Как банки предотвращают кибермошенничество с помощью улучшенной системы анализа угроз

• Мошенничество редко бывает единичным случаем. Обычно это этап монетизации в длинной цепочке кибератак. 
• Во многих банках кибербезопасность и предотвращение мошенничества остаются разрозненными, что может приводить к игнорированию предупреждающих сигналов и замедлению реагирования.
• Когда кибер- и мошеннические команды обмениваются разведданными, они могут выявлять закономерности, указывающие на потенциальное мошенничество, и прервать подозрительные действия до её эскалации. 
• Разведка о угрозах, специфичных для платежей, и обмен паттернами атак по всей отрасли необходимы для предотвращения киберпреступности.
  

По прогнозам, глобальные потери от банковского мошенничества вырастут на 153% в течение следующих пяти лет, увеличившись с 23 миллиардов долларов в 2025 году до 58,3 миллиардов долларов в 2030 году. Банки могли бы сэкономить миллионы, если бы реагировали на ранние предупреждающие сигналы. Однако во многих организациях разрозненные группы по борьбе с мошенничеством не получают необходимую информацию о киберпреступлениях вовремя.

Мошенничество редко является отдельным случаем. Киберпреступник может украсть данные кредитной карты во время взлома и продать их другому злоумышленнику, который затем использует их для мошенничества с целью финансовой выгоды.

Это нарушение является ранним сигналом мошенничества. Но если команда по кибербезопасности банка не сообщит об этом в службу предотвращения мошенничества, возможность принять меры будет упущена. В результате, отделы по борьбе с мошенничеством вмешиваются только после того, как преступники получат свои деньги и финансовый и репутационный ущерб уже будет нанесен.

Без сотрудничества и совместной разведки сигналы раннего предупреждения остаются изолированными. Чтобы разорвать этот круг, банкам нужны рамки, связывающие кибербезопасность и предотвращение мошенничества, позволяя им нарушать киберпреступления и мошенничество до того, как они затронут клиента.

Многие киберпреступники действуют в сложных цепочках поставок, где разные участники фокусируются на каждом этапе атаки, от первоначального взлома или использования уязвимости до монетизации.

В такой среде то, что может казаться низкоуровневым киберинцидентом, часто сигнализирует о грядущем более крупном мошенничестве, включая:

• Фишинг и методы социальной инженерии
• Кража учетных данных с помощью вредоносного ПО
• Атаки с использованием цифрового скимминга
• Тестирование карт с помощью бота
  

Злоумышленники выдают себя за проверенные бренды или отдельных лиц, либо создают фейковые сайты, чтобы обмануть жертв и заставить их поделиться конфиденциальными данными. Платформы фишинга как услуги теперь используют генеративный ИИ для создания убедительных сообщений и сайтов, что делает мошенничество ещё более сложным для обычных людей. Информация, украдённая при фишинговых атаках , часто продаётся или используется для получения доступа к аккаунту и проведения несанкционированных транзакций.

Вредоносное ПО, такое как инфокражары и кейлоггеры, захватывает учетные данные для входа с заражённых устройств. Украденные учетные данные сейчас являются причиной большинства атак на веб-приложения, составляя 88% случаев в этой категории. Мошенники используют эти учетные данные для атак по захвату аккаунтов (ATO), когда они получают контроль над легитимными счетами для перевода денег или совершения финансового мошенничества.

Киберпреступники внедряют вредоносный код на кассовые страницы электронной коммерции, чтобы собирать данные карт. Украденные данные затем либо продаются, либо используются для совершения мошеннических покупок.

Группы, известные как Magecart, специализируются на таких масштабных скимм-атаках. В 2024 году злоумышленники выставили на продажу на 70 миллионов записей карт больше по сравнению с 2023 годом, что свидетельствует о растущем масштабе угрозы.

Чтобы проверить достоверность украденных данных карт, мошенники проводят небольшие тестовые транзакции на сайтах электронной коммерции с использованием автоматизированных скриптов. Активные карты затем продаются или используются для крупных попыток мошенничества. Проверенные данные особенно ценны на криминальных площадках, где полные наборы идентификации, известные как «fullz» (включая номера социального страхования, даты рождения и адреса), могут продаваться по цене до 100 долларов.

Для проведения этих проверок мошенники используют идентификационные номера продавцов (MID) — уникальные идентификаторы, привязанные к торговым счетам, которые позволяют предприятиям обрабатывать платежи.

Хотя тестовые MID-ы предназначены для имитации транзакций и подтверждения работоспособности систем перед запуском в эксплуатацию, преступники злоупотребляют ими для тестирования банковских карт. В 2024 году количество идентифицированных идентификаторов тестировщиков (MID) увеличилось на 48%, что дало мошенникам больше возможностей для проверки украденных данных банковских карт.

Киберинциденты часто предшествуют мошенничеству, но многие сигналы так и не доходят до нужных людей. Во многих банках и финансовых учреждениях разрыв возникает из-за нескольких барьеров:

• Изолированные организации: отдельные линии отчетности означают, что кибер-оповещения редко информируют модели мошенничества, а случаи мошенничества могут быть не связаны с их киберкорнями.
• Ограничения ресурсов: Крупные учреждения могут иметь программы по интеграции кибермошенничества, но меньшие часто не хватает персонала и бюджета для эффективной интеграции и обмена данными.
• Пробелы в данных: Большинство финансовых учреждений поддерживают внешнюю ленту разведки угроз, охватывающую широкие киберугрозы, но могут упускать, например, платежные индикаторы, связанные с мошенничеством.
• Ограниченный обмен информацией: Даже при сильной кибер- и мошеннической разведке, отсутствие обмена данными между финансовыми учреждениями задерживает обнаружение и ослабляет способность отрасли раннее прерывать атаки.

Для эффективной координации действий групп по борьбе с киберпреступностью и мошенничеством банкам необходимы структурированные подходы к объединению усилий в этой области, которые обеспечат согласованное и воспроизводимое взаимодействие. Для устранения этого пробела и перехода к упреждающей защите банки могут предпринять несколько шагов:

• Использование аналитики, ориентированной на платежи
• Постройте рутины обмена информацией
• Расширение обмена разведданными по всей финансовой экосистеме

Разведка угроз, специфичная для платежей, помогает командам адаптировать анализ угроз и реагировать непосредственно на риски мошенничества. Например, разведка может отмечать заражения электронными скиммерами у торговцев до кражи данных карты. Эта информация позволяет банкам проактивно отслеживать рисковые карты, снижая убытки и минимизируя сбои для клиентов.

Банкам не нужны огромные бюджеты, чтобы получать выгоду от обмена разведданными. Мошенничество и киберкоманды в небольших учреждениях могут внедрять базовые практики слияния, такие как еженедельные совместные проверки для анализа закономерностей данных или спонтанное сотрудничество вокруг конкретных киберсобытий. 

Эти рутины формируют доверие между командами, помогая им проактивно использовать данные разведки угроз и разрабатывать эффективные планы действий на случай чрезвычайных ситуаций. 

Когда учреждения хранят разведку при себе или делятся ею только с несколькими партнёрами, отрасль испытывает трудности с коллективной защитой. Более широкий обмен информацией помогает быстрее пресекать мошенничество по всей экосистеме.

Улучшенное сотрудничество между кибер- и мошенническими командами помогает банкам эффективнее предотвращать кибермошенничество и приносит явные преимущества, включая:

• Более быстрое выявление мошенничества и реагирование на него.
• Повышение доверия и удержания клиентов.
• Более четкая окупаемость инвестиций для руководителей в сфере безопасности и борьбы с мошенничеством.
  

Интегрированная аналитика сокращает среднее время обнаружения, позволяя командам лучше понимать угрозы и быстрее реагировать на них, прежде чем они перерастут в крупномасштабное мошенничество. Благодаря своевременному выявлению атак банки могут ограничить финансовые потери и минимизировать воздействие на свою деятельность и клиентов.

Сокращение числа случаев мошенничества также может помочь минимизировать отток клиентов и поддерживать долгосрочные отношения с ними. Почти две трети клиентов банков (62%) говорят, что то, как банк реагирует на мошенничество, оказывает большее влияние на доверие, чем сам инцидент мошенничества.

Командам по обеспечению безопасности часто бывает сложно доказать свое влияние на эффективность бизнеса. Связывая свою работу напрямую с предотвращением мошенничества, они могут продемонстрировать измеримые результаты, такие как снижение оттока клиентов, сохранение пожизненной ценности клиента и сокращение финансовых потерь.

Точно так же, когда команды по борьбе с мошенничеством и кибербезопасностью работают вместе, обе функции могут ясно продемонстрировать свою стратегическую ценность. Сотрудничество укрепляет их роль в укреплении доверия клиентов и защите финансовых показателей организации.

Когда команды по борьбе с мошенничеством и киберпреступностью объединяют усилия, они могут выявлять ранние признаки киберпреступлений, которые в противном случае остались бы незамеченными, и реагировать на них до того, как они перерастут в мошенничество.

Улучшение интеграции мер по борьбе с кибермошенничеством за счет комплексного анализа данных позволяет организациям более эффективно распределять ресурсы, сосредотачиваясь на сигналах, наиболее важных для предотвращения мошенничества. Благодаря четко определенным инструментам и процессам для последовательного обмена информацией финансовые учреждения укрепляют не только свою внутреннюю защиту, но и коллективную устойчивость отрасли.

Хотите быстрее выявлять мошенничество? Узнайте, как система анализа угроз Mastercard может вам помочь.