Маска не поможет: как компании борются с кибермошенниками

Содержание:

• Как собирают информацию
• ИБ-системы на страже
• Как ИИ-алгоритмы определяют мошенников
• Под защитой «Антифрода»

Как собирают информацию

Основной мотив кибермошенников – нажива. Бывают, конечно, и другие мотиваторы, но в случае с рядовыми пользователями, которые столкнулись с очередной волной вредоносных телефонных звонков, рассылок и коммуникаций в мессенджерах, цель – именно их деньги. И технологии здесь применяются не только для связи с жертвой: их задействуют задолго до момента, когда в трубке звучит набившее уже оскомину «служба безопасности банка» или в письме призывно манит яркая кнопка, обещающая солидные барыши.

Современные мошенники редко действуют в одиночку. ИБ-компания F.A.C.C.T. выделяет шесть различных ролей внутри группировок, численность которых порой превышает тысячу человек. Большая часть из них – «воркеры», то есть «рабочие лошадки», выполняющие самые простые задачи: первичная коммуникация и отправка ссылок. Существуют различные схемы привлечения таких рекрутеров, и одна из них – через чат-боты в Telegram. Мошенники поопытнее разрабатывают скрипты для оперативного прохождения «курса молодого бойца».

Кошелек мамонта: какие приемы используют кибермошенники для обмана жертв

Перед началом мошеннических действий есть несколько подготовительных этапов, самый важный и ответственный из которых – сбор данных. Он может быть условно безобидным: если получение чужой платежной информации незаконно в любых случаях, то к сбору имен, номеров телефонов, email-адресов иногда сложно придраться.

Это возможно благодаря парсингу: специальные алгоритмы «прочесывают» информацию в открытых источниках – соцсетях, маркетплейсах и других сервисах, пользователи которых могут оставить свои данные «на виду», – и затем собирают их в единый датасет (набор данных). После его могут выдавать за утечку, пытаясь заодно скомпрометировать какую-нибудь компанию. Один из последних таких примеров – «утечка» из Альфа-банка: хакеры выложили в открытый доступ якобы данные 44 тыс. клиентов, но банк настаивает, что это компиляция.

Собранную информацию (будь то с помощью парсинга или взлома) мошенники не всегда используют самостоятельно. Зачастую такие датасеты попадают в маркетплейсы даркнета (теневая, не регулируемая законом часть интернета), где перепродаются другим участникам рынка. Там же доступны различные готовые инструменты, благодаря которым порог входа в мошенническую среду существенно снижается. Вместо того чтобы искать данные и разрабатывать вредоносное ПО самому, и то и другое можно купить, причем, по данным ИБ-компаний, неуклонно растет популярность Telegram-чатов и ботов с подобным функционалом.

Каталог инструментов мошенников обширен. Это могут быть готовые скрипты для переписок с будущими жертвами, инструменты рассылок, фишинговые сайты (куда пользователя выводят, чтобы он оставил платежные или иные персональные данные), «чекеры» для проверки валидности телефонных номеров или email-адресов и их наличия в базах данных различных компаний, даже готовые голосовые и видеосообщения для проворачивания хитрых схем вымогательства. Список можно продолжать.

Когда подготовительный этап закончен, мошенники приступают к действиям. И здесь, по мнению экспертов, мало какая технология будет действеннее личного фактора. «Наиболее эффективной является социальная инженерия – игра злоумышленника на эмоциях и фишинг», – делится мнением директор департамента защиты клиентов ИБ VK Рустэм Газизов. Он рекомендует во всех случаях трезво оценивать, чего хочет собеседник и нужно ли ему отвечать, ни в коем случае не вводить личные данные, не убедившись в легитимности сайта, перепроверять первоисточники.

Распределение ролей

ИБ-компания F.A.C.C.T. (ранее – Group-IB) классифицировала типы мошенников, которые объединяются в группировки. Самая массовая из них – «воркеры», которые собирают трафик и привлекают потенциальных жертв.

«Прозвонщики», «возвратеры» и «бомберы» являются вторым эшелоном: они выполняют соответствующую функцию в коммуникации с пользователем («техподдержка», лжевозврат денег, спам-атаки).

«Саппорты», «дропы» и «вбиверы» отвечают за деньги: обеспечивают техническую поддержку каналов, вывод и обналичивание средств, отслеживание списаний.

«Разработчики» занимаются созданием и улучшением различных ИТ-инструментов мошенничества.

«Админы» обеспечивают привлечение новых мошенников, ведут группы на форумах, в Telegram-каналах и чатах, отслеживают работу чат-ботов и осуществляют верхнеуровневую техподдержку.

Наконец, «владелец бизнеса» отвечает за управление процессами, инвестиции в запуск и развитие команды. Может также выполнять функцию «админа».

ИБ-системы на страже

Очевидно, что первоочередная задача любой компании – обезопасить свои данные от утечек. «Владелец сервиса должен нести ответственность, а также брать на себя обязанность обучать пользователей и сотрудников, чтобы минимизировать риски, – поясняет Рустэм Газизов. – Обеспечить безопасность можно, во-первых, предоставив пользователям необходимые для защиты технологические средства, во-вторых, научив подключать их и использовать».

Кроме того, в каждой крупной компании развернуты несколько ИБ-систем. В частности, защита от DDoS-атак, системы предотвращения утечек информации (DLP), распределение доступов (DCAP), управление информацией и событиями безопасности (SIEM), криптографические сервисы и т. д. Дополнительная ответственность лежит на операторах связи, владельцах email-сервисов и мессенджеров, поскольку они фактически предоставляют канал связи с конечным пользователем. А значит, их обязанность – сделать так, чтобы до него не добрался мошенник, как это, увы, часто происходит.

Молчание – золото: зачем хакерам чужие голоса и фотографии

Чтобы снизить число контактов с мошенниками, операторы связи, ИТ- и ИБ-компании в последние годы запустили интеллектуальные определители номеров. Они сверяются с базой (которая пополняется в режиме реального времени) и либо автоматически блокируют нежелательные звонки, либо оповещают пользователя, что по ту сторону может быть злоумышленник.

«В III квартале 2023 года определитель номера «Яндекса» обработал 296 млн вызовов с неизвестных номеров, почти 3 млн были помечены как потенциально мошеннические», – поделилась пресс-служба компании актуальной статистикой. Там же рассказали, что спамеры и мошенники все чаще беспокоят людей звонками через мессенджеры, и количество жалоб на это растет. С августа, когда «Яндекс» добавил функцию определения подобных звонков в свое приложение для Android-устройств, было проанализировано более 500 тыс. случаев, и 11% (то есть более 55 тыс.) были отмечены как «нежелательные».

«За фильтрацию спама в электронной почте отвечают сложные алгоритмы и машинное обучение: они проверяют входящие письма на наличие подозрительных признаков. Анализируются адрес отправителя, текст письма, вложения, ссылки – всего несколько тысяч факторов, – рассказывают в компании. – Обрабатывая большие объемы информации, система учится вычислять и новые виды спама: на них указывают повторяющийся контент, структура письма или ссылки, которые ранее не встречались».

Впрочем, Рустэм Газизов из VK предостерегает, что самостоятельно и эффективно бороться с мошенничеством системы искусственного интеллекта (ИИ, куда входят нейросети и машинное обучение) пока не способны: «На текущий момент эффективность ИИ остается низкой и может помочь исключительно в качестве проактивной меры – только в случаях, когда мы уже обнаружили какой-то паттерн и не даем ему распространиться».

Тем не менее там, где этот паттерн обнаружен, ИИ-системы все же являются незаменимым подспорьем. Руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского» Владислав Тушканов приводит в пример определение спама, где прослеживается четкая схема: массовые рассылки, предложение связаться с отправителем, перейти по ссылке, скачать файл. «Другая область, где машинное обучение также преуспевает, – обнаружение фишинговых веб-сайтов. Современные технологии могут обнаруживать соответствующий контент на странице в интернете и защищать пользователей, которые пытаются перейти по фишинговой ссылке», – рассказал он.

Но встречаются и более остроумные сценарии применения ИИ для защиты от мошенников. В сентябре Тинькофф-банк запустил «боевых человекоподобных роботов» – интеллектуальных разговорных ботов, которые имитируют общение живого человека, удерживая позвонившего мошенника на линии как можно дольше. Соответственно, это сокращает как количество звонков, которые аферист совершает, так и число обманутых пользователей. Это новый, но уже довольно заметный тренд на рынке: летом аналогичный ИИ-сервис был запущен в Австралии.

Как ИИ-алгоритмы определяют мошенников

Подобные разработки именно от Тинькофф-банка неудивительны: он является также оператором связи, где и реализует технологию. Однако банкинг сам по себе – еще одна сфера, которую критически важно защищать, поскольку именно там в конечном счете и совершаются транзакции в адрес мошенников, а также воруются платежные данные клиентов. По данным Банка России, за 2022 год мошенники провели более 876 тыс. несанкционированных операций, в результате чего у клиентов было похищено свыше 14 млрд рублей.

В этой сфере ИИ-алгоритмы играют еще более важную роль. «Детекция мошенника может включать большое число решений, – рассказали «Профилю» в ВТБ. – Это компьютерное зрение для визуального определения субъекта, аудио- и речевая аналитика по голосу и речевым оборотам (через сопоставление накопленных данных), предиктивная аналитика на основе поведенческих паттернов и т. д. Можно говорить о транзакционном фроде (от англ. fraud – «мошенничество». – «Профиль»), где определяется как аномальная именно транзакция. В таких задачах применяется потоковая обработка данных с применением алгоритмов ИИ».

Минус имущество: наказание за киберпреступления предложили расширить

Иными словами, ИИ активно применяется для анализа ситуации в режиме реального времени. По биометрии (голосу или внешности) он определяет клиента (если тот давал согласие на обработку биометрических данных), анализирует контекст разговора или проводимой операции. Подробнее о том, как именно работает анализ поведенческих моделей, «Профилю» рассказал руководитель департамента по противодействию мошенничеству ИТ-компании «Инфосистемы Джет» Алексей Сизов.

«Модели анализа платежных операций могут быть в виде простых логических условий оценки риска (лимиты по суммам, новый получатель и т. д.); скоринговых сценариев; простых и сложных моделей решения задач оптимального управления; отдельных моделей оценки аномального поведения», – перечисляет он.

Эксперт выделяет три типа таких моделей анализа: оценка риска операции (или группы) на базе обучающей выборки по ранее зафиксированным случаям мошенничества; построение профиля злоумышленника (определенного типа) или клиента; оценка аномалий, призванная фиксировать нестандартные события, которые могут являться следствием противоправных действий, нарушением работы технологических процессов и т. д.

Под защитой «Антифрода»

Разумеется, в одиночку противостоять сонму мошеннических группировок не может ни одна компания, поэтому объединение усилий является одним из приоритетов. «Чтобы противостоять онлайн-мошенничеству, важно работать сообща: владельцам сервисов, операторам антиспам-систем, регуляторам и даже, например, организациям, которых затрагивают схемы онлайн-мошенничества», – утверждает Роман Деденок из «Лаборатории Касперского».

Компании и их ИБ-службы постоянно обмениваются данными о новых инструментах и уловках хакеров. Но также регулярно возникают инициативы по централизации всех ИБ-данных в едином контуре. В сфере кибербезопасности в России сейчас этим занимаются Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и Национальный координационный центр по компьютерным инцидентам (НКЦКИ). А с декабря прошлого года в России функционирует платформа «Антифрод», которая призвана защитить конечных пользователей от телефонных мошенников.

Трудности перевода: поможет ли ЦБ жертвам кибермошенников

По данным Роскомнадзора (РКН), который является оператором платформы, «Антифрод» установили уже более 200 российских операторов связи, включая всех крупнейших. К марту следующего года инструмент должен быть установлен и у всех оставшихся, кто пока не успел этого сделать. С момента запуска было предотвращено более полумиллиарда звонков от мошенников, заявляет РКН.

Впрочем, Алексей Сизов из компании «Инфосистемы Джет» предостерегает, что подобные платформы не являются панацеей: «Далеко не каждая централизованная платформа обладает сложными математическими инструментами по контролю, и далеко не везде эти инструменты запущены на текущий момент. Кроме того, централизованные платформы регуляторов или платежных систем лишены сведений об участниках операций или сопутствующих данных, которыми обладают отдельные компании».

Эту точку зрения разделяет Рустэм Газизов из VK: «Злоумышленники постоянно разрабатывают новые способы мошенничества, и многие из них компаниям приходится «закрывать» самостоятельно. Любой антифрод-системе необходимо время на настройку, но даже эти меры не решают проблему полностью, пока остаются пользователи, которые попадают в ловушку мошенников».

Была схожая инициатива и в сфере банкинга: в феврале Сбербанк и ВТБ выступили с предложением по созданию общей для всего финансового рынка антифрод-системы, которая курировалась бы Центробанком. Глава ЦБ Эльвира Набиуллина тогда предположила, что такая система могла бы быть создана в рамках ФинЦЕРТа – ИБ-подразделения Банка России. Предполагалось, что участниками системы по аналогии с телеком-операторами должны были стать все банки. Это позволило бы централизованно отслеживать и предотвращать все подозрительные транзакции.

Увы, за последние девять месяцев никаких подвижек в этом направлении заметно не было. В ВТБ не ответили на вопрос «Профиля» о судьбе платформы, однако прокомментировали плюсы и минусы концепции в целом: «Централизованные платформы существенно повысят эффективность алгоритмов. Основная задача платформ – консолидация всех участников рынка для решения общей угрозы. Однако сложность подобных платформ в объединении данных, так как данные чувствительны и не подлежат раскрытию. Поэтому мы видим успех в построении сервисов в криптозащищенных средах, например, через криптоанклавы как наиболее перспективные решения».

Криптоанклав, о котором говорят в ВТБ, – это технологическое решение, объединяющее в себе большие данные в финансовом и информационно-коммуникационном секторах. О его разработке совместно с МФТИ банк заявлял в феврале 2023-го.
В любом случае, как бы ни развивались технологии, компании должны будут делать ставку на консолидацию и объединение, поскольку в одиночку справиться с растущим потоком все более изощренных мошеннических схем невозможно.

Цифровая грамотность

Человек является самым слабым звеном в любой системе кибербезопасности, подчеркивают многие эксперты. Причем если за профессионализм сотрудников отвечают компании, то рядовой гражданин прежде всего сам должен нести ответственность за сохранность своих данных и денег.

«От некоторых видов социальной инженерии современные решения еще не умеют защищать, но не исключаем, что и в этой области технологии получат развитие в обозримом будущем. А сегодня для комплексной защиты важно совмещать технические и нетехнические меры защиты, в том числе постоянное повышение цифровой грамотности», – говорит Владислав Тушканов из «Лаборатории Касперского».

Рекомендации для пользователей всегда остаются одними и теми же, и ключевая из них – критическое осмысление своих действий, особенно в коммуникации с незнакомыми людьми. Также в интернете есть различные платформы, вроде «Цифрового гражданина», где с помощью тестов можно проверить свои знания в области цифровой грамотности и заполнить пробелы, если они есть.