Олеся Данильченко, заступниця директора Асоціації ЄМА, керівниця ФБРіК
У світі, де кожен клік мишкою може стати квитком у фінансову прірву, українські банки та правоохоронці зіткнулися з безпрецедентним викликом: шахрайство в Інтернеті набуло масштабів епідемії. Російська агресія лише посилила цю тенденцію, створивши ідеальний шторм для кіберзлочинців.
Аби протистояти цій загрозі, експерти розробили інноваційний онлайн-сервіс CrimeCheck. Як ця розробка допомагає українській кіберполіції розплутувати складні схеми відмивання грошей та захищати кошти громадян? Детальніше про це у статті.
Сучасні тенденції фінансових кіберзлочинів та відмивання грошей у Європі та Україні
Дев’ятий випуск IOCTA, підготовлений та опублікований Європолом 17 липня 2023 року, дає нам можливість детально поглянути на кримінальну екосистему в Інтернеті, та головних акторів, їх вектори атак і жертв. IOCTA Європолу має на меті дослідити та зрозуміти сучасний стан кіберзлочинності, щоб забезпечити правоохоронні органи знаннями для боротьби з нею. Цей звіт та додатки до нього базуються на оперативній інформації, наданій Європейському центру боротьби з кіберзлочинністю Європолу, у поєднанні з експертними висновками та розвіданими з відкритих джерел.
Кіберзлочинність перетворилася на великий бізнес, для підтримки якого функціонує незаконна мережа постачальників послуг з відмивання коштів, набутих злочинним шляхом, вербувальників та фінансових сервісів. Це робить розслідування кібератак ще більш складним завданням для правоохоронних органів, оскільки численні спеціалізовані суб’єкти працюють над частинами кримінального процесу з усіх куточків світу.
Згідно з IOCTA 2023, фішинг, смішинг і вішинг є одними з основних загроз, спрямованих на клієнтів банків. Така ж тенденція спостерігається і в оновленні EAST fraud survey M1 2024. У тренді і Україна – з часів COVID дохід злочинців від шахрайства з використанням методів соціальної інженерії подвоюється з року в рік.
Згідно визначень в IOCTA, фішинг – це обман людини з метою крадіжки її грошей або особистої інформації. Фішинг найчастіше здійснюється за допомогою шахрайських електронних листів або веб-сайтів. Смішинг – це форма фішингу з використанням текстових повідомлень або звичайних додатків для обміну повідомленнями. Вішинг також є формою фішингу з використанням голосових дзвінків і голосової пошти.
Як уже згадувалося вище, соціальна інженерія, і зокрема фішинг, широко використовуються всіма видами кіберзлочинців. Ця техніка використовує обман, щоб маніпулювати людьми з метою розкриття конфіденційної або особистої інформації, яка може бути використана в шахрайських цілях. Шахрайство із застосуванням методів соціальної інженерії зростає як за обсягом, так і за складністю, оскільки регуляторні зміни ЄС ускладнили шахрайство зі скомпрометованими платіжними картками, що призвело до зміщення кримінального фокусу на користувачів, а не на цифрові системи.
Фішинг має на меті крадіжку особистої та платіжної інформації, яка потім може бути реалізована злочинцями різними способами. Ці дані можуть бути використані для подальших злочинних дій, шляхом безпосереднього здійснення шахрайських фінансових операцій, або збору додаткової інформації про жертву для здійснення більш вишуканої адресної атаки.
Підвищена доступність фішингових tool kits дозволяє більшій кількості злочинних мереж бути успішними у фішингових атаках, незалежно від їх рівня організації та технічної експертизи. Фішинг також може мати різні прояви, залежно від використовуваного виду комунікації. Як зазначалось вище, поширеними альтернативними проявами є смішинг (SMS-фішинг) та вішинг (голосовий фішинг).
Повномаштабне російське військове вторгнення в Україну також вкотре продемонструвало адаптивність та опортунізм кіберзлочинців. Онлайн-шахраї швидко реагували на обставини та використовували кризу, розробляючи різноманітні наративи, пов’язані з нею. Вони спрямовувалися на жертв по всьому ЄС під виглядом підтримки України чи українців. Фальшиві веб-сторінки були створені для вимагання грошей з використанням URL-адрес, які містили ключові слова, що вводять в оману. Електронні листи, в яких нібито збирають кошти на гуманітарні зусилля, надсилалися з шахрайських адрес. У деяких випадках шахраї видавали себе за знаменитостей, які очолювали або підтримували реальні кампанії або підробляли домени гуманітарних організацій, пропонуючи жертвам робити пожертви в криптовалютах.
Як і всі інші кібератаки, фінансово вмотивовані кіберзлочини складно розслідувати, оскільки вони складаються з кількох етапів – починаючи від початкової комунікації з потенційною жертвою шахрайства до безпосередньо викрадення та відмивання коштів, отриманих злочинним шляхом. Послуги для реалізації кіберзлочинів широко доступні та зарекомендували себе в Інтернеті, характеризуються високим рівнем спеціалізації кримінальних мереж та співпрацею між незаконними постачальниками. Послуги, що пропонуються для вчинення кіберзлочинів, часто взаємопов’язані, а їхня ефективність певною мірою взаємозалежна. Незаконні постачальники послуг обслуговують велику кількість злочинців, пропонуючи різноманітні супутні послуги, необхідні для успішної реалізації та приховування кіберзлочинів. Такі послуги часто пропонуються на продаж або рекламуються на форумах даркнету та маркетплейсах.
Кіберзлочинці використовують різноманітні послуги для відмивання своїх злочинних доходів залежно від обсягу та форми їхнього прибутку. Вони часто використовують власні можливості для відмивання грошей, включаючи грошових мулів, однак деякі мережі укладають контракти з професійними відмивачами грошей у співпраці за принципом «злочин як послуга».
Money muling передбачає, що злочинці наймають інших для переміщення доходів, отриманих злочинним шляхом, від їхнього імені. Хоча Money muling може набувати різних форм, одна з найпоширеніших – це коли злочинець пропонує готівку в обмін на використання чужого банківського рахунку. Потім вони переміщують незаконні кошти через складну мережу рахунків мулів, щоб приховати операцію, що в результаті дозволяє їм вивести свій прибуток в готівкову форму.
Грошові мули, які беруть участь у переміщенні коштів, можуть зробити це добровільно і бути співучасниками відмивання грошей. Злочинці також націлені на найбільш вразливі верстви суспільства, включаючи дітей і дорослих, які перебувають у групі ризику, і використовують їх для сприяння переміщенню незаконних коштів. Ці люди часто самі стають жертвами злочинців, які стоять за відмиванням коштів, несвідомо виконуючи їх злочинні накази.
Проте частіше в Україні грошовими мулами є фізичні особи, які займаються діяльністю з відмивання грошей з наміром заробити багато грошей легким і доступним способом. Тому в основному це молоді люди, які не усвідомлюють наслідків і відповідальності. Українська статистика демонструє нам, що це чоловіки (71,2%) віком 14-40 років (87,4%), а кількість людей, задіяних у цій діяльності, з року в рік зростає – з 3591 унікальних записів фізичних осіб, доданих до української міжбанківської бази даних у 2022 році, до 7699 у 1 кварталі 2024 року.
Грошові мули зазвичай знаходяться на передовій кримінальних розслідувань, це особи, видимі банкам і правоохоронним органам, а не справжні злочинці, що стоять за ними, тому розслідування зазвичай починаються з першого грошового мула в ланцюжку відмивання грошей, маючи на меті дістатися до тих, хто пов’язаний з реальними злочинцями.
European Money Mule Action (EMMA) – це скоординована акція, що проводиться по всій Європі та в усьому світі та спрямована на боротьбу з мережами грошових мулів, які отримують вигоду від різних видів злочинності, таких як платіжне шахрайство, спрямоване на фінансові установи та їхніх клієнтів. Ґрунтуючись на розслідуваннях, проведених за підтримки приватних галузевих партнерів, правоохоронні органи можуть вживати заходів, таких як арешти, вилучення, обшуки будинків та допити. Основною метою операції EMMA є співпраця та обмін транскордонною інформацією між країнами-учасницями, для збільшення внеску у боротьбу з мережами грошових мулів. Таким чином, ця щорічна операція має на меті запобігти фінансовим втратам та підвищити обізнаність про цю поширену проблему.
EMMA – це наймасштабніша міжнародна операція такого роду, яка ґрунтується на принципі, що обмін інформацією між державним і приватним секторами має важливе значення для боротьби з сучасними складними злочинами. Європейська банківська федерація (EBF) була першим галузевим партнером EMMA, відіграючи активну роль з моменту заснування EMMA у 2016 році.
В останній дев’ятій операції EMMA правоохоронні органи з 26 країн, включаючи Україну, у співпраці з Європолом, Євроюстом, Інтерполом та кількома приватними галузевими партнерами знову об’єднали зусилля для боротьби з ключовим фактором відмивання грошей – грошовими мулами та їхніми вербувальниками. У червні, жовтні та листопаді 2023 року на кількох оперативних етапах було виявлено 10 759 грошових мулів і 474 вербувальників, що призвело до арешту 1 013 осіб у всьому світі.
Слідчі повідомили про кілька недавніх подій у кримінальному ландшафті міжнародного відмивання грошей. Одна з країн-членів ЄС виявила, що мігранти з України, які шукають притулку від війни, все частіше стають мішенню як несвідомі співучасники злочинів. Використовуючи їх вразливість та економічні негаразди, злочинці примушують їх відмивати гроші, відкриваючи для цього банківські рахунки.
Також зростає кількість злочинів, пов’язаних із видаванням себе за іншу особу в банках, коли злочинці, які видають себе за банківських чиновників, переважно націлені на людей похилого віку та переконують їх відкрити нові рахунки. Злочинці часто відвідують потерпілих особисто, щоб отримати копії документів, що посвідчують особу, та підписів.
Ще одна тривожна тенденція пов’язана з шахрайським використанням штучного інтелекту для створення фальшивих ідентифікаційних даних, що робить можливим обхід функцій безпеки KYC під віддаленого онбордингу клієнтів.
Історія та функціонал обміну інформацією про боротьбу з шахрайством в Україні
Обмін інформацією про боротьбу з шахрайством був започаткований в Україні у 2001 році. Веб-платформа Interbank Exchange-Online (IBE) була створена Асоціацією ЄМА для задоволення потреб банків у своєчасному обміні інформацією про нещодавні випадки шахрайства. Платформа дозволила її учасникам спільно розслідувати випадки шахрайства, обговорювати інноваційні схеми шахрайства з метою розуміння того, як виявляти та запобігати подальшим випадкам платіжного шахрайства. Крім того, для запобігання міграції між банками власників «негативних» карток і торговців, причетних до численних шахрайських схем і відмивання грошей, були створені бази даних шахраїв власників карток і торговців.
Обмін інформацією про боротьбу з шахрайством в Україні був започаткований ще до GDPR, тому достатньою законодавчою парасолькою був пункт у платіжному законодавстві, який 1) визначав обов’язки банків щодо обміну такою інформацією, а також 2) дозволив неприбутковим організаціям, створеним банками, бути адміністратором цього обміну, а також окремі договори між банками та Асоціацією з фіксацією прав і обов’язків обох сторін. Пізніше процедури та політики міжбанківського обміну інформацією про боротьбу з шахрайством були переглянуті та скориговані у відповідності до нового платіжного законодавства та законодавства про захист даних (2022 р.), при цьому незмінним залишився обов’язок банків обмінюватися інформацією між собою та з кіберполіцією та право ЄМА управляти IT платформою, яка забезпечує ці процеси.
Нові технології привели нас до впровадження численних API сервісів, тому з IBE ми перейшли на Antifraud HUB – платформу з різноманітними антифрод-сервісами як з веб, так і з API сервісами. За роки роботи Antifraud HUB став повсякденним робочим інструментом для банків та співробітників кіберполіції.
Серед впроваджених API та веб-сервісів потрібно виділити наступні.
База Даних Інциденти
База даних власників карток, причетних до шахрайської діяльності та/або відмивання грошей. Була створена з метою зниження ризиків в процесі онбордингу нових клієнтів.
Як для додавання, так і для перевірки інформації доступні 2 інтерфейси:
- API частіше використовується банками та фінансовими компаніями для верифікації нових клієнтів під час процесів онбордингу 24/7/365.
- Веб-інтерфейс частково використовується деякими банками для ручного додавання інформації, а також для перевірки в процесі розслідування випадків шахрайства.
MobileCheck online
MobileCheck online – це онлайн-сервіс 24/7/365 для зниження ризиків заміни SIM-картки. Це єдина універсальна послуга для перевірки статусу заміни SIM-картки у трьох основних мобільних операторів України перед здійсненням високоризикових операцій, пов’язаних з використанням номера мобільного телефону клієнта. Рівень ризику угод визначається кожним учасником індивідуально, залежно від внутрішніх процесів та процедур KYC.
Mobile Check працює з 2 інтерфейсами:
- API інтерфейс – забезпечує інтеграцію з банківськими/фінансовими сервісними системами для автоматичної перевірки статусу SIM-картки перед високо ризиковими транзакціями на рахунку клієнта, наприклад, при процедурах відновлення пароля, ідентифікації клієнта в колл-центрі, збільшенні лімітів рахунку і т.д
- Веб-інтерфейс – це розділ у системі Anti-Fraud HUB, де співробітники, які здійснюють онлайн-моніторинг або розслідування шахрайських операцій, можуть перевірити стан SIM-картки в онлайн-режимі, вказавши номер телефону у веб-формі. Його частіше використовують для розслідування успішних справ про шахрайство.
Fraud Payments Tracker
Fraud Payments Tracker – це сервіс для відстеження та блокування шахрайських транзакцій, який допомагає банку жертви миттєво та автоматично повідомляти банк одержувача про шахрайські перекази. Сервіс створений для потреб підрозділів моніторингу, протидії шахрайству та безпеки банків України, Молдови та Казахстану, де здійснюються несанкціоновані перекази на картки українських емітентів або через українські платіжні сервіси.
Сервіс працює з 2 інтерфейсами:
- API інтерфейс банку жертви – забезпечує інтеграцію системи банку з Antifraud HUB шляхом автоматичної відправки в банк оповіщення одержувача про несанкціонований платіж після отримання повідомлення про шахрайство від клієнта.
API інтерфейс банку одержувача шахрайського переказу – забезпечує інтеграцію з системами банку для автоматизованої обробки оповіщення, що надійшло від банку потерпілого.
- Веб-інтерфейс – це розділ у системі Anti-Fraud HUB, де співробітники банку можуть надсилати та отримувати оповіщення вручну, переглядати статус обробки всіх вхідних та вихідних банківських сповіщень. Використовується у випадках, коли API інтеграція неможлива для банку.
Верифікація власника картки
Сервіс «Верифікація власника картки» допомагає банкам, фінансовим компаніям та платіжним сервісам автоматично перевіряти, чи належить платіжна картка особі, якій призначено кредитний платіж. Сервіс створений з метою мінімізації ризиків: 1) шахрайства з видачею кредитів, на підставі скомпрометованих документів/цифровізованих документів, 2) заміни шахраями карток в онлайн-кабінетах користувачів фінансових та/або платіжних послуг з метою отримання платежів, призначених для користувачів.
Сервісні інтерфейси:
- API відправника запиту на верифікацію – забезпечує інтеграцію систем банку/фінансової компанії/платіжного сервісу з Antifraud HUB для автоматизованого надсилання запитів до банку – емітента платіжної картки.
- API банку-одержувача запиту – забезпечує інтеграцію з системами банку для автоматизованої обробки запиту, відправленого на верифікацію.
Отже, коли у 2016 році Департамент кіберполіції Національної поліції України зіткнувся з новими викликами під час розслідування шахрайства та шахрайства в інтернеті, і виникла потреба в більш ефективному розслідуванні ланцюгів відмивання грошей, до ЄМА звернулися колеги Департаменту з пропозицією створити новий сервіс для вирішення наступних завдань, з якими щодня стикається кіберполіція:
1) автоматично визначати емітента банку за карткою BIN;
2) визначити місце розташування банкомату за ідентифікатором терміналу;
3) отримати інформацію про шахрайські виведення коштів, здійснені грошовими мулами протягом 24 годин.
CrimeCheck онлайн
Після численних зустрічей та обговорень з Департаментом кіберполіції ми дійшли висновку, що нам потрібна та послуга, яка
1) матиме як API, так і веб-інтерфейси, щоб відповідати різному рівню цифровізації в банках;
2) буде доступна 24/7/365;
3) буде структурованою частиною AntiFraud HUB для використання існуючих механізмів та процедур надання привілеїв та аутентифікації користувачів банків;
4) буде інтегрована в аналітичну систему Департаменту кіберполіції з метою використання існуючих механізмів та процедур надання прав та аутентифікації користувачів кіберполіції;
5) буде автоматично визначати BIN картки та направляти запит до визначених банківських емітентів;
6) забезпечить банкам єдиний довірений канал структурованих запитів поліції;
7) забезпечить кіберполіції відповіді на запити про шахрайське зняття коштів.
Була реалізована наступна технологічна схема:
CrimeCheck онлайн 2.0
Запроваджений у 2018 році механізм був інноваційним та практичним, що допомогло кіберполіції скоротити терміни проведення розслідувань з тижнів, а іноді навіть місяців до днів.
Тим часом, подальше значне зростання шахрайства та шахрайства, спричиненого повномасштабною військовою агресією росії проти України, вимагає від нас підвищення ефективності.
Так, цього року процес був повністю переглянутий, а сервіс був технологічно оновлений, що дозволило впровадити API між ЄМА Antifraud HUB та банками. Хоча лише деякі наші банки вже інтегрувалися до обслуговування через API, ми вже отримали значні результати – середній час між отриманням запиту та відповідей знизився до 60%.
Щоб розрахувати цей відсоток, було розраховано та порівняно середній час реагування у березні 2024 року (останній місяць перед впровадженням CrimeCheck online 2.0) та червні 2024 року (третій місяць з моменту впровадження).
Висновки
В жовтні 2023 році доповідь про CrimeCheck online була представлена на щорічній Конференції Європолу по боротьбі з кіберзлочинністю. Перше питання, яке прозвучало із залу було: «А коли в Євросоюзі запровадять CrimeCheck online?». Це питання стало найкращою оцінкою того, що було зроблено нами разом з підрозділами безпеки банків – членів ЄМА та Департаментом Кіберполіції за ці роки.
Якщо Ви дочитали цю статтю до кінця, ми хочемо Вам нагадати, що за будь-якими новими кроками щодо покращення співпраці між приватним та державним секторами стоїть величезна невидима ззовні щоденна робота з банками та в самих банках по адвокації підтримки взаємодії з правоохоронними органами для підвищення ефективності їх розслідувань заради того, щоб зробити наш кіберпростір безпечним місцем для розрахунків та платежів.
Про ЄМА та партнерів
Українська асоціація членів міжбанківських платіжних систем ЄМА (Асоціація ЄМА) – неприбуткова організація, створена в квітні 1999 року 5 українськими банками. На сьогодні перевагами членства в Асоціації користуються 60 банків і фінансових сервісів. Діяльність ЄМА зосереджена в 3 основних напрямках: розвиток безготівкових розрахунків та відкритих фінансів в Україні, протидія шахрайству та кібербезпека, підвищення обізнаності громадян. Серед наших основних поточних активностей – щорічні конференції, щоквартальні засідання Форуму Безпеки Розрахунків та Кредитів, щотижневі зустрічі Open API Group, семінари для правоохоронних органів, вдосконалення можливостей розслідувань правоохоронних органів, розробка, адміністрування та розвиток Antifraud HUB, розробка та проведення інформаційних кампаній для громадян.
Асоціація має унікальний 25-річний досвід управління складними проектами та розвитку багатостороннього державно-приватного партнерства. ЄМА розглядається ринком як надійний хаб та платформа, де кожен може отримати вигоду від співпраці, налагодити робочі контакти з надійними партнерами, знайти нових клієнтів та запустити нові проекти. Також діяльність Асоціації не обмежується лише українськими стейкхолдерами та фінансовим сектором, ЄМА є надійним партнером для міжнародного співробітництва з вищезазначених питань, представляє Україну в Європейській асоціації з безпечних транзакцій (далі – EAST) та в Групі радників з фінансових сервісів (далі – AGFS) Європейського центру кіберзлочинності (EC3) Європолу.
Заснована в 2004 році, EAST є некомерційною організацією, орієнтованою на транскордонне партнерство між державним і приватним сектором, члени якої зобов’язуються збирати, узагальнювати та обмінюватися інформацією про безпеку терміналів і платежів. Національне членство EAST відкрите для організацій, здатних представляти країни SEPA, а також інших країн за спеціальною домовленістю. Національне членство обмежується однією організацією на країну, і кожен національний член діє як національний контактний пункт для галузі у своїй країні. З 2012 року Асоціація ЄМА є Національним представником України в EAST.
Європейський центр боротьби з кіберзлочинністю (EC3) був створений Європолом для посилення реагування правоохоронних органів на кіберзлочинність в ЄС і, таким чином, для захисту європейських громадян, бізнесу та урядів від злочинності в Інтернеті.
З моменту свого заснування у 2013 році EC3 зробив значний внесок у боротьбу з кіберзлочинністю в Європі та здійснює координацію та оперативне супроводження багатьох відомих міжнародних операцій. EC3 фокусується попередженні, протидії та розслідуванні наступних кіберзлочинів: злочини, які мають кіберскладову, та платіжне шахрайство.
Групи радників, засновані Головою EC3 і підпорядковані йому, були створені для сприяння більш тісній співпраці з провідними партнерами EC3, які не є правоохоронними органами. Вони допомагають зміцнити практичну співпрацю між правоохоронними органами та ключовими сферами, такими як безпека в Інтернеті, телекомунікації та фінансові сервіси.
З метою отримання чіткого розуміння актуальних потреб та пріоритетів у фінансовій сфері у контексті боротьби з кіберзлочинністю, метою діяльності групи радників з фінансових сервісів є:
- залучення до EC3 знання та експертизи щодо впливу кіберзлочинності на фінансовий сектор та запобігання й боротьби з кіберзлочинністю;
- обмін актуальною інформацією та експертизою щодо кіберзлочинів, спрямованих на учасників фінансового сектору та їх клієнтів ;
- допомога EC3 у визначенні пріоритетів своєї роботи в цій сфері, включаючи надання консультацій щодо співпраці з фінансовими службами та розробки концепцій посиленого запобігання;
- консультування EC3 щодо того, як покращити обмін інформацією та взаємодію між правоохоронними органами та фінансовим сектором.
З березня 2016 року Асоціація ЄМА є членом Групи радників з фінансових сервісів Європейського центру кіберзлочинності (EC3) Європолу. У 2024 році участь ЄМА у групі було продовжено на наступні два роки, до 2026 року.