Як фінансовий сектор і телеком спільно протидіють шахрайству із SIM-картками

Олександр Карпов: 

Сьогодні екосистема ЄМА охоплює значно ширше коло учасників: 44 банки України (сукупна частка платіжних інструментів яких становить 99,95%), два найбільші банки Молдови, міжнародні платіжні системи Visa та Mastercard, кредитні бюро, торговельні онлайн-майданчики, платіжні агрегатори та кредитні онлайн-сервіси.

Загалом це 67 організацій. До кола партнерів також входять мобільні оператори, НБУ, Кіберполіція України, European Association for Secure Transactions (EAST) та European Cybercrime Centre (один із підрозділів EUROPOL).

Такий склад не є випадковим. Сучасне шахрайство давно вийшло за межі одного сектору. Воно вибудовується як ланцюг подій у різних доменах — від телеком-інфраструктури до фінансових сервісів і e-commerce. І воно не обмежується державними кордонами. Тому для тих, хто залучений у протидію шахрайству, немає іншого шляху, окрім як кооперуватися та активно обмінюватися досвідом.

На платформі AntiFraud HUB учасники комунікують онлайн і використовують різні інструменти для протидії та розслідування виявлених випадків шахрайства. Одним з них є MobileCheck. Під час регулярних робочих зустрічей, щоквартальних засідань Форуму Безпеки Розрахунків і Кредитів (ФБРіК) та щорічних міжнародних конференцій ЄМА учасники спільноти обмінюються ідеями та досвідом і планують спільні заходи протидії шахрайству.

Олександр Карпов: 

Це поєднання обох факторів. З одного боку, ринок зіткнувся зі стрімким зростанням шахрайства, пов’язаного із заміною SIM-карток. Фінансові організації добре розуміли важливість виявлення факту заміни SIM-картки як тригера потенційної шахрайської активності. Водночас доступ до цієї інформації був обмеженим і складним з операційної точки зору.

Щоб працювати напряму з мобільними операторами, потрібно було окремо вести перемовини з кожним із них, укладати індивідуальні договори, робити інтеграції з кожним оператором, підтримувати кілька технічних рішень і нести додаткові витрати. На той момент лише кілька банків мали такі прямі інтеграції.

У результаті в межах спільноти сформувався запит на централізоване рішення, і ним став MobileCheck. Учасники ЄМА вже мали підписані договори та інтеграції з іншими сервісами Хабу, тож ми додали ще один інструмент для антифроду.

Об’єднавши інтеграції з трьома ключовими мобільними операторами, зокрема й з  Київстар, ми надали учасникам єдину точку доступу до сервісів перевірки заміни SIM-картки. Це дало змогу отримувати такі перевірки значно швидше й простіше, знімаючи операційні бар’єри та роблячи сервіс доступним для всіх учасників ЄМА. Наразі сервіс використовують 22 фінансові компанії, ще три перебувають у процесі інтеграції, і загалом близько 40 мають таку можливість у своєму арсеналі.

З іншого боку, сама ідея AntiFraud HUB полягала в тому, щоб бути агрегатором доступу до різних інструментів протидії шахрайству, щоб усі необхідні сервіси були зібрані на одній платформі та були доступні учасникам ринку. Тому створення MobileCheck стало логічним еволюційним кроком у розвитку екосистеми.

Олександр Карпов:

MobileCheck допомагає перевіряти факт заміни SIM-картки абонента. Найчастіше сервіс використовується як тригер ризику в ключових клієнтських сценаріях, як-от відновлення доступу до онлайн-банкінгу, реєстрація нового клієнта, дистанційний онбординг та кредитні процеси, а також під час перевірки підозрілої активності чи використання дистанційних сервісів.

Сервіс має окремий вебінтерфейс для ручних перевірок і API для автоматизованого використання. Якщо API дає змогу вбудовувати перевірки в процеси ухвалення рішень і автоматизувати їх, то вебінтерфейс зручний для швидких точкових запитів, зокрема для верифікаторів, клієнтської підтримки та антифрод-аналітиків. Простими словами, він підходить для окремих кейсів і ситуацій, коли потрібен швидкий доступ до інформації без глибокої технічної інтеграції.

Автоматизовані перевірки виконуються через стандартний API платформи AntiFraud HUB, що допомагає інтегрувати їх у різні бізнес-процеси та використовувати в кількох системах одночасно.

Додатково організації мають доступ до аналітичного кабінету з історією перевірок. Це дає змогу аналізувати патерни, контролювати ризики та оцінювати ефективність інструменту.

Зі зростанням використання MobileCheck сервіс поступово доповнився новим рівнем перевірок — SIM Check Protection від Київстар.

Андрій Желєзняк:

SIM Check Protection — це еволюційний розвиток послуги SIM Check, яка давала змогу визначати, чи відбувався нещодавній перевипуск SIM-карти (тобто зміна IMSI). Така інформація є важливою для фінансових установ під час підтвердження транзакцій.

Раніше сам факт перевипуску SIM-карти часто пов’язували з потенційним шахрайством, адже це могло свідчити про спробу перехоплення доступу до фінансових сервісів. Відповідно, банки реагували доволі жорстко та могли блокувати транзакції або вимагати додаткову ідентифікацію клієнта.

Згодом ситуація змінилася, адже із розвитком технологій значно зросла кількість перевипусків SIM-карт, не пов’язаних із шахрайством. Наприклад, через поширення eSIM та появу пристроїв без слота для фізичної SIM-карти користувачі масово переходять на цифрові SIM. Цей процес технічно фіксується як перевипуск. У результаті банки почали частіше стикатися з хибнопозитивними спрацюваннями, а зміна IMSI трактувалася як ризик навіть у звичайних життєвих ситуаціях.

Саме це стало ключовим драйвером для створення SIM Check Protection. У новому рішенні ми додали розширені перевірки, які допомагають фінансовим установам більш гнучко оцінювати ризики та точніше відрізняти підозрілі дії від нормальної поведінки користувачів.

Чим точніше працює антифрод-система, тим менше зайвих перевірок проходять добросовісні клієнти. Це пришвидшує реєстрацію та підтвердження операцій і зменшує рівень незручностей для користувачів.

Олександр Карпов:

Так, і я хотів би тут підхопити цю думку. Якщо говорити про SIM-swap (шахрайство із заміною SIM-карток) — це добре відома і водночас швидко зростаюча загроза — як у світі, так і в Україні.

В Україні про «угон SIM-карток» як окремий тип шахрайства активно говорили ще з 2018 року. Представники банків і мобільних операторів розглядали його як частину ширшої соціальної інженерії. Утім, ключова проблема полягала не стільки в усвідомленні ризику, скільки у відсутності доступу до інструменту, який дозволяв би його виявляти.

Переважна більшість ринку повністю покладалася на SMS як другий фактор автентифікації, не маючи інформації про нещодавню зміну SIM-картки клієнта. Лише чотири банки мали прямі інтеграції з мобільними операторами. Для решти ця інформація була просто недоступна.

У результаті виникала ситуація, коли клієнт, чий номер щойно був перевипущений та перейшов під контроль шахрая, міг безперешкодно авторизуватися в застосунку, підтверджувати перекази та отримувати доступ до сервісів, де SMS залишалося єдиним каналом підтвердження.

Олександр Карпов:

Запити, пов’язані з виявленням і попередженням шахрайства, траплялися значно частіше, адже це є первинною потребою. Для більшості фінансових компаній саме це було основною мотивацією підключення до MobileCheck: вони шукали додатковий сигнал у момент, коли клієнт проходить автентифікацію, подає заявку на кредит або здійснює операцію. І сам факт нещодавньої заміни SIM-картки якраз став таким сигналом ризику.

Питання зменшення кількості помилкових відмов для легітимних клієнтів стало актуальним пізніше у міру того, як сервіс почав ширше використовуватися в різних процесах і компанії накопичили більше практичного досвіду його застосування.

Андрій Желєзняк:

SIM Check Protection допомагає перевірити, чи не було підозрілих змін із SIM-картою за останній місяць. Якщо система бачить, що IMSI змінювався, вона запускає кілька додаткових перевірок.

Зокрема, аналізується, чи використовувався номер на новій SIM-карті, чи не змінилась геолокація (наприклад, якщо нова SIM з’явилась далеко від попередньої), а також чи не змінився пристрій, тобто інший телефон. 

Додатково перевіряється факт перевипуску SIM, наприклад, перехід із фізичної SIM на eSIM або навпаки, і  чи не встановлена переадресація дзвінків на номері. Це спосіб переконатися, що з номером усе гаразд і ним не користується хтось сторонній.

Сам процес виглядає як автоматична перевірка номера під час певних дій, наприклад переказу коштів. Клієнт використовує свій номер телефону для здійснення операції, після чого фінансова компанія надсилає запит до Київстар через API, щоб перевірити SIM-карту. Далі система аналізує, чи були підозрілі зміни, і повертає результат. На основі цієї додаткової інформації фінансова компанія вже самостійно ухвалює рішення щодо операції. Хочу зазначити, що Київстар передає будь-які дані через API лише за згоди абонента на перевірку його номера телефону.

Інтеграція проходить через нашу API-платформу. Клієнт реєструється на порталі, отримує доступ до необхідних API та підключає їх до своїх систем або застосунків. Для тестування доступна пісочниця і моковий сервер, що допомагає перевірити роботу на практиці ще до запуску.

Документація API містить повний опис ендпоінтів, можливих відповідей і помилок та дає змогу виконувати запити в реальному часі. Після реєстрації користувач отримує безкоштовний доступ до тестового середовища, а для повноцінного використання потрібно пройти верифікацію за ЄДРПОУ. API-платформа допомагає швидко інтегрувати сервіси, автоматизувати бізнес-процеси та додатково перевіряти клієнтів.

Олександр Карпов: 

Раніше сервіс виявляв лише сам факт заміни SIM-картки, тоді як SIM Check Protection додав набір додаткових параметрів, які дозволяють точніше оцінювати ризик.

Зокрема, з’явилася можливість враховувати інформацію про зміну типу SIM-картки, зміну пристрою, геолокаційний контекст та наявність переадресації дзвінків за номерами абонентів Київстар. Це допомагає виявляти нетипові сценарії використання номерів.

Відразу після оновлення MobileCheck ми порівняли випадки заміни SIM-картки виявлені  в старій версії та в новій, вже з використанням SIM Check Protection. І були здивовані наскільки в новій версії шахрайські заміни SIM-карток явно відрізняються від легітимних клієнтських. Особливо наочно це видно у вебінтерфейсі МоbileCheck та кабінеті аналітики.

Олександр Карпов: 

Якщо коротко — це поєднання доступності, простоти та можливості розвитку. MobileCheck усунув операційні бар'єри, які раніше робили перевірку заміни SIM-картки привілеєм лише декількох великих організацій. Те, що сьогодні цим інструментом користуються 22 організації, вже  є свідченням того, що централізований підхід виявився правильним.

Проте не менш важливо те, що MobileCheck — це не статичний інструмент. Сервіс розвивається відповідно до реальних потреб учасників ринку і актуальних трендів шахрайства. Ми отримуємо запити учасників спільноти, відстежуємо, як еволюціонують схеми зловмисників, проводимо спільний аналіз з мобільними операторами і разом впроваджуємо покращення. Така модель дозволяє централізовано та ефективно впроваджувати зміни, які стають доступними одразу для всіх учасників, замість того щоб кожен вирішував це питання самостійно.

Олександр Карпов: 

Сама назва MobileCheck говорить, що це про перевірку мобільних номерів. Інакше кажучи, взаємодії з мобільними операторами. Проте це не обмежується тільки замінами SIM-карток. Тому як вектор розвитку MobileCheck ми бачимо інтеграцію додаткових антифрод-сервісів від мобільних операторів та їх уніфікацію. Інтеграція SIM Check Protection від Київстар — хороший приклад того, як виглядає цей розвиток на практиці. 

Згадую, коли десять років тому у різних операторів існували сервіси перевірки заміни SIM-карток в кардинально протилежній реалізації. Для організації, яка хотіла ними скористатись було потрібно побудувати окремі процедури під кожного оператора, кардинально різні. Звичайно, ніхто не захотів йти на це і через декілька років формат цих сервісів вже мав більш-менш стандартний вигляд.

Тому уніфікація дуже важлива. Вона спрощує поріг входу і процес використання. Від цього виграють всі: і учасники спільноти, і мобільні оператори, і клієнти. Сподіваємось, що інші оператори наслідують цей приклад і додадуть в наявні сервіси перевірки заміни SIM-карток аналогічні додаткові параметри.

Загалом, розвиток AntiFraud HUB ми бачимо як продовження тієї ж логіки, що лежить в його основі: відстежувати актуальні виклики ринку і реагувати на них спільно з учасниками екосистеми та мобільними операторами, надаючи агрегований доступ до необхідних інструментів з протидії шахрайству. Це про нові партнерства та розвиток наявних. Ми відкриті до співпраці.

Шахрайство не стоїть на місці — змінюються схеми, з'являються нові вектори атак. Інформація про це має бути доступна учасникам протидії, а інструменти протидії мають розвиватися відповідно і бути доступними.

Олександр Карпов: 

Якщо говорити про те, що нам здається найважливішим — це технологічний розвиток антифроду і розвиток крос-доменної співпраці. 

З технологічної точки зору виклики зростатимуть. Зловмисники мають бажання заробляти і дуже активно використовують дані з різних витоків інформації та різноманітні технічні інструменти. Гонка між шахраями і системами захисту триватиме, і технологічне відставання тут неприпустиме. 

Проте не менш важливим є розвиток та посилення співпраці між різними учасниками ринку. Шахрайство давно не знає галузевих меж, а будується як ланцюг дій у різних середовищах, і точкова протидія тут не працює. 

Ефективний підхід — це крос-доменна взаємодія між фінансовими компаніями, телеком-операторами і державним сектором. Зокрема й в міжнародному вимірі: транскордонний фрод потребує транскордонної координації. Розвиток такої співпраці може бути одним з ключових напрямків на найближчі роки.

Андрій Желєзняк:

Зараз це вже швидше must-have, ніж додаткова опція. Причина в тому, що цифрові сервіси стали масовими — банки, маркетплейси, фінансові платформи працюють через номер телефону як ключовий ідентифікатор. І саме через це атаки на SIM-карти та шахрайські схеми стали набагато частішими.

У такій ситуації компанії вже не можуть покладатися лише на стандартні перевірки. Їм потрібні інструменти, які в реальному часі показують, чи не відбулася підміна SIM або інша підозріла активність.

Тому для фінансового сектору та сервісів із високим ризиком це фактично базовий рівень безпеки. А от для менш критичних сервісів — ще може сприйматися як бажане, але не обов’язкове. Утім, тренд очевидний, що такі рішення швидко переходять у категорію стандарту.

Нагадуємо, що пропоновані сервіси та послуги на основі Big Data створені мобільним оператором. У роботі з даними компанія дотримується законів України «Про інформацію» та «Про захист персональних даних», не передає та не продає персональні дані абонентів, у тому числі записи розмов, тексти SMS та історію браузера третім особам.