ВТБ в своем онлайн-банке начнет включать «режим чтения» при подозрении на доступ мошенников к аккаунтам клиентов. Он сделает невозможным проведение операций в приложении или интернет-банке, рассказал РБК старший вице-президент ВТБ, руководитель департамента цифрового бизнеса Никита Чугунов.
Новая мера защиты будет включаться автоматически в случае, если банк подозревает компрометацию клиентских данных или угрозу социальной инженерии, чтобы не позволить мошенникам совершать действия по выводу средств со счетов клиентов. Банк уже тестирует режим ограниченного доступа в «ВТБ Онлайн», с октября он начнет работать полноценно для ряда рисковых операций.
«ВТБ зафиксирует, если мошенники войдут в онлайн-банк и начнут делать нетипичные для конкретного клиента запросы. Сервис моментально завершит подозрительный сеанс и включит «режим чтения» сразу на всех устройствах с онлайн-банком. При этом останется доступным просмотр продуктов, а финансовые операции будут заблокированы», — рассказал Чугунов.
Снять ограничения клиент сможет в офисе, банкомате, контакт-центре или в чате «ВТБ Онлайн» в зависимости от рисков, связанных с конкретной операцией, добавил Чугунов: «Банк обязательно убедится, используя сервисы идентификации, что обращается клиент, а не мошенник». Чугунов также заверяет, что восстановление доступа займет у клиента «незначительное время».
РБК направил запросы в крупнейшие банки. В Сбербанке такой механизм является стандартной мерой защиты, сказал РБК его представитель: «В зависимости от степени риска для клиента может осуществляться полная блокировка приложения, блокировка конкретных рисковых продуктов или операций». Почта Банк данный механизм не применяет, но проводит другие мероприятия по выявлению и предотвращению несанкционированных денежных переводов, рассказал его представитель. Остальные игроки не ответили на запросы.
Эффективность дополнительной защиты
«В этом году увеличилось количество атак на инфраструктуру нефинансовых организаций — маркетплейсов, операторов связи. Там мошенники хотят получить персональные данные россиян, их платежные инструменты, чтобы использовать их для доступа в банковские онлайн-сервисы. Учитывая такую особенность, ВТБ выстраивает многоуровневую систему защиты своих клиентов как в офлайн, так и в онлайн-каналах», — объяснил Чугунов.
Описанная логика похожа на работу стандартной антифрод-системы с той разницей, что новая система будет блокировать не карту, а личный кабинет пользователя, отмечает директор по инновационным проектам ГК InfoWatch Андрей Арефьев: «Подобные антифрод-системы, ориентированные на защиту личных кабинетов пользователей, — это логичный ответ на изменение вектора угроз и подхода злоумышленников к краже денег. Сегодня их целью чаще становятся логины и пароли от онлайн-кабинетов, а не физические карты и платежные реквизиты, как это было раньше».
Эффективность данной меры будет напрямую зависеть от точности алгоритмов анализа и скорости реакции системы — если система сможет корректно и быстро отличать нормальное поведение пользователя от мошеннического, при этом сводя к минимуму ложные срабатывания, то такой подход станет мощным инструментом в арсенале банковской безопасности, говорит руководитель группы исследований безопасности банковских систем Positive Technologies Сергей Белов.
«Критериев оценки действий пользователя тысячи: от банального появления нового устройства, использования провайдера, ранее никогда не использовавшегося, аномалий географического местоположения, заканчивая аномальным поведением (оценка клавиатурного и поведенческих почерков)», — говорит специалист компании F.A.C.C.T. по противодействию финансовому мошенничеству Дмитрий Дудков. Такой подход может применяться как в момент попытки входа в личный кабинет либо регистрации, так и при совершении любой операции, добавляет он. Банк может вычислять доступ мошенников к онлайн-банкингу по новым IP-адресам, нехарактерным географическим местоположениям, неестественной скорости выполнения операций, а также по несвойственным клиенту действиям, например переводу больших сумм на новые счета, указывает и Белов.
Сейчас банки активно внедряют алгоритмы искусственного интеллекта в кибербезопасность — в данном случае, вероятно, используется user behaviour analytics (системы аналитики поведения пользователя), предполагает директор по развитию бизнеса и работе с партнерами «КриптоПро» Павел Луцик. «Система определяет шаблоны в типичном поведении пользователя, а затем выявляет аномальные действия в его поведении. В теории такой метод более эффективен в сравнении со стандартными алгоритмами. Например, сейчас банк с большой долей вероятности заблокирует перевод, если за пять минут до этого клиент получил кредит. А система аналитики с использованием ИИ позволит выявить мошенника, определив, например, что действия совершаются с нехарактерной для пользователя скоростью или последовательностью», — объясняет Луцик.
Риски ложных срабатываний
Ложные срабатывания, безусловно, будут — как существуют ошибочные блокировки банковских карт, уверен Арефьев. В пример он привел реагирование банков на большое количество попыток провести транзакции из разных локаций за короткий промежуток времени. «Раньше довольно часто попадали в неприятные истории, например, путешественники — человеку нужно было совершить длительный перелет с тремя пересадками, и в каждой точке маршрута он выходил в зону аэропорта и что-то оплачивал. В таких ситуациях часто на второй или третьей пересадке банк блокировал карту. Полагаю, что в случае с новой антифрод-системой это тоже может стать поводом для временной блокировки», — рассуждает Арефьев.
«Это может произойти, если система определения аномалий настроена слишком чувствительно или если данные, на основе которых принимаются решения, не учитывают текущие потребности клиента, такие как изменение финансового поведения из-за изменившихся обстоятельств. Например, клиент может внезапно начать совершать крупные переводы, что для него нехарактерно, но может быть связано с покупкой недвижимости или инвестицией», — рассуждает Белов. Включенный на устройстве VPN также может послужить триггером, так как он изменяет IP-адрес и геолокацию устройства, предупреждает он.
При этом банки умеют работать с ошибочными блокировками карт, и в случае с личными кабинетами, вероятно, будет похожая логика реагирования и проверки пользователя и операций, продолжает Арефьев. «Важно, чтобы система анализа поведения была достаточно гибкой и адаптивной, учитывая контекстные изменения в действиях клиентов, чтобы минимизировать риск ложных срабатываний, которые могут привести к неудобствам и потере доверия со стороны клиентов. Также крайне важно, чтобы банк предоставил клиентам возможность легко и быстро верифицировать личность и снять ограничения, чтобы минимизировать возможные неудобства при ложном срабатывании защиты», — резюмирует Белов.