Бұл жазба автоматты түрде аударылған. Бастапқы тіл: Орысша
Жақында ҚР Ұлттық Банкі тағы да алаяқтықтың жаңа схемалары туралы ескерту жариялады.
Қауіпсіздік сезімінің орнына көптеген IT мамандарын тудырған жаңалық, соның ішінде менің де әділ ашуым бар. Алаяқтардың тапқырлығынан емес, депрессиялық пассивтіліктен және адал болайық, жауапкершілікті өз клиенттеріне жүктейтін кейбір қаржы институттарының технологиялық артта қалуы.
Бізге: "SMS-тен кодты ешкімге бермеңіз!". Қарапайым естіледі, солай емес пе? Бірақ бұл ең күрделі мәселені циникалық жеңілдету.
Алаяқтар жай ғана "ало, мама, мен қиналып жатырмын" емес.
Бұл жылдар бойы жетілдірілген психологиялық қысым мен ауызша гипноз әдістерін қолданатын кәсіби әлеуметтік инженерлер. Олар жүйелерді бұзбайды, олар адамды "бұзады".
Адам психикасының қаншалықты осал екенін түсіну үшін әйгілі ағылшын менталисті және гипнозшы Деррен Браунның YouTube бейнесін көру жеткілікті. Лондон көшелерінде ол бірнеше минут ішінде әдеттегі әңгіме барысында адамдарды әмиянсыз, сағатсыз және кілтсіз қалдырды. Жәбірленушілердің өздері өз еріктерімен оған белгілі бір сөйлеу мәнері мен стандартты емес мінез-құлықтан туындаған жеңіл транс күйінде өз заттарын берді. Бұл сиқыр емес, бұл адамның қабылдауы туралы ғылым. Егер кәсіпқой мұндай нәрсені тікелей эфирде жасай алса, онда алаяқ алдын-ала сценарий құрып, эмоцияларға қысым жасап, сыни тұрғыдан ойлауға уақыт бермейтін телефонмен сөйлесу туралы не айтуға болады?
Адамды "кодты өзі хабарлады" деп айыптау тонау құрбанын "өзі қараңғы көшеде жүрді"деп айыптаумен бірдей. Бұл кінәні агрессордан және ең бастысы қауіпсіздікті қамтамасыз етуге міндетті адамнан ауыстыру. Ал қаржы әлемінде бұл" біреу " А коммерциялық Банк.
Реттеушілер мен кейбір банктер бізге жазбаларды оқып жатқанда, BigTech компаниялары мен озық финтех-стартаптардағы жоғары ақы төленетін бағдарламашылар ұзақ уақыт бойы осындай шабуылдардың көпшілігін тоқтата алатын бағдарламалық шешімдерді жасап, енгізді. Бұл ғарыштық технологиялар емес, толығымен іске асырылатын және банк бюджеттерінің стандарттары бойынша арзан қорғаныс механизмдері.
Кез-келген Құзыретті әзірлеуші жүзеге асыра алатын бірнеше қарапайым мысалдарды келтірейік:
- SMS-код көзін тексеру: бұл ең айқын. Егер банк клиенттің нөміріне операцияны растау үшін SMS-код жіберсе және бұл кодты енгізу әрекеті мүлдем басқа құрылғыдан, белгісіз IP-мекен – жайдан немесе басқа елден болса-жүйе операцияны дереу бұғаттауы керек. Ақшаны есептен шығарудың орнына клиентке хабарлама келуі керек: "күдікті әрекет анықталды. Сіздің операцияңыз бұғатталған. Біз сізден телефон арқылы код сұраған жоқпыз. Егер бұл сіз болмасаңыз, шұғыл түрде банкке хабарласыңыз". Қарапайым? Қарапайым.
- Мінез-құлық ауытқуларын талдау: қазіргі заманғы анти-фрауд жүйелері нақты уақыттағы мыңдаған параметрлерді талдайды. Аударымның тән емес сомасы, транзакция үшін тәуліктің ерекше уақыты, жаңа, бұрын пайдаланылмаған алушы, күдікті нөмірден қоңырау шалғаннан кейін бірден парольді өзгерту әрекеті-мұның бәрі "қызыл жалаулар". Жүйе мұндай транзакцияны автоматты түрде тоқтата алады және қосымша, күрделі тексеруді қажет етеді. Мысалы, банкке бейне қоңырау шалу немесе жеке сапар.
- Гео-таргетинг және "ақ тізімдер": егер клиент ешқашан Қазақстаннан тыс жерлерге шықпаса, оның шотына басқа елден кіру әрекеті жеке басын растағанға дейін дереу бұғаттауды тудыруы керек. Егер клиент үнемі бірдей 10-15 алушыға ақша аударса, үлкен соманы мүлдем жаңа шотқа аудару қосымша тексеруге себеп болады.
Ірі, өзін және өз клиенттерін құрметтейтін банктер мұндай жүйелерге белсенді түрде инвестиция салады. Олар бедел мен сенім бір сәттік it қауіпсіздігін үнемдеуге қарағанда қымбатырақ екенін түсінеді. Бірақ біз іс жүзінде не көреміз? Алаяқтық есептен шығарудың едәуір бөлігі "Орта қол" банктерінің клиенттеріне және әлі күнге дейін "бағдарламалық жасақтама – бұл актив емес, шығындар"парадигмасында тұратындарға тиесілі. Олар сапалы anti-fraud бағдарламалық жасақтамасын әзірлеуге және лицензиялауға ақша үнемдеуді жөн көреді, содан кейін "сергек болыңыз"рухында пресс-релиздер шығарады.
Бұл қатал тәжірибені тоқтататын кез келді.
Клиенттің ақшасын қорғау-бұл коммерциялық банктің тікелей, ажырамас міндеті. Бұл міндет заңмен бекітілуі керек.
Егер сотта оның қауіпсіздік жүйесі ең жоғары заманауи стандарттарға сәйкес келетіндігін дәлелдемесе, банк барлық алаяқтық есептен шығарулар үшін толық материалдық жауаптылықта болады деген норманы қабылдау қажет. Егер ақша шоттан кетсе, онда банктің бағдарламалық кодында "тесік"болған. Бұл" тесік " үшін зейнеткер немесе мұғалім емес, қаржы ұйымының өзі төлеуі керек.
Бұл жерде жауапкершілік тек коммерциялық банктерде ғана емес, ҚР Ұлттық Банкінде де жатыр. Бұл реттеуші нарыққа әлсіз, ескірген және қазіргі заманғы бағдарламалық жасақтамаға сәйкес келмейтін ойыншыларға мүмкіндік береді. Егер біз тәуелсіз қауіпсіздік аудитін жүргізсек және өткен жылдағы барлық алаяқтық жағдайларын талдайтын болсақ, онда біз нақты корреляцияны көретінімізге сенімдімін: клиенттер тек бірнеше, технологиялық жағынан артта қалған банктерді тонайды.
"Алаяқтар шетелде отырады" аргументі кедейлер үшін ақтау болып табылады.
Біріншіден, барлық транзакциялар сандық із қалдырады, бұл сөзсіз дәлелді негіз болып табылады. Екіншіден, бұл үшін Интерпол және халықаралық келісімдер бар. Саяси ерік-жігермен және құқық қорғау органдарының Құзыретті жұмысымен сіз кез-келген адамды және кез-келген жерде таба аласыз. Бірақ бұл үшін жұмыс істеу керек.
Ал мемлекеттік бюрократия, біз білетіндей, адамдарға қамқорлық жасау туралы емес.
Бағдарламашы ретінде және әсер ету психологиясын оқыған адам ретінде мен айтамын: қазіргі алаяқтықтан жалғыз сенімді қорғаныс – бұл ақылды бағдарламалық жасақтама коды. Априори кез-келген транзакцияны күдікті деп санайтын Код, керісінше дәлелденгенге дейін. Клиентті тіпті өзінен қорғайтын Код, кәсіби алаяқ тудырған бір минуттық ақыл-ойдың бұлыңғырлығынан.
Коммерциялық банктерден бос ескертулерді емес, нақты, жұмыс істейтін технологиялық шешімдерді және сіз бен біздің ақшамыздың қауіпсіздігі үшін толық қаржылық жауапкершілікті талап ететін уақыт келді.
Ал Astana Hub IT-қоғамдастығы бұл талаптың авангардына айналуы тиіс, өйткені біз емес, технологиялық надандық пен әрекетсіздіктің шынайы бағасын кім түсінеді.
В последние месяцы мы все чаще видим предупреждения от Национального Банка и других государственных органов о росте активности кибермошенников. Эта проблема затрагивает не только отдельных граждан, но и подрывает доверие ко всей цифровой экономике Казахстана. Стандартные призывы "быть бдительными", безусловно, важны, но они не решают проблему. Практика показывает, что социальная инженерия достигла такого уровня изощренности, что виктимность (уязвимость стать жертвой) сегодня — это не вопрос небрежности, а результат целенаправленных психологических методик.
Проблема требует более глубокого, системного и технологического подхода. Вместо того чтобы фокусироваться на последствиях и поиске виновных, мы предлагаем сместить акцент на создание проактивной экосистемы безопасности, где цифровые технологии стоят на страже человека.
Почему традиционные подходы недостаточны?
Это профессиональные социальные инженеры, использующие отточенные годами техники психологического давления и вербального гипноза. Они не взламывают системы, они "взламывают" человека.
Чтобы понять, насколько уязвима человеческая психика, достаточно посмотреть в YouTube видео знаменитого английского менталиста и гипнотизера Деррена Брауна. На улицах Лондона он за считанные минуты, в ходе обычной беседы, оставлял людей без кошельков, часов и ключей. Жертвы сами, добровольно, отдавали ему свои вещи, находясь в состоянии легкого транса, вызванного специфической манерой речи и нестандартным поведением. Это не магия, это наука вербального программирования. И если профессионал может сделать такое вживую, то что говорить о телефонном разговоре, где мошенник заранее встраивает скрипт вербального сценария, давит на эмоции и не дает времени на критическое осмысление?
Обвинять человека в том, что он "сам сообщил код", – это все равно что обвинять жертву ограбления в том, что она "сама шла по темной улице". Это перекладывание вины с агрессора и, что самое важное, с того, кто обязан был обеспечить безопасность. А в финансовом мире этот "кто-то" – Коммерческий Банк.
Современные технологии, которые уже успешно применяются ведущими мировыми банками, позволяют эффективно противостоять большинству мошеннических схем. Это не теоретические концепции, а работающие инструменты. Мы, как IT-специалисты, готовы поделиться своей экспертизой в их внедрении и реализации.
Давайте набросаем несколько элементарных примеров, которые мог бы реализовать любой компетентный разработчик:
- Валидация источника SMS-кода: Это самое очевидное. Если банк отправляет СМС-код для подтверждения операции на номер клиента, а попытка ввода этого кода происходит с совершенно другого устройства, с неизвестного IP-адреса или из другой страны – система должна немедленно заблокировать операцию. Вместо списания средств клиенту должно приходить уведомление: "Обнаружена подозрительная активность. Ваша операция заблокирована. Мы не запрашивали у вас код по телефону. Если это были не вы, срочно свяжитесь с банком". Просто? Элементарно.
- Анализ поведенческих аномалий: Современные системы anti-fraud анализируют тысячи параметров в реальном времени. Нехарактерная сумма перевода, несвойственное время суток для транзакции, новый, ранее не использовавшийся получатель, попытка смены пароля сразу после звонка с подозрительного номера – все это "красные флаги". Система может автоматически заморозить такую транзакцию и потребовать дополнительной, более сложной верификации. Например, видеозвонок в банк или личный визит.
- Гео-таргетинг и "белые списки": Если клиент никогда не выезжал за пределы Казахстана, попытка входа в его аккаунт из другой страны должна вызывать немедленную блокировку до подтверждения личности. Если клиент регулярно переводит деньги одним и тем же 10-15 получателям, перевод крупной суммы на совершенно новый счет – повод для дополнительной проверки.
- Интеллектуальный анализ транзакций (Transactional Intelligence): Вместо простой проверки SMS-кода, система должна в реальном времени анализировать десятки параметров: IP-адрес, цифровой отпечаток устройства (device fingerprint), геолокацию, время и сумму операции, историю переводов клиента. Любое отклонение от нормы (например, вход из непривычного места и немедленный перевод всех средств новому получателю) должно автоматически запускать дополнительный уровень верификации, недоступный мошеннику, — например, контрольный звонок робота или временную заморозку.
- Поведенческая биометрия и User Behavior Analytics (UBA): Продвинутые системы анализируют не только что делает пользователь, но и как он это делает: скорость набора текста, манера движения мыши, привычная последовательность действий в приложении. Если поведение в сессии резко отличается от эталонного профиля клиента, система может расценить это как захват управления и превентивно ограничить функционал.
- Создание "Цифрового двойника" клиента: Это концепция, объединяющая все данные о типичном поведении клиента в единый, постоянно обновляемый профиль. "Двойник" знает, с каких устройств вы обычно заходите, в какие страны путешествуете, каким контрагентам переводите средства. Любая операция, не свойственная "двойнику", становится сигналом для углубленной проверки.
Технологии — это инструмент. Но для их повсеместного внедрения необходима политическая воля и четкая государственная стратегия. Прямая обязанность государства — обеспечить безопасность своих граждан, в том числе и в цифровом пространстве.
Мы видим следующие возможные шаги со стороны государственных органов:
- Разработка Национального стандарта цифровой финансовой безопасности: Создание единого, обязательного для всех банков и финансовых организаций набора требований к anti-fraud системам. Стандарт должен регулярно обновляться с учетом новых угроз.
- Создание межведомственного центра компетенций: Платформа, объединяющая усилия Национального Банка, Министерства цифрового развития, правоохранительных органов и привлеченных экспертов из IT-отрасли для оперативного обмена информацией о новых угрозах и выработки контрмер.
- Стимулирование банков к инвестициям в безопасность: Пересмотр законодательства в части ответственности. Цель — не наказать банк, а создать экономические стимулы для инвестиций в передовые защитные системы. Банк, доказавший использование самых современных технологий, должен иметь иные условия ответственности, чем банк, который экономит на безопасности клиентов.
Наше предложение
Мы, как представители IT-сообщества Казахстана, обладаем необходимой экспертизой и глубоким пониманием современных технологий. Не хотим оставаться в стороне.
Мы готовы оказать всестороннее содействие как государственным органам, так и коммерческим структурам в решении этой важной задачи. Мы можем помочь в:
- Проведении независимого аудита существующих систем безопасности.
- Разработке технических требований для Национального стандарта безопасности.
- Консультировании по внедрению передовых anti-fraud решений.
- Организации образовательных программ и воркшопов для специалистов банковского сектора.
Призываем к открытому диалогу. Возможно, на площадке Astana Hub стоит организовать круглый стол с участием представителей Нацбанка, АРРФР, МЦРИАП и ведущих банков страны, чтобы вместе выработать дорожную карту по построению действительно надежной системы защиты граждан от кибермошенничества.
Это наша общая задача, и только совместными усилиями мы сможем построить безопасное цифровое будущее для всех казахстанцев.
Бөлісу
