Auto-translation used

Read the original

Ментальный взлом: почему защита от мошенников — это работа для программистов, а не для психологов

В последние месяцы мы все чаще видим предупреждения от Национального Банка и других государственных органов о росте активности кибермошенников. Эта проблема затрагивает не только отдельных граждан, но и подрывает доверие ко всей цифровой экономике Казахстана. Стандартные призывы "быть бдительными", безусловно, важны, но они не решают проблему. Практика показывает, что социальная инженерия достигла такого уровня изощренности, что виктимность (уязвимость стать жертвой) сегодня — это не вопрос небрежности, а результат целенаправленных психологических методик.

Проблема требует более глубокого, системного и технологического подхода. Вместо того чтобы фокусироваться на последствиях и поиске виновных, мы предлагаем сместить акцент на создание проактивной экосистемы безопасности, где цифровые технологии стоят на страже человека.

Почему традиционные подходы недостаточны?

Это профессиональные социальные инженеры, использующие отточенные годами техники психологического давления и вербального гипноза. Они не взламывают системы, они "взламывают" человека.

Чтобы понять, насколько уязвима человеческая психика, достаточно посмотреть в YouTube видео знаменитого английского менталиста и гипнотизера Деррена Брауна. На улицах Лондона он за считанные минуты, в ходе обычной беседы, оставлял людей без кошельков, часов и ключей. Жертвы сами, добровольно, отдавали ему свои вещи, находясь в состоянии легкого транса, вызванного специфической манерой речи и нестандартным поведением. Это не магия, это наука вербального программирования. И если профессионал может сделать такое вживую, то что говорить о телефонном разговоре, где мошенник заранее встраивает скрипт вербального сценария, давит на эмоции и не дает времени на критическое осмысление?

Обвинять человека в том, что он "сам сообщил код", – это все равно что обвинять жертву ограбления в том, что она "сама шла по темной улице". Это перекладывание вины с агрессора и, что самое важное, с того, кто обязан был обеспечить безопасность. А в финансовом мире этот "кто-то" – Коммерческий Банк.

Современные технологии, которые уже успешно применяются ведущими мировыми банками, позволяют эффективно противостоять большинству мошеннических схем. Это не теоретические концепции, а работающие инструменты. Мы, как IT-специалисты, готовы поделиться своей экспертизой в их внедрении и реализации.

Давайте набросаем несколько элементарных примеров, которые мог бы реализовать любой компетентный разработчик:

Валидация источника SMS-кода: Это самое очевидное. Если банк отправляет СМС-код для подтверждения операции на номер клиента, а попытка ввода этого кода происходит с совершенно другого устройства, с неизвестного IP-адреса или из другой страны – система должна немедленно заблокировать операцию. Вместо списания средств клиенту должно приходить уведомление: "Обнаружена подозрительная активность. Ваша операция заблокирована. Мы не запрашивали у вас код по телефону. Если это были не вы, срочно свяжитесь с банком". Просто? Элементарно.
Анализ поведенческих аномалий: Современные системы anti-fraud анализируют тысячи параметров в реальном времени. Нехарактерная сумма перевода, несвойственное время суток для транзакции, новый, ранее не использовавшийся получатель, попытка смены пароля сразу после звонка с подозрительного номера – все это "красные флаги". Система может автоматически заморозить такую транзакцию и потребовать дополнительной, более сложной верификации. Например, видеозвонок в банк или личный визит.
Гео-таргетинг и "белые списки": Если клиент никогда не выезжал за пределы Казахстана, попытка входа в его аккаунт из другой страны должна вызывать немедленную блокировку до подтверждения личности. Если клиент регулярно переводит деньги одним и тем же 10-15 получателям, перевод крупной суммы на совершенно новый счет – повод для дополнительной проверки.

Интеллектуальный анализ транзакций (Transactional Intelligence): Вместо простой проверки SMS-кода, система должна в реальном времени анализировать десятки параметров: IP-адрес, цифровой отпечаток устройства (device fingerprint), геолокацию, время и сумму операции, историю переводов клиента. Любое отклонение от нормы (например, вход из непривычного места и немедленный перевод всех средств новому получателю) должно автоматически запускать дополнительный уровень верификации, недоступный мошеннику, — например, контрольный звонок робота или временную заморозку.
Поведенческая биометрия и User Behavior Analytics (UBA): Продвинутые системы анализируют не только что делает пользователь, но и как он это делает: скорость набора текста, манера движения мыши, привычная последовательность действий в приложении. Если поведение в сессии резко отличается от эталонного профиля клиента, система может расценить это как захват управления и превентивно ограничить функционал.
Создание "Цифрового двойника" клиента: Это концепция, объединяющая все данные о типичном поведении клиента в единый, постоянно обновляемый профиль. "Двойник" знает, с каких устройств вы обычно заходите, в какие страны путешествуете, каким контрагентам переводите средства. Любая операция, не свойственная "двойнику", становится сигналом для углубленной проверки.

Технологии — это инструмент. Но для их повсеместного внедрения необходима политическая воля и четкая государственная стратегия. Прямая обязанность государства — обеспечить безопасность своих граждан, в том числе и в цифровом пространстве.

Мы видим следующие возможные шаги со стороны государственных органов:

Разработка Национального стандарта цифровой финансовой безопасности: Создание единого, обязательного для всех банков и финансовых организаций набора требований к anti-fraud системам. Стандарт должен регулярно обновляться с учетом новых угроз.
Создание межведомственного центра компетенций: Платформа, объединяющая усилия Национального Банка, Министерства цифрового развития, правоохранительных органов и привлеченных экспертов из IT-отрасли для оперативного обмена информацией о новых угрозах и выработки контрмер.
Стимулирование банков к инвестициям в безопасность: Пересмотр законодательства в части ответственности. Цель — не наказать банк, а создать экономические стимулы для инвестиций в передовые защитные системы. Банк, доказавший использование самых современных технологий, должен иметь иные условия ответственности, чем банк, который экономит на безопасности клиентов.

Наше предложение

Мы, как представители IT-сообщества Казахстана, обладаем необходимой экспертизой и глубоким пониманием современных технологий. Не хотим оставаться в стороне.

Мы готовы оказать всестороннее содействие как государственным органам, так и коммерческим структурам в решении этой важной задачи. Мы можем помочь в:

Проведении независимого аудита существующих систем безопасности.
Разработке технических требований для Национального стандарта безопасности.
Консультировании по внедрению передовых anti-fraud решений.
Организации образовательных программ и воркшопов для специалистов банковского сектора.

Призываем к открытому диалогу. Возможно, на площадке Astana Hub стоит организовать круглый стол с участием представителей Нацбанка, АРРФР, МЦРИАП и ведущих банков страны, чтобы вместе выработать дорожную карту по построению действительно надежной системы защиты граждан от кибермошенничества.

Это наша общая задача, и только совместными усилиями мы сможем построить безопасное цифровое будущее для всех казахстанцев.

Protection from fraud is a direct responsibility of Commercial Banks and the National Bank of the Republic of Kazakhstan, and not a headache for customers.

Recently, the National Bank of the Republic of Kazakhstan has once again issued a warning about new fraud schemes.

The news, which caused many IT specialists, including me, to feel righteous anger instead of a sense of security. Not from the ingenuity of the scammers, but from the depressing passivity and, let's be honest, the technological backwardness of some financial institutions that persistently shift responsibility onto their clients.

We are told: "Do not tell anyone the SMS code!". Sounds simple, doesn't it? But this is a cynical simplification of a complex problem.

Scammers are not just "hello, Mom, I'm in trouble."

These are professional social engineers who use years-honed techniques of psychological pressure and verbal hypnosis. They don't hack systems, they "hack" a person.

To understand how vulnerable the human psyche is, just watch the YouTube video of the famous English mentalist and hypnotist Derren Brown. On the streets of London, in a matter of minutes, during a routine conversation, he left people without wallets, watches and keys. The victims themselves, voluntarily, gave him their belongings, being in a state of light trance caused by a specific manner of speech and unusual behavior. It's not magic, it's the science of human perception. And if a professional can do this live, then what about a phone conversation where a fraudster builds a scenario in advance, puts pressure on emotions and does not give time for critical reflection?

Accusing a person of "giving the code himself" is like accusing a robbery victim of "walking down a dark street by herself." This is shifting the blame from the aggressor and, most importantly, from the one who was responsible for ensuring security. And in the financial world, this "someone" is a commercial bank.

While regulators and some banks are lecturing us, highly paid programmers at BigTech companies and advanced fintech startups have long created and implemented software solutions that can stop most of these attacks in the bud. And these are not space technologies, but fully feasible and, by the standards of bank budgets, inexpensive protective mechanisms.

Let's sketch out some elementary examples that any competent developer could implement.:

Validation of the SMS code source: That's the most obvious thing. If the bank sends an SMS code to confirm the operation to the customer's number, and the attempt to enter this code occurs from a completely different device, from an unknown IP address or from another country, the system must immediately block the operation. Instead of debiting funds, the client should receive a notification: "Suspicious activity has been detected. Your operation is blocked. We didn't ask you for the code over the phone. If it wasn't you, contact the bank immediately." Simple? Elementary.
Behavioral Anomaly Analysis: Modern anti-fraud systems analyze thousands of parameters in real time. An uncharacteristic transfer amount, an unusual time of day for a transaction, a new, previously unused recipient, an attempt to change the password immediately after a call from a suspicious number – all these are "red flags". The system may automatically freeze such a transaction and require additional, more complex verification. For example, a video call to the bank or a personal visit.
Geo-targeting and whitelisting: If the client has never traveled outside of Kazakhstan, an attempt to log into his account from another country should cause immediate blocking until the identity is confirmed. If a client regularly transfers money to the same 10-15 recipients, transferring a large amount to a completely new account is a reason for additional verification.

Large banks that respect themselves and their customers are actively investing in such systems. They understand that reputation and trust are more expensive than short-term savings on IT security. But what do we see in practice? A significant part of fraudulent write–offs are made by customers of "medium-sized" banks and those who still live in the "software is a cost, not an asset" paradigm. They prefer to save on developing and licensing high-quality anti-fraud software, and then issue press releases in the spirit of "be vigilant."

It's time to stop this vicious practice.

Protecting the client's money is a direct, integral responsibility of a Commercial Bank. And this obligation should be fixed by law.

It is necessary to adopt a rule according to which the bank bears full financial responsibility for all fraudulent write-offs, unless it proves in court that its security system meets the highest modern standards. If the money is gone from the account, it means that there was a "hole" in the bank's program code. And it's not a pensioner or a teacher who has to pay for this "hole", but the financial institution itself.

And here the responsibility lies not only on commercial banks, but also on the National Bank of the Republic of Kazakhstan. It is the regulator that allows players with weak, outdated and inadequate software to enter the market. If we conduct an independent security audit and analyze all fraud cases over the past year, I am sure we will see a clear correlation: customers of only a few technologically backward banks are robbed.

The argument "scammers are abroad" is an excuse for the poor.

Firstly, all transactions leave a digital footprint, which is an irrefutable evidence base. Secondly, there is Interpol and international agreements for this purpose. With the political will and competent work of law enforcement agencies, you can find anyone, anywhere. But you have to work for that.

And the state bureaucracy, as we know, is not about taking care of people.

As a programmer and as a person who has studied the psychology of influence, I declare that the only reliable protection against modern fraud is smart program code. A code that a priori considers any transaction suspicious until proven otherwise. A code that protects the client even from himself, from a momentary confusion caused by a professional fraudster.

The time has come to demand from Commercial banks not empty warnings, but real, working technological solutions and full financial responsibility for the security of our money.

And the Astana Hub IT community should become the vanguard of this demand, because who better than us understands the true cost of technological ignorance and inaction.

История Очистить

Popular posts

The Bitrix24-based national project management and monitoring platform has been tested

Gulnur Dosbolova
June 20, 2025

Kazakhstan is on the threshold of a new era in TravelTech

Davyd Gavronskyy
June 20, 2025

The levels of access to training are Lite, Medium and Full

Alexey Dral
June 23, 2025

One day in the life of a creative game designer

G5 Events
June 20, 2025

Ментальный взлом: почему защита от мошенников — это работа для программистов, а не для психологов

Почему традиционные подходы недостаточны?

Наше предложение

Protection from fraud is a direct responsibility of Commercial Banks and the National Bank of the Republic of Kazakhstan, and not a headache for customers.

Daulet Baimurza
July 15, 2025 18:29

Comments 0

Popular posts

The Bitrix24-based national project management and monitoring platform has been tested

Gulnur Dosbolova June 20, 2025

Kazakhstan is on the threshold of a new era in TravelTech

Davyd Gavronskyy June 20, 2025

The levels of access to training are Lite, Medium and Full

Alexey Dral June 23, 2025

One day in the life of a creative game designer

G5 Events June 20, 2025

Ментальный взлом: почему защита от мошенников — это работа для программистов, а не для психологов

Почему традиционные подходы недостаточны?

Наше предложение

Protection from fraud is a direct responsibility of Commercial Banks and the National Bank of the Republic of Kazakhstan, and not a headache for customers.

Daulet Baimurza July 15, 2025 18:29

Comments 0

Gulnur Dosbolova
June 20, 2025

Davyd Gavronskyy
June 20, 2025

Alexey Dral
June 23, 2025

G5 Events
June 20, 2025

Daulet Baimurza
July 15, 2025 18:29