CC BY
57Механизмы противодействия мошенничеству в системах онлайн предоставления финансовых услуг
Ларионова Светлана Львовна,
к.т.н., доцент кафедры «Информационная безопасность», Финансовый университет при Правительстве Российской Федерации
E-mail: SLLarionova@fa.ru,
Статистика в сфере удаленного предоставления услуг по электронным каналам взаимодействия ежегодно показывает увеличение количества мошеннических операций несмотря на все принимаемые меры. Одним из основных инструментов противодействия мошенничеству являются антифрод-системы. Однако алгоритмы этих систем не обеспечивают необходимого уровня выявления мошеннических операций несмотря на использование искусственного интеллекта. Цель работы - определить возможные направления совершенствования алгоритмов антифрод-систем и разработка дополнительных мероприятий по противодействию мошенничеству. На основе проведенных исследований были выявлена необходимость учета истории финансовых отношений субъектов для оценки вероятности мошенничества. На базе технологий обучения графовых представлений предложена модель, которая способна извлекать структурную информацию из транзакцион-ного графа и адаптировать полученные данные к имеющимся исходным данным для обучения антифрод-системы. Кроме того, были разработаны дополнительные функциональные требования к антифрод-системам с целью противодействия методам социальной инженерии в отношении клиентов. С учетом угроз настоящего времени предложены дополнительные меры по противодействию мошенничества в финансовой сфере. Полученные результаты имеют безусловную практическую ценность, т.к. позволяют увеличить существенно выявляемые мошеннические операции при предоставлении организациями услуг по электронным каналам. Научная новизна работы заключается в разработке подхода к автоматическому извлечению дополнительных признаков легитимности операций из графа с большим количеством ребер и вершин.
Ключевые слова: противодействие кибермошенничеству, фрод-мониторинг, антифрод-системы, операции без согласия клиентов, противодействие социальной инженерии.
Введение
В настоящее время основными каналами предоставления услуг и продажи являются электронные каналы дистанционного обслуживания - веб-приложения и мобильные приложения. Конкурентоспособность организаций зависит напрямую от степени цифровизации ими каналов продаж. Однако, активное использование электронных каналов продаж, виртуальное взаимодействие с организацией, когда невозможно определить подлинность клиента, возможность организации взаимодействия из любых точек мира, участие третьих лиц в технологиях предоставления услуг - все выше перечисленное приводит к повышению уровня мошенничества и нарушению аспектов информационной безопасности.
По данным Банка России, в 2022 году объем мошеннических операций увеличился по сравнению с предыдущим годом на 4,29% [1]. Социальная инженерия является основным инструментом злоумышленников. Средняя суммы одного хищения увеличилась, что, как следствие, привело к увеличению общего размера ущерба по операциям без согласия клиентов.
В 2022 году Банк России включил в черные списки свыше 700 тысяч номеров телефона, используемые злоумышленниками для совершения хищений средств граждан. Операторы связи были вынуждены заблокировать около 4 миллионов вызовов (в два раза больше чем за предыдущий год) с использованием технологии подмены номера.
По инициативе Банка России были проведены проверки и заблокированы порядка 5 тысяч доменных имен сети Интернет, с использованием которых осуществлялась противоправная деятельность.
Согласно статистике МВД России [2], за истекший год зарегистрировано более 500 тысяч преступлений в сфере информационно-телекоммуникационных технологий, на 0,8% больше, чем в предыдущем году. Удельный вес преступлений в информационно-телекоммуникационной сфере составил около 26,5% от общего числа пре-ступений. Почти три четверти преступлений составляют кражи и мошенничества (приблизительно 71%). Одним из распространенных способов совершения онлайн-мошенничеств является оформление кредитов на имя гражданина без его ведома и последующий вывод кредитных средств на счета мошенников.
Таким образом, приведенная статистика показывает необходимость разработки и совершенствования методов и средств борьбы с мошенни-
сз о
со £
m Р сг
СТ1 А
=Е
ческими операциями при предоставлении услуг по электронным каналам.
Описание проблематики вопроса и целей исследования
Основным инструментом противодействия мошенническим операциям являются система анализа и противодействия фроду (антифрод-система). Основное назначение системы - анализ и предотвращение мошеннических операций. В соответствии с законодательством все организации, предоставляющие финансовые услуги по электронным каналам, должны оценивать электронные операции клиентов на предмет фрода.
Основное назначение антифрод-системы - это оценить риск мошенничества операции клиента. В случае повышенного риска задача антифрод-системы запустить процесс дополнительной проверки того, что операция совершается именно клиентом организации. Схематично процесс фрод-а-нализа можно представить следующим образом:
- Предварительная проверка операции (поиск получателя и устройства, с которого совершается операция, в черных списках, оценка текущего характера проведения операции - время, место, последовательность действий);
- Определение риска мошенничества;
- Определение дальнейших действий в соответствии с правилами, заданными фрод-аналити-ком:
- если риск в пределах нормы, то система разрешает выполнение операции;
- если риск выше нормы, система запрещает выполнение операции;
- если риск находится в пограничной области, то запускается дополнительная проверка клиента.
В случае пограничного значения риска система может создать заявку для последующего ручного анализа фрод-аналитиком. Возможно система отдаст команду по проведению дополнительной аутентификации клиента на основе фактора, который ранее не был использован для доступа к услугам организации.
Антифрод-система должна обеспечивать защиту клиентов от кибермошенничества. На практике же, как показывает статистика, количество мошеннических операций ежегодно увеличивается.
Современные антифрод алгоритмы используют установленные правила проверки по параметрам наряду с методами машинного обучения. Однако, успех таких систем по выявлению мошеннических операций от качества и количества данных, на основе которых проводится обучение искусственного интеллекта. При проведении фрод-анализа необходимо принимать во внимание, что злоумышлен-= ники широко используют боты (более 60% всего е интернет-трафика генерируется ботами [3]). Зло-Я умышленники применяют боты для получения ау-° тентификационных данных из браузера клиента, г внедрения инжектов для модификации веб-стра-
ниц, которые отображаются клиенту организации, модификации настроек DNS с целью перенаправления клиента на фишинговый сайт и т.д.
Типичная угроза кибермошенничества построена следующим образом: вначале злоумышленники обманным путем вынуждают клиента сообщить данные для идентификации и аутентификации, а затем со своего устройства проводят мошенническую операцию. Однако, все чаще злоумышленники добиваются того, чтобы операция полностью была совершена клиентом самостоятельно под воздействием социальной инженерии. В такой ситуации достаточно не просто определить, что операция совершается без согласия клиента.
Таким образом, только методы искусственного интеллекта могут определить, что совершаемая клиентом операция является нелигитимной при условии, что обучение системы будет проходить на корректно отобранных данных достаточно большого количества.
В работе ниже рассматриваются принципы и алгоритмы классических антифрод-систем и подходы к совершенствованию их алгоритмов с целью противодействия не только действиям злоумышленников, но и операциям самих клиентов, которые находятся под воздействием методов социальной инженерии.
Направления совершенствования алгоритмов фрод-анализа
Задача анализа клиентов стоит перед любой организацией в целях противодействия быть втянутой в какие-то преступные действия и потерять таким образом бизнес. Анализ социального положения клиента, особенностей его покупок, совершаемых коммуникаций, финансовых взаимодействий можно оценить специфику его потребностей и вероятность легитимности операции, совершаемой клиентом. Основным инструментом для анализа взаимодействий клиента является граф, вершины которого представляют собой реквизиты отправителя и получателя денежных средств, а ребра подобного графа представляют собой финансовые связи между ними, если зарегистрированы ранее какие-либо транзакции или попытки транзакций.
В отдельных наиболее передовых антифрод-системах заложена возможность построения и применения подобных графов. Следует отметить, что анализ графовых характеристик вершин и ребер строится на разработке и применении специальных эвристик и проводится зачастую вручную [4]. В случае большого числа операций использование графа не представляется возможным. На практике граф в автоматическом режиме не используется для извлечения характеристик и использования в качестве параметров для модели антифрод-системы. Необходимо разработать подход для обеспечения возможности анализа и использования характеристик графа несмотря на его большую размерность [5].
Для решения данной проблемы предлагается использовать алгоритм, направленный на обучение представлений графов (Graph Representation Learning) [6]. Информация кодируется в пространство меньшей размерности (эмбеддинг) за счет представления вершин или целых подграфов исходного графа в виде графа с меньшей размерностью, с одновременным контролем геометрических соотношений - близкие вершины нового графа должны быть так же близки, как и в исходном графе [7]. Преимущество алгоритма состоит в автоматическом поиске оптимального представления исходного графа в пространстве меньшей размерности, таким образом отсутствует необходимость в специальных эвристиках. Таким образом сокращаются временные затраты на анализ информации о клиентах и в то же время повышается точность работы моделей.
Прирост эффективности предлагаемого решения предлагается оценить на базе показателя AUC-PR (area under the curve - precision/recall). Определяется значение площади под кривой, в рамках которой по оси абсцисс откладывается показатель полноты выявления объектов рассматриваемого класса, по оси ординат - показатель точности, характеризующий долю объектов, принадлежащих к рассматриваемому классу [8].
Решение поставленной задачи было выполнено на базе фреймворка GraphSAGE, который позволяет обрабатывать и получать эмбеддинги больших графов (сотни миллионов вершин и десятки миллиардов ребер) [9]. В качестве объекта исследований были выбраны услуги дистанционного банковского обслуживания. В рамках производственной практики студентов была получена обезличенная информация о переводах клиентов. Каждая операция была определена набором из более чем 100 признаков. На основе информации о взаимодействующих субъектах для каждой операции был построен граф. Вершинами графа являются клиенты и их реквизиты, а также реквизиты получателей средств, ребра между вершинами существуют при условии ранее проведенной операции между субъектами - вершинами с учетом риска мошенничества.
Далее в ходе проведения эксперимента было проведено обучение модели на базе алгоритма XGBoost [10,11] и проведена оценка эффективности с помощью метрики AUC-PR. Был построен построен транзакционный граф на основе исходных данных, проведен эмбеддинг вершин графа и выявлены дополнительные признаки, которые добавлены в число данных, на основе которых проведено обучение модели фрод-анализа. Сравнение эффективности моделей представлено на рисунке 1.
Рис. 1. Показатели качества работы моделей
Прирост эффективности работы модели составил один процент. В результате сумма мошеннических операций снизилась более чем на 84%, а количество пропущенных мошеннических операций уменьшилось на 40%.
Требования к функциональности систем фрод-анализа
На базе анализа уязвимостей технологических процессов в банке и лучших практик организации удаленного обслуживания по цифровым каналам необходимо определить учитывать следующие дополнительные требования к антифрод-системе:
использовать для обучения антифрод-системы данные, извлеченные из транзакционного графа финансовых взаимодействий клиента, оптимизированного с помощью эмбеддинга; при составлении графов для выявления дополнительных признаков клиентов необходимо учитывать анализ кросс-канальных операций;
при вычислении уровня риска операции клиента система должна иметь возможность собирать и анализировать характер поведения клиента в системе дистанционного обслуживания, т.е. скорость нажатия клавиш, быстроту и точность выбора пунктов меню и т.п.;
сз о со от m Р от
от А
=Е
Q. в
oj со
- при превышении риска мошенничества в системе должна быть предусмотрена дополнительная аутентификацию по каналам, независимым от канала, по которому было получено распоряжение на операцию;
- для проверки веб-страниц сайта организации на предмет изменения вредоносным ПО на стороне клиента система должна иметь механизмы анализа и выявления изменений, а также возможность для автоматического уведомления клиента;
- генерация искуственных мошеннических операций для решения проблемы несбалансированности исходного набора данных, используемого для обучения антифрод-системы.
Дополнительные меры противодействия осуществлению мошеннических операций
Анализ информационных угроз и типовых уязвимо-стей технологических процессов в банке [12] определил список дополнительных мер, призванных снизить вероятность реализации угрозы совершения мошеннических операций:
• Внедрение протокола TLS 1.3 для аутентификации сервисов и приложений в целях защиты от возможного использования скомпрометированных ключей сессии.
• Применение процедур риск-ориентированной аутентификации при обработке операций, превышающих определенную сумму.
• Обязательное ограничение времени сессии пользователя и автоматическое завершение сессии в случае превышения ограничения.
• Контроль IP-адреса клиента и повышение уровня риска по операции в случае обнаружения его изменения.
• Защита вводимых при аутентификации данных с помощью протокола SRP для противодействия атакам "человек посередине".
• Внедрение в веб-сайт организации директив безопасности: X-Frame-Options (защита от кликджекинга), X-Content-Type-Options (защита от атаки с подменой медиа типов), X-XSS-Protection (защита от межсайтового скриптинга), Content-Security-Policy (для определения ресурсов, которые могут подгружаться на странице).
• Использование на веб-странице принудительного соединения посредством протокола HTTPS.
• Сохранение cookies с указанием флагов "Secure" и "HTTPOnly".
• Использование в системе интернет-банка виртуальной клавиатуры.
• В целях обеспечения целостности электронных сообщений использование электронной подписи.
• Использование одноразовых паролей разного типа под каждый типа операции клиента.
• Включение в текст одноразового пароля сведений, описывающих детали операции.
Подтверждение изменений профиля клиента и ограничений по операциям одноразовым паролем.
Использование исключительно параметризованных SQL-запросов для предотвращения SQL-инъекций.
Проверка структуры получаемых от клиента сообщений XML схеме обмена для проверки изменения бизнес-логики.
Внедрение процедуры обязательной обфуска-ции мобильных приложений банка. Запрет на скриншот экрана при использовании мобильного приложения. Контроль целостности операционной системы на мобильном устройстве клиента. Встраивание антивирусного программного обеспечения в мобильное приложение (обязательное требование законодательства). Обязательная аутентификация пользователя при вызове приложения из фонового режима.
Невозможность резервного копирования ресурсов приложения.
Запрет на кэширование чувствительной информации при работе с системами интернет-банкинга.
Невозможность использования приложения в случае включенной функции озвучивания SMS-сообщений на устройстве клиента. Встраивание в приложение цепочки сертификатов для проверки серверного сертификата. Автоматическое удаление из оперативной памяти устройства клиента чувствительной информации при завершении взаимодействия с серверной частью.
Запрет на использование функций автозаполнения для полей ввода.
Запрет на прием широковещательных сообщений от сторонних мобильных приложений. Это примерный перечень дополнительных мер по обеспечению безопасности операций и данных, обрабатываемых в системах дистанционного обслуживания.
Выводы
В рамках данной статьи были описаны подходы к улучшению алгоритмов антифрод-систем с целью учета возможных финансовых взаимосвязей между клиентами при оценке риска фрода. Для этого предлагается построить транзакционный граф, содержащий информацию о финансовых взаимодействиях между субъектами. На основе технологий обучения графовых представлений предложена модель, которая способна извлекать структурную информацию из транзакционного графа и адаптировать полученные данные к имеющимся исходным данным для обучения антифрод-системы. Предлагаемый подход к совершенствованию алгоритмов фрод-анализа позволил увеличить эффективность выявления мошеннических операций на 40%.
В статье также приведен список дополнительных требований к функциям антифрод-системе, а также дополнительный набор мер, направленных на снижение уровня мошенничества. Приведенный комплекс мер и функций должен обеспечить прежде всего защиту клиента от совершаемых им действий помимо своей воли и от действий злоумышленника.
Литература
1. Обзор операций, совершенных без согласия клиентов финансовых организаций за 2022 год. 14.02.2023. URL: https://cbr.ru/ana-lytics/ib/operations_survey_2022/ (дата обращения 01.03.23)
2. Краткая характеристика состояния преступности в Российской Федерации за январь - декабрь 2022 года. URL: https://мвд.рф/reports/ item/35396677/ (дата обращения: 31.01.2023).
3. Более 60% интернет-трафика генерируют боты [Электронный ресурс] - Режим доступа: https://alstrive.ru/news/bolee_60_internet_trafika_ generirujut_boty/, свободный (дата обращения 12.01.2023).
4. ADASYN: Adaptive synthetic sampling approach for imbalanced learning [Электронный ресурс] -Режим доступа: https://ieeexplore.ieee.org/ab-stract/document/4633969/, свободный (дата обращения 06.11.2022).
5. Перевод не туда: Group-IB фиксирует всплеск мошенничества с Р2Р-платежами [Электронный ресурс] - Режим доступа: https://www. group-ib.ru/media/p2p-fraud/, свободный (дата обращения: 01.10.2022).
6. Graph Representation Learning: A Survey [Электронный ресурс] - Режим доступа: https://arxiv. org/pdf/1909.00958.pdf/, свободный (дата обращения 05.11.2022).
7. Editorial: Special Issue on Learning from Imbal-anced Data Sets [Электронный ресурс] - Режим доступа: https://sci2s.ugr.es/keel/pdf/specific/ar-ticulo/edit_intro.pdf/, свободный (дата обращения 06.11.2022).
8. F1 Score vs ROC AUC vs Accuracy vs PR AUC: Which Evaluation Metric Should You Choose? [Электронный ресурс] - Режим доступа: https:// neptune.ai/blog/f1 -score-accuracy-roc-auc-pr-auc/, свободный (дата обращения 06.12.2022).
9. Ларионова С.Л., Ряховский Е.Э. Усовершенствование алгоритмов антифрод-системы на основе использования методов Graph Representation Learning и сетей CycleGAN. - М: Инновации и инвестиции. 2021. № 6. - С. 137-142
10. 10XGBoost Algorithm: Long May She Reign [Электронный ресурс] - Режим доступа: https:// towardsdatascience.com/https-medium-com-vishalmorde-xgboost-algorithm-long-she-may-rein-edd9f99be63d/, свободный (дата обращения 06.11.2022).
11. The Class Imbalance Problem: A Systematic Study [Электронный ресурс] - Режим досту-
па: https://content.iospress.com/articles/intelli-gent-data-analysis/ida00103/, свободный (дата обращения 05.11.2022). 12. Ларионова С.Л. Информационная безопасность дистанционного банковского обслуживания: Учебное пособие / под ред. Ларионовой С.Л. - М.: Прометей, 2022. - 296с.
ANTI-FRAUD MECHANISMS IN ONLINE FINANCIAL SERVICES SYSTEMS
Larionova S.L.
Financial University under the Government of the Russian Federation
Statistics in the field of remote provision of services via electronic communication channels show an increase in the number of fraudulent transactions every year, despite all the measures taken. Anti-fraud systems are one of the main anti-fraud tools. However, the algorithms of these systems do not provide the necessary level of detection of fraudulent transactions despite the use of artificial intelligence. The purpose of the work is to identify possible areas for improving the algorithms of anti-fraud systems and the development of additional measures to counter fraud. Based on the conducted research, the need to take into account the history of financial relations of subjects to assess the likelihood of fraud was revealed. Based on graph representation learning technologies, a model is proposed that is capable of extracting structural information from a transactional graph and adapting the data obtained to the available source data for training an anti-fraud system. In addition, additional functional requirements for anti-fraud systems have been developed in order to counteract the methods of social engineering in relation to customers. Taking into account the threats of the present time, additional measures have been proposed to counteract fraud in the financial sphere. The results obtained are of absolute practical value, because they allow to significantly increase the detected fraudulent transactions when organizations provide services through electronic channels. The scientific novelty of the work lies in the development of an approach to the automatic extraction of additional signs of the legitimacy of operations from a graph with a large number of edges and vertices.
Keywords: counteraction to cyber fraud, fraud-monitoring, antifraud-systems, operations without the client's consent, countering social engineering.
References
1. Review of transactions made without the consent of clients of financial institutions in 2022. 02/14/2023. URL: https://cbr.ru/an-alytics/ib/operations_survey_2022 / (accessed 01.03.23)
2. Brief description of the state of crime in the Russian Federation for January - December 2022. URL: https://мвд.рф/reports/ item/35396677 / (accessed: 31.01.2023).
3. More than 60% of Internet traffic is generated by bots [Electronic resource] - Access mode: https://alstrive.ru/news/bolee_60_in-ternet_trafika_generirujut_boty /, free (accessed 12.01.2023).
4. ADASYN: Adaptive synthetic sampling approach for imbalanced learning [Electronic resource] - Access mode: https://iee-explore.ieee.org/abstract/document/4633969 /, free (accessed 06.11.2022).
5. Wrong transfer: Group-IB records a surge in fraud with P2P payments [Electronic resource] - Access mode: https://www.group-ib.ru/media/p2p-fraud /, free (accessed: 01.10.2022).
6. Graph Representation Learning: A Survey [Electronic resource] - Access mode: https://arxiv.org/pdf/1909.00958.pdf /, free (accessed 05.11.2022).
7. Editorial: Special Issue on Learning from Balanced Data Sets [Electronic resource] - Access mode: https://sci2s.ugr.es/keel/ pdf/specific/articulo/edit_intro.pdf /, free (accessed 06.11.2022).
8. F1 Score vs ROC AUC vs Accuracy vs PR AUC: Which Evaluation Metric Should You Choose? [Electronic resource] - Access mode: https://neptune.ai/blog/f1-score-accuracy-roc-auc-pr-auc /, free (accessed 06.12.2022).
9. Larionova S.L., Ryakhovsky E.E. Improvement of algorithms of the anti-fraud system based on the use of Graph Representation Learning methods and CycleGAN networks. - M: Innovation and investment. 2021. No. 6. - pp. 137-142
C3
о
CO
от m Р от
от А
IE
10. 10XGBoost Algorithm: Long May She Reign [Electronic resource] - Access mode: https://towardsdatascience.com/https-medium-com-vishalmorde-xgboost-algorithm-long-she-may-rein-edd9f99be63d/, free (accessed 06.11.2022).
11. The Class Imbalance Problem: A Systematic Study [Electronic resource] - Access mode: https://content.iospress.com/
articles/intelligent-data-analysis/ida00103 /, free (accessed 05.11.2022).
12. Larionova S. L. Information security of remote banking services: A textbook / ed. Larionova S.L. - M.: Prometheus, 2022. - 296c.
a.
e
CM CO
