Дмитрий Костров
дирекция информационной безопасности ОАО "МТС"
Определение фрода
В литературе существует много определений понятия "фрод" (мошенничество).
Фродом можно назвать умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб.
Любая организация может быть жертвой мошенничества. Отсутствие контроля над уровнем фрода может привести компанию к остановке деятельности.
В данной статье остановимся на принципах и подходах организации защиты от фрода.
Принципы построения защиты
Существует пять основных принципов построения эффективной системы защиты от фрода:
Фрод в сети связи – вид фрода, связанный с умышленной деятельностью лиц в сетях связи (в том числе мошеннической), по неправомерному получению услуг и использованию ресурсов оператора связи без надлежащей их оплаты, а также по неправомерному доступу к любой конфиденциальной информации оператора (в том числе с целью извлечения дохода), а также иные действия, направленные на причинение убытков и иного вреда оператору.
Принцип 1. В системе управления организацией должна быть разработана программа управления уровнем мошенничества, включающая в себя специальную политику (документ), отражающую требования совета директоров и высших топ-менеджеров в части снижения уровня фрода.
Принцип 2. В каждой компании риск фрода должен периодически проверяться (оцениваться) для идентификации специальных потенциальных схем и событий с целью его снижения до приемлемого уровня.
Принцип 3. Технические приемы предотвращения (снижения) риска мошенничества должны быть внедрены, где это возможно.
Принцип 4. Технические приемы выявления риска мошенничества должны быть внедрены для нахождения новых схем (методик) фрода, когда превентивные меры не оправдывают себя или когда выявлен риск мошенничества, уровень которого нельзя снизить.
Принцип 5. Процесс подготовки периодических отчетов должен быть включен в карту бизнес-процессов организации для оценки уровня существующего фрода. Отчетность помогает координировать методы расследования и корректирующие действия с целью снижения уровня риска фрода должным образом в соответствующее время.
Политика снижения рисков
Большинство компаний имеют разработанные политики и/или процедуры противодействия мошенничеству. Однако не у всех есть сжатые и лаконичные руководства, которые реально помогают снижать риски фрода. Конечно, данные документы могут быть не похожи друг на друга – все зависит от проведенного анализа рисков, от подтвержденного на высшем уровне аппетита рисков.
В политику снижения рисков мошенничества должны входить следующие элементы:
- роли и ответственность;
- обязательства;
- осознание риска фрода;
- описанный процесс утверждения процедур;
- конфликт обнаружения фрода;
- периодический анализ риска фрода;
- процедуры отчетности и защита свидетелей;
- процесс расследования;
- корректирующие действия;
- обеспечение качества;
- непрерывный мониторинг.
Коротко фродом можно назвать любое преднамеренное действие, проведенное с целью обмана (введения в заблуждение), в результате которого жертва что-то теряет и/или злоумышленник получает (Managing the Business Risk of Fraud: A Practical Guide). Также фродом можно назвать нарушения требований антикоррупционного законодательства, в том числе норм FCPA.
Для своей защиты и защиты своих акционеров от риска мошенничества руководство компании должно ясно понимать риск фрода и иные специфические риски, которые прямо или косвенно влияют на организацию. Грамотно структурированный анализ рисков, специально адаптированный под размер организации, отрасль и стратегические цели компании, должен пересматриваться с определенной, согласованной с высшим руководством, периодичностью. Анализ риска фрода может проводиться как в рамках общего анализа рисков всей компании, так и отдельно, но при этом обязательно должен включать в себя: идентификацию риска, вероятность риска, оценку риска (качественную или количественную) и реакцию на риск. Процесс идентификации рисков может также включать в себя сбор информации из внешних источников:
- специальных руководств: Cadbury, King Report7 и The Committee of Sponsoring Organizations of the Treadway Commission (COSO);
- профессиональных организаций: The Institute of Internal Auditors (IIA), the American Institute of Certified Public Accountants (AICPA), the Association of Certified Fraud Examiners (ACFE), the Canadian Institute of Chartered Accountants (CICA), The CICA Alliance for Excellence in Investigative and Forensic Accounting, The Association of Certified Chartered Accountants (ACCA), The International Federation of Accountants (IFAC).
Внутренние источники для идентификации рисков должны включать в себя обзоры выявленных случаев фрода, свидетельства очевидцев и аналитические расчеты.
Детектирование фрода и его предотвращение
Процессы детектирования и предотвращения фрода связаны между собой, но имеют существенные различия. Предотвращение связано с политиками, процедурами и иными работами по недопущению фрода, в случае же детектирования фокус смещается в сторону работ и технологий, которые вовремя определяют мошеннические действия, при этом мошенничество уже произошло или происходит. Необходимо отметить, что пока технологии предотвращения фрода не могут со 100%-ной вероятностью обеспечивать безопасность, но они являются первой линией защиты от мошенничества. Комбинация превентивного и детективного контроля, усиленная эффективной программой антимошенничества, в настоящее время является основным методом противодействия мошенничеству.
Расследование и корректирующие действия
Во всем мире разрабатываются законы против мошенничества, стоит только вспомнить: политика в отношении Закона о коррупционных действиях за границей 1977 г (U.S. Foreign Corrupt Practices Act of 1977 (FCPA)), (1997), Конвенция ОЭСР по борьбе со взяточничеством (Organisation for Economic Co-operation and Development Anti-Bribery Convention), закон Сарбейнса-Оксли (SOX) 2002 г., Федеральное законодательство о корпоративной ответственности (the U.S. Federal Sentencing Guidelines) от 2005 г.
В настоящее время не существует систем противодействия фроду, которые могут со 100%-ной уверенностью защитить организацию. В этом случае руководство организации должно инициировать создание системы противодействия фроду, определив собственную роль в процессе защиты от мошенничества.
Процесс противодействия мошенничеству, как часть всего процесса управления предприятием, должен начинаться с разработки политики противодействия фроду (как документ), где четко прописывается роль руководства.
Часто компании разделяют все виды фрода на четыре основные группы:
- искажение финансовой отчетности;
- неправомерное использование/присвоение имущества компании;
- злоупотребление должностным положением;
- фрод в сетях связи.
При анализе лучших практик (best practice) можно выделить следующие методы управления фродом:
- мониторинг уровня фрода;
- предотвращение, выявление и профилактика фрода;
- расследование случаев фрода;
- устранение недостатков, приведших к возникновению фрода.
В целях предотвращения и выявления случаев фрода (в пределах, предусмотренных законодательством) организация может проводить следующие мероприятия, но не ограничиваться ими:
- профилактические мероприятия по предотвращению фрода;
- обучение сотрудников (anti-fraud awareness program);
- мероприятия по проверке контрагентов и кандидатов перед приемом на работу;
- управление физическим и логическим доступом;
- выявление и контроль над конфликтами интересов;
- процедуры согласования и авторизации действий;
- прием анонимных сообщений о фроде и подозрениях на фрод;
- внутренний аудит;
- регистрация выявленных случаев фрода.
Необходимо особо отметить, что все выявленные случаи фрода должны быть расследованы, а результаты расследований – задокументированы и содержать перечень мер безопасности, которые были обойдены фродстером, а также недостатки технологических и бизнес-процессов.
Фродстер – физическое или юридическое лицо, совершившее фрод. Борьба с фродом – комплекс мероприятий по предотвращению, выявлению, оценке, расследованию и минимизации последствий случаев фрода.
Фродстер – физическое или юридическое лицо, совершившее фрод. Борьба с фродом – комплекс мероприятий по предотвращению, выявлению, оценке, расследованию и минимизации последствий случаев фрода.
После выявления случая фрода необходимо определить перечень мер по устранению недостатков, приведших к возникновению фрода, исполнителя и срок исполнения. Для разработки мер противодействия фроду нового типа должна формироваться специальная группа с привлечением необходимых специалистов других подразделений компании.
Отметим, что еще одним из обязательных мероприятий по противодействию фроду является его ранжирование. Целью ранжирования случаев фрода является приоритезация видов фрода с целью разработки адекватных антифродовых мероприятий.
Одним из наиболее опасных преступлений против собственности считается мошенничество. В уголовном законодательстве есть несколько статей, посвященных ему.
Общий состав посягательства предусмотрен в 159 статье УК РФ . В норме установлены наказания за противоправные действия с физическими объектами или имущественными правами. В 159 статье УК РФ предусмотрены квалифицированные и особо квалифицированные составы. В ст. 159.6 установлено наказание за деяния в сфере компьютерной информации. Между тем в последнее время получил широкое распространение новый тип мошенничества - фрод . Ответственность за него в УК не предусмотрена.
Определение
Слово fraud в переводе с английского обозначает "мошенничество". Суть его состоит в несанкционированных действиях, неправомочном использовании услугами и ресурсами в сетях связи. Проще говоря, это вид мошенничества в области информационных технологи й.
Способы совершения преступления различны. В настоящее время известно больше 50 разных приемов хищения в сетях связи.
Анализируя случаи, имевшие место в практике, можно сказать, что фрод - это такое преступление, за которое привлечь к ответственности очень сложно.
Классификация
Попытка выделить виды фрода была предпринята в 1999 г. Ф. Госсетом и М. Хайлендом. Они смогли обозначить 6 основных типов:
- Subscription fraud - контрактное мошенничество. Оно представляет собой умышленное указание неверных данных при заключении договора или неисполнение абонентом условий об оплате. В этом случае абонент не планирует изначально исполнять свои обязательства по контракту либо в определенный момент отказывается от их выполнения.
- Stolen fraud - использование утерянного или украденного телефона.
- Access fraud. Перевод слова access - "доступ". Соответственно, преступление состоит в противоправном использовании услуг посредством перепрограммирования идентификационных и серийных номеров телефонов.
- Hacking fraud - хакерское мошенничество. Оно представляет собой проникновение в систему безопасности компьютерной сети с целью удаления инструментов защиты или изменения конфигурации системы для несанкционированного ее использования.
- Technical fraud - техническое мошенничество. Оно предполагает противоправное изготовление платежных телефонных карт с поддельными идентификаторами абонентов, платежных отметок, номеров. К этому же типу относят внутрикорпоративное мошенничество. В этом случае злоумышленник имеет возможность пользоваться услугами связи по низкой цене за счет получения незаконного доступа к корпоративной сети. Считается, что такой фрод - это самое опасное деяние, поскольку выявить его довольно сложно.
- Procedural fraud - процедурное мошенничество. Его суть состоит в противоправном вмешательстве в бизнес-процессы, к примеру, в биллинг, для снижения размера оплаты услуг.
Позже эту классификацию существенно упростили; все методы объединили в 4 группы: процедурное, хакерское, контрактное, техническое мошенничество.
Основные типы
Необходимо понимать, что фрод - это такое преступление, источник которого может находиться где угодно. В этой связи особую актуальность приобретает вопрос В соответствии с этим, выделяют следующие три типа мошенничества:
- внутреннее;
- операторское;
- абонентское.
Рассмотрим их основные признаки.
Абонентский фрод
Наиболее распространенными действиями считаются:
- Имитации сигнализации с использованием специальных приборов, позволяющих совершать междугородние/международные звонки, с таксофонов в том числе.
- Физическое подключение к линии.
- Создание нелегального пункта связи через взломанную АТС.
- Кардинг - эмуляция телефонных карт или противоправные действия с картами предоплаты (к примеру, пополнение обманным путем).
- Умышленный отказ от оплаты телефонных переговоров. Такой вариант возможен, если услуги предоставляются в кредит. Как правило, жертвами злоумышленников становятся операторы мобильной связи, предоставляющие услуги роуминга, когда информация между операторами передается с задержкой.
- Клонирование телефонных трубок, сим-карт. Сотовые мошенники получают возможность совершать звонки в любых направлениях бесплатно, а счет придет владельцу клонированной сим-карты.
- Использование телефона в качестве переговорного пункта. Такие действия совершаются в тех местах, где имеется связи: в аэропортах, на вокзалах и пр. Суть мошенничества состоит в следующем: на найденный/украденный паспорт приобретаются сим-карты, тарифы по которым предусматривают возможность формирования задолженности. За небольшую плату желающим предлагается позвонить. Это продолжается до того момента, пока номер не будет заблокирован за образовавшийся долг. Погашать его, разумеется, никто не собирается.
Операторское мошенничество
Зачастую оно выражается в организации очень запутанных схем, связанных с обменом трафиком на сетях. Среди наиболее распространенных неправомерных действий можно отметить следующие:
- Намеренное искажение информации. В таких случаях недобросовестный оператор конфигурирует коммутатор так, чтобы можно было соврать звонки через другого ничего не подозревающего оператора.
- Многократный возврат звонков. Как правило, такое "зацикливание" имеет место при различиях в тарификации операторов при передаче вызовов между ними. Недобросовестный оператор возвращает звонок в исходящую сеть, но через третье лицо. В итоге вызов возвращается снова к недобросовестному оператору, который может его снова отправить по той же цепочке.
- "Приземление" трафика. Этот вид мошенничества также именуют "туннелированием". Он имеет место, когда недобросовестный оператор передает свой трафик в сеть через VoIP. Для этого используется шлюз IP-телефонии.
- Увод трафика. В этом случае создается несколько схем, предусматривающих нелегальное предоставление услуг по сниженным ценам. К примеру, 2 недобросовестных оператора заключают соглашение для получения дополнительного дохода. При этом у одного из них нет лицензии на оказание услуг связи. В условиях соглашения стороны оговаривают, что субъект, не имеющий разрешения, будет использовать сеть партнера как транзитную для пропуска и вливания своего трафика в сеть третьего лица - оператора-жертвы.
Внутренний фрод
Он предполагает действия сотрудников компании связи, связанные с хищением трафика. Сотрудник, к примеру, может воспользоваться служебным положением для извлечения незаконной прибыли. В этом случае мотивом его действий является корысть. Бывает и так, что служащий умышленно наносит компании ущерб, например, вследствие конфликта с руководством.
Внутреннее мошенничество может совершаться путем:
- Сокрытия части информации на коммутационных устройствах. Оборудование может быть настроено так, чтобы для части маршрутов сведения об оказанных услугах регистрироваться не будет или будет вводиться в незадействованный порт. Действия такого рода обнаружить крайне проблематично, даже при проведении анализа данных биллинговой сети, поскольку в нее не поступают первичные сведения о соединениях.
- Сокрытия части данных на оборудовании биллинговых сетей.
Это достаточно специфичная схема мошенничества. Она связана с покупками товаров в Интернете.
Клиенты делают заказ и оплачивают его, как правило, безналичным расчетом с карты или счета. Затем они инициируют возврат оплаты, обосновывая это тем, что платежный инструмент или информация о счете были украдены. В результате средства возвращаются, а приобретенный товар остается у злоумышленника.
Практические сложности
Как показывает практика, злоумышленники используют сразу несколько способов фрода. Ведь, по сути, ? Это люди, хорошо разбирающиеся в информационных технологиях.
Чтобы не быть пойманными, они разрабатывают различные схемы, распутать которые зачастую почти невозможно. Достигается это как раз путем применения нескольких незаконных моделей одновременно. При этом какой-то способ может использоваться для направления правоохранительных органов по ложному следу. Зачастую не помогает и фрод-мониторинг .
Сегодня большинство специалистов приходят к единому выводу о том, что составить исчерпывающий перечень всех типов телекоммуникационного фрода невозможно. Это вполне объяснимо. В первую очередь, технологии не стоят на месте: идет их постоянное развитие. Во-вторых, необходимо учитывать специфику этого направления преступной деятельности. Телекоммуникационное мошенничество тесно связано с реализацией конкретных услуг определенных операторов связи. Соответственно, кроме общих сложностей, у каждой компании будут возникать свои, присущие только ей специфические проблемы.
Общие принципы борьбы
Любой оператор должен иметь представление о существующих видах телекоммуникационного мошенничества. Классификация помогает упорядочить деятельность, направленную на борьбу с преступлениями.
Наиболее распространенным считается разделение фрода по функциональным сферам:
- роуминговый;
- транзитный;
- СМС-фрод;
- VoIP- fraud;
- PRS- fraud.
Вместе с тем классификация не облегчает оператору решение задачи по обеспечению защиты от мошенничества. К примеру, транзитный фрод предполагает реализацию огромного количества мошеннических схем. Несмотря на то что все они в той или иной степени связаны с предоставлением одной услуги - транзитом трафика, выявляются они при помощи совершенно разных инструментов и методов.
Альтернативная классификация
Учитывая сложность проблемы, при планировании деятельности по фрод-мониторингу операторам следует использовать типологизацию мошеннических схем в соответствии с методами их детектирования, выявления. Эта классификация представлена в виде ограниченного перечня классов фрода. Любую возникающую, в том числе ранее не учтенную схему мошенничества оператор может отнести к какому-либо классу в зависимости от метода, применяемого для ее раскрытия.
Отправной точкой для такого деления будет выступать представление о любой модели как о сочетании 2-х компонентов.
Первым элементом является "предфродовое состояние". Оно предполагает определенную ситуацию, сочетание условий, возникшие в настройках системы, в бизнес-процессах, благоприятные для реализации мошеннической схемы.
К примеру, существует такая модель, как "фантомные абоненты". Эти субъекты получили доступ к услугам, но в билинговой системе не зарегистрированы. Это явление и называется "предфродовым состоянием" - рассинхронизация данных между элементами сети и учетными системами. Это, разумеется, еще не фрод. Но при наличии этой рассинхронизации он вполне может быть реализован.
Вторым элементом является "фродовое событие", т. е. действие, для которого организована схема.
Если продолжить рассматривать "фантомных абонентов", действием будет считаться СМС, звонок, транзит трафика, передача данных, совершенные одним из таких абонентов. В связи с тем, что в биллинговой системе он отсутствует, услуги оплачены не будут.
Фрод и GSM
Техническое телекоммуникационное мошенничество порождает множество проблем.
В первую очередь, вместо контролируемого и законного соединения рассылки осуществляются с непонятного устройства. Усложняется ситуация тем, что содержание сообщений нельзя модерировать (проверять).
Во-вторых, кроме убытков от неоплаченных рассылок, у оператора увеличиваются прямые затраты на расширение сети из-за повышенной нагрузки на устройства вследствие нелегального сигнального трафика.
Еще одна проблема - сложности при взаимозачетах между операторами. Разумеется, никто не хочет оплачивать пиратский трафик.
Эта проблема приобрела угрожающие масштабы. Для выхода из сложившейся ситуации Ассоциация GSM разработала несколько документов. В них раскрывается понятие смс-фрода, даются рекомендации по основным методам его детектирования.
Одной из причин распространения СМС-мошенничества специалисты называют несвоевременное обновление ОС телефона. Как показывает статистика, большое количество пользователей не хотят покупать новый телефон, пока используемый аппарат не выйдет из строя. Из-за этого более чем на половине устройств используется старое программное обеспечение, которое, в свою очередь, имеет бреши. Ими и пользуются мошенники для реализации своих схем. Между тем и современные версии имеют свои уязвимости.
Устранить проблему можно, обновив систему до последней версии и запустив приложение, выявляющее уязвимости.
Необходимо помнить, что злоумышленники не разделяют мобильную и фиксированную связь. Схемы фрода могут быть реализованы в любой уязвимой сети. Мошенники изучают особенности и той, и другой связи, выявляют похожие бреши и проникают в них. Конечно, абсолютно исключить угрозу нельзя. Однако устранить наиболее явные уязвимости вполне возможно.
Анти-фрод системы в отечественных компаниях за последние несколько лет набирают все большую популярность. В свете
Анти-фрод системы в сервисах Онлайн-банкДля обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
- ограничение количества покупок по одной банковской карте или одним пользователем за определенный период времени;
- ограничение на максимальную сумму разовой покупки по одной карте или одним пользователем в определенный период времени;
- ограничение на количество банковских карт, используемых одним пользователем в определенный период времени;
- ограничение на количество пользователей, использующих одну карту;
- учёт истории покупок по банковским картам и пользователями (так называемые «черные» или «белые» списки)
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка» , которая характеризует способ обработки транзакции. Существуют три типа меток:
- «Зеленая» отмечает транзакции с низкой вероятностью возникновения мошеннической операции.
- «Желтой» меткой отмечаются транзакции, в которых шанс возникновения мошеннической операции выше среднего, и для проведения платежа потребуются дополнительного внимания.
- «Красной» отмечаются транзакции, которые с наибольшей вероятностью могут оказаться мошенническими, и при их проведении потребуется документальное подтверждение аутентичности владельца карты.
Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок;обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом - напрямую.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку
система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
По данным портала www.banki.ru , самый популярный тип мошенничества с банковскими картами - это так называемый «friendly fraud» («дружеский фрод») . Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) - возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.
Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода . Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.
Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства» . Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% - и это очень хороший показатель для рынка. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.
Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей , как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS , а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.
И немного инфографики в тему фрода в России
И вот настал этот день: количество заказов в вашем интернет-магазине выросло на 50%. Еще вчера их было 60 в день, зато теперь - раздолье! Бизнес идет в гору! Ваши сотрудники радостно прозванивают покупателей по форме заявки и выясняют: люди ничего не знают о вашем интернет-магазине и ничего у вас не заказывали. А поток новых заказов все растет и растет…
- Банковский фрод - мошенники используют краденые данные банковских карт, чтобы оплатить заказ на вашем сайте. Вы им - товар, а затем настоящий владелец карты взыскивает с вас потраченные мошенником деньги.
- Клик-фрод или скликивание рекламных объявлений. Мошенники (конкуренты или недобросовестное агентство) кликают на вашу рекламу в интернете, чтобы потратить ваш рекламный бюджет и снизить конверсию сайта.
- Арбитражный фрод - на сайт поступает некачественный трафик, который притворяется целевым.
Проблема с арбитражным фродом возникает у интернет-магазинов регулярно, от нее нельзя избавиться раз и навсегда. Но можно эффективно бороться. Давайте разберемся как.
Что такое фрод в арбитраже?
Фрод-трафик не появляется из ниоткуда. За ним всегда стоит тот, кому выгодно лить его на ваш сайт. Чаще всего встречаются три варианта арбитражного фрода:
1. Фрод из CPA-сетей.
Фрод из партнерок - основной канал некачественного трафика на ваш сайт. Веб-мастера льют его осознанно, но не из ненависти к вам, а ради собственной выгоды. Поскольку вы платите им только за целевое действие, в случае онлайн-торговли - оформление заказа, они пользуются ботами, которые быстро и в большом количестве оформляют эти самые заказы. И надеются, что вы заплатите им раньше, чем заметите подвох. 
В интернете легко можно найти форумы, где обсуждаются схемы фрода. Еще больше форумов - где обсуждается атака фродеров. Заказы ботов действительно выглядят как настоящие:
В этом случае простой прозвон не поможет: человек, оформивший заказ, будет вполне реален, и подтвердит, что ему действительно нужен ваш товар. Помочь может второй прозвон перед отправкой заказа: уже через пару дней человек не вспомнит, какое имя он указывал в заказе, какой адрес, товар и т.д. Если человек «поплыл» или его ответы не совпадают с заявкой - смело ставьте статус «фрод».
Конечно, двойной прозвон еще сильнее увеличивает нагрузку на менеджеров. Но эти затраты меньше, чем затраты на упаковку, доставку и возврат товара.
3. Массовые заказы обратных звонков и звонки на номер 8 800
Цель - занять вашу телефонную линию, чтобы реальные клиенты не могли с вами связаться.
Какими могут быть последствия фрод звонка:
- по номерам невозможно дозвониться;
- оператор заблокирует номер;
- если вам «обрывают» номер 8 800 - вы получите счет за связь на сотни тысяч рублей.
Звонят и заказывают обратный звонок не реальные люди, а боты, поэтому звонков может быть и 100, и 200, и 300 в минуту. 
Фрод мониторинг: защищаемся от фейковых заказов
7 звоночков о том, что на ваш интернет-магазин напали фродеры:
- Много заказов/звонков с одного IP адреса.
- В новых заказах можно выявить закономерность: провели на сайте одинаковое количество времени или посетили одинаковое количество страниц.
- Между переходом на сайт и оформлением заказа аномально маленький промежуток времени.
- В новых заказах не совпадает местоположение IP адреса и адреса доставки товара.
- Большое количество заказов сделано ночью.
- Конверсия 0,1% или 100% при внешне большом потоке трафика.
- Яндекс.Метрика не видит эти заказы.
Систем антифрода, которые полностью защитят вас от ложных заказов и звонков, нет. Но есть несколько базовых действий, которые обязательно нужно сделать на своем сайте:
- Добавить CAPTCHA в форму заказа.
- Добавить скрытое поле в форму заказа. Реальные покупатели не увидят его, и заполнять не будут.
- Подключите сервис, который позволит выявить максимальное количество закономерностей в заказах.
Плохая новость: первые два пункта боты уже научились обходить. Впрочем, это все равно «срежет» какую-то часть атак. А вот в последнем пункте все зависит от количества информации о посетителе сайта, которую соберет система, и от вашей наблюдательности.
Настройте трекинг всех звонков и обращений в чат
Закономерности легко выявить, когда данные о лидах собраны в одну таблицу: достаточно беглого взгляда, чтобы оценить ситуацию. Для выявления фрода важно знать, откуда идут обращения - поэтому вам стоит установить коллтрекинг.
Записывайте звонки и переписки
После того, как вы заметили большой поток непонятного трафика из одного и того же источника, нужно проверить - это точно фрод? Прослушайте записи прозвонов, прочитайте переписки менеджеров с посетителями. Это важно, если речь идет о массовых звонках или обращениях в онлайн-чат.
В Callibri за это отвечает сервис мультивиджет. Данные сохранятся в Едином журнале лидов, вместе с данными об источнике обращения.
Так вы сможете выявить закономерности между посетителями сайта. Если вас атакуют специально нанятые люди - они будут общаться с разными менеджерами по одному и тому же скрипту. Если боты - вы услышите большое количество разговоров формата: «Я ничего у вас не заказывал».
Проводить такой аудит во время подозрительной покупательской активности - необходимость. Так вы избавляете себя от разочарования от возврата товара и суммы, затраченной на доставку товара «в никуда».
Внутренний фрод – мошенничество, совершаемое сотрудниками благодаря занимаемому положению и доступу к телекоммуникационному оборудованию. Жертвами такого фрода может стать как сама компания, в которой работают нечистоплотные сотрудники, так и клиенты.
В англоязычных странах слово "fraud" означает любое мошенничество, в России термином фрод называют более узкую категорию преступлений – мошенничества в сфере информационных технологий. В этой сфере текут сотни и тысячи денежных рек – оплата за переговоры, Интернет-трафик, онлайн-покупки и заказы, мобильный банкинг. И у многих появляется желание путем мошенничества направить небольшой ручеек в свой личный карман.
В целом IT-фрод можно разделить на четыре большие категории:
- Пользовательский, именуемый также абонентским фродом. К нему относят мошенничества со стороны пользователей – незаконное подключение и неоплата услуг операторов связи, звонки за чужой счет, подделка банковских карт и операции без присутствия карты.
- Операторский фрод – всевозможные сомнительные действия уже кампаний по отношению к клиентам. К ним относят автоматическое подключение платных услуг, дорогая стоимость отписки от них, карты с возможностью уменьшения баланса в минус и т.п.
- Межоператорский фрод – попытки операторов обмануть друг друга. К его разновидностям относят всевозможные перенаправления трафика, представление дорогих видов связи как дешевые и т.д.
Классификация и способы внутреннего фрода
В свою очередь, внутренний фрод можно подразделить на две большие категории – воровство и злоупотребление. В первом случае имеет место прямая кража денег либо других материальных ценностей, во втором извлечение материальной или нематериальной выгоды не связано с прямым хищением.
Как уже говорилось, в IT-сфере постоянно движутся огромные деньги – от клиента к банку или оператору, между клиентами, между фирмами. И некоторые сотрудники находят возможность поживиться за счет работодателя, либо клиентов.
Например, возможны случаи оказания фиктивных услуг, услуг по завышенным ценам или договора с аффилированными подрядчиками. С клиентами компании также возможны мошеннические действия. Особенно это касается мобильных операторов, где определенные суммы списываются регулярно, зачастую по несколько раз в день, и если сотрудник прибавит к ним небольшой платеж на собственный счет, клиент навряд ли заметит. А поскольку клиентов таких десятки и сотни тысяч, сумма в итоге получается внушительная.
В плане злоупотреблений информационные технологии также представляют широкое поле для деятельности. Масштаб здесь самый широкий, от подключения друзей к выгодным внутрикорпоративным тарифам и вплоть до оформления миллионных счетов за фиктивные, чаще всего информационные, т.е. нематериальные услуги.
Виды экономических преступлений: основные области риска, на что обратить внимание
Большую проблему представляет и завышение результатов. Множество фиктивных клиентов может принести сотруднику или подразделению внушительные реальные премии.
Стоит также отметить злоупотребления, связанные с доступом к оборудованию. В отличие от традиционной промышленности, где финансовые аферы являются уделом руководства и бухгалтерии, в информационной отрасли технические специалисты также способны организовать различные мошеннические схемы благодаря соответствующей настройке серверов и другого оборудования. Например, исключать из учета некоторые виды трафика, регистрировать дорогие звонки как дешевые, а затем подключать к ним отдельные номера. Выявить такие преступления очень сложно, еще труднее доказать, ведь неправильную настройку всегда можно объяснить ошибкой.
Наконец, IT-компании подвержены всем тем злоупотреблениям, что существовали задолго до расцвета информационной эры – устройство на работу фиктивных сотрудников (обычно друзей и родственников начальства), выписка завышенных премий, списание еще работоспособного оборудования с целью дальнейшей продажи, использование служебного транспорта и другого имущества в личных целях.
Кто страдает от внутреннего фрода
Объектами воздействия мошенников могут стать оборудование и программное обеспечение компании, бумажные и электронные финансовые документы, выше-, и нижестоящие сотрудники.
Сервера, маршрутизаторы и другое оборудование весьма уязвимы в силу зависимости их работы от множества выполняемых узким кругом специалистов настроек, в которых все остальные, как правило, совершенно не разбираются. Это дает инженерам и программистам широкие возможности по перенаправлению трафика, искажению отчетов о нем, заражения вредоносным ПО.
Лица, имеющие доступ к финансовым программам, могут как напрямую красть небольшие, а потому незаметные суммы со счетов множества клиентов, так и оформлять фальшивые счета, платежки, расспросы на возврат якобы ошибочно переведенных средств и т.д.
Вариантами обмана сотрудников может быть завышение показателей для получения высоких премиальных, фальшивые запросы на перевод денег, блокировку и разблокировку аккаунтов, выведывание у коллег логинов и паролей более высокого уровня доступа.
Источник угрозы
В соответствии с объектами воздействия можно выделить три основных источника внутреннего фрода в IT-сфере.
Люди имеющие криминальное прошлое легче идут на мошеннические действия. Поэтому любая компания должна осуществлять проверку кандидата до приема на работу, мониторинг его деятельности в процессе работы, поддерживать высокую корпоративную культуру и внедрять эффективные схемы мотивации, ведь достойный и стабильный официальный заработок привлекательнее временных, к тому же грозящих уголовным преследованием мошеннических схем.
Нужно подчеркнуть, что особое внимание должно уделяться работе с людьми. К категориям особого риска следует отнести людей с криминальным прошлым, системных администраторов и других сотрудников с высоким уровнем доступа, лиц, осуществляющих переводы средств. Отдельную категорию составляют увольняющиеся сотрудники, особенно в случае вынужденных сокращений либо увольнений за нарушения в работе. Движимые обидой либо в качестве компенсации они могут попытаться украсть базы данных, внести неправильные настройки в работу оборудования, заразить компьютеры зловредными программами.
Анализ риска внутреннего фрода
Внутреннему фроду уязвимы все компании в которых можно хоть чем-то поживится, это и банки, государственные органы, РЖД, нефтегазовая отрасль и прочие. Другая проблема – сложность отрасли. Зачастую сотрудникам, особенно новичкам, требуется немало времени для освоения сложных программ, при этом операции выполняются с нарушением строгих норм. А любое нарушение есть лазейка для мошенничества.
Четкая прозрачная структура с хорошим внутренним контролем оставляет мошенникам очень мало возможностей для афер.
Помимо внутреннего обязателен также регулярный внешний аудит, как техники, так и финансовых операций, позволяющий выявить неправильную настройку серверов и компьютеров, сомнительные переводы денег. Уже сама возможность раскрытия мошеннических схем заставит многих отказаться от своих планов.
Необходимо анализировать показатели эффективности, как отдельного сотрудника, так и целых подразделений. Порой их резкий рост является не следствием улучшения работы, а мошенническим завышением ради получения больших премий.
Наконец, огромное значение имеет общая корпоративная культура. При ее отсутствии, низкой трудовой дисциплине все нередко начинается с небольших злоупотреблений, на которые закрывают глаза. Безнаказанность подталкивает человека искать (и находить) более масштабные схемы, при которых компания и клиенты теряют уже миллионы.
В то же время четкая, прозрачная система, строгий контроль, включая внешний независимый аудит, осознание неотвратимости наказания заставит большинство забыть о мошеннических схемах в пользу честного заработка. Для противодействия внутреннему фроду используются DLP-системы, системы профилирования сотрудников, поведенческий анализ UEBA.