В прошлой статье мы поняли, что это за явление такое – несанкционированная операций (назовем ее проще – фрод (fraud)). Можно конечно спорить, является ли операция фродовой если сам клиент ее провел, но при этом будучи введенным в заблуждение или же нет? Мое мнение-да, это в чистом виде фрод сродни подлогу. Рассматривая последствия уже случившегося фрода необходимо понимать, как может поступить банк при обращении к ней клиента, который стал жертвой подобного социального мошенничества.
В первой статье мы четко выяснили, что социальная инженерия – это инструмент побуждения клиента к нарушению условия банковского обслуживания (проще говоря к разглашению данных и/или предоставлению доступа к ним), что на корню убивает работоспособность 9й статьи, что собственно аккуратно заявляет ЦБ в своем ежегодном обзоре (https://www.cbr.ru/Content/Document/File/103609/Review_of_transactions_2019.pdf) самый последний абзац (не прошло и года, как говорится). Но пока никаких заявлений о том, как именно они хотят ее менять непонятно, банковское сообщество однозначно примет эту новость негативно и не напрасно.
Стоит отметить, что в 21 м веке на слуху термин «Клиентоориентированность», которая является производной от краеугольного камня современных финансовых технологий – удобства. Кредитные организации в значительной степени беспокоятся о так называемом CSI (Customer Satisfaction Index или Индекс Клиентской Удовлетворенности), который измеряется как правило в разрезе коммуникаций по схеме Банк-Клиент. Это важный показатель, который демонстрирует насколько в действительности клиент удовлетворен работой банка и его взаимодействия с ним. Если переложить эту схему на обращения клиента в банк по тематике «социальное мошенничество», то можно с высокой степенью уверенности предположить, что по данной тематике этот индекс скорее всего будет весьма низкий по вполне понятной причине, которая заключается в том, что у клиента в результате несанкционированной операции были похищены денежные средства, естественное желание которого в таком случае –вернуть их. Банк, рассматривая такое обращение может либо удовлетворить требование клиента за счет собственных средств и в случаях, описанных в прошлой статье, несмотря на нарушение условий договора клиентом либо отказать в выплате. В любом случае кредитная организация несет убыток либо в виде возмещения средств клиенту – «покупки» так называемого CSI, либо в виде снижения CSI в случае отказа клиенту возлагая на себя репутационный риск с возможными отложенными последствиями.
Так или иначе решить данную проблему таким образом, чтобы удовлетворены остались все, насколько мне известно, не удалось пока никому и нигде (страхование тоже не панацея, а просто перенос вопроса с больной головы на здоровую, да еще и с некоторыми нюансами). Но существует ли такое решение на самом деле? Попробуем ответить на этот вопрос далее, предварительно рассмотрев, что еще предпринимают банки для решения данной задачи.
-
Повышение финансовой грамотности клиента
Ряд кредитных организаций особенно крупных, (в том числе и ЦБ) стараются размещать на своих сайтах информацию о мерах безопасности и способах противодействия социальному мошенничеству, дополнительно распространяя в своих отделениях и офисах специальные буклеты с аналогичным содержание как и прочие материалы о безопасном использовании электронных средств платежа, параллельно распространяя специализированные ролики на тему противодействия социальному мошенничеству через определенные компании, так называемые «контентмейкеры», которые специализируются на популяризации определенных тем в публичном пространстве в случае если кредитной или другой организации требуется сохранить статус инкогнито для хеджирования вполне конкретных рисков возникновения репутационного ущерба. Такой подход в свою очередь можно назвать весьма осторожным и фактически он выглядит как «одергивание самого себя за рукав», принимая во внимание, возможные риски для репутации, кредитные организации как правило воздерживаются от излишней популяризации от своего лица мер противодействия социальному мошенничеству (можно предположить, что общественность подумает, что данная кредитная организация не безопасна. Хотя на мой взгляд такой подход – заблуждение), и та же страница по безопасности находится далеко не в самом видном месте . В итоге, теоретическая эффективность этих мер носит скорее рекламный характер нежели несет какую-либо практическую пользу при этом измерить ее крайне проблематично.
-
Развитие систем фрод-мониторинга (от англ. Fraud – мошенничество).
Уже много лет банки уделяют внимание развитию своих систем фрод-мониторинга или закупке готовых решений от разного рода компаний. Это системы, которые призваны отслеживать операции клиента банка, в банкоматах банка, POS-терминалах и удаленных каналах обслуживания. Смысл этих систем заключается в том, что должны быть в полной мере идентифицированы, как и сам клиент её совершающий. В итоге счета и карты каждого клиента представляют для кредитной организации не только набор наших персональных данных, но и в первую очередь профиль наших операций, т.е. для кредитной организации клиент - это набор приходно/расходных операций со всеми его устройствами и тд. Данные системы могут быть как онлайновыми, квази-онлайновыми так и оффлайновыми, то есть такие системы могут отслеживать операцию в реальном времени до момента её совершения (каналы ДБО), в момент совершения (в процессинге кредитной организации) или же уже после ее совершения (офлайновый мониторинг). Мы же поговорим о тех, которые работают в онлайн режиме и в каналах ДБО, так как они наиболее эффективны из всех представленных.
Как только клиент попадает в кредитную организацию и начинает пользоваться её продуктами в различных каналах, то система фрод-мониторинга начинает отслеживать его операции и формировать профиль клиента (более простые версии систем, просто отслеживают операции). Смысл такого мониторинга на самом деле не в тотальном контроле за нашими операциями, а в риск-менеджменте, так как пострадавший клиент – проблема для банка во всех смыслах. Непосредственно сам мониторинг технически представляет собой некий набор правил, по которым проверяются все операции в подотчетной системе канале. В случае если операция соответствует заложенному в системе правилу, то она выдает сотруднику кредитной организации оповещение с разной степенью риска и требует разного рода действий. Какие это действия и что конкретно делает система с подозрительной операцией зависит от конкретных правил, конкретной кредитной организации и конкретного случая, но как правило вариантов действия несколько, а именно. Операция пропускается, операция блокируется, операция и профиль блокируется, блокируется личный кабине – профиль клиента ДБО (личный кабинет или же мобильное приложение). Далее клиенту отправляется уведомление с просьбой перезвонить в банк или же банк самостоятельно совершает звонок клиенту.
Цель такого рода взаимодействия всего одна –понять действительно ли сам клиент совершает операцию. В противном случае клиента могут попросить обратиться в банк для подтверждения своей личности, несмотря на то, что в законодательстве указано (Положение о правилах осуществления переводов денежных средств 383 П, п.1.24), что, если оператор по переводу (это банк) принял платеж, то клиент уже является идентифицированным, что по сути является удобным только для социальных мошенников, так как будучи введенным в заблуждение клиент действительно самостоятельно совершает перевод или же нарушает условия обслуживания.
В целом же данная система может быть эффективна, при условии наличия серьезных компетенций у специалистов её настраивающих, но тем не менее сама по себе тоже не панацея (хотя лучше ничего еще не придумали и в нашей стране платежная безопасность развита лучше всех) от такого рода социального мошенничества, что как раз кредитные организации и осознают, так как эти самые правила в любом случае настраиваются вручную под известную логику несанкционированных операций и хранится эта логика за семью печатями по вполне понятным причинам. Так же существуют попытки создать продвинутые системы фрод-мониторинга, которые базируются на байесовских сетях и способны к самообучению.
Как следствие, к распознаю операции, которая отличается от типичного финансового профиля клиента кредитной организации, но эффективность такой системы вызывает сомнения, так как опираясь на статистику выше, можно задаться вопросом, а почему тогда доля несанкционированных операций, в том числе, и прогнозируемых растет? (К слову, это заявление от кредитной организации, обладающей в том числе такой системой фрод-мониторинга для каналов ДБО, при этом стоит учесть, что многие клиенты, став жертвой социального мошенника не обращаются в кредитную организацию, понимая низкую вероятность возврата средств. То есть оценка занижена естественным образом). Можно допустить предположение, которое будет верно с высокой долей вероятности, что для эффективного самообучения таких систем требуется в подотчетном ей канале(ах) в буквальном смысле показывать системе какие операции являются подозрительными, несанкционированными, а какие легитимными в определенном процентном соотношении от общего объема операций проходящих в этих каналах, а принимая во внимание, что чем крупнее кредитная организация тем сложнее эта задача из-за загруженности тех самых каналов. При этом необходимо учесть достаточно большую стоимость таких систем, которая делая их малодоступными для небольших кредитных организаций приводит нас к выводу о низкой эффективности таких систем, дополнительно учитывая, что при этом обучать такую систему нужно вручную и соответственно без ошибок, так как неверная маркировка операции приведет к нарушению логики и модель просто перестанет работать эффективно, создавая большие трудности для кредитной организации и самих клиентов. Подобные системы являются сложным механизмом с очень тонкой настройкой и сопровождением поэтому наполнены они теми же стандартными правилами, как и обычные системы фрод-мониторинга и именно поэтому в публичном пространстве нет широкой огласки таких платформ фрод-мониторинга в виде прорывной технологии и отчасти это одна из причин роста несанкционированных операций.
Вот практически все меры, которые есть на сегодняшний момент. В целом борьба с фродом (особенно социальной инженерией) ведется у нас на уровне каждого банка отдельно, отдельно в правоохранительных органах и отдельно в ЦБ. Один за всех и каждый за себя, при том, что решение этой проблемы уже есть…но об этом, как и главных причинах роста фрода в следующих материалах.
Комментарии
А ещё есть отмытие фрода через онлайн-игрушки. Когда игровая валюта перепродается игроком вполцены. Лично сталкивался.
Этот?
Директор Департамента международной информационной безопасности МИД России Андрей Крутских.
мне всегда было непонятно, зачем тот же интернет банк подключают себе пенсионеры, которые пользоваться им всеравно не умеют в большинстве, ходят с платежкой постоять у терминала полчасика (прогуляться и очередь позлить:)) - пока не увидел как мееенеджер в зеленую полоску уверяет деда 76 лет что это ему точно надо подключить. и убедил ведь, хотя дед академик математик был. хотелось в нос молча зарядить этому упырю, типа тебе так лучше, 100% знаю!:))
без клиентбанка на что пенсионера обуть можно? кстати, есть мысль на карте просто стирать св-код, чтоб бапка с дедом его вообще прочитать и комуто сказать не могли:) нафига он им? в банкомате пин достаточно..
Подключение интернет банка происходит по умолчанию, это - часть УБДО (договора банковского обслуживания): https://www.sberbank.ru/common/img/uploaded/files/pdf/udbo.pdf
Кстати, большинство жалоб клиентов на действия банка проистекают из того, что клиенты при подписании пакета документов не читают эту бумажку. Настоятельно рекомендую всем перечитать те договоры, которые они заключили со своими банками. Это позволит немного разгрузить юристов банков.
Я вообще не понимаю, почему нет массового воровства номера карты и её св-кода следующего вида:
спрятанной видеокамерой (тот же смартфон используй и никто не узнает) записывать номер карты и её св-код во время прикладывания этой карты к терминалу оплаты, например в автобусе, где вообще отдают карту в руки водителю, а смартфонов у водителя на приборной панели от трех и больше.
Потому, что в большинстве случаев, мошенничество производят сторонние люди, которые не имеют свободного доступа к терминалу/банкомату. Мошенничество со стороны работников банка/магазина, конечно бывают, хоть и редко, но у любого работника есть намного больше более простых вариантов украсть деньги, чем мучаться с камерами...
Скорее это говорит о том, что небольшие кредитные организации не нужны!
Сбербанк открыл специальную службу для борьбы с мошенниками.
Любой желающий может сообщить о попытке мошенничества, заполнив форму по адресу: https://www.sberbank.ru/promo/antifraud/report.html
Вижу, что за этой формой стоят реальные люди, которые работают.
В ходе вчерашней спецоперации ФСИН в «Матросской тишине» в камерах СИЗО обнаружили фактически полноценный мошеннический колл-центр: десятки телефонов, сотни симок, роутеры для выхода в интернет, беспроводные наушники и микрофоны. Во время обысков заключенные блокировали двери и пытались уничтожить запрещенную технику и черную бухгалтерию с указанием доходов от мошенничества в интернете, которым занимались несколько десятков человек прямо из камер «Матросской тишины».
Одним из инициаторов этой спеоперации стал Сбербанк, уже давно пытавшийся добиться обысков в тюрьмах: служба безопасности банка неоднократно фиксировали гео-локации мошеннических звонков своим клиентам, указывающие на исправительные заведения.
По итогам сегодняшних оперативных действий возбуждены уголовные дела в отношении сотрудников ФСИН, работающих в СИЗО, Владислава Остапенко и Сергея Войтко. Именно они занимались поставками техники в камеры. Войтко лично пронес на территорию СИЗО сто смартфонов, Остапенко уже распределял устройства по «сотрудникам»-заключенным. Технические расходы для заключенных на «сборку офиса» составили 7 млн рублей – становятся понятны масштабы мошеннического колл-центра.
Из telegram-канала "Банкста": @banksta
Масштабы, моё почтение. Финансовую отчётность бы почитать, поступления в месяц, отчисления в общак, красным, количество отработанных лохов, возврат на вложенный капитал.
Два сотрудника, Угу-угу, верим, как же...
Начальство, само собой, нифкурси)
Еще интересный вопрос, кто отключал глушилки?
Правильную квалификацию хищение заменили новым термином фрод.
Это к добру не приведет ! (привет сквознякам овертона)
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Вы таки чужую статью перепечатываете?
Тогда желательно, как минимум, дать какой-то комментарий к статье с Вашим мнением/предложением. Просто перепечатывать чужие статьи...Ну такое.
материал уникальный, раньше нигде не публиковался. автор специаильно для меня готовит. В прошлой статье добавлял. В сегодняшней в целом все понятно.
Если честно, уникальности в статье не увидел. Никаких секретных данных (кроме слова Fraud
) автор статьи не приводит.
Всю данную часть можно охарактеризовать двумя фразами.
- Дистанционное банковское обслуживание имеет много проблем, но ничего лучшего придумать пока не удалось.
- Надеемся, что ИИ сможет хоть что-то сделать.
И то - в некторых профессиональных кругах это слово уже давно является устоявшимся термином...
Т.е. банки не могут отследить транзакции украденных средств(пенсионеров массово нагибают сейчас мошенники) и вернуть их?
Зачем такой сервис?
Сервис нужен не для того, чтобы работать с мошенниками. А для того, чтобы делать мгновенные переводы и не заставлять клиента ждать по 3 дня, пока деньги придут. Мошенники неизбежное зло. Существовали они и до того, как появилось дистанционно банковское обслуживание. Единственный эффективный вариант борьбы с ними - это не быть лохом. Проблема-то возникает не со стороны банка, а со стороны клиента, который ведется на развод по телефону. Тут какие меры не прими, клиент сам все их обнулит же.
Отслеживание переводов затруднено, поскольку мошенники работают через карты Виза и Мастеркард, возврат с которых осуществляется через данные международные компании, срок решения по заявке банка о возврате может составлять до 120 дней, кроме того, компании иностранные, нас они активно не любят.
Ну вот месяц назад у жены с карточки Грефа списали 3 тыра, прислали смс что это автосписание за сотовый от оператора, которым она не пользуется минимум 4 года (номер переписан на моего, другого).
Мой первый вопрос и ответ - смени карту и НИКОГДА не подписывайся на автоплатёж.
Ну а в Грефе сказали, пичально канешно, но возврата не будет.