Блоги

ИИ-агенты против антифрода: почему поиска аномалий уже недостаточно

Новостная редакция

3 min read
ИИ-агенты против антифрода: почему поиска аномалий уже недостаточно

В начале 2024 года сотрудник финансового отдела гонконгского офиса компании Arup получил приглашение на видеозвонок с руководством. На экране были знакомые лица: финансовый директор, коллеги. Следуя полученным инструкциям, сотрудник выполнил 15 переводов на общую сумму $25 млн. Все участники звонка оказались сгенерированы с помощью ИИ. При этом ни одна система компании не была скомпрометирована — атака прошла целиком через человека.

Сегодня это уже не экзотика и не единственный случай. Более 40% финансовых специалистов, по данным Deloitte, сталкивались с дипфейк-атаками. В Казахстане рост такого фрода составил 140%, в Кыргызстане — 155%. Платформы deepfake-as-a-service, где можно заказать синтезированное видео без технических навыков, стали массово доступны в 2025 году.

Но я хочу поговорить не об этом.

Где проходит граница

Случай Arup — это социальная инженерия. Мощная, технологически усиленная, но всё-таки классическая схема: живого человека обманули и сам выполнил перевод. Антифрод платёжной системы здесь почти бессилен, деньги ушли через штатный процесс, с валидными правами доступа, по инициативе авторизованного сотрудника. Это зона корпоративной безопасности: двойное подтверждение, лимиты на одностороннее распоряжение средствами, верификация через второй канал. Это стандартный набор, и большинство компаний его внедрили.Платёжный сервис может поймать аномалию в самом переводе — нетипичный получатель, необычная сумма, подозрительный паттерн — и задержать операцию. Но сам дипфейк на видео- или аудиозвонке находится за его периметром.

Для тех из нас, кто строит платёжную инфраструктуру, реальный вопрос звучит иначе. Что произойдёт, когда те же инструменты: синтез голоса, генерация лица, имитация поведения, будут применяться не к сотруднику на звонке, а напрямую к нашим системам? Автоматически, масштабируемо, без живого злоумышленника в цепочке.

От ручной атаки — к автоматизированной

Сегодняшние мошенники работают вручную. Оператор преступного колл-центра звонит, давит, торопит, ждёт реакции. Это медленно и плохо масштабируется. ИИ-агент устроен иначе. Он не обманывает человека — он имитирует клиента внутри системы.

Такой агент способен пройти верификацию, скомпрометированную личность. Дальше он ведёт себя как обычный пользователь: привычная скорость действий, логичные суммы, знакомое устройство или правдоподобная сессия. Он не создаёт аномалий — он специально обучен не выбиваться из профиля. Это принципиально другой уровень угрозы, потому что вся логика антифрода последних лет строилась на поиске отклонений. Нетипичная сумма, новая география, резкая смена устройства, серия быстрых попыток — по этим сигналам система останавливает подозрительную операцию.

Против агента, который имитирует нормальность, эти триггеры не сработают. Gartner прогнозирует, что уже к 2026 году 30% компаний перестанут считать автономные решения для верификации личности надёжными сами по себе. По прогнозам Deloitte, убытки от ИИ-фрода в финансовом секторе могут вырасти до $40 млрд в год к 2027 году.

Проверка транзакции vs проверка природы участника

Для платёжной инфраструктуры это означает смену базовой логики.

Сегодня достаточно знать, что клиент прошёл KYC, ввёл пароль, подтвердил операцию. Завтра вопрос будет не «подтвердил ли клиент платёж», а «действительно ли за экраном человек с привычным паттерном принятия решений — или агент, который воспроизводит поведение».

Рынок перейдёт от проверки транзакции к проверке природы участника. Это усилит значение поведенческой аналитики нового поколения: микропаттернов действий, таймингов, оценки сигналов устройства, выявления признаков автоматизации, связей между аккаунтами. Ни одна из этих задач не решается одним инструментом — работает комбинация, и работает она только при обмене данными между участниками рынка.

А это, в свою очередь, требует операционной дисциплины во всей цепочке. Когда в экосистеме работают банк, платёжный сервис, мерчант и API-партнёры — должно быть заранее понятно, кто блокирует операцию, кто хранит логи, кто реагирует на инцидент. Без этого любой серьёзный случай превращается в конфликт между участниками и в потерю доверия всей платежной и банковской индустрии.

Что это значит для бизнеса

Я говорю об этом не как специалист по информационной безопасности, а как человек, который строит платёжный сервис. Для меня это вопрос архитектуры продукта.

Дипфейк-атаки на сотрудников компаний — это уже реальность, к которой бизнес должен адаптироваться через внутренние процедуры и корпоративную культуру безопасности. Но ИИ-агенты, имитирующие клиентов внутри платёжных систем, — это следующая фаза, и она потребует изменений на уровне инфраструктуры. Связь между этими двумя угрозами простая: инструменты дешевеют, автоматизируются и неизбежно будут встроены в агентные сценарии.

Компании, которые работают с платежами, в ближайший год столкнутся с выбором: инвестировать в верификацию, которая учитывает ИИ-агентов, или нести убытки, к которым текущие системы не готовы. Базовая гигиена остаётся необходимой, но уже не защищает от того, что идёт следом.

Тем, кто управляет рисками, стоит задать своей команде один вопрос: если завтра нашу систему атакует не человек, а агент, который ведёт себя как наш лучший клиент,  на каком этапе мы это заметим?