Мошенникам вход воспрещен: как устроен антифрод

Если вы живете в России, то линия невидимого фронта всегда проходит рядом, как бы далеко вы ни находились от «ленты». Кибератаки вымогателей, хактивистов, скамеров, фишеров — своего рода продолжение боевых действий. Мошенники воюют с мирными жителями, сидя в мягких креслах колл-центров. Их оружие — социальная инженерия и чувствительная информация, которую преступники черпают из многочисленных утечек данных. Каждый день они обрушивают на мирных граждан миллионы телефонных звонков и ложных сообщений в мессенджерах. Их цель — украсть деньги, а иногда — заставить жертву пойти против закона.

Пока 100% способа защитить человека от обмана, кажется, пока не придумали: человек остается самым слабым звеном. Но можно сделать так, чтобы свести к минимуму количество успешных мошеннических атак. Как — знает руководитель департамента компании F6 по противодействию финансовому мошенничеству (Fraud Protection) Дмитрий Ермаков. За его плечами — почти 20 лет работы в сфере информационной безопасности в крупнейших банках России. Теперь этот опыт помогает ему создавать технологический «купол» для защиты миллионов российских пользователей от мошенников.

«Банки не успевали за антифрод-системами»

От чего зависит эффективность противодействия мошенничеству?

На 50% — от инструментов, технологий, которые в них заложены, а оставшиеся 50% — от людей, которые их используют, и данных. Без хорошей сильной команды, без ресурса ни одно решение не покажет той эффективности, на которую оно способно.

Сейчас киберпреступники тестируют на России передовые технологии финансового мошенничества. И сама банковская отрасль нашей страны изменилась. Инструменты западных вендоров либо так или иначе переработанные решения не успевают за ситуацией, в которой оказалась банковская сфера, когда все работают на микросервисах. У всех очень сложная архитектура, огромное количество продуктов, которые необходимо защищать, и при этом жесткие требования к тому, чтобы сохранять приемлемый уровень комфорта для работы пользователей в системах.

Социальная инженерия — главная угроза для банковских клиентов. Мошенники постоянно совершенствуют и усложняют сценарии, адаптируют их под меняющиеся условия. Скрипты, по которым работают мошеннические колл-центры, строятся на точном психологическом расчете. Эти сценарии предусматривают большинство возможных реакций человека.

Мошенники достигают цели даже с учетом меняющегося законодательства и всех усилий регулятора. Потому что в России платежные сервисы, финансовые технологии, в целом финтех ушли далеко вперед. Если бы в ходу были только наличные деньги или в банкоматах не использовалась бы технология NFC (Near Field Communication, беспроводная передача данных малого радиуса действия), то картина была бы совсем другая. Обилие продуктов, технологий, сервисов позволяет мошенникам так или иначе адаптироваться под изменения, вводимые запреты и ограничения. Самый яркий пример — NFCGate. 

Бурный рост технологий приводит к их усложнению как со стороны мошенников, так и со стороны защитников. Эффективность противодействия фроду в этих условиях зависит от экспертизы, ресурсов, взаимодействия внутри компании. И в целом — от консолидации сервисов, решений в рамках антифрода. 

Важно, чтобы новые банковские продукты не играли против пользователей. Не давали мошенникам новые возможности для обмана клиента, были устойчивы к действиям со стороны киберпреступников. К сожалению, единого подхода нет. 

Лучшая практика — когда бизнес еще на стадии разработки продукта получает экспертизу от антифрод-команды. В этом случае продукт выходит, во-первых, заранее интегрированный с антифродом, когда критичные операции проходят все необходимые проверки, и во-вторых, защищенный от определенных типов атак и максимально безопасный.

«Главная задача — заблокировать мошенника на ранних этапах»

В чем задача вендора, когда мы говорим о противодействии финансовому мошенничеству?

В противодействии фроду участвуют четыре стороны. Это банк, клиент — пользователь его услуг, государство и вендор. От разработчика антифрод-решений зависит до 70% успеха. Потому что от качества решения и от экспертизы вендора зависит, насколько быстро банк сможет адаптироваться к новым тактикам, инструментам, сценариям атакующих. Роль регулятора здесь — создать единые правила игры для всей отрасли. 

Главная задача — заблокировать мошенника на ранних этапах атаки. Не дать ему добраться до счета клиента, его персональных данных, банковской тайны. Соответственно, вендор должен предоставить банку качественное решение, которое может отражать все типы современных атак на каждом этапе, не допуская финансовых и иных потерь. А для этого вендору необходима экспертиза в части исследования актуальных угроз, атак. Если вендор не погружен в то, что происходит на рынке, он не сможет разработать качественное решение.

При развитии наших продуктов мы используем ровно такой подход. Мы понимаем, как устроены банки, как устроен рынок, технологические процессы и программное обеспечение на стороне мошенников. Такой комплексный подход позволяет создавать качественный продукт и помогать антифрод-подразделениям противостоять атакам.

Мошенникам становится как минимум сложнее, а как максимум дороже, проводить атаки на клиентов. Любые нормативные изменения, инициативы регулятора, новые законы оказывают позитивное влияние на противодействие мошенничеству в нашей стране. Перед вступлением в силу закона об уголовной ответственности для дропов (действует с 5 июля 2025 года) цены на услуги дропов поднялись достаточно серьезно. На тот момент средняя цена на карты российских банков, которые предоставляют дропы, была в диапазоне от 40 до 60 тысяч рублей, за «хорошие» карты — до 80 тысяч.

Рентабельность атак с использованием дропов становится чувствительной для мошенников. В краткосрочной перспективе мы ожидаем спад предложений дропов. Как подсказывает опыт, далее мошенники найдут способ адаптироваться под эти ограничения. Есть трансграничные платежи, которые злоумышленники уже сейчас используют для вывода средств. Есть криптокошельки. До сих пор непонятны последствия широкого распространения вредоносных версий NFCGate и объем скомпрометированных карт, который оказался на руках у мошенников. По нашим данным, речь идет о сотнях тысячах карт, и многие из них, вероятно, не заблокированы. 

«Мошеннические сервисы уходят в «облака»»

Какие схемы финансового мошенничества выходят на первый план в 2025 году?

NFCGate — самое неожиданная угроза со стороны мошенников за последнее время. Эксплуатация различных уязвимостей операционной системы Android была ожидаемой, но схема с использованием NFCGate и скорость ее эволюции оказалась непредсказуемой. Казалось бы, старая технология. Основная библиотека легитимного приложения NFCGate используется с 2015 года. А затем произошла его быстрая адаптация под атаки киберпреступников. Путь от «чистой» библиотеки NFCGate, которая лежит на GitHub, до глобального сервиса, MaaS-платформы (malware-as-a-service) SuperCardX злоумышленники прошли за короткое время. Теперь это мошеннический сервис, который работает в «облаке» в режиме реального времени, включает в себя возможности «прямой» и «обратной»  версий NFCGate, со встроенными механизмами защиты и сбора данных с банковских карт.

Среди новых трендов 2025 года, кроме NFCGate — атаки на банковских клиентов через детей. Злоумышленники подкарауливают детей на различных игровых платформах, вводят их в заблуждение, а затем просят тайком от родителей совершить определенные действий на их телефонах. 

На горизонте ближайших 10 лет мошенничество продолжит усложняться. Злоумышленники будут еще активнее использовать различные средства автоматизации, алгоритмы машинного обучения. Явно будет набирать обороты история с дипфейками, голосовыми и визуальными. Мы ожидаем бурный рост автоматизированных атак. 

Тренд на развитие фрода как сервиса приведет к повышению его доступности. Порог входа уже сейчас близок к нулю. То есть не нужно вообще не обладать никакими знаниями, чтобы совершить атаку. 

Иногда меня спрашивают: есть ли надежда, что через сколько-то лет перестанут верить мошенникам. Ключ в другом. Неважно, что делает пользователь на своем устройстве. С кем он общается, какие он кнопки нажимает. Находится он под воздействием мошенников или нет. Мы должны строить систему противодействия мошенничеству таким образом, чтобы этого пользователя гарантированно защитить. Причем на стороне не банка, а пользователя.

Устройства и сервисы должны быть настолько безопасными, чтобы любые манипуляции мошенников — вербальные или невербальные — не приводили к возможности причинения ущерба клиенту. Нужно довести защиту на стороне пользователя до такого уровня, чтобы у мошенника не было возможности провести ту или иную расходную операцию в свою пользу. 

«Цель — сделать мошенничество нерентабельным»

Какие перспективы вы видите для развития антифрод-решений?

Исторически наша компания стремилась к тому, чтобы построить комплексный антифрод, охватывающий все возможные каналы проведения мошенничества. Сейчас у нас есть экосистема из трех ключевых продуктов. Это транзакционный антифрод, решение для выявления автоматизированных атак Preventive Proxy и сессионный антифрод, который позволяет выявлять атаку на ранних этапах развития. Теперь мы движемся к тому, чтобы создать комплексную систему, объединяющую все сервисы по защите конечного пользователя на всех этапах проведения атаки. Задача такой системы — в режиме реального времени противодействовать мошенничеству в межбанковском и межотраслевом режиме. Это ключевой вызов. А конечная цель — добиться того, чтобы мошенничество в отношении жителей России стало для мошенников крайне трудозатратным и нерентабельным.

Особенность нашего антифрод-решения в том, что мы не используем готовых компонентов архитектурных подходов, обрабатываем в режиме реального времени огромный массив данных по всем нашим клиентам. Наш TPS (Transactions per second, число транзакций в секунду) — 5000 пакетов в секунду. RPS (Requests Per Second, одна из базовых метрик производительности) — 200 000 запросов в секунду. Возможности нашего решения позволяют в момент обработки данных обмениваться индикаторами компрометации в рамках всего сообщества и выявлять мошенничество на самых ранних этапах его эксплуатации. Мы возвращаем ответ о выявлении отклонений, признаков мошенничества в течение 300 мс (миллисекунд) после получения данных с устройства. 

Мы отсекаем мошенника сразу, как он так или иначе «засветился» в рамках тех правил, которые мы собираем, будь это автоматизированная атака, поведение в сессии, отклонение в транзакции. И если раньше решения анализировали транзакцию, платежное поручение в момент вывода средств, когда было уже поздно и мошенник находился внутри кабинета, пробуя совершить ту или иную финансовую операцию, то мы, наоборот, стараемся такого не допускать в принципе. И только в самом конце переходим к анализу транзакций.

Мы защищаем порядка 300 приложений в России. Среди наших клиентов — банки, маркетплейсы, страховые компании, интернет-магазины. 

Насколько ваше антифрод-решение сейчас способно перекрыть потребности, которые есть у банков?

Полностью. Когда одна система анализирует всю активность пользователя и внутри себя имеет встроенную корреляцию событий, это наиболее эффективный, правильный подход к противодействию мошенничеству в режиме реального времени. Но тут важно оговориться: каждый банк уникален. Достаточно сильно отличаются модели продаж, продуктов, технологическая архитектура, устройство антифрод-подразделений. 

Сейчас мы активно развиваем движок анализа транзакционных событий. Транзакционных — не значит, что речь идет именно о транзакции в смысле списания средств финансовых операций. Это движок, позволяющий анализировать любую операцию, которая произошла в том или ином кабинете пользователя приложения и может привести к ущербу для пользователя либо для организации. Соответственно, новый движок позволит заказчикам безболезненно подключать к нашему антифроду новые операции, проводить необходимые проверки и выявлять мошенничество в режиме реального времени.

Что можно противопоставить росту автоматизации финансового мошенничества? 

Все сводится к простому тезису. Создаваемые продукты должны быть безопасными. Ими должны обогащаться антифрод-решения. Либо это должно быть комплексное антифрод-решение и все процессы должны быть максимально автоматизированы. Автоматизация в ответ на автоматизацию — это ключевое, к чему должен стремиться кибербез.

Кто несет ответственность, если пользователя обманули мошенники?

Банк предоставляет пользователю тот или иной сервис. Задача банка — сделать сервис этот безопасным. Донести до пользователя правила безопасного поведения в этом сервисе. Как это будет сделано: в игровой форме, в виде каких-то инструкций — дело десятое. А также строить свои системы таким образом, чтобы обеспечивать максимально высокий уровень защиты пользователя. А если этот сервис не безопасен, не защищен антифродом, тут ответственность должна быть на стороне банка. Конечно, и пользователям нужно соблюдать базовые требования цифровой гигиены. В интересах банков учить клиентов этим простым правилам, стимулировать их выполнение.

Наверное, мы уже созрели до некого безопасного устройства, которое будет предназначено для определенной категории банковских клиентов — например, людей старшего возраста. И которое будет гарантировать защиту от мошеннических атак. С помощью решений, которые смогут обеспечить защиту любого пользователя, использующего устройства на Android. Работать как проактивная защита с учетом последних тенденций мошенничества.