Вице-президент по кибербезопасности Сбера: дипфейки пока применяются в 3% схем
Из-за телефонных мошенников граждане продолжают нести огромные убытки, а хакеры атакуют отечественный бизнес. Так происходит потому, что киберпреступники наращивают техническую мощь, в том числе вооружаясь передовыми системами, которые не только подсказывают скрипты для обмана, но и в один клик могут сфабриковать необходимые поддельные документы. О методах борьбы с мошенниками, роли ИИ в атаках и киберзащите, а также об уловках и манипуляциях злоумышленников «Газете.Ru» на полях ПМЭФ рассказал вице-президент по кибербезопасности Сбербанка Сергей Лебедь.
— Сергей Васильевич, с 2025 года крупные банки были призваны за один час добавлять данные из базы ЦБ в свои системы, чтобы блокировать переводы на счета злоумышленников. Эффективная ли эта мера и насколько оперативно Сбер это делает?
— Банки должны в реальном времени обмениваться данными о подобных операциях и получать такую информацию из базы данных Банка России ― АСОИ ФинЦЕРТ, как она официально называется. И, конечно же, здесь не должно быть никаких задержек. Все участники рынка, включая банки и ЦБ, должны быть заинтересованы в этом.
Эта мера особенно эффективна для тех банков, которые не имеют развитых систем противодействия мошенничеству. Для Сбера система АСОИ ФинЦЕРТ, может, и не дает каких-то преимуществ противодействия мошенничеству, но информация, которую мы передаем, является, безусловно, очень ценной подпиткой антифрод-систем других банков.
Как только мы видим факт попытки совершения операции без согласия клиента, мы в режиме онлайн передаем соответствующую информацию в Центральный банк. Наши антифрод-системы имеют прямую интеграцию, то есть также в реальном времени мы получаем от них такие же данные. Идет постоянный обмен на рынке через общий шлюз ― через ЦБ. Потому, безусловно, это очень полезный и эффективный инструмент по противодействию мошенничеству.
— То есть информация передается практически мгновенно?
— Да.
— Искусственный интеллект делает фейки все более правдоподобными. Наблюдаете ли вы их внедрение в мошеннические схемы?
— Любой фейк — это прежде всего попытка взлома человека с применением социальной инженерии, которая помогает мошенникам быстрее «войти» в доверие к человеку.
Самая распространенная сегодня атака с использованием дипфейка – это «фейк босс», когда от имени руководителя с его именем и аватаркой в мессенджере, а иногда и его голосом, мошенник обращается к подчиненному с просьбой срочно перевести куда-то деньги, оплатить счет или передать какие-то данные, например пароль от рабочих систем. Это самый яркий пример использования технологии дипфейк сегодня. Однако подобных атак в общем объеме телефонного мошенничества пока немного.
— А если в процентах, то сколько это от общего количества атак?
— Не больше 3%. Эта схема требует подготовки: необходимо изучить свою потенциальную жертву, определить, кто у нее руководитель, найти голос руководителя или его видео, написать соответствующий текст, сделать дипфейк, создать фейковый аккаунт в мессенджере, отправить сообщение своей потенциальной жертве, ну и потом еще продолжать вести с этой жертвой какую-то коммуникацию.
Сегодня эта работа не автоматизирована у мошенников и выполняется полуручным способом, поэтому объем таких схем сегодня небольшой. Но с развитием мультиагентных ИИ-систем, которые позволят этот процесс автоматизировать, и внедрением их мошенниками таких атак будет появляться больше.
Есть хакерские преступные группы, которые специализируются на схеме «Фейк босс». В этом смысле мы видим, что мошенники постоянно экспериментируют, они пробуют различные схемы, ну и, наверное, исходя из «эффективности», выбирают самые рабочие.
Сегодня мошенникам куда проще просто позвонить жертве и сообщить ей какую-то новость, которая потенциально выведет из равновесия, то есть придумать какую-то схему, которая заставит человека, например, сообщить код от «Госуслуг» или отдать наличные деньги дроп-курьеру и так далее. Поэтому на текущий момент мы не фиксируем массового использования технологий искусственного интеллекта в атаках, включая дипфейки, но, безусловно, в скором времени мы увидим рост такого технологичного мошенничества.
— Как можно определить, кто эти киберпреступники, откуда они?
— Мы уже много лет наблюдаем за деятельностью этих преступников. Мы знаем, сколько кол-центров находится на территории Украины, какими инструментами они пользуются для реализации своих планов.
Сегодня существуют определенные CRM-системы (Customer relationship management — «управление взаимоотношениями с клиентами») – это, по сути, готовый инструмент для реализации полного цикла хищения денежных средств «под ключ» одним кол-центром. То есть если ты на Украине хочешь организовать такой криминальный бизнес, ты покупаешь доступ к такой системе за, условно говоря, $200 в месяц. При этом один кол-центр может в месяц похитить более $1 млн. Таким образом, есть в том числе отдельный преступный бизнес по предоставлению услуг по организации мошеннических кол-центров.
В интерфейсе этой CRM-системы уже есть базы данных для обзвона, скрипты, которые составили психологи для общения с жертвами.
— Что вы понимаете под скриптами?
— Алгоритмы последовательности вопросов и вариативность действий мошенников в зависимости от ответов потенциальных жертв.
В этих системах есть также инструменты для генерации в реальном времени фейковых документов. То есть если позвонили какому-то гражданину и он просит предоставить документы, допустим, офицера полиции, — мошенник может нажать буквально на одну кнопку, приложить фотографию, написать ФИО вымышленного сотрудника правоохранительных органов, — и мгновенно по этому же номеру, по которому идет звонок, документ будет отправлен через мессенджер. Такой конструктор документов сегодня может составлять несколько десятков типовых форм документов.
Кроме того, эти системы позволяют передавать потенциальную жертву разным сотрудникам мошеннического кол-центра, которые выполняют разные роли. Например, один сотрудник может выполнять роль поддержки «Госуслуг», другой — представляться сотрудником ФСБ или полиции. И сама CRM-система обеспечивает такой Workflow (система управления рабочими процессами, где задачи последовательно распределяются между сотрудниками или отделами по заранее заданным сценариям) для обмана потенциальной жертвы, и если человек попался на первом этапе и не прекратил разговор — не осознал, что с ним говорят мошенники, — то вырваться из этой схемы без помощи банков, без помощи антифрод-систем, без помощи операторов связи ему практически невозможно.
— Когда ты ни разу не попадался на уловки мошенников, кажется, что обмануть могут кого-то другого, но не тебя. Анализируете ли вы, кого чаще всего атакуют мошенники?
— Анализировали и, к сожалению, не нашли какого-то объединяющего признака. Все, кто попадается на удочку злоумышленников, равномерно распределяются и по возрасту, и по образованию, и по регионам проживания. Единственное, больше всего попадаются люди среднего возраста, а не молодежь или пенсионеры. Вероятно, потому что это самое экономически активное население и у них больше всего денег, они чаще отвечают на звонки.
Также нет корреляции между мужчинами и женщинами, между различными профессиями: обманывают сегодня и политиков, и врачей, и педагогов, и сотрудников вузов, и в том числе наших коллег ― сотрудников финансовой отрасли. Все попадаются на эти уловки.
И эта статистика, по моему мнению, еще один сигнал, что сегодня необходимо внести кардинальные изменения в процесс киберобразования населения, в частности в процесс подготовки детей к жизни в цифровой среде. Это касается не только обучения основам кибербезопасности, но и развития навыков безопасного поведения в интернете с ранних лет, возможно, даже с детского сада. Сегодня в том числе мы фиксируем, что через ребенка, под предлогом покупки той или иной игрушки или повышения уровня в игре, получают доступ сначала к телефону родителей, а потом и к семейным сбережениям.
— Какую роль ИИ будет занимать в обеспечении кибербезопасности компаний в ближайшем будущем?
— Преступники начинают вооружаться этой технологией, и сегодня мы наблюдаем классическую схему противостояния «брони и снаряда». Это касается любой технологии. И если ты хочешь защитить какую-то технологию, ты должен ее знать на уровне эксперта. Поэтому нам ничего не остается, как становиться экспертами в области генеративного искусственного интеллекта.
Рассмотрим пример. Современные поисковые системы на базе генеративного ИИ уже используют свои механизмы поиска. Они представляют собой ботов, которые подробно по интернет-поисковикам осуществляют сбор информации. Пока это просто сбор и, казалось бы, здесь ничего страшного нет. Но через какое-то время подобный алгоритм может быть использован в том числе для поиска уязвимости в киберзащите, для поиска каких-то инсайтов, которые позволят предлагать новые, нестандартные пути получения доступа в инфраструктуру организаций.
— Есть у вас один или несколько советов бизнесу, как повышать собственную кибербезопасность?
— В Сбербанке нам повезло, потому что руководство глубоко погружено в вопросы устойчивости и непрерывности работы, включая кибербезопасность. Вовлечение руководителя в актуальные риски и угрозы ― это важный элемент, который помогает выстроить всю систему киберзащиты, включая обеспечение необходимыми ресурсами.
Кадры — еще одна большая проблема в сфере кибербезопасности. Вузы не готовят достаточно квалифицированных специалистов и, скорее всего, не будут этого делать, и бизнес вынужден доучивать их на рабочих местах. Организации должны быть готовы к тому, что формирование сильной команды займет много времени и потребует значительных вложений.
Для тех компаний, которые не могут быстро или с ограниченным бюджетом создать сильную команду кибербезопасности, есть простое и надежное решение — воспользоваться облачными провайдерами услуг безопасности. В России их достаточно, они известны и могут обеспечить защиту периметра, защиту от DDoS-атак и могут предоставить виртуальный SOC (Security Operations Center, это центр мониторинга и реагирования на инциденты информационной безопасности), даже виртуального CISO(директор по информационной безопасности).
Такие услуги предоставляются быстро и стоят недорого по сравнению с содержанием собственной команды. Даже если у компании заложено в стратегии развить собственную команду, на переходный период можно воспользоваться такими облачными сервисами и быстро наладить надежную защиту.
Кроме того, важно обучение, информирование и тренировки сотрудников. Это то, что мы называем киберкультурой организации. Повышение осведомленности сотрудников — ключевой элемент защиты от киберугроз.
Полную версию интервью смотрите на видео:
Что думаешь? Комментарии
