Совместное создание упреждающей системы кибербезопасности и предотвращения мошенничества

• Кибермошенничество ускоряется, поскольку преступники внедряют новые инструменты и тактики для масштабных атак, что за следующее десятилетие приведёт к оценочным потерям от мошенничества с картами на сумму около 404 миллиардов долларов. 
• Сотрудничество и совместная информация между командами по кибербезопасности и предотвращению мошенничества в банках помогают выявить ранние сигналы предупреждения до того, как мошенничество усугубится. 
• Переход от реактивной к проактивной защите критически важен для снижения потерь от кибер-мошенничества и защиты клиентов в меняющейся ситуации с угрозами. 

Мошенничество и киберпреступность теперь неразделимы: кибератаки, такие как утечки и эксплойты, раскрывают украденные данные карт и учетные данные, способствующие масштабному мошенничеству. 

Только в 2024 году злоумышленники сообщили о 269 миллионах украденных карт, а глобальные убытки от мошенничества с картами, по прогнозам, достигнут 404 миллиардов долларов в течение следующего десятилетия. Платежное мошенничество — это быстро нарастающая проблема кибербезопасности, напрямую влияющая на прибыль и репутацию организации.  

В ответ специалисты по предотвращению мошенничества с платежами в банках-эмитентах и эквайрингах должны решать происхождение мошенничества в киберсфере. Когда происходят киберутечки, мошенничество, как правило, следует предсказуемым шаблонам: украденные данные монетизируются через захваты счетов, мошеннические операции или другие финансовые схемы. Однако слишком часто ранние признаки атак остаются незамеченными, потому что команды по кибербезопасности и предотвращению мошенничества действуют изолированно.

Разрушение этих изолированных зон жизненно важно для перехода от реактивного к проактивному предотвращению мошенничества. Тесно сотрудничая и обмениваясь разведданными, команды по борьбе с мошенничеством и кибербезопасностью могут создать единую защиту для реагирования на новые сигналы и предотвращения эскалации мошенничества, минимизируя потери.

Современные злоумышленники используют кибер-способные тактики для масштабного мошенничества. Используя инструменты, доступные в интернете, они выявляют уязвимые участки и автоматизируют заражение на сотнях доменов одновременно.

Например, киберпреступники часто заранее сканируют потенциальные цели, чтобы выявить уязвимости и составить карту потенциальных поверхностей для атак. В 2024 году число выявленных попыток сканирования выросло на 16,7% во всем мире, при этом киберпреступники используют автоматизированные инструменты для проведения миллионов сканирований в час в интернете.

Этот всплеск автоматизированной разведки — лишь один из примеров того, как злоумышленники расширяют масштабы и совершенствуют свои операции. Ряд факторов ускоряет эти изменения и влияет на то, как должны реагировать команды по борьбе с мошенничеством и кибербезопасностью:

• Киберпреступность как услуга (CaaS) 
• Влияние ИИ на киберугрозы и уязвимости  
• Новые и появляющиеся тактики мошенничества 

CaaS описывает растущий рынок, где преступники могут покупать или арендовать инструменты, инфраструктуру и экспертизу, необходимые для запуска кибератак. Спрос на эти услуги стремительно растет. Например, во второй половине 2024 года использование инструментов Malware-as-a-Service (MaaS), которые предоставляют злоумышленникам готовые наборы вредоносного ПО, выросло на 17%. 

Эти наборы делают запуск кибератаки относительно простым и недорогим, стоимость некоторых из них составляет всего 40 долларов в месяц.

CaaS позволяет неопытным участникам реализовывать кампании, которые раньше требовали продвинутых технических навыков, снижая барьер для входа. Это также расширяет набор инструментов опытных киберпреступников, которые могут передавать ключевые компоненты атак на аутсорсинг для повышения эффективности и воздействия своих операций.

Искусственный интеллект меняет ландшафт киберугроз. По мере того как организации быстро внедряют инструменты на базе ИИ (иногда без адекватных оценок безопасности), они непреднамеренно расширяют поверхность атаки, доступная злоумышленникам. 

Злоумышленники могут использовать ИИ для более быстрого использования этих уязвимостей и существенного сокращения времени выхода. Кроме того, киберпреступники теперь могут использовать автономных ботов на базе ИИ, которые могут учиться на ошибках и адаптироваться в реальном времени. 

Например, при атаке методом перебора, когда злоумышленник пытается подобрать пароли, генерируя множество возможных буквенно-цифровых комбинаций, боты, управляемые искусственным интеллектом, могут корректировать каждую новую попытку подбора пароля на основе предыдущих неудач, постоянно повышая свои шансы на получение доступа.

По оценкам McKinsey, тенденции, основанные на ИИ, увеличат риск для традиционного периметра организации (например, конечных точок и серверов) на 30 % в течение следующих трёх лет.

Злоумышленники постоянно адаптируют свои методы для использования новых технологий и процессов. Например, мошенники, использующие методы социальной инженерии, все чаще применяют дипфейки (синтетические аудио- и видеоматериалы, имитирующие реального человека), чтобы придать своим аферам большую убедительность. 

В недавней атаке финансовый работник в Гонконге перевёл 25 миллионов долларов мошенникам, которые использовали технологии дипфейков, чтобы выдать себя за финансового директора компании в видеозвонке. Этот случай отражает более широкий рост таких тактик: 46% финансовых учреждений сообщили о росте попыток мошенничества, связанных с дипфейками, за последний год.

В этом ландшафте угроз знакомые методы атак переосмысливаются с помощью новых инструментов и новых каналов, особенно тех, которые используют человеческие ошибки. Медианное время, когда пользователи могут попасть на фишинговое письмо, составляет менее 60 секунд, а человеческий фактор составлял 68% утечек в 2024 году, что подчёркивает важность обучения безопасности для решения как технических, так и человеческих рисков.

По мере развития и совершенствования кибератак необходима интеграция между командами по борьбе с мошенничеством и кибербезопасностью. Это включает обмен разведданными для проактивного выявления мошенничества до того, как оно приведёт к финансовым последствиям. 

Однако для эффективной интеграции командам по борьбе с мошенничеством и кибербезопасностью необходим единый подход к оценке и реагированию на угрозы.  

​​В качестве руководства шесть функций The Cybersecurity Framework предоставляют чёткую структуру для согласования приоритетов и подхода к предотвращению мошенничества через призму кибербезопасности. Эта рамка была разработана Национальным институтом стандартов и технологий (NIST) для улучшения подхода организаций к кибербезопасности.  

Шесть функций Рамки кибербезопасности представляют собой основные столпы целостной программы кибербезопасности. Вместе они помогают организациям поддерживать организованный и эффективный подход к управлению рисками кибербезопасности.

1. Идентификация: Данная функция направлена на формирование понимания систем, персонала, активов, данных и процессов, лежащих в основе критически важных операций. Составляя карту этих элементов и оценивая связанные с ними угрозы и уязвимости, организация может расставить приоритеты в распределении ресурсов и согласовать свою стратегию безопасности с потребностями бизнеса.

2. Protect: Функция защиты устанавливает меры защиты для поддержания устойчивости критически важных сервисов, помогая организациям минимизировать потенциальное воздействие киберинцидента. Например, это включает организацию, строго контролирующую управление идентификацией и контроль доступа для физического и удалённого доступа.

3. Обнаружение: Функция обнаружения акцентирует внимание на своевременном выявлении событий кибербезопасности посредством постоянного мониторинга и анализа. Цель этой функции — чтобы организации выявляли аномалии и понимали их потенциальное воздействие. 

4. Реагировать: Функция реагирования сосредоточена на принятии мер по сдерживанию последствий обнаруженного инцидента с кибербезопасностью. Это включает выполнение планов реагирования, координацию коммуникаций с заинтересованными сторонами и применение мер по снижению последствий для предотвращения распространения атаки.

5. Восстановление: После локализации инцидента функция восстановления обеспечивает своевременное восстановление систем и сервисов. Помимо внедрения структурированных процессов восстановления, организации могут совершенствовать существующие стратегии на основе полученных уроков.

6. Управление: Шестая функция была добавлена в 2024 году, которая основывает общую структуру кибербезопасности и информирует, как организации реализуют остальные пять функций. Функция управления помогает определить, что организация должна делать для поддержки своих целей и приоритетов кибербезопасности, обеспечивая соответствие этих усилий миссии и более широкому организационному контексту.

Чтобы решить риски кибербезопасности, вызывающие мошенничество, банки должны ужесточить обратную связь между основными оборонными усилиями. Однако для этого необходимы скоординированные усилия между командами по борьбе с мошенничеством и кибербезопасностью для реагирования на ранние сигналы угрозы.

Когда команды по кибербезопасности и мошенничеству остаются изолированными, мошенничество может проявиться только после наличия убытков, в то время как киберкоманды не знают, что инцидент с безопасностью в их системах стал катализатором мошенничества. Этот разрыв даёт угрозам пространство для эскалации операций и использования слабых мест до того, как оборона сможет адаптироваться.

Однако интегрированные команды по борьбе с мошенничеством и кибербезопасностью могут интерпретировать киберсигналы, чтобы выявлять мошенничество раньше и согласовывать стратегии реагирования. В частности, команды должны собирать, анализировать и обмениваться информацией, связанной с методологиями атак и индикаторами компрометирания.  

Ключевым фактором этих усилий является разведка угроз. В отличие от традиционных инструментов обнаружения мошенничества, которые выявляют мошенничество уже после его совершения, разведка угроз проактивно отслеживает преступные маркетплейсы, мессенджеры и скомпрометированные сайты, чтобы выявлять украденные платежные данные и новые угрозы.

Кибер- и мошеннические команды, которые сотрудничают для обмена и применения этой информации, получают знания для обнаружения и предотвращения атак до того, как убытки нарастут. В свою очередь, защита от мошенничества в организации меняется от реактивной к проактивной — это важная позиция по мере усложнения угроз.

Хотя команды по мошенничеству и кибербезопасности привыкли работать изолированно, эти изолированные места оставляют критические пробелы для злоумышленников. Реальность кибермошенничества требует единой защиты. 

Благодаря тесной координации команды по борьбе с мошенничеством и кибербезопасностью могут закрыть пробелы в видимости, чтобы выявлять и устранять киберугрозы до того, как они приведут к мошенничеству. Критически важно, что это сотрудничество должно включать постоянный обмен разведданными для отслеживания тактик злоумышленников и выявления ранних сигналов мошенничества. Благодаря этому осознанию банки могут адаптировать свои средства защиты и действовать проактивно для снижения рисков.

Однако важность обмена разведданными выходит за рамки одного банка. Более широкая координация и обмен разведданными в финансовом секторе повышают осведомлённость об активных угрозах и дополнительно поддерживают банки в защите своих клиентов.

Хотите узнать больше о проактивной профилактике мошенничества? Узнайте, как Mastercard Threat Intelligence может помочь.