Поведенческая биометрия против социальной инженерии: как сессионный антифрод ловит мошенников. Разбор маркеров диктовки, кейсов и тренда 2026 — deepfake в голосовых каналах

Пару лет назад считалось: если у пользователя не угнали устройство, не подобрали пароль и не перехватили SMS, то и проблем быть не должно. Мошенники крутились вокруг технических брешей — уязвимостей в протоколах, слитых баз данных, фишинговых сайтов. Сегодня ландшафт изменился.

Техническую защиту пробить сложно. Банки и крупные сервисы строят многослойные периметры: шифрование, антифрод, анализ транзакций. И мошенники пошли в обход — не через код, а через человека. Они больше не взламывают систему. Они уговаривают пользователя открыть дверь самому.

Схема стара как мир, но исполнение вышло на новый уровень. Звонок с подменой официального номера, убедительный голос, знание деталей последней покупки — и человек уже не просто продиктовал данные карты, а под диктовку зашел в приложение и перевел деньги «на безопасный счет». Сам. Добровольно. Под камерами и с корректно введенным паролем.

Для классических антифрод-систем такая операция выглядит стерильно чистой: устройство знакомое, геолокация домашняя, пароль верный, сумма обычная. Ни один детектор не чихнет. А деньги ушли.

Здесь в игру вступает сессионный антифрод и поведенческая биометрия — единственное, что видит разницу между человеком, который хочет перевести деньги, и человеком, которому сказали перевести деньги.

Термин oversharing обычно переводили как «избыточное раскрытие информации»: когда человек сам выкладывает в сеть лишнее, а потом этим пользуются мошенники. Но сейчас oversharing — это про другое.

Это ситуация, когда пользователь под влиянием извне раскрывает не данные, а управление своими действиями. Мошенник не спрашивает пароль — он говорит: «Зайдите в приложение, сейчас я научу, как защитить счет». Дальше начинается сессия под диктовку.

Звонок. Человек слышит: «Беспокоитесь? Правильно, с вашего счета пытались списать деньги. Сейчас зайдите в приложение, я помогу отменить операцию». Голос спокойный, номера телефонов совпадают с теми, что в базе банка (спасибо подмене).

Жертва заходит. Мошенник ведет ее по интерфейсу: «Нажмите на переводы, теперь введите номер карты, сейчас придет SMS, продиктуйте код». Человек все делает руками, своими пальцами, со своего телефона. Но делает не то, что хотел, а то, что ему сказали.

С точки зрения системы — идеальная сессия. Устройство то же, поведение? Ну, может, чуть медленнее обычного, но мало ли. Атака происходит прямо сейчас, но формальных признаков взлома нет. Транзакционный антифрод видит лишь корректные реквизиты, а сессионный антифрод начинает накапливать аномалии.

Поведенческая биометрия звучит сложно, но на деле это просто про привычки. У каждого человека есть манера водить мышью, нажимать кнопки, печатать текст. Кто-то стучит по клавиатуре резко, кто-то плавно скользит пальцами по экрану. Кто-то всегда кликает дважды, кто-то привык выделять текст мышкой, а не клавишами.

Эти паттерны формируются годами и не осознаются самим человеком. Это делается на автомате.

Сессионный антифрод считывает эту автоматику и строит профиль. Не статическую фотографию, а динамическую модель: как быстро человек скроллит страницы, с какой силой тапает, сколько держит палец на кнопке, есть ли у него привычка останавливаться перед определенными действиями.

Когда мошенник диктует, этот профиль ломается. Не потому что кто-то ввел неверный пароль, а потому что человек начал двигаться иначе.

Собрал несколько признаков, по которым поведенческая аналитика отличает самостоятельную работу от работы под диктовку. Ни один из них по отдельности не приговор, но в совокупности они дают высокую точность.

При самостоятельной работе человек останавливается, когда думает: перед выбором раздела, после прочтения условий, в момент принятия решения. При диктовке паузы возникают в неестественных местах: после клика, перед набором цифр, в середине заполнения формы. Это паузы ожидания — жертва слушает следующую инструкцию.

Когда человек сам знает, куда идти, курсор движется по прямой или с небольшими естественными дугами. Когда ему диктуют, курсор начинает «искать»: дергается, останавливается, движется хаотично, потому что пользователь не знает, где находится нужная кнопка, и вынужден сканировать экран глазами и мышью одновременно.

В любой нормальной сессии есть куча лишних микродвижений: прокрутил страницу туда-сюда, постучал пальцем по столу (если тачпад), кликнул мимо кнопки, задумался и поводил мышью. При диктовке этих шумов почти нет. Жертва максимально сконцентрирована на инструкции и делает только то, что сказали. Поведение становится неестественно «чистым».

Диктовать номер карты вслух — это не то же самое, что набирать его по памяти. Появляются микропаузы между цифрами, меняется сила нажатия, человек чаще ошибается и исправляет, но исправления выглядят механически. Система видит разницу в таймингах: как долго палец держится на клавише, с какой скоростью происходит переход к следующей.

Обычно человек работает в своем темпе: кто-то быстро заполняет формы, кто-то медленно читает. При диктовке темп становится рваным: то быстрее (мошенник торопит), то внезапные остановки (жертва переспрашивает или пытается осмыслить). Плавный ритм сессии ломается.

Один крупный банк недавно делился внутренними данными (без названий, конечно). У них был клиент — мужчина средних лет, типичный пользователь: заходит вечером, проверяет баланс, изредка переводит небольшие суммы семье. Устройство одно и то же, геолокация стабильная, поведение предсказуемое.

В один из дней он заходит днем. Уже странно, но не критично. Система начинает считывать сессию: первые 30 секунд — полное бездействие. Просто открыто приложение, но ничего не происходит. Потом резкое движение мыши, курсор дергается, ищет раздел переводов. Дальше — набор номера карты с длинными паузами между цифрами. Нет ни скролла, ни просмотра баланса, ни других обычных для этого клиента действий.

Сессионный антифрод насчитал больше 85 баллов риска по поведенческим аномалиям. Транзакционный антифрод получил сигнал и поставила перевод на холд. Клиенту ушло уведомление: «Вы подтверждаете операцию?»

Он очнулся. На том конце провода бросили трубку. Деньги остались на месте. Банк потом выяснил: мошенник звонил 20 минут, убеждал, что счет под угрозой, и диктовал, что нажимать. Клиент не понял, что его разводят, пока не увидел вопрос от банка.

Это идеальный пример, где сработала именно поведенка. Формально все было чисто, но то, как человек двигал мышью и набирал текст, выдало атаку.

Транзакционный антифрод — это база. Без него никуда: он проверяет суммы, частоту операций, историю устройства, геолокацию, черные списки. Он отвечает на вопрос: «Похожа ли эта операция на то, что обычно делает клиент?» И с этим справляется хорошо.

Но у него есть слепая зона — контекст. Он видит результат, но не видит процесса. Операция может быть идеальной по цифрам, но при этом совершенной под диктовку мошенника. Транзакционная система смотрит на событие, а социальная инженерия происходит задолго до события — в поведении.

Здесь в игру вступает сессионный антифрод. Он добавляет к транзакционной математике человеческий слой: как клиент шел к этой операции, не дергалась ли мышь, не было ли неестественных пауз, не менялся ли темп набора. Сессионный антифрод отвечает на вопрос: «Похоже ли это на то, как клиент обычно совершает такие действия?»

Когда эти два слоя работают вместе, возникает синергия. Транзакционный антифрод видит аномалию в сумме или получателе. Сессионный видит, что перед этим человек вел себя как под гипнозом. Сигналы складываются, и система принимает решение не по одному признаку, а по полной картине.

В идеальном мире мошенник подбирает жертву так, чтобы транзакционные метрики были в зеленой зоне: устройство чистое, геолокация своя, перевод в пределах обычных трат. Но он не может подделать микроповедение. Именно здесь сессионный антифрод дает тот самый недостающий контекст, который превращает «стерильную» операцию в очевидную атаку.

Поэтому правильный вопрос не «что лучше — транзакционный или сессионный антифрод?», а «как они усиливают друг друга?». Транзакционный защищает от прямых финансовых угроз, сессионный — от угроз, которые маскируются под нормальное поведение.

Транзакционный защищает от прямых финансовых угроз, сессионный — от угроз, которые маскируются под нормальное поведение. Вместе они закрывают сценарии, которые по отдельности неизбежно пропускают.

В этом году добавилась новая головная боль — deepfake-голоса. Мошенники больше не нанимают актеров с убедительными интонациями. Они берут открытые источники (интервью, подкасты, ютуб), прогоняют через нейросети и генерируют голос, который звучит точно как голос знакомого человека или официального представителя.

Были случаи, когда звонили от имени родственников с просьбой срочно перевести деньги. Были звонки от «директоров» компаний сотрудникам бухгалтерии. Идентифицировать подделку на слух почти невозможно.

Здесь сессионный антифрод работает в связке с системами анализа голосового канала. Если во время звонка (пусть даже с подмененного номера и deepfake-голосом) пользователь заходит в приложение и начинает вести себя нестандартно, риск-скор вырастает кратно. Каналы пересекаются, и аномалия становится видимой. Фрод транзакции через deepfake становится всё более реальной угрозой, и только поведенческий анализ помогает её выявить.

Компании, которые уже используют поведенческую аналитику против социальной инженерии, отмечают несколько эффектов. Они не любят говорить цифрами вслух, но тенденции понятны.

Первое — успешных атак действительно становится меньше. Не потому что мошенники сдались, а потому что они перестают тратить время на те сессии, где система реагирует на аномалии. Им проще найти другую жертву, чем пробивать поведенческую защиту.

Второе — падает нагрузка на фрод-аналитиков. Когда система не просто блокирует, а показывает цепочку: вот здесь была пауза, вот здесь аномальное движение, вот это не похоже на обычное поведение — расследование занимает минуты, а не часы.

Третье — клиенты меньше злятся. Потому что бесшовная защита не требует от них дополнительных действий. Никакой капчи, никаких лишних звонков, никаких «подтвердите, что это вы» каждый раз. Система работает в фоне и срабатывает только тогда, когда действительно что-то идет не так.

Четвертое — это про регуляторов. В 2026 году ЦБ и Роскомнадзор все пристальнее смотрят не просто на факт защиты данных, а на методы обнаружения аномалий. Поведенческая аналитика становится частью compliance-стратегии, а не просто маркетинговой фишкой.

Социальная инженерия никуда не денется. Она будет становиться только изощреннее: нейросети, подмена голоса, синтез видео, комбинированные атаки через несколько каналов. Технические методы защиты развиваются, но мошенники каждый раз находят лазейку через человека.

Единственное, что пока не удается подделать — это поведение. Неосознанные микродвижения, привычный ритм, естественные паузы и шумы. Сессионный антифрод ловит именно это. Не потому что он умнее, а потому что смотрит туда, куда мошенник еще не научился заглядывать. В связке с транзакционным антифродом он формирует барьер, который одинаково эффективен и против классических фрод транзакций, и против сложных атак с человеческим фактором.

Мы выпустили обновление — Phishman 2.34


В версии 2.34 фокус на двух вещах: автоматизация реакций

на события ИБ и еще больше гибкости в сценариях фишинга.

Обращаем ваше внимание, что обновление системы осуществляется с помощью файлового архива.

Для его получения вы можете обратиться к пресейл-менеджеру

или тех. поддержке Phishman - support@phishman.ru



Узнавать о выходе обновлений Phishman можно раньше в нашем продуктовом Telegram-канале.

Подробно, наглядно и просто о релизе 2.34 уже рассказали там:



PHMN Бизнес



К обновлению:



• Интеграция с MaxPatrol SIEM по API (события → действия);

• Интеграция со «Стахановец» (события → действия);

• Пользовательские вложения к фишинговым письмам;

• Пользовательские страницы переадресации (лендинги);

• Новые виджеты на главной странице.

Система управления привилегированным доступом sPACE PAM успешно прошла сертификацию ФСТЭК по 4 уровню доверия. Сертификат соответствия № 5040 выдан 12 февраля 2026 года сроком на 5 лет.

sPACE PAM может быть использован для защиты:

• объектов КИИ до 1 категории значимости включительно (ЗО КИИ 1),
• АСУТП до 1 категории значимости включительно (АСУПиТП 1),
• государственных информационных систем (ГИС) до 1 класса защищенности включительно (ГИС 1),
• информационных систем персональных данных до 1 уровня защищенности включительно (ИСПДн 1).

sPACE PAM обладает всем стандартным функционалом PAM-системы и отличается универсальностью. Решение обеспечивает контролируемый доступ к практически любым системам независимо от протокола. Это позволяет использовать ее в ИТ-инфраструктурах с унаследованными системами и системами с проприетарными протоколами. Подключение новых объектов администрирования может осуществляться ИТ-специалистами заказчика, что может быть важным для компаний, в которых необходимо ограничить доступ подрядчиков к ИТ-инфраструктуре.

Компания МУЛЬТИФАКТОР, российский разработчик программного обеспечения на ИТ- и ИБ-рынке, сообщает о том, что система двухфакторной аутентификации и контроля доступа MULTIFACTOR успешно прошла сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.

Сертификат ФСТЭК — официальное признание соответствия продукта российским стандартам информационной безопасности. Он подчёркивает высокое качество и надёжность решения. Документ свидетельствует о способности системы эффективно защищать конфиденциальные данные и обеспечивать высокий уровень безопасности в условиях растущих киберугроз.

ФСТЭК сертифицировала MULTIFACTOR как эффективную 2FA-систему, соответствующую 4-му уровню доверия и необходимым техническим условиям. Решение подходит для внедрения в организациях, предъявляющих максимальные требования к безопасности:

• в государственных информационных системах (ГИС) до первого класса защищённости (согласно действующему постановлению №17 и новому регламентирующему документу №117, вводимому в действие с 1 марта 2026 г.);
• на объектах критически важной информационной инфраструктуры (КИИ), отнесённых к первой категории значимости (Федеральный закон №187-ФЗ, приказ ФСТЭК №239);
• в автоматизированных технологических системах управления, подлежащих защите до первого класса включительно (постановление ФСТЭК №31);
• в информационных системах обработки персональных данных, соответствующих первому уровню защищённости (постановление ФСТЭК №21).

MULTIFACTOR — система двухфакторной аутентификации и контроля доступа для всех видов удалённых подключений: RDP, VPN, VDI, SSH и других. Это инструмент для надёжной 2FA-аутентификации пользователей при доступе к любым корпоративным ресурсам. Решение включено в реестр российского ПО под № 7046. По данным на 2025 год, количество его пользователей превышает 700 тысяч.

Основные преимущества сертифицированной системы MULTIFACTOR:

• Многоуровневая идентификация и аутентификация пользователей, исключающая несанкционированный доступ к ресурсам.
• Повышение уровня защиты персональных данных и корпоративных секретов.
• Интеграция с существующими инфраструктурами безопасности и широкий спектр настроек для адаптации под нужды заказчика.
• Соответствие требованиям российского законодательства в области информационной безопасности.