Фейк не пройдет: Group-IB представила автоматизированную систему ликвидации цифровых рисков

Использовать известный бренд или имя селебрити, чтобы под этим прикрытием обманывать людей, — излюбленный ход мошенников в интернете. И чем популярнее бренд или личность, тем больше вероятность появления фейков под них. Кто такие скамеры и почему борьба с цифровыми рисками требует профессиональных интеллектуальных решений?

В январе 2021 года основатель софтверной компании, создающей решения по распознаванию документов, увидел себя в неожиданной роли. На видео, которое продвигалось в крупнейшей социальной сети, он зазывал людей на мастер-класс по торговле акциями, обещая доход в 360% годовых. Якобы его компания готова помочь всем желающим зарабатывать на бирже с помощью искусственного интеллекта. Однако она никогда не занималась торговыми алгоритмами. Так пытались нагреть руки мошенники, сделавшие deepfake-видео с предпринимателем.

«Подобных случаев довольно много», — комментирует Андрей Бусаргин, заместитель генерального директора международной компании Group-IB, специализирующейся на предотвращении кибератак и расследовании высокотехнологичных преступлений. В компании он руководит направлением защиты от цифровых рисков. Новейший продукт Group-IB — автоматизированная система Digital Risk Protection, помогающая защищать цифровые активы, бренд, личную и корпоративную репутацию с использованием технологий искусственного интеллекта. За год, включая период пилотной эксплуатации, с ее помощью удалось предотвратить ущерб на сумму $443 млн (по курсу ЦБ РФ на 08/06 — ок. 31,4 млрд руб.) для компаний России, Европы, Азиатско-Тихоокеанского региона и Ближнего Востока. По словам Бусаргина, для пресечения мошеннических схем уже недостаточно классических методов мониторинга и «поштучной» блокировки ссылок. Изучая индустрию интернет-мошенничества более 10 лет, Group-IB пришла к использованию нейронных сетей и адаптивного скоринга: технологии позволяют автоматизировать сложные процессы выявления и классификации типа мошенничества, использованного под конкретную компанию и индустрию в любой стране мира.

— С какими целями вы разрабатывали систему Digital Risk Protection?

— Начнем с того, что мошенничество, построенное на нелегальном использовании брендов известных компаний или имен популярных медиаперсон, — это самые распространенные преступления в интернете. Недавно мы подсчитали, что на разные виды мошенничества приходится в целом около 73% всех атак в интернете, из них 56% — на скам (обман с добровольными платежами и раскрытием своих данных), 17% — на фишинг, то есть кражу данных банковских карт. Задумайтесь, за этими процентами стоит огромная теневая индустрия: ежедневно в мире появляется 25 000 мошеннических сайтов, и 750 000 пользователей каждый месяц попадаются как минимум на один подобный фейковый ресурс, принимая его за настоящий.

Вот навскидку свежие примеры, которые выявила Group-IB. Накануне майских праздников появилось полсотни фейковых сайтов агрегаторов, торгующих авиабилетами по низким ценам, а также десяток ресурсов, продающих билеты на скоростные поезда. Это так называемая сезонная преступность, которая поднимает голову перед периодом отпусков и длинных праздников — поспешив, пользователи теряли деньги и данные банковских карт, а бренды — репутацию.

— Что чаще бывает объектом атаки: бизнес или все-таки интернет-пользователи?

— Атаки, направленные на бизнес, конечно, случаются реже, чем на пользователей, но ущерб от них гораздо выше. Например, у нас был такой кейс: у известной металлургической компании появился фальшивый сайт-клон, который был идентичен настоящему, но с другим телефоном и адресом электронной почты. Он проработал всего два дня, но успел получить один платеж на €2 млн (177,3 млн руб.). И такие случаи не единичные: фейковый отдел продаж производителя удобрений довольно долго обманывал фермеров и сельхозпредприятия — клиенты заказывали удобрения, делали предоплату, но ничего не получали.

— Выходит, никто не застрахован от мошенничества?

— Даже глобальная корпорация с многолетней историей. Буквально недавно мы зафиксировали схему с крупнейшей международной социальной сетью: скамеры распространяли ссылки на скачивание несуществующего «обновления» приложения в 84 странах мира. Вы наверняка помните, сколько шума было вокруг появления новой голосовой соцсети, — тему, как это всегда случается с хайповыми новостями, сразу взяли в разработку мошенники. На досках объявлений сразу появились предложения о продаже приглашений, и люди платили за возможность попасть в «закрытый клуб», параллельно появились подозрительные клоны в PlayMarket для Android, хотя тогда соцсеть работала только на iOS.

— Из всех этих примеров видно, что злоумышленники умело играют на человеческих чувствах — жажда халявы, любопытство, страх, и используют современные технологии продвижения, маскировки своих мошеннических схем. Понимаю, что человека сложно исправить — это самое слабое звено цепи. А что делать бизнесу?

— Для того чтобы выявить эти схемы и защитить пользователей, бренды должны на несколько шагов опережать скамеров, выявлять и блокировать всю мошенническую цепочку. Поэтому решение для защиты от цифровых рисков, в нашем понимании, должно стать самой настоящей «серебряной пулей»: она проактивно обнаруживает мошенничество и ликвидирует инфраструктуру злоумышленников еще на этапе подготовки атак. Алгоритмы системы, в которых используется искусственный интеллект, были разработаны на основе нашего опыта по защите более 350 брендов по всему миру.

— Как устроена Digital Risk Protection?

— Сама система состоит из нескольких блоков: антимошенничество, антиконтрафакт и антипиратство. Первый модуль, как это понятно из названия, защищает компании от неправомерного использования их бренда и интернет-мошенничества. По нашим оценкам, в России ущерб компании от неправомерного использования бренда превышает 100 млрд рублей. Система оперативно выявляет нарушения и блокирует ресурсы, которые несут репутационный и денежный ущерб бренду. Под брендом мы подразумеваем и торговую марку компании, и имя известного человека и так далее.

Идем дальше. Интеллектуальная собственность — это предмет постоянной атаки преступников, поэтому мы разработали два специальных модуля для защиты от контрафакта и пиратства. Подделки размывают цену бренда, «откусывают» у компаний долю рынка и выручки, в России объем рынка контрафактной продукции в e-commerce — 81 млрд рублей. Пиратство — самый настоящий бич для производителей, кинопрокатчиков, онлайн-кинотеатров, — в прошлом году мы оценили рынок интернет-пиратства в России в $59 млн (4,3 млрд руб.), причем в период пандемии интерес к «пиратке» у зрителей стабильно рос. Апрель 2020 года и вовсе поставил абсолютный исторический рекорд по числу намерений бесплатно посмотреть пиратские фильмы — из-за большого наплыва зрителей серверы пиратов даже не выдерживали нагрузок. Было бы ошибкой полагать, что пиратов интересуют исключительно фильмы. Они могут украсть курс лекций, аудиокниги, даже шрифты. У нас недавно был подобный кейс: компания, владеющая правами на сотни тысяч шрифтов, пострадала от их нелегального использования. Мы можем выявлять и пресекать случаи подобного воровства интеллектуальной собственности.

— Ваша система может защищать еще и первых лиц компании? От чего их нужно защищать?

— Самый главный риск — создание «цифрового двойника», например поддельного аккаунта в соцсетях. Топ-менеджеры или владельцы компаний могут быть абсолютно непубличными людьми, но это не мешает появлению фейковых аккаунтов. На самом деле сделать такой аккаунт не очень сложно, в открытом доступе обычно много фотографий и информации о человеке. У многих известных бизнесменов есть более 50 фейковых аккаунтов. А про медийных личностей — политиков, режиссеров, актеров, спортсменов — уже даже можно не говорить, там еще больше таких аккаунтов.

Фейковый аккаунт может долгое время не представлять угрозы. Например, перепечатывать какие-то новости. Но, завоевав доверие, способен резко начать мошенническую деятельность — например, рекламировать контрафактный товар, несуществующие услуги. В случае с бизнесменом такие аккаунты могут привести к падению акций на бирже, если вдруг мошенники заявят, например, о закрытии части бизнеса. А фейковый аккаунт политика может нанести вред репутации этого человека и даже втянуть страну в дипломатический скандал. Мы всегда советуем проактивно блокировать такие аккаунты. Недавно, например, заблокировали фейковый аккаунт депутата Госдумы, который вели жители Ближнего Востока.

Наша система позволяет делать своеобразный чекап, как в медицинской клинике. Проверяем, что в интернете есть о человеке и его семье: утечки паролей, фейковые события из жизни, компромат, какими автомобилями или недвижимостью он владеет. Примерно месяц мы собираем данные о персоне, потом систематизируем их. И человек может посмотреть, какие риски для него несут эти данные. Предупрежден — значит вооружен.

— Каким образом вы находите мошеннические сайты, которые используют бренд или другие цифровые активы клиента?

— На первом этапе мы настраиваем систему на поиск упоминаний компании. Обучаем наши нейронные сети на обнаружение логотипов, названий, имен первых лиц и так далее. Мы мониторим поисковую выдачу, контекстную рекламу, социальные сети и мессенджеры, официальные и неофициальные магазины приложений, множество баз данных, доски объявлений, маркетплейсы. На втором этапе нужно из всех упоминаний вычленить именно мошеннические. Сейчас за день система обнаруживает около 2 млн страниц, где упоминаются наши клиенты. Среди них мошеннических примерно 4000. Здесь мы задействуем уже другие нейронные сети, которые анализируют содержание страниц. Дополнительно применяется сигнатурный анализ, проверка на регулярные выражения вроде «до конца акции осталось 3 дня», «успей купить» и так далее. Также мы используем скоринговые модели. По самому ресурсу, даже если не изучать контент, можно понять, нормальный это сайт или мошеннический. У последних есть явные признаки: недавно созданы, на бесплатном хостинге и еще много параметров.

Изучив все сайты с упоминанием клиентов, мы ранжируем их по степени риска. Самые рискованные потом проверяются нашими аналитиками вручную. Здесь важно еще мониторить не только саму компанию, но и индустрию в целом. Злоумышленники не так часто упоминают бренд напрямую в контенте. Они либо логотип ставят, либо текст на картинке. Выход — мониторить характерные фразы. Например, для банков — «быстрые займы», «ипотека», «погашение кредитов», «обмануть кредитку».

— А что вы делаете, если находите фейковый сайт компании, которая не является вашим клиентом?

— Сообщаем, что мошенники используют ее бренд. В последнее время злоумышленники активизировались в ретейле, на досках бесплатных объявлений, создают фейковые ресурсы курьерских сервисов, агрегаторов продажи «дешевых билетов», брони апартаментов или аренды жилья. Обычно мошенники создают сайты сразу под несколько брендов. Мы защищаем одного крупного ретейлера, нашли фейковый сайт с его брендом и вышли на целую сеть. В таких сетях многие сайты могут быть «спящими» или их видят только те, кому злоумышленник отправляет ссылку. То есть простым поиском такой сайт не найти. Мы все это тоже детектируем и изучаем. Если компания, которую мы известили, придет к нам за защитой, то мы сможем быстро начать, поскольку в базе у нас уже есть все необходимые данные.

— Бывает, что кто-то знает о проблеме с фейками и мошенниками, но игнорирует их?

— Да, такое встречается. Пару лет назад мы обнаружили фейковые сайты отелей в Сочи. Они собирали с людей деньги за бронирование, а потом просто пропадали. Мы предлагали защиту отелям, но они сказали, что уже судятся сами по нескольким кейсам. То есть заняли оборонительную позицию. Здесь многое зависит от уровня зрелости компании и от того, с кем мы обсуждаем риски. Как ни странно, владельцы, акционеры обычно сразу понимают проблему. В одном из банков председатель правления сказал, что лично будет курировать вопрос с мошенничеством. А иногда мы общаемся с наемным топ-менеджером, для которого главное — выполнить свои KPI, или безопасником, для которого важно «спокойствие», он просто не заинтересован в переменах. Тот же производитель удобрений, о котором я говорил, с нами до сих пор работает. Там считают, что это их ответственность — защищать клиентов. В конце концов иски от обманутых покупателей полетят к компании. Понятно, что в суде можно будет доказать, что это были мошенники, уйдет время, деньги на юристов. В итоге получится дороже, чем стоит наш сервис. Проще проактивно бороться, тем более что 85% выявленных нарушений и случаев мошенничества нам удается урегулировать в досудебном порядке.

— Это довольно большой процент. Почему мошенники так часто отступают?

— Замечу, что это «средняя температура по больнице». В ретейле у нас результативность около 98%, по банкам — 97%. Мы еще работаем с популярными производителями одежды. В этом сегменте много фейков, и часто разбирательства заканчиваются патентными спорами, судами, что снижает общий показатель. По мошенничеству и фишингу в большинстве индустрий результат 97–98%.

Дело в том, что мы не просто находим мошеннический сайт и просим регистратора и хостера его заблокировать. Мы изучаем инфраструктуру злоумышленника, виды мошеннических схем, кластеризируем их, чтобы понимать, как могут действовать мошенники. По каждому случаю мы строим аналитический граф, который помогает найти реальные контакты злоумышленника и довести это дело до суда. И когда он получает претензию на свою личную почту, то понимает, что за него взялись серьезно. Помогает еще бренд Group-IB, нас уже хорошо знают на рынке.

Блокировать один сайт почти бесполезно, это наносит минимальный урон. Мы обращаемся к регистраторам доменных имен и хостинговым компаниям, чтобы максимально блокировать инфраструктуру злоумышленника и нанести ему наибольший ущерб. Здесь помогают налаженные контакты с регуляторами и компаниями в разных странах. Наш рекорд — когда мы заблокировали сеть сайтов мошенника за 6 минут. Но есть и антирекорд. Мы полтора года пытались заблокировать один сайт. Писали в техподдержку китайского хостера, но там не говорили по-английски и не понимали, чего мы от них хотим. Потом там появился новый сотрудник, разобрался и все заблокировал.

— Но если удалось договориться без суда, то мошенник остался безнаказанным?

— Мы всем клиентам советуем довести дело до конца — пойти в суд. Мы предоставляем все доказательства, все скриншоты, можем сделать тестовую закупку. Но окончательное решение остается за клиентом. Есть огромное количество юристов, которые готовы помочь. Часто у компаний есть свои юристы. Тех, кто поможет с судом, много, а нашей работой не занимается практически никто.

— В каких индустриях сейчас больше всего мошенничеств?

— Сейчас бум проблем у ретейла. Бывают фейковые сайты, которые берут деньги за онлайн-заказ и ничего не доставляют. Бывают фейки известных магазинов фермерских продуктов. Они позиционируют себя как дорогие, а продают низкокачественные продукты. Причем у них даже есть своя техподдержка. В случае жалоб клиента они могут выдать промокод, принять повторный заказ и его вообще не доставить. Осенью прошлого года начался бум фейковых инфопродуктов. В начале пандемии все смотрели фильмы, и был скачок пиратства, а потом все взялись за обучение. Такие сайты могут либо продавать ворованные курсы известных компаний, либо собирать деньги и потом пропадать.

Но вообще любая известная компания и известный человек находятся под ударом. Мошенники используют раскрученные бренды, чтобы сразу привлекать внимание. Мы находили фейки у ведущих банков, авиаперевозчиков, металлургов. Популярных людей могут использовать в фейковых конкурсах, промоакциях и так далее. И это надо мониторить постоянно. Нельзя один раз выявить мошенников и успокоиться. К сожалению, появятся новые. А значит, опять возникнет риск негативного влияния на репутацию и доходы. Ведь мошенники не только оттягивают часть клиентских денег на себя. Согласно исследованиям, 67% людей уже не вернутся к бренду, если столкнулись с обманом.

* На правах рекламы