С принятием Федерального закона от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств» и участившимся атаками на банковские системы возрос интерес к системам противодействия мошенничеству в банковской сфере (антифрод) и обнаружения попыток совершения мошеннических операций в системах дистанционного банковского обслуживания (ДБО). Такие системы позволяют обнаруживать и предотвращать мошеннические действия, используя технологии машинного обучения, цифровые профили устройств и пользователей и др.
- Введение
- Мировой рынок систем противодействия банковскому мошенничеству
- Рынок систем противодействия банковскому мошенничеству в России
- Функции систем противодействия банковскому мошенничеству
- Краткий обзор систем противодействия банковскому мошенничеству
- 5.1. Комплексные системы обнаружения банковского мошенничества и выявления аномалий
- 5.1.1. ARIC White Label
- 5.1.2. FICO Application Fraud Manager
- 5.1.3. FraudWall
- 5.1.4. FRAUD-Анализ
- 5.1.5. IBM Safer Payments
- 5.1.6. Intellinx
- 5.1.7. Jet Detective
- 5.1.8. Nice Actimize
- 5.1.9. SAS Fraud and Security Intelligence
- 5.1.10. Smart Fraud Detection
- 5.2. Системы идентификации инструментов банковского мошенничества
- 5.2.1. Детектор угроз
- 5.2.2. Digital Banking Fraud Detection
- 5.2.3. F5 WebSafe
- 5.2.4. IBM Trusteer Rapport
- 5.2.5. Kaspersky Fraud Prevention
- 5.2.6. ThreatMetrix
- 5.2.7. Group-IB Secure Bank
- 5.2.8. WEB ANTIFRAUD
- 5.3. Узкоспециализированные системы обнаружения признаков банковского мошенничества
- 5.3.1. FPS.Bio
- 5.3.2. SmartTracker.FRAUD
- 5.4. Смешанные системы противодействия банковскому мошенничеству
- 5.1. Комплексные системы обнаружения банковского мошенничества и выявления аномалий
- Выводы
Введение
С тех пор как многие банковские и платежные операции перешли в область информатизации, мошенничество в этой сфере активно развивается. Наиболее известные атаки на банковские системы за последние несколько лет были выполнены преступными группировками Cobalt, Carbanak, Lazarus и Lurk. По оценкам Сбербанка, убытки России от кибератак составляют порядка 650 млрд рублей в год. При этом только в первые две недели 2019 года Сбербанк подвергся 18 кибератакам. Злоумышленники производят атаки на системы межбанковских переводов, карточный процессинг, управление банкоматами, интернет-банкинг и платежные шлюзы.
По данным отчета Positive Technologies, злоумышленники используют простой сценарий для совершения атаки, который состоит из 5 последовательных этапов:
- Предварительная разведка и подготовительные работы.
- Проникновение во внутреннюю сеть.
- Закрепление во внутренней сети и развитие атаки.
- Компрометация банковских систем и хищение средств.
- Сокрытие следов.
Эти этапы актуальны при фишинге, заражении компьютера или смартфона жертвы известным ранее вредоносом, проведении атак типа man-in-the-middle, использовании кейлогеров и даже уязвимостей нулевого дня.
Специалисты Group-IB выделили 7 распространенных схем хищения денежных средств при атаках на системы дистанционного банковского обслуживания (ДБО):
- социальная инженерия;
- переводы с карты на карту;
- переводы через онлайн-банкинг;
- перехват доступа к мобильному банкингу;
- поддельный мобильный банкинг;
- покупки с помощью Apple Pay и Google Pay;
- хищение через SMS-банкинг.
Рисунок 1. Объем потерь от мошенничества в кредитно-финансовых организациях за 2015 год, по статистике от компании Инфосистемы Джет
Мировой рынок систем противодействия банковскому мошенничеству
В 2018 году мировой рынок систем противодействия мошенничеству был оценен в 13,59 млрд долларов США. По прогнозам на 2024 год, масштаб должен достигнуть 31,15 млрд долларов США (CAGR = 16,42 %). Это связано с повышением возможностей мошенничества из-за увеличения количества транзакций (как денежных, так и ориентированных на информацию), технологических достижений, а также общей цифровизации финансового сектора.
Рисунок 2. Объем рынка антифрод-систем в мире по регионам (Серверная Америка, Европа, Азиатско-Тихоокеанский региона, Средняя Азия и Африка, Латинская Америка)
По отчетам Markets and Markets, основными поставщиками систем противодействия банковскому мошенничеству по всему миру являются следующие компании:
- IBM (США);
- FICO (США);
- SAS Institute (США);
- BAE Systems (Великобритания);
- NICE Systems (Израиль);
- LexisNexis Risk solutions (США) и др.
Рисунок 3. Рейтинг разработчиков антифрод-систем, по версии The Forrester Wave
Рынок систем противодействия банковскому мошенничеству в России
Рынок антифрод-систем в России прошел несколько характерных ступеней развития. Эволюционными прорывами были такие важные вехи, как появление Chip Liability Shift в 2007 — 2008 гг., а до этого появление стандарта мониторинга операций по банковским картам от Visa в 2003 г., которые дали толчок компонентам антифрод-систем в процессинге.
В 2011-2012 гг. произошла массовая серия атак на ДБО, поначалу затронувших преимущественно юридических лиц и впоследствии распространившихся на граждан.
В 2014-2015 гг. банковский троян Lurk и другие вредоносные программы дали толчок к появлению российских решений от компаний Group-IB и «Лаборатории Касперского».
В 2018 г. принятый Федеральный закон от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств» вновь накалил вопрос об антифрод-системах, особенно для тех представителей кредитно-финансового сектора, для которых акты реализации транзакционного мошенничества были невелики и по факту измерялись ниже стоимости самих антифрод-решений.
По данным Сбербанка, за 2018 год с помощью внедренной антифрод-системы удалось сохранить более 32 млрд рублей, принадлежащих вкладчикам.
Функции систем противодействия банковскому мошенничеству
Процесс обнаружения и предотвращения мошенничества не имеет начальной или конечной стадии, он должен выполняться непрерывно и включать в себя следующие подпроцессы:
- Мониторинг;
- Обнаружение;
- Принятие решений;
- Обучение.
Рисунок 4. Принцип работы антифрод-систем
Системы противодействия мошенничеству могут иметь в своем арсенале следующие технологии и возможности:
- Текстовая аналитика, которая выполняется с помощью технологий поиска, категоризации контента и извлечения сущностей.
- Расчет статистических параметров, который используется для выявления отклонений, которые могли бы указать на мошенничество.
- Сетевая аналитика, которая используется для идентификации соединений, выявления закономерностей.
- Gap-тестирование подразумевает обнаружение любых недостающих элементов в последовательных данных там, где их не должно быть.
- Подтверждение даты входа используется для оценки неподходящего или подозрительного времени для размещения или ввода информации.
- Контролируемое машинное обучение, которое производится на основе исторических данных, что позволяет выявлять определенные шаблоны.
- Обучение без учителя, что подразумевает анализ и оценку данных, которые не содержат сведений о выявленном мошенничестве. Используется для выявления новых аномалий.
Функция у всех антифрод-систем едина — выявлять и предотвращать мошенничество. Однако они могут по-разному решать данную задачу и сравнивать антифрод-системы без проведения дополнительной классификации является неверным решением. Так, например, есть так называемые core-системы — мощные аналитические платформы, позволяющие реализовывать логику в отдельных сегментах (ДБО или процессинг банковских карт), также существуют специализированные системы, контролирующие параметры устройств и риски на их стороне. И в то же время разрабатываются отдельные системы, заточенные под распознавание фото, видео, речи. Многие из систем не конкурируют, а, наоборот, дополняют функции друг друга. Например, конкретное узкоспециализированное решение не может само по себе закрывать требования Федерального закона от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств» и существовать как независимая платформа.
Исходя из этого мы разделили существующие системы противодействия банковскому мошенничеству на 3 класса:
- 1 класс. Решения данного класса направлены на выявление и идентификацию следов мошенничества и выявление аномалий.
- 2 класс. Решения данного классы направлены на идентификацию инструментов мошенничества, причины или риска (например, наличие вредоносных программ, компонентов удаленного управления, компонентов фишинга).
- 3 класс. Решения данного класса решают узкоспециализированные задачи. В частности, они могут быть предназначены для распознавания изображений для выявления мошенничества, могут быть оснащены системой распознавания речи.
Краткий обзор систем противодействия банковскому мошенничеству
Комплексные системы обнаружения банковского мошенничества и выявления аномалий
ARIC White Label
Компания Featurespace основана в 2008 году (г. Кембридж, Великобритания). Компания была создана профессором из Кембриджского университета с целью разработки механизма для адаптивной поведенческой аналитики, которая позволяет осуществлять защиту от мошенничества на основе выявления аномалий.
Система ARIC White Label от компании Featurespace относится к классу общеаналитических платформ. Система использует технологии машинного обучения для обеспечения защиты от мошеннических транзакций по различным типам платежей (карты, электронные кошельки и др.) в режиме реального времени. В ARIC White Label создаются модели нормального поведения клиентов, отклонения в которых в дальнейшем регистрирует система. Для различных клиентов могут создаваться различные правила анализа, им также может быть предоставлен доступ в ARIC White Label для настройки собственных правил и моделей для работы.
Рисунок 5. Интерфейс системы ARIC White Label
Особенности ARIC White Label:
- Индивидуальная настройка интерфейса системы и предоставления доступа в систему.
- Предотвращение не только типичных мошеннических действий, но и мероприятий по отмыванию денег (AML).
- Использование технологий машинного обучения и поведенческого анализа, позволяющие обеспечить защиту от вредоносных программ, атак ботов и мошенничества с возвратными платежами.
- Возможность использования ARIC White Label в качестве облачного сервиса.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
FICO Application Fraud Manager
Компания FICO основана в 1956 году (г. Сан-Хосе, штат Калифорния, США). Компания специализируется на разработке программного обеспечения для предиктивной аналитики и принятия решений, в том числе решений для оценки кредитных рисков, а также уменьшения убытков от мошеннических действий.
Система FICO Application Fraud Manager от компании FICO относится к общеаналитическим платформам и осуществляет идентификацию попыток мошенничества в режиме реального времени за счет аналитической системы, которая использует технологии машинного обучения и адаптивного анализа. Решение может быть установлено как локально, так и использоваться по технологии SaaS. Система позволяет предотвращать попытки мошенничества со стороны третьих лиц, а также попытки преднамеренного злоупотребления привилегиями учетных записей, направленные на мошенничество с кредитными и дебетовыми платежными картами, электронными платежами, депозитными счетами.
Рисунок 6. Схема работы системы FICO Application Fraud Manager
Особенности FICO Application Fraud Manager:
- Использование технологий машинного обучения.
- Возможность использования платформы в качестве облачного сервиса.
- Расширенный анализ ссылок и социальных сетей для мониторинга клиента.
- Расследование инцидентов с возможностью распределения ролей и предоставлением отчетности.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
FraudWall
Компания «Фродекс» основана в 2011 году (г. Уфа). Компания специализируется на услугах по обеспечению информационной безопасности, разработке и внедрении интеллектуальных систем обнаружения мошеннических платежей, систем обработки данных, проведении расследований в сфере информационной безопасности. Флагманским решением «Фродекс» является система обнаружения мошеннических платежей FraudWall, которой присвоен класс информационных систем для решения специфических отраслевых задач.
Систему FraudWall от компании «Фродекс» можно отнести к классу общеаналитических платформ. Она предназначена для предотвращения кражи средств клиента в системах дистанционного банковского обслуживания (ДБО), борьбы с внутренним мошенничеством (например, несанкционированные платежи в АБС), предотвращения кражи средств банка через АРМ КБР. Когда система выявила подозрительный платеж, она совершает звонок клиенту и ведет с ним живое общение, распознавая ответы клиента. По завершению звонка FraudWall принимает решение об исполнении платежа или остановке операции.
Рисунок 7. Интерфейс системы FraudWall
Особенности FraudWall:
- Масштабируемость решения.
- Интеграция со специализированной системой распознавания речи VoiceNavigator от Центра речевых технологий.
- Интеграция с межбанковской системой FraudMonitor и черными списками.
- Несколько вариантов внедрения в сеть банка (непосредственное подключение к базе данных ДБО или АБС, подключение в роли веб-сервера системы ДБО, подключение в роли промежуточного прокси-сервера между клиентом банка и веб-сервером системы ДБО).
Подробнее с продуктом можно ознакомиться на сайте разработчика.
FRAUD-Анализ
Компания Bank Software Systems (BSS) основана в 1994 году (г. Москва). Основным направлением компании является разработка и внедрение автоматизированных систем дистанционного банковского обслуживания и управления финансами. Помимо комплексных систем для финансового рынка компания BSS разрабатывает специализированные продукты, в том числе FRAUD-Анализ.
Систему FRAUD-Анализ от компании BSS можно отнести к классу общеаналитических платформ, однако система предназначена в первую очередь для предотвращения мошенничества при обслуживании банком физических и юридических лиц в рамках собственных решений компании BSS. FRAUD-анализ способна обеспечивать защиту от угроз использования похищенных средств аутентификации и закрытого ключа электронной подписи, угроз доступа к открытому сеансу работы с системой, угроз подмены реквизитов платежного документа (например, с помощью вредоносных программ).
Рисунок 8. Схема работы системы FRAUD-Анализ
Особенности FRAUD-Анализ:
- Информирование администратора безопасности путем отправки SMS-сообщений или сообщений электронной почты.
- Приостановление отправки подозрительного документа до момента принятия решения администратором безопасности.
- Гибкая настройка правил для администратора безопасности и предоставление результата проверки в систему ДБО в автоматическом режиме.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
IBM Safer Payments
Компания IBM основана в 1911 году (г. Армонк, штат Нью-Йорк, США). Компания является одним из крупнейших в мире производителей и поставщиков аппаратного и программного обеспечения, IT-сервисов и консалтинговых услуг. У компании есть филиал Trusteer, который занимается компьютерной безопасностью, в том числе разработкой систем противодействия мошенничеству.
Решение IBM Safer Payments от компании IBM относится к общеаналитическим платформам. Оно разработано на основе платформы IRIS после приобретения компанией IBM компании IRIS Analytics. Система предназначена для обнаружения попыток мошенничества в реальном времени. При этом обеспечивается безопасность как при проведении безналичных платежей во многих системах (автоматизированные расчетные палаты, банки-эквайеры, Единая зона платежей в евро, Chip & Pin и других), так и через торговые терминалы, банкоматы, онлайн- и мобильные банки.
Рисунок 9. Интерфейс системы IBM Safer Payments
Особенности IBM Safer Payments:
- Использование технологий машинного обучения и когнитивных вычислений для предотвращения мошенничества.
- Использование технологий параллельных вычислений для ускорения обработки запросов.
- Возможность профилирования различных сущностей и выявления аномального поведения.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Intellinx
Компания Intellinx Ltd. основана в 2005 году (г. Ор-Йехуда, Израиль). Компания занимается разработкой решений по отслеживанию действий конечных пользователей и предотвращению утечки данных из организаций. При этом средства защиты нацелены на защиту как со стороны внешних нарушителей, так и со стороны сотрудников организаций.
Решение Intellinx от компании Intellinx Ltd. относится к классу общеаналитических платформ. Система позволяет обеспечить соответствие нормативным требованиям, таким как Basel II, СТО БР ИББС и другим за счет обнаружения попыток «кражи личности» и других типов мошенничества в интернет-банкинге и других онлайн-услугах. При этом в Intellinx можно отслеживать активность системных администраторов и других привилегированных пользователей, производить мониторинг доступности и времени отклика в критичных процессах. Система может отследить случаи компрометации PIN-кодов, а также попытки осуществления транзакций по одному счету из разных местоположений за короткий период времени.
Рисунок 10. Схема работы системы Intellinx
Особенности Intellinx:
- Способность получать данные непосредственно из сетевого трафика.
- Возможность установки в разрыв или только в режиме обнаружения.
- Неограниченная степень сложности вариантов контроля.
- Контроль действий привилегированных пользователей.
- Контроль соответствия нормативным требованиям.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Jet Detective
Компания «Инфосистемы Джет» основана в 1991 году (г. Москва). Одним из направлений компании является информационная безопасность и разработка решений для обеспечения безопасности коммерческих и государственных организаций. «Инфосистемы Джет» специализируется на построении комплексных систем безопасности, защите облачной инфраструктуры, управлении инцидентами, а также системах противодействия мошенничеству и гарантированию доходов в банковской и телекоммуникационной сфере, ритейле, а также в топливно-энергетическом комплексе.
Антифрод-система от компании «Инфосистемы Джет» называется Jet Detective, является общеаналитической кроссканальной платформой и выполняет такие функции как противодействие внутреннему мошенничеству и мошенничеству третьих лиц, контроль бизнес-процессов, поведенческая аналитика по сотрудникам, клиентам и бизнес-системам, а также проверка на соответствие требованиям (compliance). Приложение разработано в соответствии с трехзвенной архитектурой — клиент, сервер приложений и слой хранения данных — и состоит из 6 функциональных модулей (Рабочий стол, Фабрика данных, Анализ событий, Расследование инцидентов, Машинное обучение, Авторизация). Продукт полностью соответствует актуальным требованиям законодательства РФ по противодействию мошенничеству и обеспечению ПОД/ФТ.
Рисунок 11. Интерфейс системы Jet Detective
Особенности Jet Detective:
- Обработка событий в режиме реального времени.
- Использование платформы Big Data вместо привычных реляционных систем управления базами данных.
- Использование самообучаемых математических моделей, позволяющих выявлять подозрительные действия в автоматическом режиме.
- Проведение расследований инцидентов информационной безопасности, связанных с выявленными аномалиями.
- Прогнозирование потенциальных аномалий.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Nice Actimize
Компания NICE Systems Ltd. основана в 1986 году (г. Раанана, Израиль). Компания занимается разработкой как облачного, так и локального программного обеспечения для повышения качества обслуживания клиентов предприятий, соблюдения нормативных требований, а также предотвращения финансовых преступлений.
Решение Nice Actimize от компании NICE Systems Ltd. относится к классу общеаналитических платформ и позволяет осуществлять обнаружение, предотвращение и расследование случаев отмывания денег за счет встроенного управления жизненным циклом AML и мошенничества в режиме реального времени. Система обеспечивает защиту для любых типов платежей, включая SWIFT / Wire, Faster Payments, платежи BACS SEPA, банкоматные / дебетовые транзакции, массовые платежи, платежи по счетам, P2P/почтовые платежи и различные формы внутренних переводов, доступные на различных рынках.
Рисунок 12. Интерфейс системы Nice Actimize
Особенности Nice Actimize:
- Поддержка нескольких методов и возможностей аутентификации пользователей.
- Многоканальный мониторинг.
- Защита транзакций на мобильных устройствах, IVR и контакт-центрах.
- Возможность использовать в качестве облачного сервиса.
- Использование технологий машинного обучения, для создания универсальных шаблонов.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
SAS Fraud and Security Intelligence
Компания SAS основана в 1976 году (г. Кэри, штат Серверная Каролина, США). Компания является крупной частной IT-компанией в мире и специализируется на разработке технологического программного обеспечения и приложений класса Business Intelligence, Data Quality и Business Analytics.
SAS разработало комплексное решение SAS Fraud and Security Intelligence (SAS FSI), которое представляет собой единую платформу для решения задач предотвращения транзакционного, кредитного, внутреннего и иных типов мошенничества. Решение SAS FSI относится к классу высокопроизводительных кроссканальных платформ и способно обрабатывать тысячи транзакций в секунду. Оно совмещает тонкую настройку бизнес-правил с технологиями машинного обучения для предотвращения мошенничества при минимальном уровне срабатываний. Интерфейс расследований позволяет выявить скрытые взаимосвязи между участниками платежей, а также полностью настраивается под нужды пользователей. Блок по работе с моделями машинного обучения в системе SAS позволяет обычному пользователю без навыков программирования создать модель и применить ее на потоке транзакций. Система включает встроенные механизмы интеграции с онлайн- и офлайн-источниками данных.
Рисунок 13. Интерфейс компонентов системы SAS FSI
Особенности SAS Fraud Management:
- Принятие решений за миллисекунды.
- Простая интеграция с бизнес-системами, сервисами аутентификации и хранилищами данных.
- Использование технологии самообучающихся нейронных сетей на потоке для эффективного выявления мошенничества при минимальном уровне срабатываний.
- Функциональный конструктор правил.
- Инструменты по тонкой настройке интерфейса расследований под нужды пользователей, с возможностью поиска по карте, выявлением скрытых взаимосвязей и созданием бизнес-процессов по расследованию инцидентов.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Smart Fraud Detection
Компания «Фаззи Лоджик Лабс» занимается разработкой, внедрением и технической поддержкой программного обеспечения в области банковского антифрода с 2011 года. Система Smart Fraud Detection предназначена для противодействия мошенническим транзакциям в различных каналах обслуживания клиентов:
- ДБО розничного и корпоративного бизнеса;
- мобильный и SMS-банк;
- процессинг пластиковых карт (эмиссия);
- платёжные терминалы, эквайринг, интернет-эквайринг;
- операции и обращения через IVR и сотрудников колл-центра;
- действия и операции сотрудников банка в офисе;
- операции с использованием мессенджеров и чат-ботов.
Рисунок 14. Схема работы системы Smart Fraud Detection
Система Smart Fraud Detection может решать задачи для трёх классов мониторинга мошенничества в банках. Система проверяет платежи в режиме реального времени, строит профили оператора и клиента, распознаёт поведение сотрудников с помощью камер и микрофонов, отслеживает зависимости операций по разным бизнес-направлениям и в разных системах IT-архитектуры банка. Основным направлением деятельности компании является противодействие внешнему и внутреннему мошенничеству, а также отмыванию денег.
Рисунок 15. Карточка инцидента в интерфейсе системы Smart Fraud Detection
Особенности системы Smart Fraud Detection:
- кросс-канальность и масштабируемость;
- совместимость с процессинговыми системами Smart Vista, Compass+, WAY4;
- комбинация моделей машинного обучения и метода правил;
- собственные алгоритмические разработки: «Генератор правил», «Мониторинг персонала»;
- узкоспециализированный модуль 3-го класса «для распознавания изображений и звука»;
- различные протоколы интеграции: HTTP / HTTPS (JSON), TCP (ISO 8583) и предварительно настроенная функциональность «из коробки».
Подробнее о продукте можно узнать на сайте разработчика.
Системы идентификации инструментов банковского мошенничества
Детектор угроз
Компания БИФИТ (Банковские и финансовые интернет-технологии) основана в 1999 году (г. Москва). Компания специализируется на разработке комплексных платформ для дистанционного банковского обслуживания в том числе для предпринимателей, организаций, холдингов и частных лиц. Особенностью систем интернет-банкинга от компании БИФИТ является использование технологии Java, что позволяет расширить перечень поддерживаемых операционных систем и браузеров клиентов.
Модуль «Детектор угроз» для защиты от мошенничества компании БИФИТ встроен в систему iBank 2, которая предназначена для предоставления клиентам банков услуг по удаленному управлению счетами. К общим возможностям подсистемы безопасности относятся использование механизма электронной подписи, использование криптографического преобразования данных при передаче между клиентом и банком, а также использование механизма криптографической аутентификации сторон. Встроенный модуль «Детектор угроз» позволяет обнаруживать на компьютере клиента вредоносные программы, разработанные для целей хищения в среде ДБО. При этом администратору безопасности доступны возможности по просмотру информации о зараженных рабочих местах клиентов, возможности анализа документов, с которыми велась работа на данных рабочих станциях, а также блокировка клиентов и их ключей электронной подписи.
Рисунок 16. Интерфейс системы «Детектор угроз»
Особенности iBank 2:
- Отсутствие необходимости использования наложенных средств предотвращения мошенничества.
- Использование криптографических библиотек, сертифицированных ФСБ России.
- Обнаружение зараженных сред, а не фродовых платежей, что позволяет выявить угрозу заблаговременно.
- Интеграция с решениями от «Лаборатории Касперского» (Kaspersky Fraud Prevention) и IBM (IBM Trusteer).
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Digital Banking Fraud Detection
Компания Guardian Analytics основана в 2005 году (г. Маунтин-Вью, штат Калифорния, США). Основным направлением компании является разработка систем предотвращения мошенничества для финансовых учреждений.
Система Digital Banking Fraud Detection от компании Guardian Analytics относится к общеаналитическим платформам. Как и другие системы предотвращения мошенничества, система может внедряться как локально, так и в качестве облачного сервиса. При этом Digital Banking Fraud Detection защищает от попыток захвата аккаунта клиента, мошеннических переводов, фишинга и атак типа MITB в режиме реального времени. Для каждого пользователя создается свой профиль, на основе которого происходит распознавание аномального поведения.
Рисунок 17. Интерфейс системы Digital Banking Fraud Detection
Особенности Digital Banking Fraud Detection:
- Возможность работы в облаке.
- Использование технологий машинного обучения и поведенческого анализа, что позволяет адаптировать систему под новые угрозы.
- Работа системы не основана на проверке соответствия правилам в целях уменьшения количества ложных срабатываний.
- Использование технологии цифровых отпечатков устройств.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
F5 WebSafe
Компания F5 основана в 1996 году (г. Сиэтл, штат Вашингтон, США). Компания занимается разработкой систем защиты информации, включая межсетевые экраны уровня веб-приложений (WAF), системы защиты от DDoS-атак, системы предотвращения вторжений нового поколения (NGFW), а также средства предотвращения мошенничества.
Решение по защите от мошенничества от компании F5 называется F5 WebSafe и предназначено для борьбы с кражей учетных записей, обнаружения признаков заражения вредоносными программами, кейлоггинга, фишинга, троянов удаленного доступа (RATs), а также атак типа MITM (Man in the Middle), MITB (Man in the Browser) и MITP (Man in the Phone — взлом мобильных устройств). При этом F5 WebSafe применяет различные методы идентификации мошеннических действий, например, попытки автоматического перевода, особенности внедрения вредоносных программ, таких как Zeus, Citadel, Carberp. При этом система выполняет анализ цифровых профилей устройств и пользователей.
Рисунок 18. Схема работы системы F5 WebSafe
Особенности F5 WebSafe:
- Защита конечных устройств (включая мобильные устройства, телеприставки, игровые консоли) без установки дополнительных приложений.
- Расширенное шифрование на уровне приложений, позволяющее защитить от кражи учетных данных до их передачи по протоколу SSL.
- Возможность интеграции с системами защиты от DDoS-атак, WAF, SIEM, системами управления рисками и другими.
- Анализ цифровых профилей устройств и пользователей.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
IBM Trusteer Rapport
IBM Trusteer Rapport от компании IBM предназначена для защиты пользователей от перехвата учетных данных, захвата экрана, вредоносных программ и фишинговых атак, в том числе атак типа MITM и MITB. Для этого в IBM Trusteer Rapport применяются технологии машинного обучения, что позволяет автоматически обнаружить и удалить вредоносные программы с конечного устройства, обеспечив безопасность сеанса работы в режиме онлайн.
Рисунок 19. Интерфейс системы IBM Trusteer Rapport
Особенности IBM Trusteer Rapport:
- Автоматическое обнаружение и защита от фишинга.
- Защита от вредоносных программ путем их удаления на конечной рабочей станции.
- Защита от кейлогинга путем шифрования нажатий клавиш до передачи информации о них в веб-браузер.
- Служба глобальной разведки угроз, благодаря которой в систему постоянно добавляются сведения о новых угрозах.
- Система является облачной платформой, что сокращает расходы на внедрение.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Kaspersky Fraud Prevention
Компания «Лаборатория Касперского» основана в 1997 году (г. Москва). Компания изначально специализировалась на разработке средств защиты конечных рабочих станций, в том числе антивирусных решений как для частного, так и коммерческого использования. В настоящий момент «Лаборатория Касперского» развивает продукты, направленные на безопасность виртуальных и облачных сред, критических инфраструктур и средств защиты от кибермошенничества.
Решение Kaspersky Fraud Prevention от «Лаборатории Касперского» предназначено для решения проблемы цифрового мошенничества в онлайн-банкинге, ритейле, государственных сервисах, онлайн-играх и других отраслях, использующих веб-сайты и мобильные приложения для предоставления своих услуг. В рамках решения Kaspersky Fraud Prevention реализованы два продукта:
- Automated Fraud Analytics, который позволяет выявлять кражи учетных записей в режиме реального времени, обнаруживать вредоносные программы в веб-приложениях и мобильных устройствах без установки дополнительных приложений, детально изучать случаи создания мошеннических учетных записей и отмывания денежных средств.
- Advanced Authentication, который предоставляет результаты аутентификации на основе рисков. Это позволяет повысить безопасность процесса аутентификации, улучшить пользовательский опыт и снизить расходы на классические подходы к аутентификации пользователей.
Рисунок 20. Интерфейс системы Kaspersky Fraud Prevention
Особенности Kaspersky Fraud Prevention:
- Постоянное проактивное обнаружение продвинутых схем мошенничества до проведения транзакции в режиме реального времени.
- Кроссканальное обнаружение мошенничества (веб- и мобильный канал).
- Использование поведенческой биометрии (сбор и анализ данных использования клавиатуры, движения мыши, использования мобильных устройств и др.).
- Использование технологий машинного обучения и поведенческого анализа, позволяющие обеспечить защиту от вредоносных программ, атак ботов.
- Анализ цифровых профилей пользователей и устройств.
- Предотвращение не только типичных мошеннических действий, но и мероприятий по отмыванию денег (AML) благодаря способности выстраивать и сопоставлять взаимосвязи между пользователями, сессиями, устройствами и организациями.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
ThreatMetrix
Компания RELX Group основана в 1993 году (г. Лондон, Великобритания). RELX Group — международная информационно-аналитическая компания, специализирующая на 4 основных сегментах: наука, технологии и медицина, бизнес-аналитика и риск-менеджмент, законодательство. В 2018 году компания приобрела компанию ThreatMetrix.
ThreatMetrix от компании RELX Group производит оценку контекста каждой транзакции в режиме реального времени, анализируя данные об устройстве, его местоположении и других идентификационных данных для выявления аномального поведения. ThreatMetrix позволяет защититься от мошеннических атак, включая атаки на основе подмены местоположения, MITM, MITB, внедрения скрытых вредоносных программ, необычного поведения ботнетов.
Рисунок 21. Основные возможности системы ThreatMetrix
Особенности ThreatMetrix:
- Использование технологий машинного обучения и поведенческой аналитики.
- Использование мобильного SDK для защиты от мошенничества на мобильных устройствах.
- Возможность использования в качестве облачного сервиса.
- Аналитические отчеты с данными об активности корпоративных приложений.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Group-IB Secure Bank
Компания Group-IB была основана в 2003 году (г. Москва). Основными направлениями компании являются предотвращение и расследование киберпреступлений, реагирование на инциденты, компьютерная криминалистика, консалтинг и аудит систем информационной безопасности. Group-IB занимается разработкой систем раннего предупреждения киберугроз, включая продукты для защиты от хакерских атак, хищений и мошенничества.
Антифрод-система от компании Group-IB называется Secure Bank и выполняет такие функции как выявление и предотвращение мошенничества в режиме реального времени на стороне клиента банка, включая выявление социальной инженерии, защиту от платежного мошенничества (в т. ч. от использования P2P-страниц для хищения, CNP-мошенничество и автоматическую подмену реквизитов платежа), защиту от банковских троянов, выявление кроссканального мошенничества (атаки через онлайн-порталы и мобильные устройства), а также защиту от кредитного мошенничества (бот-активность на странице заявки, работа кредитных брокеров, подложные заявки на кредит).
Кроме того, система идентифицирует устройства клиентов и предоставляет их показатели доверенности банку, что позволяет оптимизировать издержки банка от мошенничества и улучшить пользовательский опыт.
Рисунок 22. Интерфейс системы Secure Bank
Особенности Secure Bank:
- Использование технологий поведенческого анализа (UEBA) в борьбе с применением социальной инженерии, захватом учетных записей, ботами и другими видами мошенничества.
- Анализ технических характеристик устройства и браузеров (цифровой отпечаток устройств).
- Создание глобального профиля пользователя, позволяющего с большей точностью отличить легитимного клиента от мошенника.
- Продвинутый конструктор правил (rule engine), позволяющий реализовать правила любой гибкости.
- Встраиваемый в исходный код веб-страниц JavaScript-модуль и мобильный SDK для приложений, защищенные от подмены данных и replay-атак.
- Готовая интеграция с такими антифрод-системами, как Fraud-Анализ, FraudWall, RSA, SAS, Intellinx, GBG Predator.
Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика.
WEB ANTIFRAUD
Компания WEB ANTIFRAUD основана в 2017 году (г. Москва). Компания специализируется на разработке систем по мониторингу и противодействию мошенничеству с пользовательскими аккаунтами в банковских и других финансовых онлайн-сервисах.
Система WEB ANTIFRAUD направлена на предотвращение кражи пользовательских аккаунтов в онлайн-сервисах. Для этого используется формирование отпечатка и анализ устройства пользователя, анализ поведения на сайте, поиск присутствия троянов в браузерах (в том числе автоматический перевод средств и MITB атаки), поиск принадлежащих одному владельцу аккаунтов (в целях реализации мер по предотвращению отмывания денег, AML), а также другие технические инструменты, препятствующие деятельности мошенников на сайте онлайн-сервиса. Антифрод решение WEB ANTIFRAUD работает автоматически без участия человека, но при необходимости предоставляет подробную аналитику по произошедшим инцидентам.
WEB ANTIFRAUD помогает принять решение о необходимости двухфакторной аутентификации в каждом конкретном случае, а также сообщает об инцидентах безопасности и признаках кражи аккаунтов.
Рисунок 23. Интерфейс системы WEB ANTIFRAUD
Особенности WEB ANTIFRAUD:
- Определение признаков мошенничества превентивно на этапе его подготовки, а не после кражи средств.
- Набор правил и профиль поведения создается автоматически для каждого отдельного пользователя по результатам его активности.
- Все решения системы принимаются по понятным человеку алгоритмам и не содержат результатов работы машинного обучения.
- Дополняет внутреннюю транзакционную систему антифрода при ее наличии в организации.
- Помогает банкам выполнять требование 167-ФЗ по предотвращению переводов денежных средств без согласия клиента.
- Широкие возможности аналитической панели (инциденты, поиск, связи аккаунтов, визуализация и другое).
Подробнее с продуктом можно ознакомиться в нашем обзоре и на сайте разработчика.
Узкоспециализированные системы обнаружения признаков банковского мошенничества
FPS.Bio
Компания «ВижнЛабс» основана в 2012 году (г. Москва). Компания занимается разработкой программных средств в области компьютерного зрения и машинного обучения. В частности, специализация «ВижнЛабс» связана с созданием продуктов и решений в области распознавания лиц и объектов, а также дополненной и виртуальной реальности.
Система противодействия банковскому мошенничеству FPS.Bio от компании «ВижнЛабс» относится к классу узкоспециализированных платформ. Система разработана на базе решения по биометрической верификации и идентификации физических лиц. Ядром FPS.Bio является нейронная сеть, которая, по словам разработчиков, использует уникальные алгоритмы. К функциям системы относится формирование биометрического портрета клиента, сравнение его с миллионами аналогичных портретов и предоставление результатов для принятия решений.
Рисунок 24. Организация работ при использовании FPS.Bio
Особенности FPS.Bio:
- Использование технологий нейронной сети.
- Формирование биометрического портрета клиента.
- Предотвращение мошенничества при выдаче кредитов путем выявления факта подделки документов или использования краденых документов.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
SmartTracker.FRAUD
Компания «Центр речевых технологий» основана в 1990 году (г. Санкт-Петербург). Компания специализируется на разработке систем в сфере биометрии, высококачественной записи, обработки и анализа аудио- и видеоинформации, синтеза и распознавания речи.
Программно-аппаратный комплекс фотобиометрический идентификации SmartTracker.FRAUD позволяет заменить проверку подлинности документов и предоставленной клиентами банка информации на совершено другой метод, основанный на контроле идентификации внешности (той информации, которую человек не может подделать).
Рисунок 25. Принцип работы SmartTracker.FRAUD
Особенности SmartTracker.FRAUD:
- Использование биометрической информации для выявления мошенничества.
- Предотвращение мошенничества при выдаче кредитов в офисе и при дистанционном обслуживании.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Смешанные системы противодействия банковскому мошенничеству
RSA Adaptive Authentication and Transaction Monitoring
Компания RSA основана в 1982 году (г. Бедфорд, штат Массачусетс, США). Компания специализируется на компьютерной и сетевой безопасности, в том числе разработке программного обеспечения для сетевой безопасности, двухфакторной аутентификации, предотвращения мошенничества, идентификации и управления доступом.
RSA Transaction Monitoring and Adaptive Authentication от компании RSA относится к классу общеаналитических платформ 1 класса, но включает в себя возможности и 2 класса. Система позволяет выявлять попытки мошенничества в режиме реального времени и производит мониторинг транзакций после входа пользователя в систему, что позволяет защититься от атак типа MITM и MITB. При этом RSA Transaction Monitoring and Adaptive Authentication может быть внедрена как на серверах организации, так и использоваться в качестве облачного сервиса.
Рисунок 26. Схема работы системы RSA Adaptive Authentication and Transaction Monitoring
Особенности RSA Transaction Monitoring and Adaptive Authentication:
- Возможность совместной работы с различными системами аутентификации (логин-пароль, SSO, смарт-карты EMV/CAP, с использованием SMS-сообщений, системы PKI и др.).
- Удобный инструмент для расследования инцидентов информационной безопасности, включая предустановленные отчеты.
- Балльная система оценки рисков, которая пересчитывается ежедневно, поддерживая аналитическую модель системы в актуальном состоянии.
- Технология самообучения.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
BI.ZONE Cloud Fraud Prevention
Компания BI.ZONE основана в 2016 году и сегодня оказывает более 30 услуг по кибербезопасности: от киберразведки, консалтинга до расследования киберпреступлений, а также разрабатывает собственные технологичные продукты и автоматизированные решения для защиты ИТ-инфраструктур и приложений. Продукты BI.ZONE максимально автоматизируют процессы обнаружения и предотвращения кибератак, а применяемые технологии машинного обучения и искусственного интеллекта позволяют выявить атаки и мошенничество на ранних стадиях.
Антифрод-система BI.ZONE Cloud Fraud Prevention включает возможности платформ и 1 класса, и 2 класса. Она предназначена для кросс-канального мониторинга и анализа платежей в таких каналах, как интернет-банк, банк-клиент, мобильный банк, эмиссия, эквайринг. BI.ZONE Cloud Fraud Prevention проверяет все совершаемые платежи в реальном времени и с помощью машинного обучения и системы правил предотвращает мошеннические транзакции. Решение автоматически строит профиль клиента с учетом сессионных и платежных транзакций, цифрового «отпечатка» устройства, что позволяет проверять операции на соответствие модели поведения клиента и выявлять аномалии.
Рисунок 27. Интерфейс системы BI.ZONE Cloud Fraud Prevention
Основные особенности
- Кросс-канальный мониторинг и анализ транзакций в различных каналах платежей: интернет-банк, мобильный банк, банк-клиент, эмиссия, эквайринг.
- Возможность комбинации rule-based и model-based подходов для анализа транзакций.
- Использование технологии Risk-Based Authentication (RBA) для интернет-банкинга и мобильного банка.
- Предотвращение не только мошеннических действий, но и решение задач комплаенс мониторинга (AML).
- Удобный пользовательский интерфейс для настройки правил и расследования мошеннических транзакций.
- Автоматическая оценка риска по каждой транзакции с учетом настроенных правил, профиля клиента, цифрового «отпечатка» устройства.
- Встраиваемый JavaScript-модуль и SDK для мобильных приложений для построения цифровых «отпечатков» устройств.
- Машинное обучение, использующее набор моделей для автоматической оценки риска, ежедневное «самообучение» на основе выявленных случаев мошенничества.
Подробнее с продуктом можно ознакомиться на сайте разработчика.
Выводы
Мошенничество в банковской сфере продолжает прогрессировать с каждым годом. А потому растет рынок систем противодействия банковскому мошенничеству. Лидерами в данной сфере являются США. Однако обеспечение безопасности от фрода актуально и для российских финансовых организаций.
При выборе системы противодействия мошенничеству необходимо в первую очередь определиться с тем, какие задачи ей следует выполнять. В большинстве случаев для того чтобы защитить банк от мошенничества, потребуется использование антифрод-систем нескольких классов. При этом при выборе общеаналитических платформ следует обращать внимание на сложность внедрения и удобство использования, а при выборе систем, которые мы отнесли ко 2 классу, стоит обратить внимание на применяемые методы (например, схемы выявления вредоносных программ, возможности удаленного управления и т. д.). Продукты 3 класса могут дополнить систему защиты, т. к. каждый продукт решает узкоспециализированную задачу (распознает изображение, речь и т. д.)