Кибератаки и кража данных клиентов: чем рискуют банки из-за мошенников
Кибернетические атаки и нарушения безопасности данных, повышение скорости платежей, открытый банкинг и новые цифровые каналы, социальный инжиниринг – таковы основные формы мошенничества в мировом банковском секторе в соответствии с глобальным исследованием KPMG International по вопросам мошенничества в банковской сфере. Какие выводы из этого должны сделать украинские банки, размышляет руководитель отдела консультирования по управлению рисками KPMG в Украине Максим Батуренко.
Сегодня мошенники получают данные клиентов с применением как хакерских технологий, так и средств социального инжиниринга, а также в Dark Web и уголовных сетях после нарушения безопасности данных, находящихся вне контроля банков.
В ответ банки все больше инвестируют в новые технологии: машинное обучение; сообщения о мошенничестве в режиме реального времени; распознавание голоса, лица и отпечатков пальцев (биометрические данные), а также так называемые поведенческие биометрические данные, включающие профили взаимодействия клиентов с их устройствами и средствами интернет-банкинга. Однако пока этого недостаточно.
Вот основные риски для банков.
Кибернетические атаки и нарушения безопасности данных
Нарушение безопасности данных может касаться определенной компании из одной страны, но также часто и лиц, находящихся в других странах. В результате киберпреступники получают данные, которые можно использовать для краж персональных данных, мошенничества с использованием социального инжиниринга.
Также это предоставляет возможности для противоправных схем с авторизованными пуш-платежами, где персональные данные используются для завоевания доверия клиента, или же для использования номеров карт для мошенничества. Например, в 2018 году из-за утечки данных, произошедшей в большой пассажирской авиакомпании, хакеры получили секретные реквизиты более 244 тыс. кредитных карт. Убытки составили около $12,2 млн.
Использование средств социального инжиниринга
Мошенники прибегают к многочисленным схемам, к которым относятся установление романтических отношений с жертвой, действия от имени мнимых правительственных или налоговых органов, инвестиционные схемы, лотереи, изломы деловой электронной корреспонденции, звонки жертвам от имени мнимых внуков или других родственников и т.д.
Все эти схемы необходимы, чтобы получить доступ к данным жертвы, которые в дальнейшем используются для присвоения средств или побуждения осуществить платеж на счет, контролируемый мошенником.
Проблема в том, что сегодня клиенты имеют доступ к собственным счетам, и поэтому средства банковского контроля не могут выявлять такие схемы. Чтобы противостоять этому риску, банки создают специальные команды борьбы с противоправными схемами, которые действуют параллельно с группами борьбы с мошенничеством.
Эволюция цифровых каналов и ускорение процессинга платежей
Согласно прогнозам World Payments Report, доля безналичных операций в период с 2018 до 2021 года увеличится в совокупности на 12,7%. Уже сегодня более четверти банковских продуктов и услуг предоставляется через цифровые каналы. Появляются цифровые необанки и челленджер-банки.
Следовательно, необходимость физического присутствия клиентов в отделениях банков уменьшается, а глобальный тренд закрытия банковских филиалов распространяется. Но из-за ускорения процессинга платежей у банков меньше времени на анализ операций на предмет мошенничества.
По исследованию KPMG, мировые банки применяют средства предотвращения и выявления мошенничества в режиме реального времени и устанавливают ограничения и дополнительные средства аутентификации для операций с высокой степенью риска мошенничества, стремясь уменьшить его во время онлайн-платежей.
В Великобритании в ответ на этот риск было введено требование подтверждения чеков получателя платежа при запросе клиента на перечисление средств.
Открытый банкинг
Сейчас растет доля платежей, осуществляемых через цифровые каналы, в результате чего увеличится объем банковских операций по анализу счетов на предмет мошенничества. Банки надеются, что при использовании технологий открытого банкинга защиту банковской информации клиентов будут осуществлять третьи стороны. Но если они не смогут обеспечить адекватную защиту против мошенничества, клиенты будут возлагать вину за это на банк.
Открытый доступ к банковской информации в финансовых учреждениях создаст возможность для мошенников собирать более подробные данные клиентов, в частности, получать более целостную картину относительно состояния счетов клиентов.
Все это побуждает банки увеличивать надежность средств контроля безопасности данных в API, а также тщательно проверять сторонних разработчиков до того, как они получат доступ к клиентской информации и будут аккредитованы как провайдеры услуг.
Нужно двигаться в направлении создания целостного онлайн-профиля клиента, чтобы сделать процесс аутентификации безопасным и органичным, а также создания системы управления правом доступа к данным с использованием ограничений и мер безопасности.
Как управлять рисками мошенничества
Большинство банков – участников исследования KPMG инвестируют в такие методы прогнозирования, предотвращения и выявления попыток мошенничества, как двойная или многофакторная аутентификация для проверки идентичности клиента. Это, в частности, требование к пользователям предоставить данные, например, пароль с использованием других факторов, например, текстового сообщения и/или SMS-кода или отпечатков пальцев.
Также банки внедряют технологические решения, позволяющие осуществлять скоринговую оценку рисков и принимать решения в режиме реального времени, используют физическую биометрию (идентификацию по голосу и отпечаткам пальцев, технологию распознавания лица).
Киберпреступники создали рынок цифровых отпечатков пальцев, а мошенники научились записывать и воспроизводить голоса клиентов, используя новые технологии. Кроме того, несмотря на инвестиции в новые технологии, половина опрошенных банков сообщили о значительном количестве ложноположительных результатов их технологических решений, которые вредят эффективности процесса выявления мошеннических действий.
Какие же системы влияют на информацию по управлению риском мошенничества? Прежде всего это некачественно составленная отчетность, которая влияет на способность совета директоров и комитетов по управлению рисками правильно распределять ресурсы и принимать решения об инвестициях.
Кроме того, учитывая размер и сложность банковских операций и процессов, осуществление изменений может потребовать времени, а мошенники при этом могут действовать очень быстро.
Чтобы преодолеть риски мошенничества, необходимо продолжать инвестировать в новые технологии: мониторинг операций с использованием машинного обучения (искусственный интеллект), робототехнику, инновационное программное обеспечение в сфере финтеха, биометрию и технологии более активного использования данных, полученных из открытых источников и социальных медиа.
Но этих усилий будет недостаточно, если они не сопровождаются оптимизацией операционной модели на уровне корпоративного управления, персонала и бизнес-процессов.
Похожие материалы (по тегу)
ТОП-новини