НСПК обновит индикаторы подозрительных операций в СБП

Национальная система платежных карт (НСПК) намерена обновить индикаторы, выявляющие подозрительные операции в СБП, и внедрить новую версию в этом году: уже ведется работа с банками, заявил руководитель кибербезопасности НСПК Артем Гутник на уральском форуме Банка России по кибербезопасности. По расчетам компании, это позволит примерно в 2 раза эффективнее выявлять операции без согласия клиента и бороться с мошенничеством.

В СБП есть собственная антифрод-система, которая наполняется в том числе данными от банков, рассказал Гутник. К тому же НСПК на регулярной основе анализирует тренды и изменения в используемых мошенниками схемах, в связи с чем оптимизирует данные, используемые в индикаторах, добавил он. «Индикаторы показывают свою эффективность. Но, как и любой элемент защиты, требуют постоянного развития. Эта работа сейчас ведется НСПК вместе с банками», – отметил Гутник.

Последние несколько лет система платежных карт налаживает работу с банками, чтобы получать от них более точные и полные сведения о мошеннических операциях. Еще в 2022 г. компания получала от кредитных организаций примерно половину всех отчетов из собственных систем информирования о мошенничестве: сейчас НСПК получает более 90% таких сведений, рассказал Гутник.

СПБ набирает популярность как канал вывода средств у злоумышленников, отметил во время выступления на уральском форуме директор департамента противодействия мошенничеству Сбербанка Сергей Велигодский. Но заложенные в системе индикаторы риска необходимо перезапустить, потому что сейчас этот инструмент неэффективен, заявил он.

Индикаторы подозрительных транзакций НСПК, как и банки, не раскрывают в целях безопасности. Но в 2018 г. ЦБ утвердил перечень признаков подозрительных переводов. Банк должен приостановить транзакцию, когда видит, что получателем средств является дроппер. Так называют граждан, которые участвует в мошеннической схеме, предоставляя злоумышленникам доступ к своему банковскому счету для обналичивания или транзита похищенных средств. Данные о таких физлицах содержатся в базе ЦБ, которую ведет его структура ФинЦЕРТ.

Второй признак недобросовестных действий, когда устройство для платежа уже было замечено одним из банков в хакерской атаке. Параметры устройств – IP-адреса, идентификаторы сим-карт (IMSI) и смартфонов (IMEI) – по итогам каждого инцидента кредитные организации обязаны передавать в базу ЦБ.

Третьим признаком ЦБ называет нетипичные для конкретного пользователя объем, место, время транзакции, странную периодичность операций, необычного получателя средств, а также использование нехарактерного для отправителя устройства.

Компании по информационной безопасности, которые создают для организаций разных отраслей решения по выявлению мошенников, также в своих продуктах анализируют технические данные. ​​Например, в антифрод-детекторе компании Fuzzy Logic Labs учитываются такие параметры, как модель устройства, версия программного обеспечения, язык, размер экрана, номера телефонов, IP-адреса, часовые пояса, геолокация, ID вышки, с которой идет сигнал, и проч. Система также может проверить устройство на удаленное управление, наличие активного звонка и т. д.

По словам замначальника департамента защиты информации Газпромбанка Алексея Плешкова, в техническом плане структура собираемых данных о подозрительных транзакциях и устройствах, а также общая схема их выявления на уровне настроек шлюзов во всех банках очень похожи между собой.

Любые заранее анонсированные регулятором или платежной системой инициативы и проекты по информационной безопасности имеют под собой четкие основания и планы реализации, говорит Плешков. Но, по его словам, кому и насколько помогут обновления индикаторов подозрительных операций – покажет время. В самом Газпромбанке пока ждут официальных указаний от регулятора и НСПК.

Совершенствование инструментов борьбы с мошенническими схемами, в том числе обновление индикаторов подозрительных операций в СБП, которые сигнализируют об определенном уровне риска, поддерживает и «Почта банк», говорит его представитель.

По данным ЦБ, злоумышленники в 2023 г. провели 1,17 млн успешных операций без согласия клиентов и похитили у граждан и бизнеса 15,8 млрд руб. Это на 33% больше по количеству и на 11,5% больше по объему, чем в 2022 г. Больше всего мошенники украли средств с платежных карт – они провели 984 770 операций без согласия клиентов на сумму 7,12 млрд руб. На втором месте по масштабам хищений находятся счета – 85 350 операций на почти 4,7 млрд руб. Через СБП злоумышленники провели 82 360 списаний без согласия клиентов на общую сумму около 3,35 млрд руб. С электронных кошельков мошенники совершили 11 690 операций на 105 млн руб. При этом нет возможности сравнить данные по каналам вывода денежных средств с прошлыми годами, потому что такое ранжирование ЦБ ввел только в 2023 г.