Антифрод-команда и мошенники разыгрывают классический «киношный» сюжет

— Так что же делать? – забеспокоился Балаганов. – Как снискать хлебнасущный?
— Надо мыслить, – сурово ответил Остап. – Меня, например, кормят идеи.

Илья Ильф, Евгений Петров,
«Золотой теленок»

Хотел бы уточнить, что для меня к понятию «фрод» можно отнести не только классическое мошенничество, но и другие противоправные действия субъектов, наносящие ущерб компании. Поэтому, на мой взгляд, фрод для «Аэрофлота» – это и первое, и второе, и третье, поскольку регулярно приходится сталкиваться с реальными случаями его проявления. На сегодняшний день довольно большая их часть направлена на личные кабинеты участников программы лояльности «Аэрофлот Бонус»: взломы, переоформление доступа на себя и, как следствие, неправомерное использование бонусных миль владельцев аккаунтов. Ведь мили, начисляемые участникам программы, фактически являются материальным активом компании: на них можно приобретать премиальные билеты, оплачивать проживание в отелях, выбирать премии от партнеров из каталога и т.д.

В целом же в настоящее время, когда число автоматизируемых сервисов в компании постоянно увеличивается, угрозы принимают глобальный характер. Злоумышленники используют различные уязвимости информационных ресурсов, включая необдуманные действия самих владельцев аккаунтов (использование простых паролей, доверие к фишингу и т.п.), поэтому для противодействия этому необходимо применять комплексные решения с широким использованием технических средств. При таких объемах информации, какие есть в «Аэрофлоте», вручную отследить подобный фрод практически невозможно.

Миллионы записей об операциях, сотни гигабайт информации. Поэтому одним из наиболее приоритетных направлений, по моему мнению, является разработка и внедрение собственной антифрод-системы, позволяющей онлайн выявлять и предотвращать мошеннические и другие противоправные операции.

Я затрудняюсь говорить за отрасль в целом, могу только подробнее остановиться на некоторых схемах, с которыми приходится сталкиваться на практике. Например, до недавнего времени потратить мили нашей программы лояльности можно было лишь на крупные покупки – на премиальные билеты. В среднем на одного участника приходилось несколько премий в год. Поэтому в дополнительном подтверждении операций с помощью SMS-информирования не было нужды. Когда же был введен каталог премий, подразумевающий траты баллов «небольшими порциями», фрод (кража миль) лавинообразно вырос. Было принято решение обязать всех участников программы лояльности указать номера мобильных телефонов в своих данных в личном кабинете. Соответственно, любое списание миль идет через SMS-подтверждение транзакций. Кроме того, SMS информируют о большинстве действий в личном кабинете: входе/выходе, изменении персональных данных и т.д. Это позволяет предотвратить, в том числе, кражу и несанкционированное использование персональных данных участников программы «Аэрофлот-бонус».

Другое направление, которому уделяется серьезное внимание, – это борьба с мошенническими сайтами, предлагающими фиктивные билеты «Аэрофлота», условно говоря, за полцены. Полностью имитируются бронирование и выдача электронного билета. В конце концов выясняется, что такого билета в природе не существует, а «Аэрофлот» несет существенный имиджевый ущерб.

Конечно же, приведенные риски – это примеры из довольно длинного списка имеющихся опасностей, но я хотел бы ограничиться сказанным.

В качестве инструмента используется выявление паттернов поведения мошенников. Например, возьмем механизм регистрации поддельных аккаунтов в «Аэрофлот Бонус». Один из негласных принципов любой программы лояльности заключается в том, что в ней никогда не регистрируются все 100% клиентов компании. Допустим, человек летает нечасто, но на дальние расстояния, за которые начисляется внушительное количество миль, при этом бонусную карту не заводит. Злоумышленник устанавливает таких клиентов и, используя их данные, регистрирует аккаунты в программе лояльности, на которые фактически неправомерно начисляются бонусные мили, а затем тратит их на вполне осязаемые блага.

Похожая мошенническая схема характерна для ритейла: кассир при покупке спрашивает, есть ли у покупателя бонусная карта, и в случае ее отсутствия использует свою, получая от покупателя полную сумму и откладывая в свой карман разницу. Отмечу также, что подобные паттерны лучше всего выявляются на большом объеме информации, как в нашем случае.

К сожалению, я не могу привести ряд других примеров, поскольку они являются основой для материалов, направляемых в правоохранительные органы для принятия соответствующих мер, вплоть до возбуждения уголовных дел.

Процесс очень динамичен, он напоминает синусоиду: появление новых сервисов и возможностей для клиентов обычно вызывает рост фрода, иногда в разы. Злоумышленники моментально обнаруживают в них уязвимости и начинают их эксплуатировать. Когда мы закрываем «дыры», ситуация нормализуется. Это диалектический принцип действия и противодействия. Например, мы ввели SMS-подтверждение транзакций, но злоумышленники могут перехватывать сами SMS-ки, используя для этого клоны SIM-карт. И, несмотря на то, что это пока не зафиксировано, проработки вариантов пресечения уже ведутся. Так что говорить о каких-то стабильных процентах роста или снижения фрода в целом вряд ли возможно.

Отмечу, что построить систему защиты от фрода, через которую не пробьется ни один злоумышленник, практически нереально. Важно вовремя находить аномалии и определять, что это: случайное проникновение, уже закономерное явление или принципиально новая схема, после чего оперативно применять адекватные и действенные меры.

Проще рассмотреть на примере: случаем мошенничества по кобрендинговым картам может быть начисление миль при отсутствии соответствующих транзакций. Когда подобное выявляется, партнеру направляется сообщение об инциденте. Возможно, на его стороне действуют злоумышленники, или же у банка свои, индивидуальные договоренности с этим клиентом. Поскольку при начислении бонусных миль по кобрендинговым картам расходы несет банк-партнер, материального ущерба для «Аэрофлота» нет. И после информирования партнера реакция идет на его стороне.

В более широком понимании фрода одним из основных подразделений, занимающихся антифродом, является наш департамент обеспечения экономической безопасности, кратко – ДОЭБ, в функции которого входит и обеспечение информационной безопасности. В ДОЭБ есть несколько отделов, отвечающих за определенные направления. Так, наш отдел обеспечивает защиту информационных ресурсов, другой отдел в том числе выявляет и проводит расследования по фактам внутреннего фрода, а отдел обеспечения безопасности электронных продаж отвечает за предотвращение внешнего фрода при онлайн-продажах билетов. Для этого он использует свою дежурную смену, которая проверяет транзакции на предмет наличия мошеннических операций.

При этом процесс противодействия фроду также организуют владельцы информационных ресурсов – бизнес-подразделения компании. Например, клиент обнаруживает кражу своих миль или изменение ФИО в личном кабинете, обращается на горячую линию, которая передает информацию в бизнес-подразделение. Специалисты начинают разбираться, в чем причина инцидента. Если она носит технический характер, подключают для решения проблемы ИТ-департаменты, если же есть подозрение на фрод, передают данные в ДОЭБ, который проводит расследование и ставит в известность владельца ресурса – бизнес-подразделение – о том, имело ли место мошенничество или другие противоправные действия. Если ответ положителен, бизнес-подразделение принимает решение о формате реагирования, вплоть до передачи материалов в правоохранительные органы. Само взаимодействие с этими органами – уже задача нашего департамента. То есть факт наличия проблемы констатирует владелец ресурса, ДОЭБ выявляет мошенничество и контролирует фрод-риски, решение о том, как именно будут пресекаться конкретные выявленные угрозы, – за бизнесом, а противодействие фроду – это совместная деятельность бизнеса, ДОЭБ, а также ИТ-департаментов. Естественно, это не отменяет самостоятельную деятельность нашего департамента по выявлению возможных рисков – техническими и организационными методами.

Собственно, за техническую сторону реализации полномасштабного SMS-информирования при входе/выходе из личного кабинета, внесении изменений в персональные данные клиентов, подтверждении операций с милями и т.п. отвечали ИТ-специалисты. И как оказалось, реализовать его было не так-то просто: до недавнего времени управление нашей программой лояльности осуществлялось на базе решения Sabre, компании, которая владеет крупнейшей системой бронирования и обслуживает десятки авиакомпаний по всему миру. В этих условиях расширение функционала системы под нас было нецелесообразно экономически, поскольку доработки глобальной системы объективно стоят неадекватно больших денег. В настоящее время в ПАО «Аэрофлот» внедрена собственная CRM-система, в которой настроено соответствующее SMS-информирование с подтверждением транзакций.

Отдельные модули системы должны эксплуатировать бизнес-подразделения, пользующиеся информационными ресурсами, в отношении которых возможен фрод. Наработанные шаблоны, раскрытые схемы мошенничества должны быть доступны им в автоматическом режиме для противодействия угрозам. Кроме того, обязательными пользователями системы должны являться соответствующие отделы нашего департамента.

Опять-таки напомню, что внутренний фрод, о котором я буду говорить, – понятие более широкое, чем мошенничество, включающее, помимо него, и другие противоправные действия инсайдеров, наносящие ущерб компании.

По моим сведениям, на сегодняшний день в «Аэрофлоте» не было зафиксировано серьезных инцидентов по части внутреннего фрода. Грамотная кадровая политика нашего руководства способствует этому.

Тем не менее вряд ли можно утверждать, что в такой большой компании, как «Аэрофлот», такого явления вообще нет. Здесь есть другой аспект: может быть, искать нужно более тщательно. Я недавно ходил на прием к врачу, и на мою фразу «вообще-то я абсолютно здоров, это случайное недомогание» он ответил: «Здоровых людей нет, есть не дообследованные». Так что оценивать я не берусь. Могу высказать только свое мнение, что более тщательный поиск объективно невозможен без автоматизации процесса. Причем необходимо именно специализированное, комплексное решение, анализирующее движение информации внутри компании, ее состав и действия владельцев этой информации.

При этом подчеркну, что я не вижу большой разницы между внутренним и внешним фродом: и в том, и в другом случае компания несет ущерб и стоит задача по его предотвращению. Основная задача – пресекать любые действия, направленные против компании, а кто их инициатор – вопрос второго порядка. Более того, теоретически возможен случай, когда внешние злоумышленники, эксплуатируя пока еще не закрытые уязвимости наших информационных ресурсов, могут получить доступ к ним, аналогичный разрешенному доступу сотрудников компании. При этом грань между внутренним и внешним фродом практически полностью стирается. Еще один пример – сговор между отдельным работником и внешним мошенником. Атака идет извне, однако с полным пониманием внутренних процессов. Это, пожалуй, самый опасный и труднее всего выявляемый фактор, который можно отнести к элементам внутреннего фрода.

Бывают случаи незаконных апгрейдов: когда по билету, приобретенному в эконом-класс, человек летит бизнес-классом; мошенничество с перевесом багажа (например, «разумное» распределение багажа между пассажирами во избежание перевеса у кого-то из них, для того чтобы не доплачивать авиакомпании). При этом пассажир, получивший такой апгрейд или имеющий перевес багажа, платит меньшую сумму в карман работнику. Такие «шалости» бывают нечасто и наносят компании довольно небольшой ущерб. Кроме того, назвать это полностью внутренним фродом нельзя, поскольку на стойках регистрации далеко не всегда работают сотрудники «Аэрофлота», чаще это представители компаний-партнеров.

Сотрудники при приеме на работу подписывают документ, в котором указывается их ответственность за те или иные действия. Когда выявляются факты злоупотребления должностными полномочиями, проводится тщательное служебное расследование, по его результату руководство рассматривает меры дисциплинарного воздействия вплоть до увольнения. Такие случаи в «Аэрофлоте» были, но благодаря грамотной кадровой политике руководства они практически единичны.