Нам упорно твердят о цифровой безопасности. При этом IT-инфраструктура остается уязвимой, чем весьма успешно пользуются фродстеры (они же мошенники, они же киберпреступники, они же хакеры).
Пользователям говорят, что беспокоится не о чем. Но статистика – вещь упрямая. Согласно отчету Федеральной торговой комиссии США, убытки от действий онлайн-мошенников составили $12,5 млрд дол. Более того, процент пострадавших от фрода пользователей всего за год вырос с 27% до 38%.
Проблема усугубляется еще и тем, что под прицелом не только обычные пользователи приложений и онлайн-сервисов, но и сами вендоры. Участились случаи мошенничества внутри компаний со стороны сотрудников. За примером можно сходить в Яндекс. Такие случае приводят не только к финансовым, но и репутационным потерям.
Что в итоге? Имеем четкую тенденцию на укрепление безопасности IT-инфраструктуры с помощью антифрод-решений на базе AI и ML. По статистике, 3 из 4 компаний планируют увеличить инвестиции в средства защиты от онлайн-мошенников.
Подробнее о том, что это за решения и как они работают, в нашем материале.
Распространенные паттерны фрода
В мире кибербезопасности сейчас реально жарко. За последний год 2/3 компаний зафиксировали рост мошенничества в отношении своих пользователей. Больше половины — столкнулись с атаками на бизнес-аккаунты изнутри.
И это не просто «где-то, у кого-то». Это повсеместная история, которая касается 99% игроков на IT‑рынке. Чаще всего «под прицелом» вендоры из таких секторов как Fintech, онлайн-банкинг, eCommerce, ритейл, страхование, здравоохранение, сектор туристических услуг… Сложнее сказать, кто не попадает в объектив мошенников.
В чем причина участившихся случаев фрода? Все больше приложений и микросервисов в попытке удовлетворить потребности пользователей. IT-архитектура становится более сложной и уязвимой.
Мошенники становятся умнее, их схемы — изощреннее. Появляются новые мошеннические паттерны, с которыми команды риск-мониторинга и DevSecOps попросту еще не сталкивались.
В данном контексте ключевым фактором является обучаемость антифрод-систем, их умение распознавать новые схемы и помечать их как потенциальную угрозу в рамках выбранной модели риск-скоринга. Но, обо всем по порядку.
Для начала, разберемся с наиболее распространенными типами фрода:
APP-мошенничество — топ по объёму атак
Начнем с лидера — APP fraud (Authorized Push Payment). При данной схеме мошенники, используя приемы социальной инженерии (а теперь ещё и нейросети!), в прямом смысле убеждают пользователя перевести деньги на липовый счёт.
Многие из нас регулярно получают звонки из разряда “вам звонят из банка", "ваша карта заблокирована", "подтвердите платеж" и т.д. Вот наглядный пример APP-фрода.
Мошенники рассчитывают именно на психологическое давлений. Технический фактор здесь играет второстепенную роль. Фродстерам нужно лишь получить личные данные. И не всегда для этого нужно взламывать аккаунты. Базы данных продаются в даркнете.
На долю таких схем пришлось 22% всех случаев мошенничества в 2024 году. Вдумайся — почти каждый четвертый случай! |
Account Takeover — когда твой аккаунт уже не твой
Злоумышленники получают доступ к аккаунтам пользователей с целью получить финансовую или другую выгоду. Злоумышленники получают доступ к почте, онлайн-банку или CRM реального юзера или, например, сотрудника компании. Чаще всего аккаунты «угоняют» с помощью довольно банальных приемов, таких как фишинг и вирусы. Иногда мошенники просто угадывают слабые пароли.
В 2024 году количество таких атак выросло на 24%. |
Синтетические личности — когда мошенник выдумывает новую личность
Synthetic ID – тип фрода, который подразумевает создание несуществующей (синтетической) личности. Изюминкой данного фрода является то, что мошенники для убедительности «подмешивают» украденные данные реальных людей, например, ИНН, адрес или телефон существующего юзера.
Так создается фейковый персонаж, которые вполне может оформить кредит или получить доступ к финансовым услугам без намерения их оплатить или вернуть.
Каждый третий пользователь стал жертвой такого обмана в 2024-м. Средняя сумма ущерба составила $1,600 на человека. |
Application Fraud — заявки с подвохом
В отличие от предыдущего типа мошенничества, данная схема предполагает максимально топорный и прямолинейный тип скама. Мошенник отправляет заведомо ложные данные при оформлении заявки на кредит, пособие или субсидию. Затем злоумышленник просто исчезает с деньгами, оставляя компанию в минусе.
A2P-мошенничество — когда опасность притаилась в SMS
Идея до банальности простая, но все еще действенная. Мошенники используют приложения для рассылки вредоносных сообщений (ссылки на вирусы, фишинг и т.п.) на смартфоны пользователей. Многие юзеры по привычке доверяют SMS, особенно если сообщение "от банка".
Утечки данных — 422 миллиона «учеток» за год
В 2024 году только официально было скомпрометировано 422 миллиона учетных записей. Причины — слабые системы безопасности, отсутствие контроля доступа и банальное невнимание сотрудников профильных отделов.
Риск-мониторинг как ключевая антифрод-концепция
Риск-мониторинг — система, которая помогает вовремя замечать потенциальное мошенничество и предотвращать финансовые потери. Это не просто «посмотреть отчеты раз в месяц», а постоянный анализ рисков через специальные индикаторы (KRI), интегрированные в экосистему оценки рисков компании.
Концепция защиты от фрода выстраивается на базе актуальной аналитики, машинного обучения и поведенческих моделей.
Главная идея — не просто реагировать, а опережать
Команды антифрода работают по принципу «лучше предупредить, чем вытаскивать бизнес из огня». Специалисты разрабатывают и внедряют нейросети, алгоритмы и поведенческий анализ, чтобы вовремя замечать, где что-то пошло не так — будь то подозрительная транзакция, аномалия в поведении пользователя или сбой в потоке данных.
Здесь речь не только про безопасность. Глубокий анализ данных помогает заметить новые возможности и точки роста, определить уязвимости, которых раньше просто не замечали. С точки зрения защиты от фрода, мониторинг рисков позволяет:
выявлять случаи мошенничества на ранних стадиях до того момента, как компания понесет реальные финансовые и репутационные убытки;
анализировать данные в реальном времени, следить за поведенческими и техническими атрибутами пользователей, отслеживать тренды и внедрять их в общую антифрод-концепцию;
быстро реагировать на угрозы, помечать потенциально опасные действия, вносить коррективы в работу скоринговой модели.
В чем суть скоринговой модели?
Мониторинг рисков – это общее понятие, примерно описывающее концепцию. Риск-скоринг – это база для любого антифрод-решения. Модели могут быть разными, но принцип действия один и тот же.
В основе работы систем предотвращения мошенничества заложены два фундаментальных компонента:
1. Поведенческая биометрия (Behavioral Biometrics)
При слове «биометрия» мы думаем об отпечатках пальцев или системе распознавания лиц, которые установлены в Зеленых коридорах аэропортов. Поведенческая биометрия чуть более глубока по своей сути.
С помощью данного подхода можно распознать пользователя по тому, как быстро или медленно он набирает текст, двигает мышкой или даже выстраивает предложения в чате.
Если кратко, то биометрия поведения — это способ аутентификации личности на основе того, как мы взаимодействуем с устройством.
Какие параметры можно отследить
Исследуемые атрибуты можно условно разделить на 3 группы параметров.
1. Паттерны взаимодействия с устройством анализируют:
Динамику нажатий клавиш (keystroke dynamics). Система изучает, с какой скоростью и ритмом мы печатаем, какие клавиши чаще зажимаем или пропускаем, как ставим пробелы.
Движение мышки или тачпада. Система анализирует привычные маршруты курсора, клики, скорость, траекторию.
Работу с сенсорным экраном. В данном случае отслеживаются свайпы, касания, прокрутки, усилие нажатия, углы и последовательности движений.
2. Физические паттерны анализируют:
Походку юзера (gait analysis). Да-да, некоторые системы могут различать пользователей по тому, как они двигаются.
Основы осанки и положения тела — например, в VR и AR-средах это может быть важным индикатором идентификации.
3. Когнитивные паттерны анализируют:
Особенности речи, структуру предложений, выбор слов и общую лексику.
Также анализируется навигация по интерфейсу — как какие разделы сайта посещаем, какие кнопки нажимаем. Создается своего рода тепловая карта пользователя.
Для чего все это нужно?
Команды анализируют собранные данные. Алгоритмы на базе ИИ создают индивидуальные поведенческие профили и постоянно их обновляют. Это позволяет выявлять аномалии в поведении.
Например, кто-то вдруг начинает пользоваться аккаунтом не так, как обычно. Слишком быстро печатать или использовать непривычные слова. Система пометит такие действия как потенциально опасные. Далее дело за специалистами отработке «красных флагов».
Кажется, так много параметров. За всем не уследить. На деле, мониторинг происходит в считанные секунды. ML и AI-инструменты дают возможность в реальном времени определять подозрительную активность еще до того, как произойдёт мошенничество.
Чем дольше система наблюдает за пользователем, тем точнее становится его поведенческий "портрет". А значит, определить уровень риска становится проще.
2.Цифровой печаток устройства (Device Fingerprinting)
Каждое устройство оставляет после себя цифровой след — уникальный, как отпечаток пальца. Это и есть device fingerprinting. Технология помогает точно определить устройство, даже если пользователь не авторизован, не использует cookies или выходит в онлайн инкогнито.
Как это работает? Система собирает данные об устройстве: операционка, браузер, разрешение экрана, установленные плагины и шрифты. Все эти параметры объединяются в уникальный профиль, по которому можно идентифицировать девайс во время следующей сессии.
«Так это же файлы cookies», — скажете вы. Нет. Device fingerprinting не хранится в браузере. Его невозможно просто «удалить». Он строится на том, что уже есть в системе, а значит — работает стабильно и точно.
Техника браузерного отпечатка анализирует всё, что может рассказать о пользователе браузер:
User Agent — подсказывает тип устройства, ОС и версию браузера.
Часовой пояс — можно сравнить с геоданными, чтобы выявить нестыковки.
Установленные плагины и шрифты — если что-то внезапно изменилось, это может быть сигнал о потенциальной угрозе.
Технические параметры — разрешение экрана, объем оперативки, хранилище и прочее.
Сочетание этих данных формирует уникальный «профиль» браузера. Даже если пользователь очищает кэш, заходит без логина или с VPN — всё равно система его узнает.
Mobile fingerprinting анализирует информацию о мобильных гаджета. Система работает немного иначе с фокусом на технические характеристики устройства: производитель, модель, оператор связи, версия ОС, список приложений и сетевые настройки.
Это важно сфер, где большая часть пользователей заходит через мобильные приложения и браузеры. И даже если пользователь переключается между ними — система всё равно его узнаёт.
Мобильный отпечаток позволяет:
идентифицировать устройство без cookies;
отслеживать подозрительную активность;
повышать безопасность мобильных транзакций.
Как это все работает вместе?
Вся магия строится на 4 ключевых этапах:
Сбор данных. При заходе на сайт запускаются скрипты, которые «снимают» параметры устройства: ОС, разрешение, браузер и т.д.
Передача данных. Собранная информация отправляется на сервер.
Анализ и построение профиля. Система обрабатывает данные и создаёт уникальный профиль устройства.
Оценка рисков. Профиль сравнивается с предыдущими визитами, и система проверяет, нет ли подозрительной активности или признаков мошенничества.
Всё это происходит в фоне, быстро и без участия пользователя.
Формирование рейтинга пользователя
После анализа технических и поведенческих факторов система определяет уровень риска и присваивает го каждому пользователю. Тут все просто:
Пользователи с низким уровнем риска (Low-risk). Это «золотой стандарт» — надёжные, проверенные пользователи с безупречной репутацией. Они практически не представляют угроз и считаются максимально безопасными.
Пользователи со средним уровнем риска (Medium-risk). В зоне риска пользователи, у которых фиксируются аномалии или нестыковки с привычными техническими и поведенческими параметрами. Они не обязательно могут быть мошенниками. Однако здесь требуется дополнительная проверка.
Пользователи с высоким уровнем риска (High-risk). В эту категорию входят юзеры, которые часто меняют устройств или IP-адреса, используют анонимайзеры, VPN и другие приложения, чтобы скрыть реальные данные.
Data-driven подход: где ИИ — главный игрок
Искусственный интеллект и машинное обучение сегодня становятся ядром продвинутых антифрод-систем. Они могут видеть то, что не видно обычной логике — скрытые паттерны, аномалии, нестандартные действия.
Что делает ИИ:
находит скрытые зависимости в огромных объемах данных: кто и как ведет себя онлайн, есть ли что-то подозрительное в этих действиях;
предсказывает риски с помощью предиктивных моделей, ещё до того, как произойдёт мошенничество;
определяет аномалии в поведении пользователя — например, слишком частые входы, нестандартная навигация, резкая смена местоположения;
постоянно учится — модели обновляются и адаптируются под новые схемы атак.
В отличие от статичных правил, ИИ динамичен и способен распознавать даже те угрозы, о которых еще никто не слышал.
Rule-based подход: когда всё по правилам
Правила — это основа. Они работают как «система сигналов», которая срабатывает при чётко определённых ситуациях. Такой подход не зависит от ИИ, но может быть усилен им.
Подход включает в себя:
стратегическая настройка правил — заранее определяются подозрительные сценарии (например, неоправданно большие транзакции);
пороговые значения — задаются лимиты по суммам, геолокации, типу операций;
стабильность и предсказуемость — система дает одинаковые результаты при одинаковых условиях;
гибкость и масштабируемость — правила можно адаптировать под изменения в поведении юзеров и новые угрозы.
Этот подход надежен и понятен, но он работает в рамках известных паттернов. А вот для выявления новых, сложных и маскирующихся схем нужен ИИ.
Вывод
Внедрение эффективной антифрод-системы требует глубокой экспертизы, технологической поддержки и гибкости. Риски меняются так же быстро, как и сами схемы мошенничества. Работать по старинке уже не получится.
Компаниям приходится обрабатывать огромные объёмы данных, вычленяя из них действительно значимые сигналы. Необходимо также адаптироваться к постоянно меняющимся сценариям мошенничества и уметь отличать обычное поведение от потенциально опасного, причём с учётом индивидуального контекста каждого пользователя.
Оценка рисков — это живой процесс, который требует адаптивности и постоянного обновления подходов. Без современных технологий справиться с этим практически невозможно. ИИ и поведенческая аналитика стали ключевые инструменты в выявлении скрытых угроз и формировании точных пользовательских профилей.
Важна также коллаборация между командами, чтобы идентифицировать слепые зоны в оценке рисков. Динамика важнее статичности — гибкие модели выигрывают у жёстких систем в условиях быстро меняющейся цифровой среды.
