В последние месяцы мы все чаще видим предупреждения от Национального Банка и других государственных органов о росте активности кибермошенников. Эта проблема затрагивает не только отдельных граждан, но и подрывает доверие ко всей цифровой экономике Казахстана. Стандартные призывы "быть бдительными", безусловно, важны, но они не решают проблему. Практика показывает, что социальная инженерия достигла такого уровня изощренности, что виктимность (уязвимость стать жертвой) сегодня — это не вопрос небрежности, а результат целенаправленных психологических методик.

Проблема требует более глубокого, системного и технологического подхода. Вместо того чтобы фокусироваться на последствиях и поиске виновных, мы предлагаем сместить акцент на создание проактивной экосистемы безопасности, где цифровые технологии стоят на страже человека.

Почему традиционные подходы недостаточны?

Это профессиональные социальные инженеры, использующие отточенные годами техники психологического давления и вербального гипноза. Они не взламывают системы, они "взламывают" человека.

Чтобы понять, насколько уязвима человеческая психика, достаточно посмотреть в YouTube видео знаменитого английского менталиста и гипнотизера Деррена Брауна. На улицах Лондона он за считанные минуты, в ходе обычной беседы, оставлял людей без кошельков, часов и ключей. Жертвы сами, добровольно, отдавали ему свои вещи, находясь в состоянии легкого транса, вызванного специфической манерой речи и нестандартным поведением. Это не магия, это наука вербального программирования. И если профессионал может сделать такое вживую, то что говорить о телефонном разговоре, где мошенник заранее встраивает скрипт вербального сценария, давит на эмоции и не дает времени на критическое осмысление?

Обвинять человека в том, что он "сам сообщил код", – это все равно что обвинять жертву ограбления в том, что она "сама шла по темной улице". Это перекладывание вины с агрессора и, что самое важное, с того, кто обязан был обеспечить безопасность. А в финансовом мире этот "кто-то" – Коммерческий Банк.

Современные технологии, которые уже успешно применяются ведущими мировыми банками, позволяют эффективно противостоять большинству мошеннических схем. Это не теоретические концепции, а работающие инструменты. Мы, как IT-специалисты, готовы поделиться своей экспертизой в их внедрении и реализации.

Давайте набросаем несколько элементарных примеров, которые мог бы реализовать любой компетентный разработчик:

1. Валидация источника SMS-кода: Это самое очевидное. Если банк отправляет СМС-код для подтверждения операции на номер клиента, а попытка ввода этого кода происходит с совершенно другого устройства, с неизвестного IP-адреса или из другой страны – система должна немедленно заблокировать операцию. Вместо списания средств клиенту должно приходить уведомление: "Обнаружена подозрительная активность. Ваша операция заблокирована. Мы не запрашивали у вас код по телефону. Если это были не вы, срочно свяжитесь с банком". Просто? Элементарно.
2. Анализ поведенческих аномалий: Современные системы anti-fraud анализируют тысячи параметров в реальном времени. Нехарактерная сумма перевода, несвойственное время суток для транзакции, новый, ранее не использовавшийся получатель, попытка смены пароля сразу после звонка с подозрительного номера – все это "красные флаги". Система может автоматически заморозить такую транзакцию и потребовать дополнительной, более сложной верификации. Например, видеозвонок в банк или личный визит.
3. Гео-таргетинг и "белые списки": Если клиент никогда не выезжал за пределы Казахстана, попытка входа в его аккаунт из другой страны должна вызывать немедленную блокировку до подтверждения личности. Если клиент регулярно переводит деньги одним и тем же 10-15 получателям, перевод крупной суммы на совершенно новый счет – повод для дополнительной проверки.

1. Интеллектуальный анализ транзакций (Transactional Intelligence): Вместо простой проверки SMS-кода, система должна в реальном времени анализировать десятки параметров: IP-адрес, цифровой отпечаток устройства (device fingerprint), геолокацию, время и сумму операции, историю переводов клиента. Любое отклонение от нормы (например, вход из непривычного места и немедленный перевод всех средств новому получателю) должно автоматически запускать дополнительный уровень верификации, недоступный мошеннику, — например, контрольный звонок робота или временную заморозку.
2. Поведенческая биометрия и User Behavior Analytics (UBA): Продвинутые системы анализируют не только что делает пользователь, но и как он это делает: скорость набора текста, манера движения мыши, привычная последовательность действий в приложении. Если поведение в сессии резко отличается от эталонного профиля клиента, система может расценить это как захват управления и превентивно ограничить функционал.
3. Создание "Цифрового двойника" клиента: Это концепция, объединяющая все данные о типичном поведении клиента в единый, постоянно обновляемый профиль. "Двойник" знает, с каких устройств вы обычно заходите, в какие страны путешествуете, каким контрагентам переводите средства. Любая операция, не свойственная "двойнику", становится сигналом для углубленной проверки.

Технологии — это инструмент. Но для их повсеместного внедрения необходима политическая воля и четкая государственная стратегия. Прямая обязанность государства — обеспечить безопасность своих граждан, в том числе и в цифровом пространстве.

Мы видим следующие возможные шаги со стороны государственных органов:

• Разработка Национального стандарта цифровой финансовой безопасности: Создание единого, обязательного для всех банков и финансовых организаций набора требований к anti-fraud системам. Стандарт должен регулярно обновляться с учетом новых угроз.
• Создание межведомственного центра компетенций: Платформа, объединяющая усилия Национального Банка, Министерства цифрового развития, правоохранительных органов и привлеченных экспертов из IT-отрасли для оперативного обмена информацией о новых угрозах и выработки контрмер.
• Стимулирование банков к инвестициям в безопасность: Пересмотр законодательства в части ответственности. Цель — не наказать банк, а создать экономические стимулы для инвестиций в передовые защитные системы. Банк, доказавший использование самых современных технологий, должен иметь иные условия ответственности, чем банк, который экономит на безопасности клиентов.

Наше предложение

Мы, как представители IT-сообщества Казахстана, обладаем необходимой экспертизой и глубоким пониманием современных технологий. Не хотим оставаться в стороне.

Мы готовы оказать всестороннее содействие как государственным органам, так и коммерческим структурам в решении этой важной задачи. Мы можем помочь в:

• Проведении независимого аудита существующих систем безопасности.
• Разработке технических требований для Национального стандарта безопасности.
• Консультировании по внедрению передовых anti-fraud решений.
• Организации образовательных программ и воркшопов для специалистов банковского сектора.

Призываем к открытому диалогу. Возможно, на площадке Astana Hub стоит организовать круглый стол с участием представителей Нацбанка, АРРФР, МЦРИАП и ведущих банков страны, чтобы вместе выработать дорожную карту по построению действительно надежной системы защиты граждан от кибермошенничества.

Это наша общая задача, и только совместными усилиями мы сможем построить безопасное цифровое будущее для всех казахстанцев.