Редакция CISOCLUB посетила Cyberwave 2025 — первую в Санкт-Петербурге конференцию по практической кибербезопасности, которая состоялась в Планетарии №1. Место проведения, расположенное в здании старинного газгольдера и оснащённое мультимедийным куполом диаметром 37 метром, идеально вписалось в концепцию «неформальной лаборатории» ИБ-практиков.
На площадке собрались более 500 специалистов из разных регионов России. Пентестеры и багхантеры, исследователи уязвимостей, разработчики средств защиты, эксперты по антифроду, а также студенты профильных вузов и представители бизнеса. Перед ними выступила кибердетектив и совладелец агентства СФЕРА intelligence — Катя Тьюринг.
Автор колонки: редакция CISOCLUB
Доклад об уязвимостях бизнес-логики представила Катя Тьюринг, специалист по киберразведке и цифровой криминалистике. Катя – кибердетектив с опытом работы руководителем направления антифрода в VK и Avito. В своём выступлении под названием «Игра в скамера» она рассмотрела проблему проверки эффективности антифрод-систем в компаниях и предложила подход «примерить шкуру мошенника» для тестирования защиты. По сути, речь шла о том, как оценить и укрепить корпоративные системы противодействия мошенничеству, применяя методы, которыми пользуются сами мошенники, и какие этические и практические сложности с этим связаны.
Масштабы современного мошенничества. В начале доклада Тьюринг привела статистику, характеризующую ситуацию с мошенническими хищениями денег. По данным Генпрокуратуры РФ, в 2024 году в стране было зафиксировано порядка 130 тысяч случаев мошенничества, а по оценкам РБК – до 486 тысяч случаев. Сбербанк оценивает ущерб от действий мошенников за год в диапазоне 250–300 млрд рублей, похищенных у россиян. При этом средний пострадавший лишился около 120 тысяч рублей, и лишь 30% жертв обращались в полицию – многие не верят, что злоумышленников удастся найти и наказать. «В 2024 всё было плохо» – констатировала она на слайде про фрод, подчёркивая резкий рост и разнообразие мошеннических схем. Эти цифры показывают, что от действий злоумышленников страдают массово и частные лица, и бизнес, а обнаруживается далеко не каждое преступление.
Далее спикер упомянула усилия государства и индустрии, направленные на борьбу с мошенничеством. Существует ряд законов и стандартов, призванных усложнить жизнь злоумышленникам:
Эти нормативно-правовые акты требуют от банков и финорганизаций выстраивать системы мониторинга транзакций, выявлять подозрительные операции, обеспечивать безопасность платежей и приостанавливать сомнительные переводы. Банки действительно вкладываются в antifraud-решения и стараются оградить клиентов от хищений. Однако, как отметила Катя, все перечисленные меры в основном нацелены на телефонных мошенников – тех, кто звонит жертвам и выманивает деньги. Проблема же в том, что помимо телефонного обмана существует множество других мошеннических схем, которые сложнее подвести под действие стандартных правил и регламентов. И злоумышленники активно осваивают эти новые форматы «скама».
Разнообразие схем «скама». Докладчица перечислила впечатляющий перечень актуальных мошенничеств, выходящих за рамки привычных телефонных звонков. Например, злоумышленники могут взламывать сайты и размещать на них провокационный контент (дефейс), требуя плату за восстановление репутации. Распространены схемы, когда жертве предлагают заплатить за доступ к несуществующим базам данных или соблазняют сделать предоплату за товары/услуги, которые в итоге не будут предоставлены. Набирают обороты и высокотехнологичные махинации, такие как фальшивые проекты с NFT или сбор денег на фейковые благотворительные акции. Отдельно упомянуты мошенничества в онлайн-торговле и инвестициях: схемы P2P-арбитража, рассылка поддельных ссылок на оплату, выдаваемых за легитимные. Порой преступники играют на чувствах и суевериях – например, действуют коучи, обещающие выступить «целителями родовых травм» за вознаграждение, или «чёрные риелторы», обманывающие при сделках с недвижимостью. Не останавливаются мошенники и перед шоковыми тактиками: практикуется вымогательство под надуманной угрозой (в презентации иронично упоминалась «под угрозой ВСУ», отсылая к временам тревожных новостей), рассылки о якобы выписанных фиктивных штрафах или несуществующих долгах, предложения получить «наследство в Конго» или избежать ответственности по вымышленному «уголовному делу». Этот длинный список иллюстрирует: формы обмана эволюционируют, и помимо классических звонков от «банковских сотрудников» теперь есть десятки других способов выманить деньги. Катя Тьюринг подчеркнула, что все эти разрозненные на первый взгляд случаи – части огромной экосистемы современного скама, с которой приходится иметь дело специалистам по безопасности.
Антифрод как часть кибербезопасности бизнеса. Столкнувшись с таким многообразием угроз, компании пытаются выстроить собственные системы противодействия мошенничеству – антифрод. В крупных онлайн-сервисах (банках, маркетплейсах, соцсетях) антифрод-подразделения стали нормой. Спикер привела данные исследования Javelin Strategy & Research: у крупных онлайн-продавцов в среднем до 7,6% выручки теряется из-за мошенников, а две трети клиентов не возвращаются на платформу, где были обмануты. То есть, фрод бьёт и по доходам, и по лояльности пользователей. Поэтому бизнес заинтересован защититься – каждая большая компания внедряет антифрод-систему, как только масштабы ее деятельности это требуют. Катя отметила, что полноценный антифрод в крупной организации обычно включает четыре основных направления работы:
Причём под антифродом может пониматься разный предмет в зависимости от сферы – где-то упор на финансовые транзакции, где-то на борьбу с фейковыми пользователями и контентом. Катя перечислила виды антифрода по объекту защиты: финансовый, пользовательский, рекламный и внутренний (от инсайдеров) антифрод. Каждое из этих направлений требует своих подходов и инструментов.
Проблема оценки эффективности антифрода. При всем внимании к построению систем antifraud, существует большая сложность: как понять, хорошо ли работает ваша антифрод-система? Спикер отмечает отсутствие отраслевых стандартов и бенчмарков – нет единой «линейки», чтобы измерить успешность борьбы с мошенничеством. Компании вынуждены вырабатывать собственные метрики, но оцифровать полезность антифрода непросто: бизнесу нужно понять, сколько денег он сэкономил благодаря мерам защиты, а самим антифродщикам – сколько атак они предотвратили. Эти величины сложно посчитать, и зачастую внутри компании нет полноты данных о всех потерях от фрода. Более того, далеко не все виды злоупотреблений однозначно классифицируются: есть «серые» зоны нарушений, когда непонятно, считать ли действие мошенничеством или нет, и как за него наказывать. Добавляется и «политика тишины»: компании не спешат делиться друг с другом сведениями о выявленных мошенниках, схемах и уязвимых местах. Коммерческие организации и банки обычно замыкаются каждый в своём контуре, не раскрывая деталей инцидентов ни коллегам по рынку, ни тем более широкой публике. В итоге искажается большая картина: каждый видит только свой участок поля боя. Распутывать межкорпоративные цепочки мошенничества сложно, расследования упираются в отсутствие обмена данными. Всё это приводит к тому, что каждая компания в отдельности зачастую не знает, насколько эффективен её антифрод на самом деле.
Отдельно спикер обратила внимание на человеческий фактор и корпоративную культуру. По её словам, внутри компании есть две заинтересованные стороны в вопросах антифрода: бизнес (менеджмент) и само антифрод-направление. Бизнес часто не обладает экспертизой, чтобы оценить качество антифрода, — топ-менеджменту сложно разобраться, хорошо или плохо работает система, если нет явных инцидентов. А вот команда антифрода… порой «не хочет отвечать» на этот вопрос. Ни одно подразделение добровольно не признает собственную неэффективность. Антифрод-специалисты выстраивают метрики, показывающие их работу в выгодном свете, и психологически не расположены искать у себя недоработки. Требуется очень высокий уровень внутренней культуры и профессиональной зрелости, чтобы объективно оценивать свои провалы. Поэтому проверка устойчивости антифрод-системы силами только внутренней команды затруднительна – велика вероятность, что некоторые уязвимости останутся вне поля зрения или замалчиваются.
«Играть в мошенника»: этический вопрос и внешние проверки. Катя Тьюринг подвела аудиторию к главной теме: как же тестировать антифрод-систему на прочность? Возникает парадокс: чтобы проверить, как компания противостоит мошенникам, нужно самим стать на время мошенниками. Спикер прямо спросила: «Должны ли мы почувствовать себя в шкуре мошенника, чтобы проверить, как работает наша собственная антифрод-система?». Этот вопрос носит не только практический, но и этический характер. Имитация мошеннических действий внутри компании может вступать в противоречие с внутренними правилами или законом, а также с психологическим комфортом сотрудников. Тем не менее, зачастую иначе никак не понять, где дыры в обороне. Катя отметила, что изнутри компании выявлять уязвимости антифрода очень тяжело, поэтому необходима внешняя экспертиза. По её опыту, только независимые специалисты могут беспристрастно проверить защиту на прочность.
Спикер разделила внешнюю экспертизу антифрода на три условных направления.
Первое – консалтинг: внешние консультанты привлекаются, когда у компании уже что-то «сломалось» в сфере antifraud, произошёл инцидент или выявлена проблема, и нужно понять, как исправить ситуацию. Консультанты помогают выстроить процессы, если внутренних знаний не хватает.
Второе – аудит: когда антифрод-система уже внедрена, но заказчик сомневается в её качестве или эффективности. Независимый аудиторы изучают текущие процессы, правила, алгоритмы и дают рекомендации, что улучшить.
Наконец, третья и самая глубокая проверка – пентест антифрода. Его применяют, если компания выстроила и настроила антифрод, и хочет убедиться, что он реально работает и ловит злоумышленников. По сути, это симуляция действий мошенников: приглашённые эксперты с разрешения компании пытаются провернуть различные аферы на её платформе, чтобы посмотреть, сможет ли внутренняя система их обнаружить и предотвратить. Именно о пентесте антифрода Катя рассказала наиболее подробно, подчеркнув, что это крайне нетривиальная задача.
Особенности пентеста антифрод-систем. В отличие от классического пентестинга, нацеленного на технические уязвимости (бага в коде, незакрытый порт, SQL-инъекция и т.п.), тестирование антифрода во многом сводится к поиску изъянов в логике продукта и бизнес-процессах. Мошенники редко эксплуатируют баги в привычном понимании – скорее, они ищут лазейки в правилах: где система проверки обходит стороной какой-то сценарий, какую комбинацию действий не предусмотрели аналитики. Поэтому внешнему специалисту, проводящему пентест антифрода, приходится детально разбираться в специфике бизнеса заказчика. Как подчеркнула Тьюринг, часто логические ошибки можно найти и исправить только изнутри, самим владельцам продукта, потому что они лучше знают все нюансы работы своей платформы. Внешней команде очень тяжело «с ходу» понять, на чем именно попытаться построить мошенническую схему. Тем не менее, есть типовые векторы атак, с которых обычно начинают проверку. Например, взлом аккаунтов: попытки несанкционированного доступа к чужим учетным записям. Пентестер имитирует действия злоумышленника, подбирающего учетные данные (атаки credential stuffing, bruteforce, password spraying), пробующего обход двухфакторной аутентификации или социальную инженерию для захвата аккаунта через поддержку. Другая линия атаки – мультиаккаунтинг: создание множества фейковых аккаунтов для получения выгоды. Здесь в ход идут специальные антидетект-браузеры, использования подставных лиц (дропов), автоматическая регистрация аккаунтов и т.д., цель – обойти механизмы, отслеживающие, что один и тот же пользователь заводит несколько аккаунтов. Ещё одно направление – обман бизнес-логики платформы: например, злоумышленник пытается эксплуатировать программу лояльности (дублировать купоны или промокоды, чтобы получить бонусы), либо проверяет, можно ли совершать нелегитимные платежи (покупки без оплаты, отменяя транзакции в нужный момент), злоупотреблять реферальными программами, заниматься киберсквоттингом, размещать запрещённые товары и услуги и т.д. Спикер отметила, что такие проверки – кропотливый процесс: нужно придумать и проиграть десятки сценариев, пытаясь превзойти бдительность антифрод-системы. Часто внешние специалисты работают в тесном контакте с внутренняя командой, обсуждают обнаруженные странности, чтобы верифицировать, является ли это уязвимостью или задуманный функционал. В процессе пентеста могут вскрыться организационные моменты, например, недостатки расследования инцидентов или неотрегулированность санкций за разные нарушения. Всё это тоже ценно: компания получает целостную картину, где слабые места – будь то в технологии, правилах или процессах.
В завершение «Игры в скамера» Катя Тьюринг сделала простой, но важный вывод: большинство компаний не знают, эффективен ли их антифрод на самом деле. Внутренние метрики и отсутствие инцидентов могут вселять ложную уверенность. Только взглянув на систему защиты со стороны, глазами злоумышленника, можно обнаружить её уязвимости. Конечно, такой подход требует смелости от бизнеса – признать возможность недочётов – и сопряжён с определенными рисками и этическими вопросами. Но альтернативой является оставаться в неведении, пока настоящие мошенники не найдут брешь. Поэтому докладчица призывает использовать внешнюю экспертизу: проводить аудит и пентест антифрод-систем с привлечением независимых команд. Опыт показывает, что свежий взгляд и симуляция реальных атак позволяют выявить проблемы, которые внутри компании могли даже не осознавать. В конечном счете, такая проактивная позиция выгодна самому бизнесу: исправив обнаруженные уязвимости, компания значительно укрепит защиту и снизит потери от мошенничества. «Игра в скамера» – это неудобно, зато эффективно: лучше мы сами найдём свои слабости, чем их найдут злоумышленники.
