное обучение (Machine Learning)
Выявление различного рода мошенничеств (фрода) в
банковских и платежных системах является типичным
кейсом для задач обучения с учителем (supervised
learning), поэтому аналитическая часть перспективного
антифрод-сервиса будет построена с использованием
алгоритмов машинного обучения.
При отработке статических правил алгоритм антифрода
отправляет запрос с определенными атрибутами транзакции
модулю машинного обучения для парсинга. После модель
машинного обучения анализирует их и выдает вердикт с
вероятностью того, что операцию проводит мошенник или
легетимный пользователь.
BigData в машинном обучении
В целом анализируемые данные собираются из множества
финансово-значимых систем, к примеру, АБС для банка, базы
данных по транзакциям для платежных систем и т.д. Так же будут
варьироваться и критерии отбора, так для для SAP систем будут
значимы операции и действия отображаемые в главной книге,
для операторов связи это трафик и действия ведущие к
изменению баланса счета услуг клиента и т.д.
Опыт «Яндекс.Денег» в ходе подготовки и обучения
моделей
В процессе обучения применяются следующие методы:
• вероятностные – построение всяческих распределений для
объектов класса;
• метрические – вычисление расстояний между объектами;
• корреляционные – определение количественных взаимосвязей
между несколькими параметрами исследуемой системы.

Алгоритм выявления аномальных значений атрибутов:


1. экстраполяция значений временного ряда по каждому из признаков;
2. вычисление разницы между фактическим значением признака и
спрогнозированным машиной;
3. если разница слишком велика и такие аномальные события объединяет
нечто общее (IP, BIN карты, браузер) – скорее всего, с конкретной
транзакцией дело нечисто.
Общая схема работы Анти-фрода для ДБО
Общая схема взаимодействия
элементов Анти-фрод систем
Юридические сложности
Защита клиентских и платежных данных

• PCI DSS, основной международный стандарт

• ФЗ №152 «О персональных данных»

• ФЗ 242 «О хранении ПДн за рубежом»


Мини итоги:
• не хранить данные PAN и CVV карт клиента в любом виде;
• иные платежные данные хранить только в защищенном формате;
• передать информацию между мерчантом и антифрод-системой только по
защищенным каналам связи;
• Обрабатывать только деперсонифицированные данные (ПДн).
Кейсы #1

Атака на SWIFT. Хищение $81 млн из банка


Бангладеш. Февраль 2016

Основные причины:
• Сосредоточение на физический безопасности в ущерб ИТ
• Отсутствие разделенных сегментов сети и систем IDS\IPS
• Отсутствие плана реагирования на форс-мажор
• Беспечность персонала (праздники?) или СГОВОР?
• Отсутствие «АНТИ-ФРОД систем»
Кейсы #2
Атака на фондовые биржы

Московская Биржа (MOEX) и Троян Corkow вызвавший скачок


курса рубля и 244 млн убытка в итоге. Февраль 2016

Взлом Dow Jones и завладение инсайдерской информацией. 2015


год

Summary:
Хакеры крадут чувствительную информацию и продают ее трейдерам. По данным
годового отчета Dow Jones, один из платных сервисов компании под названием Factiva
предоставляет бизнес информацию более чем 1,1 млн активных пользователям.
Соответственно, получение доступа к данным, которые еще не опубликованы, но явно
повлияют на расстановку сил на рынке, например, объявления о слияниях и
поглощениях.
Кейсы #3

Билеты за полцены и убытки туроператора


• покупатели авиабилетов за полцены успешно их
использовали;

• мошенники получили часть денег по


скомпрометированным краденным картам;

• настоящие владельцы скомпрометированных карт


вернули все списанные средства;

• трэвел агентство понесло репутационные и


финансовые издержки
Контакты

Пискунов Иван | Ivan Piskunov


CEH, CCNA, MSCA, IT Auditor

Web: www.ipiskunov.blogspot.com
E-mail: iv.piskunov@mail.ru
Telegram @w2hack

Москва, 2018
26 (с)