Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Голосовые коммуникации: «самое слабое звено» безопасности

(Нет голосов)

08.07.2013 Количество просмотров 1503 просмотра
Киберпреступники ищут сегодня «мишени» без высокотехнологичной защиты. Таковы сегодня контакт-центры
Бээри Март (Beeri Mart), вице-президент направления Fraud & Real Time Authentication Solutions, компании NICE Systems.

О проблеме роста мошенничества с использованием голосовых каналов коммуникации с банковскими клиентами и мерах противодействия данному виду преступлений рассказывает Бээри Март (Beeri Mart), вице-президент Fraud & Real Time Authentication Solutions, компании NICE Systems.
Как свидетельствует статистика, онлайн-каналы розничного обслуживания финансовых структур стали за последнее время объектом частых и порой весьма «громких» атак со стороны кибер-преступников. Это вынудило различные организации, и в особенности финансовые учреждения, принять ряд срочных мер по улучшению и модернизации своих систем информационной безопасности, причем преимущественно в части защиты этих каналов. Но, как это бывает в таких случаях, в защите по-прежнему остаются «дыры».
Стратегия современных кибер-мошенников состоит в доскональном изучении своих потенциальных жертв, определении их слабостей и выборе пути наименьшего сопротивления. Это приводит кибер-преступников к поиску более простых «мишеней», оставшихся без высокотехнологичной защиты. Такими «мишенями» сегодня стали контакт-центры банков и ритейловых компаний. Представители этих подразделений бизнес-структур весьма уязвимы для мошенников, в том числе за счет особенностей самого своего функционала. Они обязаны обеспечивать высокий уровень сервиса, вежливое обслуживание клиента, удовлетворение его запросов и быстрое решение проблем, при этом операторы не должны раздражать клиента каверзными вопросами, а, напротив, выказывать к нему доверие всячески располагать к общению. Эти обстоятельства дали прекрасный повод кибер-мошенникам использовать столь уязвимый канал коммуникации. Иногда такие инциденты мошенничества происходят исключительно через обращение в контакт-центр ритейлера или банка, однако чаще всего это лишь одна из многих целей в более сложных многоканальных и многокомпонентных преступных схемах.
Согласно данным исследований компании NICE Systems, которая входит в число ведущих вендоров программного обеспечения для контакт-центров, сегодня более 60% всех мошеннических схем хотя бы водном из звеньев связаны с контакт-центрами и голосовыми каналами коммуникации. Чтобы оценить величину убытков от уязвимости голосового канала коммуникации, достаточно взглянуть на общий объем потерь в мире, связанных с мошенничеством путем кражи или подделки личных данных. Он равен сегодня 200 млрд долларов США. Четверть из этих потерь – 50 млрд долл. – приходится на США, поэтому американский рынок наиболее наглядно демонстрирует различные вариации инцидентов мошенничества, совершаемых при помощи голосового канала коммуникаций.
Самым громким в прошедшем 2012году здесь стал инцидент, произошедший с Мэтом Хонаном (Mat Honan), журналистом нескольких IT-изданий, среди которых Gizmodo иWired. М. Хонан внезапно лишился всех данных своего телефона и ноутбука, а также утратил доступ к Twitter и Gmail.
Проблемы у Хонана начались после того, как некий хакер получил доступ к его аккаунту iCloud, причем он сделал это, сумев убедить клиентские службы Apple иGoogle (через контакт-центры) предоставить ему доступ к персональным данным Хонана, пользуясь открытыми сведениями из его страниц в социальных сетях.

В какой-то момент репортер обнаружил, что его iPhone отключен, а когда попытался его включить, устройство запросило четырехзначный ПИН-код, хотя владелец никогда не настраивал эту функцию на своем аппа-рате. Не совладав со смартфоном, мужчина решил справиться с проблемой посредством сервиса iCloud, но MacBook Air тоже запросил четырехзначный ПИН-код, который ранее не устанавливался. Затем включаться отказался и iPad журналиста. Доступ к его аккаунту в Gmail с ноутбука супруги оказался также невозможен из-за смены пароля. Наконец, личное обращение в службу поддержки Apple тоже не принесло результатов: Хонан не смог получить доступ к своему аккаунту в облачном сервисе iCloud.

Впоследствии выяснилось, что злоумышленник сам обратился в службу поддержки Apple и, пользуясь методами социальной инженерии, по голосовому каналу выдал себя за жертву. Этот факт подтвердили как сотрудники Apple, так и сами хакеры. В аккаунте издания Gizmodo, принадлежа- щем Хонану, на который подписано более 400 тыс. пользователей, злоумышленники опубликовали расистские и оскорбительные сообщения, а также заявили, что являются членами группировки Clan Vv3. Получив доступ к iCloud, к которому были привязаны iPhone, iPad и Macbook Мэта Хонана, хакеры смогли с помощью стандартного сервиса Apple удалить содержимое всех этих устройств. Перед тем как уничтожить информацию с компьютеров Хонана, злоумышленники получили доступ к его почтовому ящику в Gmail, в результате чего из-за отключения привязанного к аккаунту телефона журналист не смог оперативно восстановить пароль от почты.

Позднее доступ к аккаунтам Хонана и микроблогу Gizmodo был все же восстановлен, но у журналиста фактически безвозвратно пропал год его работы – фотографии, важные документы, рабочая переписка, а также данные резервного копирования. «Весь мой цифровой мир был разрушен…» – написал Мэт Хонан в своем блоге.

Главным героем еще одного громкого мошеннического инцидента, на этот раз непосредственно связанного с финансами, стал в начале 2012 г. и небезызвестный со-основатель компании Microsoft Пол Аллен (Paul Allen). Напомним, что П. Аллен – миллиардер, он находится на 48-й строчке списка богатейших людей мира по версии Forbes. По данным 2012 г., состояние сооснователя Microsoft оценивается в 14,2 млрд долларов.

Как стало известно по итогам расследования, в начале 2012 г. некто Брэндон Ли Прайс (Brandon Lee Price), дезертировавший из армии США военнослужащий, позвонил в Citibank и, выдавая себя за реально существующего клиента банка Пола Аллена, смог убедить сотрудников call-центра отделения банка сменить данные, касающиеся адреса проживания, на другие. Спустя несколько дней Б. Прайс вновь связался с банком по телефону и, так же успешно выдав себя за Аллена, попросил прислать ему на новый адрес кредитную карту взамен якобы утерянной. Несмотря на то, что впоследствии сотрудники банка самостоятельно обнаружили факт мошенничества, злоумышленник к тому времени успел, пользуясь полученным доступом к чужому счету, успешно осуществить денежный перевод на сумму 15 тыс. долл. США, уплатить ссуду в 658 долл. в Банк Вооруженных Сил (Armed Forces Bank) и расплатиться за продукты и видеоигры в магазине на сумму около 300 долларов.

Несанкционированные операции не сразу привлекли внимание П. Аллена: преступник был арестован ФБР лишь 2 марта 2012 г

Данные примеры крайне показательны для характеристики сложившейся ситуации, когда мошенничество в голосовом канале коммуникации приобретает все большее значение для киберпреступников, и этот фактор остается недооцененным большинством игроков рынка. На данный момент можно с уверенностью говорить о том, что в то время как в обеспечение безопасности онлайн-каналов компании и банки вкладывают значительные инвестиции, сектор контакт-центров остается самым незащищенным.

Так, по данным страховой компании AIG (Chartis), выпустившей в 2011 г. документ под названием Financial Crime Risk Management 2011, всего в мире в 2011 г. на программное обеспечение для защиты транзакций и предотвращения онлайн-фрода было потрачено 296 млн долл. США, программные средства защиты от фрода в каналах телефонии все еще находятся в зачаточном состоянии, и инвестиции в них крайне незначительны.

Ситуация весьма угрожающая, если учитывать тот факт, что как таковые системы контакт-центров прекрасно подходят для мошеннических схем, и особое значение здесь имеет наличие человеческого фактора: преступники могут успешно использовать здесь методы социальной инженерии, основываясь на общедоступной информации о жертвах в социальных сетях, – как в вышеупомянутых историях Мэта Хонана и Пола Аллена. Кроме того, стоит отметить, что существующие методы предотвращения мошенничества в контакт-центрах сегодня зачастую неадекватны степени угрозы.

Исследователи констатируют тот факт, что различные атаки кибермошенников на розничные финансовые структуры становятся все более изощренными и сложными. Так, DDoS-атаки против крупных американских финансовых учреждений, которые начались в сентябре 2012 г. и продолжались с перерывами до конца прошлого года, оказались беспрецедентными по своим масштабам и вывели концепцию многоканального мошенничества на совершенно новый уровень. DDoS атаки останавливали работу веб-сайтов некоторых крупнейших финансовых брендов США, в результате чего раздраженные клиенты перегружали своими запросами контакт-центры. Многие нападения специально были анонсированы заранее, давая преступникам уверенность в том, что контакт-центры банков будут особенно уязвимыми в определенное время, когда банковские онлайн-сервисы окажутся под ударом. Возникший хаос, как отмечали многие эксперты при разборе атак 2012 г., стал для мошенников самым подходящим условием, чтобы оказывать давление на измотанных сотрудников контакт-центров.

Отмечено, что преступники главным образом полагаются на человеческий фактор и делают свою ставку на эмоции и слабые стороны человеческой натуры. С этой целью мошенники разрабатывают широкий спектр тактик, способных помочь им пройти рудиментарные и явно недостаточные меры аутентификации, существующие в большинстве контакт-центров.

В этом отношении показательно недавнее (март 2013 г.) исследование Aite Group, независимой исследовательской и консультационной компании, специализирующейся на розничном бизнесе, технологиях и других аспектах функционирования индустрии финансовых услуг. В нем рассматриваются, в частности, те способы, с помощью которых преступники успешно совершают мошенничество посредством обращения в контакт-центры, а также анализируются существующие практики американских финансовых институтов, призванные отразить эту растущую угрозу.

Убытки от мошенничества, совершенного через контакт-центры, сказываются напрямую на клиентской базе финансовых учреждений и ритейловых компаний. При этом отмечено, что в среднем по всему миру каждый пятый клиент (т. е. 20%) навсегда покидает компанию или финансовое учреждение, при облуживании в которых он пострадал от телефонного мошенничества (по данным Datamonitor). В США это соотношение еще выше – доля таких клиентов там оценивается в 39%.

Ежегодно же по всему миру мошенничество, связанное с некорректной идентификацией клиентов в голосовом канале коммуникации, оборачивается потерями в 200 млрд долл. США.

Согласно исследованиям компании NICE, стоимость риска единичного случая мошенничества в финансовой индустрии составляет сегодня 1000–2000 долл.

При этом общие потери, связанные с мошенничеством, по оценкам NICE, могут составлять сегодня до 8% от выручки компаний. Такие оценки справедливы не только для Запада, но и для рынка РФ: представители NICE недавно встречались с менеджерами одной из российских финансовых структур, которые также утверждали, что потери, связанные с мошенничеством, составили 8% от выручки банка. В целом же, по данным компании NICE, предположительные убытки от финансового мошенничества в России можно оценивать в сотни тысяч долларов в день.

В этих цифрах доля ущерба, причиненного мошенничеством с использованием канала голосовой коммуникации, составляет весьма значительную часть. Процесс аутентификации клиента является трудоемким и дорогостоящим – в среднем он занимает до одной минуты и обходится банкам в сумму около 7 рублей за вызов. При этом данную сумму нужно умножить на миллионы звонков в год, что в итоге приводит к значительным затратам. Например, контакт-центр, обслуживающий 10 тыс. ежедневных звонков, может потерять более 20 млн руб. в год только на неэффективности процесса аутентификации клиентов.

Технологии, понятные в использовании конечному пользователю, такие как система поведенческого анализа или идентификации голоса, как правило, представляют интерес лишь для крупных финансовых структур. Многие участники рынка на Западе в настоящее время активно ищут технологии, способные обеспечить снижение рисков при сохранении высокого уровня обслуживания клиентов. Компания Aite Group провела опрос среди 20 руководителей отделов по борьбе с мошенничеством в крупных североамериканских финансовых компаниях, чтобы выявить их стратегию использования передовых технологий в call-центрах. На вопрос, планируются ли инвестиции в голосовые технологии как в один из способов защиты call-центров, 25% опрошенных сообщили, что пилотный проект либо уже запущен, либо программа готовится к коммерческому запуску. 40% опрошенных планируют установку технологий на основе голосовой биометрии в ближайшие год-два.

На наш взгляд, современные решения по противодействию мошенничеству в телефонном канале должны использовать многослойный подход, включающий неинвазивную технологию голосовой биометрии, аналитику речи и транзакций, а также функционал, работающий в реальном времени. Благодаря сочетанию этих факторов компании и финансовые институты, по нашим оценкам, смогут существенно снизить свои убытки, связанные с мошенничеством, не создавая одновременно дополнительных барьеров в обслуживании клиентов и не снижая его качества.

Данные технологии позволяют компаниям выявлять звонки мошенников по их «голосовому отпечатку», то есть с помощью голосовой биометрии, которая автоматически сравнивает каждый звонок с контрольным списком уже известных мошенников. Неотъемлемая часть такого рода решений – использование интерактивной аналитики, определяющей мошеннические схемы и попытки воспользоваться общедоступной информацией из социальных сетей на основании анализа речи, детектора эмоций, разговорных схем и особенностей диалога. Например, когда человек кричит на оператора или пытается под тем или иным предлогом сменить адрес или номер телефона, это может быть частью схемы мошеннического поведения, и определенные ключевые слова могут вызывать «сигнал тревоги». Телефонные и иные контекстуальные данные, такие как записи автоответчика, локализация звонящего и автоматическое определение номера (так называемое ID звонящего), также проверяются на предмет определения потенциального мошенничества.

Современные антифрод-решения для голосового канала должны в реальном времени предоставлять операторам инструкцию по правильной работе с голосовыми коммуникациями и определять приоритетные разговоры с высокой степенью риска, требующие расследования до момента авторизации транзакции.

Сосредоточившись на разговорах с высоким риском, компании могут использовать свои ресурсы более эффективно, тем самым сокращая операционные расходы, снижая затраты на борьбу с мошенничеством и повышая ее эффективность. Также компании смогут предложить более высокий уровень сервиса своим клиентам, модернизируя и упрощая операции по обеспечению безопасных звонков.

При этом, как показывает бизнес-практика наших клиентов, подобные решения обладают достаточно эффективным ROI – по нашим данным, срок возврата инвестиций в большинстве случаев составляет менее 12 месяцев, в некоторых случаях – 6–8 месяцев. При этом наиболее приоритетными сегментами для решений по защите от мошенничества в голосовом канале остаются: финансовый сектор в целом, банковский и страховой ритейл, а также компании, предлагающие составные финансовые продукты.


Читать полную электронную версию Журнал ПЛАС № 7 (194) 2013

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Океании раковины каури (моллюсков) сохранились как платежное средство ограниченного оборота до наших дней? В настоящее время среди всех архипелагов Океании раковины моллюсков действительно распространены в качестве не декоративной, а реальной расчетной единицы на Соломоновых островах.