Антифрод давно вышел за границы примитивного контроля транзакций
Интервью с Дмитрием Ермаковым, новым руководителем департамента Fraud Protection компании F.A.C.C.T
За плечами Дмитрия Ермакова почти 20-летний опыт работы в сфере информационной безопасности финансового сектора и обширная профессиональная экспертиза в разработке и внедрении антифрод-решений
Не так давно Дмитрий Ермаков возглавил департамент Fraud Protection компании F.A.C.C.T., где отвечает за развитие системы противодействия мошенничеству и кроссканальным киберугрозам у отраслевых заказчиков — ведущих российских банков, маркет-плейсов, страховых компаний, интернет-магазинов.
В этом интервью Дмитрий рассказал, какие вызовы ждут финансовые организации, ритейл и e-commerce и их клиентов со стороны мошенников, какие схемы будут развивать киберпреступники, как можно противостоять мошенничеству и выстроить эффективный антифрод.
Дмитрий, расскажи, как ты пришел в антифрод?
Свою карьеру я начинал в обычной поддержке в IT, но постепенно задачи и продукты, которыми я пользовался, вели в сторону информационной безопасности и инструментов контроля утечек данных, защиты от атак на инфраструктуру. Так я оказался в информационной безопасности.
В далеком 2009 году, когда мы начинали развивать антифрод, на рынке не было коробочных решений, а сама защита строилась на самописных скриптах. Затем была попытка реализовать единый механизм защиты от внешнего и внутреннего мошенничества с помощью SIEM-решений, а затем опыт внедрения коробочного антифрода.
Одним из запоминающихся моментов на профессиональном пути была «встреча» с киберпреступной группой MoneyTaker. Нужно было противодействовать выводу ими средств и отразить атаку, что мы успешно и сделали.
В целом за время, пока антифрод оформлялся в самостоятельное жизненно важное направление, технологии мошенничества ушли в сторону упрощения проведения атак и глубочайшего развития социальной инженерии. Мошенник из разработчика превратился в психолога.
Почему решил присоединиться к команде F.A.C.C.T.?
Во время работы в финансовых организациях я каждый день видел, как развивается антифрод, появляются высококлассные специалисты и решения. Команда Fraud Protection F.A.C.C.T. всегда была группой экспертов с глубочайшей экспертизой по всем схемам мошенничества, а главное всегда был проактивный подход к проблеме. Мне, как заказчику и участнику сообщества, коллеги из Fraud Protection F.A.C.C.T. всегда оказывали проактивную помощь в понимании тех или иных схем мошенничества, и мы вместе развивали продукт, учились закрывать те или иные мошеннические сценарии. Ключевой момент, который отличает F.A.C.C.T. от других компаний — это миссия: борьба с киберпреступностью. Все эти факторы — экспертиза, зрелость решения, скорость доработки и развития, проактивный подход, понимание цели противодействия фроду — обеспечивали желание присоединиться к команде.
Как в компаниях выстроено взаимодействие функций ИБ и антифрода? Как по твоему мнению эффективно настроить их взаимодействие?
Крупные компании, особенно с микросервисной архитектурой, должны сконцентрироваться на централизации функций антифрода в едином месте компетенции. Сейчас функции могут быть разнесены по разным подразделениям: SOC, комплаенс, антифрод, экономическая и информационная безопасность. Бизнес-подразделения также должны принимать активное участие в создании безопасного и защищенного продукта. Антифрод давно вышел за границы примитивного контроля транзакций, а продуктовые полки заказчиков могут состоять из десятков приложений, из сотен операций, требующих анализа. Основная часть фрода должна отсекаться на этапе инициализации скомпрометированной сессии. Когда мошенник попадает в защищаемое приложение, то атаку уже можно считать успешной, а защиту пройденной. К примеру, если злоумышленника пропустили в кабинет сервиса дистанционного банковского обслуживания клиента, то он может выбирать, перебирать тип транзакции, сумму, то есть так или иначе совершит мошенническое действие.
С какими основными вызовами сейчас чаще всего сталкиваются организации, разработчики антифрод-решений?
Со свой стороны мы видим значительный рост автоматизированных атак и распространение мошеннических услуг как сервиса. Злоумышленники без особого погружения в саму схему могут купить практически готовую технику атаки, приложения и арендовать необходимую инфраструктуру. То есть мошенникам не нужно обладать, как раньше, глубокой экспертизой, разбираться в программировании. Достаточно купить три-четыре сервиса и начать эксплуатировать атаку. Для участников фрод-схем практически отсутствует порог входа, можно начать атаковать без понимания механики работы атаки и уязвимости атакуемого приложения.
В то же время остаются актуальными и хорошо знакомые техники атак: социальная инженерия, вредоносное ПО, удаленное управление и поддельные мошеннические мобильные приложения. Какие угрозы были, такие и остались, но только в новых исполнениях. К примеру, техники Buhtrap для заражения устройств бухгалтеров вредоносным ПО и вывода средств со счетов компании модифицировались и заставляет жертву скачать дополнительные мобильные приложения для перехвата смс.
Также мошенничество распространяется далеко за пределы финансового сектора. Становится все больше случаев фрода в различных бонусных программах и в целом рост его уровня в ритейле, e-commerce.
Какие схемы, технологии будут в ближайшее время активно развивать мошенники?
Как я говорил, пока будущее мошенничества крепко связано с ботами и автоматизацией. Инструментарий мошенников позволяет полностью автоматизировать активность в приложении атакуемого сервиса и проводить большое количество сомнительных операций в автоматическом режиме.
Относительно телефонного мошенничества и связанных с ним схем, могу сказать, что злоумышленники продолжат активно использовать сим-боксы, которые позволяют создать мобильные колл-центры, и фермы из реальных устройств для проведения атак с использованием социальной инженерии и сокрытия трафика.
Кроме того, набирают обороты схемы распространения различных вредоносных мобильных приложений. Атаки с использованием удаленного управления также продолжают быть актуальны. Также периодически выявляются таргетированные фишинговые атаки.
Какие схемы мошенничества и незаконного оборота средств сейчас наиболее опасны для банков и других финансовых организаций?
Мы ожидаем, что дропы, нелегальные криптобиржи и другие незаконные или «серые» сервисы будут массово использовать кабинеты дистанционного банковского обслуживания. Участники рынка теневых расчетов продолжат развивать услуги автоматизированного управления личным кабинетом дропа — это сервис для вывода украденных средств либо теневых схем обналичивания. Развитие этого вектора незаконных операций дополняется различными сайтами-клонами и сайтами-витринами для предоставления подобных услуг.
Какие мошеннические схемы опасны для клиентов банков?
Что касается клиентов банков, то злоумышленники чаще их атакуют, используя социальную инженерию в различных ее интерпретациях: звонки в мессенджерах или через сим-боксы под видом различных ведомств, служб поддержки, схему Fakeboss и другие.
Также пользователи могут стать жертвами угона аккаунтов в мессенджерах, различных сервисах через подбор пароля, брутфорс, или фишинг с использованием данных из утечек.
Все чаще встречаются мошеннические приложения, маскирующиеся под популярные маркетплейсы, различные сервисы или приложения подтверждения платежных операций. Они могут как собирать данные, которые вводит пользователь, так и заразить устройство вредоносной программой для кражи данных или шпионажа.
Как бизнесу, регуляторам, разработчикам антифрод-решений противостоять текущим вызовам?
Сейчас на всех этапах проведения транзакции, от момента ее формирования до момента получения конечным бенефициаром, необходим единый подход к анализу сессий и операций в режиме реального времени. Решением являются инструменты национального антифрода. Участники и регуляторы в рамках сервиса или отрасли должны иметь единые стандарты формирования индикаторов компрометации, описания схемы атаки. А главное — возможность проверки легитимности операции в режиме реального времени. Необходимо анализировать как отправителя, так и получателя операции, вне зависимости от того, в каком банке, в каком приложении они обслуживаются.