Аналитика и комментарии
06 сентября 2024
Анатомия аферы: финансовое мошенничество всё больше приобретает трансграничный характер
![](/upload/iblock/ab9/yyqs20ltyjujx38qzvsyv5ulbdfnckl9/12_Zahod.jpg)
Уровень финансового мошенничества высок как в России, так и за рубежом, и методы аферистов схожи. Наиболее уязвимыми остаются платёжные карты, мобильные приложения, которые особенно подвержены фишингу и скиммингу. Денежные переводы уязвимы из-за невысокого уровня аутентификации. Наконец, пользователи финансовых услуг нередко пасуют перед изощрённой социальной инженерией.
Финансовые регуляторы Старого света заявили, что в 2022 году ущерб от мошенничеств с платежами в Европейской экономической зоне (ЕЭЗ) составил колоссальную сумму в 4,3 млрд евро. Ещё 2 млрд евро убытков было зафиксировано только в первой половине 2023 года.
Комплексный анализ, подготовленный Европейской банковской службой (ЕБА) в коллаборации с Европейским центральным банком (ЕЦБ), предлагает подробный взгляд на развитие ситуации с платёжным мошенничеством на континенте. Популярное финансовое онлайн-издание The Global Treasurer приводит выдержки из отчёта.
А мошенники кто?
В документе, в котором анализируются данные за период со второй половины 2022 года по первую половину 2023 года, говорится, что основная часть мошеннических действий приходится на денежные переводы и операции по банковским картам.
Только за первую половину 2023 года общая сумма мошеннических кредитовых переводов, отправленных поставщиками платёжных услуг (ППУ) в ЕС/ЕЭЗ, составила 1,131 млрд евро, а объём мошенничества с использованием карт, выпущенных в ЕС/ЕЭЗ, достиг 633 млн евро.
Несмотря на эти тревожные цифры, авторы исследования отмечают положительное влияние Strong Customer Authentication (SCA) (многофакторная аутентификация клиентов), ключевой меры безопасности, введённой в соответствии с пересмотренной Директивой ЕС о платёжных услугах (PSD2).
Транзакции, аутентифицированные с использованием SCA, неизменно демонстрировали более низкие показатели мошенничества по сравнению с транзакциями без неё, особенно при оплате картами.
Вместе с тем, отмечают авторы отчёта, хотя абсолютные цифры мошеннических операций озадачивают, уровень злокозненных действий остаётся относительно низким в процентном отношении к общему количеству транзакций. Например, в первой половине 2023 года:
В отчёте подчеркивается разительный контраст между тем, где происходят транзакции, и тем, где осуществляется мошенничество:
Безопасность прежде всего
Обнадёживающий вывод – подтверждённая эффективность строгой аутентификации клиентов:
Мошенничество с денежными переводами рисует более сложную картину. Здесь социальная инженерия играет значительную роль, 57% мошеннических действий являются результатом манипулирования, когда ничего не подозревающий плательщик сам инициирует транзакции. Остальные 43% следуют более традиционному пути, когда мошенники напрямую выдают платёжные поручения, располагая личными данными пользователя.
В целом, кража личных данных владельцев карт составляет 61% от числа онлайн-мошенничеств. В то же время в офлайн-формате главной проблемой остаются утерянные или украденные карты, на которые приходится 39% от общего количества афер.
Что касается финансовой нагрузки от мошенничества, распределение между поставщиками платёжных услуг (PSP) и пользователями (PSU) значительно различается в зависимости от типа платежа и географии. Потери от карточных платежей в первой половине 2023 года разделились примерно поровну, при этом пользователи взяли на себя 45% бремени. Потери от мошенничества со снятием наличных были разделены также поровну, где пользователи получили небольшое большинство – 51%. А вот мошенничество с денежными переводами особенно сильно бьёт по клиентам банков. В этих случаях PSU вынуждены нести 86% убытков.
Технология против технологии
Проблема, разумеется, касается не только Европы, но и США. В 2023 году американская Федеральная торговая комиссия (FTC) сообщила о росте ущерба от мошенничества на 14% по сравнению с 2022 годом. Убытки составили более 10 млрд долларов, из них около 2,7 млрд пришлись на утечку персональных данных. Об этом сообщает сетевое издание Американской банковской ассоциации «АВА». Среди методов злоумышленников наиболее типичной и опасной тактикой остаётся социальная инженерия. «Ни одна система безопасности не поможет «оболваненному» клиенту», – говорит вице-президент по рискам, мошенничеству и кибербезопасности Американской банковской ассоциации Пол Бенда. По его мнению, усугубляет проблему развитие генеративного ИИ. Мошенники уже способны выдать себя за другого человека, скопировать его голос или даже внешний облик.
Громкая история случилась в феврале, когда финансовый менеджер из Гонконга перевёл 25,6 млн долларов мошенникам, использовавшим технологию deepfake. Они сымитировали многопользовательскую видеоконференцию, чтобы убедить финансиста. По его словам, «коллеги» в ходе общения выглядели, как настоящие.
С другой стороны, считает Бенда, если технология породила эту проблему, она же может её и решить. Например, основанная в 2011 году компания iProov использует методы биометрии лица и специальной цветной подсветки для проверки аутентичности фото или видео пользователей и клиентов банков.
Ещё одно новое техническое решение – Sardine от компании Soups Ranjan. Да, злоумышленник может подделать номер социального страхования или другие персональные данные, но при вводе или копировании он, скорее всего, будет вводить пароли или другие данные медленнее, чем это сделал бы настоящий пользователь. Так вот, Sardine выявляет такие вибрации и изменения в поведении и может отмечать подозрительные транзакции.
Пол Бенда убеждён, что в борьбе с мошенничеством правоохранительные органы и правительство должны играть наиболее важную роль. Кроме того, ответственность за утечку персональных данных должны нести телекоммуникационные компании. Наиболее эффективным методом предотвращения афер, по мнению эксперта, является просвещение граждан и более тесная связь пользователей финансовых услуг со своими банками.
Комментарий эксперта
Ярослав Кабаков, директор по стратегии ИК «Финам»: «Важен комплексный подход к борьбе с финансовым мошенничеством, включающий законодательные меры»
Эффективные методы борьбы с финансовым мошенничеством в Европе включают строгую аутентификацию клиентов (SCA). После внедрения SCA на основе директивы PSD2 в Европе уровень мошенничества с платежами по картам снизился на 18% в 2022 году. В России банки, внедрившие двухфакторную аутентификацию, зафиксировали сокращение мошеннических транзакций на 12%. Обучение пользователей также играет ключевую роль в противодействии мошенничеству. В 2022 году в Европе было проведено более 500 образовательных кампаний, что позволило сократить количество инцидентов фишинга на 9%. В России Сбербанк запустил программу обучения клиентов, что помогло предотвратить около 35% потенциальных случаев мошенничества.
Использование ИИ и машинного обучения для обнаружения подозрительных транзакций и поведения стало эффективной мерой. В Европе системы на основе ИИ помогли предотвратить мошенничество на сумму 2,3 млрд евро в 2023 году. В России использование таких систем позволило сократить количество мошеннических транзакций на 25% в крупных банках. Блокировка подозрительных транзакций также показала свою эффективность. В Великобритании в 2023 году было заблокировано более 1 млн подозрительных транзакций, что помогло предотвратить убытки на сумму более 500 млн фунтов стерлингов. В России аналогичные меры позволили избежать потерь на сумму около 20 млрд рублей.
Банки имеют свои слабые места. Человеческий фактор является одним из них: сотрудники банков могут быть легко обмануты через социальную инженерию. Например, в России в одном из случаев сотрудник банка случайно передал мошенникам доступ к счетам 50 клиентов, что привело к убыткам на сумму около 100 млн рублей. Технические уязвимости банковских систем также представляют значительную угрозу. В 2023 году в Европе было зафиксировано более 1200 инцидентов, связанных с такими изъянами. В России в 2022 году было выявлено 950 таких случаев. Управление данными также является слабым звеном: в 2022 году утечка данных в одном из крупных банков России привела к компрометации 1 млн аккаунтов. В Европе утечка данных в 2023 году затронула около 2,5 млн пользователей одного из крупнейших банков.
Для эффективной борьбы с мошенничеством необходимо усиление законодательства. Введение новых норм в Европе, таких как PSD2, помогло снизить уровень мошенничества на 20% за первые два года. В России аналогичные усилия привели к сокращению случаев финансового мошенничества на 15%. Международное сотрудничество также играет важную роль. Совместные усилия финансовых регуляторов Европы и США позволили предотвратить трансграничное мошенничество на сумму более 1 млрд долларов в 2023 году. Постоянное обновление технологий, таких как биометрическая аутентификация, в банках Европы позволило сократить случаи мошенничества с картами на 22% в 2023 году. В России использование биометрии помогло снизить уровень мошенничества на 18%.
Просветительские программы также необходимы для снижения уровня мошенничества. В 2023 году Европейский центральный банк провёл более 300 программ по обучению потребителей, что помогло снизить количество случаев мошенничества на 10%. В России проведение образовательных семинаров в крупных городах привело к сокращению инцидентов на 12%. Эти примеры и статистика подчёркивают важность комплексного подхода к борьбе с финансовым мошенничеством, включающего законодательные меры, использование современных технологий и активное обучение пользователей. Без такого подхода невозможно эффективно противостоять новым угрозам и обеспечивать безопасность финансовых систем.
Текст: Аркадий АРЗАМАСЦЕВ
Материал также опубликован в печатной версии Национального банковского журнала (июль – август 2024)
Финансовые регуляторы Старого света заявили, что в 2022 году ущерб от мошенничеств с платежами в Европейской экономической зоне (ЕЭЗ) составил колоссальную сумму в 4,3 млрд евро. Ещё 2 млрд евро убытков было зафиксировано только в первой половине 2023 года.
Комплексный анализ, подготовленный Европейской банковской службой (ЕБА) в коллаборации с Европейским центральным банком (ЕЦБ), предлагает подробный взгляд на развитие ситуации с платёжным мошенничеством на континенте. Популярное финансовое онлайн-издание The Global Treasurer приводит выдержки из отчёта.
А мошенники кто?
В документе, в котором анализируются данные за период со второй половины 2022 года по первую половину 2023 года, говорится, что основная часть мошеннических действий приходится на денежные переводы и операции по банковским картам.
Только за первую половину 2023 года общая сумма мошеннических кредитовых переводов, отправленных поставщиками платёжных услуг (ППУ) в ЕС/ЕЭЗ, составила 1,131 млрд евро, а объём мошенничества с использованием карт, выпущенных в ЕС/ЕЭЗ, достиг 633 млн евро.
Несмотря на эти тревожные цифры, авторы исследования отмечают положительное влияние Strong Customer Authentication (SCA) (многофакторная аутентификация клиентов), ключевой меры безопасности, введённой в соответствии с пересмотренной Директивой ЕС о платёжных услугах (PSD2).
Транзакции, аутентифицированные с использованием SCA, неизменно демонстрировали более низкие показатели мошенничества по сравнению с транзакциями без неё, особенно при оплате картами.
Вместе с тем, отмечают авторы отчёта, хотя абсолютные цифры мошеннических операций озадачивают, уровень злокозненных действий остаётся относительно низким в процентном отношении к общему количеству транзакций. Например, в первой половине 2023 года:
- Самый высокий уровень мошенничества наблюдался при оплате картами – 0,031% от общей суммы транзакций.
- Немногим отстают транзакции с электронными деньгами: уровень мошенничества составляет 0,022%.
- Денежные переводы, несмотря на высокие абсолютные значения мошенничества, имели 0,001%.
- Уровень мошенничества при снятии наличных составил 0,008%.
В отчёте подчеркивается разительный контраст между тем, где происходят транзакции, и тем, где осуществляется мошенничество:
- Хотя 79–82% денежных переводов и платежей по картам проводились внутри страны, значительная часть мошенничества носила трансграничный характер.
- 71% всех случаев мошенничества с картами и 68% мошеннических операций с картами были трансграничными.
- Что касается денежных переводов, то 43% мошеннических сумм и 36% мошеннического объёма были трансграничными.
- Примечательно, что 28% от общего объёма мошенничества с картами были связаны с транзакциями за пределами ЕЭЗ.
Безопасность прежде всего
Обнадёживающий вывод – подтверждённая эффективность строгой аутентификации клиентов:
- Большинство электронных платежей в стоимостном выражении были аутентифицированы с использованием SCA в 2022 году и первой половине 2023 года.
- В первой половине 2023 года для кредитных переводов 77% транзакций были аутентифицированы с помощью SCA.
- Платежи по картам, аутентифицированные с помощью SCA, показали стабильно более низкие показатели мошенничества по сравнению с транзакциями без использования SCA.
- Эта закономерность сохранялась как для внутренних, так и для трансграничных транзакций, при этом уровень мошенничества при оплате картами с аутентификацией SCA в пределах ЕЭЗ варьировался от 0,013% до 0,017% в стоимостном выражении.
Углубляясь в механику мошенничества, авторы исследования видят закономерности в разных способах оплаты. Так, платежи по картам, снятие наличных и электронные транзакции имеют общую черту: более 92% мошенничества происходят из-за платёжных поручений, выданных непосредственно злоумышленником. В таких случаях преступники, как правило, каким-либо способом узнают личные данные жертвы (фишинг, фейковые интернет-магазины и пр.).
Мошенничество с денежными переводами рисует более сложную картину. Здесь социальная инженерия играет значительную роль, 57% мошеннических действий являются результатом манипулирования, когда ничего не подозревающий плательщик сам инициирует транзакции. Остальные 43% следуют более традиционному пути, когда мошенники напрямую выдают платёжные поручения, располагая личными данными пользователя.
В целом, кража личных данных владельцев карт составляет 61% от числа онлайн-мошенничеств. В то же время в офлайн-формате главной проблемой остаются утерянные или украденные карты, на которые приходится 39% от общего количества афер.
Что касается финансовой нагрузки от мошенничества, распределение между поставщиками платёжных услуг (PSP) и пользователями (PSU) значительно различается в зависимости от типа платежа и географии. Потери от карточных платежей в первой половине 2023 года разделились примерно поровну, при этом пользователи взяли на себя 45% бремени. Потери от мошенничества со снятием наличных были разделены также поровну, где пользователи получили небольшое большинство – 51%. А вот мошенничество с денежными переводами особенно сильно бьёт по клиентам банков. В этих случаях PSU вынуждены нести 86% убытков.
Технология против технологии
Проблема, разумеется, касается не только Европы, но и США. В 2023 году американская Федеральная торговая комиссия (FTC) сообщила о росте ущерба от мошенничества на 14% по сравнению с 2022 годом. Убытки составили более 10 млрд долларов, из них около 2,7 млрд пришлись на утечку персональных данных. Об этом сообщает сетевое издание Американской банковской ассоциации «АВА». Среди методов злоумышленников наиболее типичной и опасной тактикой остаётся социальная инженерия. «Ни одна система безопасности не поможет «оболваненному» клиенту», – говорит вице-президент по рискам, мошенничеству и кибербезопасности Американской банковской ассоциации Пол Бенда. По его мнению, усугубляет проблему развитие генеративного ИИ. Мошенники уже способны выдать себя за другого человека, скопировать его голос или даже внешний облик.
Громкая история случилась в феврале, когда финансовый менеджер из Гонконга перевёл 25,6 млн долларов мошенникам, использовавшим технологию deepfake. Они сымитировали многопользовательскую видеоконференцию, чтобы убедить финансиста. По его словам, «коллеги» в ходе общения выглядели, как настоящие.
С другой стороны, считает Бенда, если технология породила эту проблему, она же может её и решить. Например, основанная в 2011 году компания iProov использует методы биометрии лица и специальной цветной подсветки для проверки аутентичности фото или видео пользователей и клиентов банков.
Ещё одно новое техническое решение – Sardine от компании Soups Ranjan. Да, злоумышленник может подделать номер социального страхования или другие персональные данные, но при вводе или копировании он, скорее всего, будет вводить пароли или другие данные медленнее, чем это сделал бы настоящий пользователь. Так вот, Sardine выявляет такие вибрации и изменения в поведении и может отмечать подозрительные транзакции.
Пол Бенда убеждён, что в борьбе с мошенничеством правоохранительные органы и правительство должны играть наиболее важную роль. Кроме того, ответственность за утечку персональных данных должны нести телекоммуникационные компании. Наиболее эффективным методом предотвращения афер, по мнению эксперта, является просвещение граждан и более тесная связь пользователей финансовых услуг со своими банками.
![12_Kabakov.jpg 12_Kabakov.jpg](/upload/medialibrary/51e/vulqk63ky4vzmc9w1zl0zc3if132e6ni/12_Kabakov.jpg)
Ярослав Кабаков, директор по стратегии ИК «Финам»: «Важен комплексный подход к борьбе с финансовым мошенничеством, включающий законодательные меры»
Эффективные методы борьбы с финансовым мошенничеством в Европе включают строгую аутентификацию клиентов (SCA). После внедрения SCA на основе директивы PSD2 в Европе уровень мошенничества с платежами по картам снизился на 18% в 2022 году. В России банки, внедрившие двухфакторную аутентификацию, зафиксировали сокращение мошеннических транзакций на 12%. Обучение пользователей также играет ключевую роль в противодействии мошенничеству. В 2022 году в Европе было проведено более 500 образовательных кампаний, что позволило сократить количество инцидентов фишинга на 9%. В России Сбербанк запустил программу обучения клиентов, что помогло предотвратить около 35% потенциальных случаев мошенничества.
Использование ИИ и машинного обучения для обнаружения подозрительных транзакций и поведения стало эффективной мерой. В Европе системы на основе ИИ помогли предотвратить мошенничество на сумму 2,3 млрд евро в 2023 году. В России использование таких систем позволило сократить количество мошеннических транзакций на 25% в крупных банках. Блокировка подозрительных транзакций также показала свою эффективность. В Великобритании в 2023 году было заблокировано более 1 млн подозрительных транзакций, что помогло предотвратить убытки на сумму более 500 млн фунтов стерлингов. В России аналогичные меры позволили избежать потерь на сумму около 20 млрд рублей.
Банки имеют свои слабые места. Человеческий фактор является одним из них: сотрудники банков могут быть легко обмануты через социальную инженерию. Например, в России в одном из случаев сотрудник банка случайно передал мошенникам доступ к счетам 50 клиентов, что привело к убыткам на сумму около 100 млн рублей. Технические уязвимости банковских систем также представляют значительную угрозу. В 2023 году в Европе было зафиксировано более 1200 инцидентов, связанных с такими изъянами. В России в 2022 году было выявлено 950 таких случаев. Управление данными также является слабым звеном: в 2022 году утечка данных в одном из крупных банков России привела к компрометации 1 млн аккаунтов. В Европе утечка данных в 2023 году затронула около 2,5 млн пользователей одного из крупнейших банков.
Для эффективной борьбы с мошенничеством необходимо усиление законодательства. Введение новых норм в Европе, таких как PSD2, помогло снизить уровень мошенничества на 20% за первые два года. В России аналогичные усилия привели к сокращению случаев финансового мошенничества на 15%. Международное сотрудничество также играет важную роль. Совместные усилия финансовых регуляторов Европы и США позволили предотвратить трансграничное мошенничество на сумму более 1 млрд долларов в 2023 году. Постоянное обновление технологий, таких как биометрическая аутентификация, в банках Европы позволило сократить случаи мошенничества с картами на 22% в 2023 году. В России использование биометрии помогло снизить уровень мошенничества на 18%.
Просветительские программы также необходимы для снижения уровня мошенничества. В 2023 году Европейский центральный банк провёл более 300 программ по обучению потребителей, что помогло снизить количество случаев мошенничества на 10%. В России проведение образовательных семинаров в крупных городах привело к сокращению инцидентов на 12%. Эти примеры и статистика подчёркивают важность комплексного подхода к борьбе с финансовым мошенничеством, включающего законодательные меры, использование современных технологий и активное обучение пользователей. Без такого подхода невозможно эффективно противостоять новым угрозам и обеспечивать безопасность финансовых систем.
Текст: Аркадий АРЗАМАСЦЕВ
Материал также опубликован в печатной версии Национального банковского журнала (июль – август 2024)
15 октября 2024
15 октября 2024
14 октября 2024
11 октября 2024
11 октября 2024
10 октября 2024