Биометрия и диджитал-копии: как защитить себя и бизнес от кибермошенников
Об эксперте: Юлия Шульга, руководитель Центра экспертиз и интегральных моделей.
По данным FTC (Федеральная торговая комиссия США), в 2020 году жертвами мошенников в финансовом секторе стали более 4,7 млн жителей. Это на 45% выше, чем в 2019 году. 34% заявителей указали размер потерь, который суммарно составил более $3,3 млрд, что на $1,5 млрд больше, чем годом ранее.
В России, по данным ЦБ, в 2020 году количество операций, проведенных без согласия клиента, увеличилось на 34%, а объем таких операций вырос на 52,2% по сравнению с 2019 годом. Из-за кибермошенников жители России в прошлом году потеряли минимум 9,8 млрд рублей.
Во многом всплеск мошенничества был вызван пандемией, когда необходимость самоизоляции подстегнула развитие онлайн-ретейла. В этот период рост активности мошенников фиксировали как крупные банки, ссылаясь на показатель количества жалоб клиентов, так и компании. К примеру, Group IB отмечала в период с апреля по июнь 2020 года рост мошенничества с использованием переводов card-to-card более чем в шесть раз.
Экономика мошенничества состоит из трех ключевых направлений:
- кража аккаунтов;
- мошенничество с транзакциями;
- фальсификация контента (фишинг, спуфинг, листинг, спам и др.)
Один из вызовов финтеха сегодня — как наряду с развитием технологий успевать внедрять решения по защите пользователей, бизнеса, и, в конечном счете, репутации? Ответом могут быть технологии биометрической безопасности и оценки пользовательского поведения.
Биометрическая безопасность
Эксперты оценивают рынок биометрических систем безопасности в $36,6 млрд (данные Marketsandmarkets). По прогнозам, к 2025 году, при среднегодовом темпе роста 13,4%, его объем вырастет почти в 2 раза и составит $68,6 млрд.
Пользовательская биометрия не новинка для владельцев гаджетов, но потенциал системы далеко не исчерпан. Сегодня биометрия в сочетании с 3D-технологиями и расширенной аналитикой позволяет обнаружить мельчайшие изменения в человеке, а также определять пользователя даже с частично закрытым лицом — так что пандемия и здесь дала толчок развитию технологий. Тонкое место биометрии — голосовая идентификация, где мошенники и защитники соревнуются в гонке вооружений за создание максимально неуязвимых систем.
К примеру, английский банк HSBC интегрировал систему голосового подтверждения платежей Voice ID, которая умеет анализировать голос по 100 поведенческим и физическим характеристикам. В мае 2021 года HSBC заявил о том, что благодаря Voice ID за 2020 год на 50% сократились случаи телефонного мошенничества. Удалось предотвратить хищение денег со счетов клиентов на сумму около £249 млн.
Технологии определения живого человека
Диджитал-копии — не столько фантазия из фильмов о будущем, сколько успешный инструмент киберпреступников. Мошенничество с цифровыми двойниками сильно влияет на лояльность пользователей к бренду, поэтому специалисты по ИТ-безопасности стараются найти варианты дополнительной защиты личных данных.
Такие системы реализуются двумя разными подходами:
- Активное определение — требует выполнение пользователем действий, к примеру, морганий или движение лица;
- Пассивное определение — сканирование лица с использованием технологии трехмерного анализа глубины, позволяющего собирать параметры глубины контуров и исключать случаи мошенничества с подлогом 2D-изображений.
В 2021 году английский стартап Sumsub представил решение Prooface, сочетающее в себе оба подхода для отличия живого человека от фейка. Prooface просит пользователей смотреть в камеру и слегка двигать головой по кругу, чтобы программа Good Liveness проанализировала глубину изображения, отражения в глазах и текстуру кожи — такая идентификация должна на порядки снизить попытки мошенничества с биометрией.
Отслеживание пользовательского поведения и черные списки
Один из наиболее перспективных путей защиты пользователей — постоянное изучение поведенческих сценариев. Мониторинг пользовательских привычек — основа развития продукта и маркетинга финансового сектора, а в сочетании с Big Data они могут дать необходимую глубину знаний для защиты клиентов.
Эти данные, к примеру, могут состоять из изменений информации профиля, пользовательских запросов, сбросов и изменения паролей, частоты и размера расходов, времени совершения покупок. Любые отклонения от усредненных показателей — сигнал о том, что надо обратить внимание на пользователя.
Такие системы могут быть построены с помощью алгоритмов машинного обучения. За счет сбора данных и сопоставления их с поведенческим портретом пользователя система может прогнозировать действия с высокой вероятностью мошенничества, немедленно сообщая пользователю и службе безопасности о подозрительных действиях, а в некоторых случаях блокируя учетную запись.
Например, итальянская компания Cleafy занимается разработкой системы для непрерывного обнаружения мошеннических действий и оценки рисков для финансовых организаций. Масштабируемая платформа отслеживает трафик, собирает, упорядочивает и сопоставляет всю собранную в каждом отдельном сеансе информацию для индикации аномалий.
А израильская BioCatch специализируется на разработке комплексных систем поведенческой аналитики на базе технологий искусственного интеллекта и биометрических данных. Решения компании помогают анализировать действия пользователей на протяжении всего жизненного цикла цифровой идентификации — от момента создания учетной записи до мониторинга онлайн-сеансов.
Еще один способ повышения безопасности систем — разработка и внедрение собственных черных списков с учетными записями, которые были связаны с мошенническими действиями. Информация таких списков может содержать данные карты, имени, email и адреса регистрации.
Цифровая грамотность
Покончить с кибермошенничеством как видом преступности, конечно, не получится в полной мере никогда — технологии развиваются слишком быстро, а любая система уязвима. Наиболее устойчивая стратегия — создавать максимально доступные и популярные образовательные инициативы, которые смогут ликвидировать нехватку знаний уязвимых социальных групп о кибербезопасности и цифровой гигиене. Компаниям-лидерам финансового сектора по силам сделать такие инициативы долгосрочным проектом с поддержкой ключевых финтех-игроков и государства. И, конечно, не стоит забывать о правилах личной цифровой гигиены, которые можно сделать привычкой:
- не публиковать конфиденциальную информацию в социальных сетях;
- отказаться от переходов по незнакомым ссылкам (даже если письмо приходит от знакомого бренда — если вы не подписаны на рассылки, не открывайте его);
- не заходить в цифровые кошельки при подключении к Wi-Fi в общественных местах.