Как банките предотвратяват кибер измамите с подобрена информация за заплахите

• Измамата рядко е еднократен случай. Обикновено това е стъпка за печелене на пари в по-дълга верига от кибератаки. 
• В много банки киберсигурността и предотвратяването на измами остават разделени, което може да доведе до пропускане на предупредителни знаци и по-бавни реакции.
• Когато екипите по киберпространството и измамите обменят информация, те могат да открият модели, които сочат потенциална измама, и да прекъснат подозрителна дейност, преди тя да ескалира. 
• Специфичната за плащанията информация за заплахите и споделянето на модели на атаки в цялата индустрия са от съществено значение за предотвратяването на киберпрестъпленията.
  

Прогнозите са, че през следващите пет години загубите от банкови измами в световен мащаб ще нараснат със 153%, като от 23 млрд. долара през 2025 г. ще достигнат 58,3 млрд. долара през 2030 г. Банките биха могли да спестят милиони, ако реагират на ранните предупредителни сигнали. Въпреки това в много организации обособените екипи за борба с измамите не получават навреме правилната информация за кибернетичните престъпления.

Измамата рядко е самостоятелен инцидент. Киберпрестъпник може да открадне данни за кредитни карти по време на пробив и да ги продаде на друг недоброжелател, който след това ги използва за извършване на измами с цел финансова печалба.

Това нарушение е ранен сигнал за измама. Но ако екипът за киберсигурност на банката не го подаде за предотвратяване на измами, възможността за действие се губи. В резултат на това екипите за борба с измамите не се включват, докато престъпниците не са спечелили парите си и вече не са нанесени финансови щети и щети на репутацията.

Без сътрудничество и споделена информация сигналите за ранно предупреждение остават изолирани. За да се прекъсне този цикъл, банките се нуждаят от рамки, които да свързват киберсигурността и предотвратяването на измами, като им позволяват да прекъсват киберпрестъпленията и измамите, преди те да са засегнали клиента.

Много киберпрестъпници действат в сложни вериги за доставки, в които различни участници се фокусират върху всеки етап от атаката - от първоначалното проникване или експлоатиране до монетизирането.

В тази среда инциденти от ниско ниво често са сигнал за предстоящи по-големи измами, включително:

• Техники за фишинг и социално инженерство
• Кражба на удостоверения чрез зловреден софтуер
• Атаки с дигитално скимиране
• Тестване на карти, управлявано от бот
  

Нападателите се представят за доверени марки или лица или създават фалшиви уебсайтове, за да подмамят жертвите да споделят поверителни данни. Платформите за фишинг като услуга вече използват генеративен изкуствен интелект, за да създават убедителни съобщения и уебсайтове, което прави измамите още по-трудни за откриване от обикновения човек. Информацията, открадната при фишинг атаки, често се продава или използва за получаване на достъп до акаунт и извършване на неразрешени транзакции.

Зловреден софтуер, като например инфостилъри и кийлогъри, улавя данни за вход от заразените устройства. Откраднатите идентификационни данни сега са в основата на повечето атаки срещу уеб приложения, които обхващат 88% от инцидентите в тази категория. Измамниците използват тези данни за атаки за превземане на сметки (ATO), при които получават контрол над законни сметки, за да прехвърлят пари или да извършват финансови измами.

Киберпрестъпниците вкарват зловреден код в страниците за електронна търговия, за да събират данни за картите. След това откраднатите данни се продават или се използват за извършване на измамни покупки.

Групите, известни като Magecart, са специализирани в тези мащабни атаки за източване на пари. През 2024 г. участниците в заплахата са публикували 70 милиона повече картографски записи за продажба в сравнение с 2023 г., което показва нарастващия мащаб на заплахата.

За да проверят дали откраднатите картови данни са валидни, измамниците извършват тестови трансакции на малки суми в сайтове за електронна търговия с помощта на автоматизирани скриптове. След това активните карти се продават или се използват за по-големи опити за измама. Валидираните данни са особено ценни на криминалните пазари, където пълните пакети с лични данни, известни като "fullz" (включително номера на социални осигуровки, дати на раждане и адреси), могат да се продават за до 100 USD.

За да извършат тези тестове, измамниците използват идентификационните номера на търговците (MID) - уникалните идентификатори, свързани с търговските сметки, които позволяват на предприятията да обработват плащания.

Въпреки че тестовите MID-и са предназначени за симулиране на трансакции и потвърждаване на работата на системите преди пускането им в действие, престъпниците злоупотребяват с тях за тестване на карти. През 2024 г. броят на идентифицираните тестови MID се увеличава с 48%, което дава на измамниците повече възможности за валидиране на откраднати картови данни.

Киберинцидентите често предшестват измамите, но много от сигналите никога не достигат до правилните хора. В много банки и финансови институции разликата се дължи на няколко пречки:

• Организационна изолираност: Отделните линии за докладване означават, че киберсигналите рядко се използват в моделите за измами, а събитията, свързани с измами, може да не са свързани с техния кибер произход.
• Ограничения на ресурсите: По-големите институции могат да разполагат с програми за сливане на кибер измами, но по-малките често не разполагат с персонал и бюджет за ефективна интеграция и обмен на данни.
• Пропуски в данните: Повечето финансови институции поддържат външна информация за заплахите, която обхваща широкообхватни киберзаплахи, но може да пренебрегне, например, специфични за плащанията индикатори, свързани с измами.
• Ограничен обмен на информация: Дори и при наличието на силна разузнавателна информация в областта на кибернетичните престъпления и измамите, липсата на обмен на информация между финансовите институции забавя откриването и отслабва способността на сектора да предотвратява атаки на ранен етап.

За да могат екипите за кибернетични измами и измами да се координират ефективно, банките се нуждаят от структурирани подходи за сливане на кибернетични измами, които правят сътрудничеството последователно и повтаряемо. Има няколко стъпки, които банките могат да предприемат, за да преодолеят различията и да преминат към проактивна защита:

• Използване на разузнавателна информация, насочена към плащанията
• Изграждане на процедури за обмен на информация
• Разширяване на обмена на разузнавателна информация в цялата финансова екосистема

Специфичната за плащанията информация за заплахите помага на екипите да адаптират анализа на заплахите и реакцията директно към рисковете от измами. Например, разузнаването може да сигнализира за заразяване с електронни скимиращи устройства при търговците, преди да бъдат откраднати данните от картите. Тази информация позволява на банките проактивно да наблюдават рисковите карти, като намаляват загубите и свеждат до минимум прекъсванията за клиентите.

Банките не се нуждаят от огромни бюджети, за да се възползват от споделянето на информация. Екипите за борба с измамите и кибернетичните престъпления в по-малките институции могат да възприемат основни практики за сливане, като например ежеседмични съвместни прегледи за анализиране на моделите на данни или ad hoc сътрудничество около конкретни кибернетични събития. 

Тези рутинни действия изграждат доверие между екипите, като им помагат да използват проактивно данните от разузнаването на заплахите и да създават ефективни планове за действие при извънредни ситуации. 

Когато институциите пазят разузнавателната информация за себе си или я споделят само с няколко партньора, индустрията се затруднява да организира колективна защита. По-широкият обмен на информация помага за по-бързото спиране на измамите в цялата екосистема.

Подобреното сътрудничество между екипите за кибернетични измами и измами помага на банките да предотвратяват по-ефективно кибернетичните измами и носи ясни ползи, включително:

• По-бързо откриване на измами и реакция
• По-голямо доверие и задържане на клиентите
• По-ясна възвръщаемост на инвестициите за лидерите в областта на сигурността и измамите
  

Интегрираната информация намалява средното време за откриване, като позволява на екипите да разбират по-добре заплахите и да действат по-бързо, преди те да прераснат в мащабна измама. Като откриват атаките по-рано, банките могат да ограничат финансовите загуби и да сведат до минимум въздействието върху операциите и клиентите си.

Намаляването на случаите на измама може също така да спомогне за свеждане до минимум на отлива на клиенти и да поддържа дългосрочни взаимоотношения с тях. Почти две трети от клиентите на банки(62%) твърдят, че начинът, по който банката се справя с измамите, оказва по-голямо влияние върху доверието, отколкото самият инцидент с измама.

Екипите по сигурността често се затрудняват да докажат въздействието си върху бизнес резултатите. Свързвайки работата си директно с предотвратяването на измами, те могат да демонстрират измерими резултати, като например по-ниска степен на оттегляне на клиенти, запазена стойност на целия живот на клиента и намалени финансови загуби.

По същия начин, когато екипите за измами и киберсигурност работят заедно, и двете функции могат ясно да демонстрират своята стратегическа стойност. Сътрудничеството укрепва ролята им за изграждане на доверието на клиентите и за защита на финансовите резултати на институцията.

Когато екипите по измамите и кибернетиката се обединят, те могат да открият ранни кибернетични индикатори, които иначе биха останали незабелязани, и да действат по тях, преди да прераснат в измама.

Подобряването на синтеза на кибер измами чрез интегрирана разузнавателна информация позволява на институциите да разпределят ресурсите си по-ефективно, като се фокусират върху сигналите, които са от най-голямо значение за спирането на измамите. С определени инструменти и процеси за последователно споделяне на разузнавателна информация финансовите институции укрепват не само собствената си вътрешна защита, но и колективната устойчивост на сектора.

Искате да откриете измамата по-рано? Разгледайте възможностите на Mastercard за киберсигурност и киберразузнаване, за да научите повече.