Как не ошибиться в выборе антифрода (anti-fraud

Антифрод под капотом

Начнем с самых простых примеров. Антифрод — это совокупность двух машин. Первая работает по каким-то правилам, которые вы знаете и которые вам понятны. Вторая — черный ящик, в котором творится магия, постичь которую не помогут даже канистра энергетика и томик Ницше.

То есть в первой машине у нас лежит набор правил, написанный человеком. Правила выглядят довольно просто и всего-навсего отражают определенный набор действий, который должен триггерить систему на распознание фрода. Например, если с такой-то карты внезапно понеслось по 10 платежей в минуту, это неслабый такой повод насторожиться. Или если транзакция по карте прошла в Питере, а 5 минут назад хозяин по ней снимал деньги в Москве — тут тоже что-то странное.

Я повторюсь, я сейчас сильно образно, потому что такое поведение может быть и в нормальной ситуации. Например, Амазон любит снимать деньги не за весь ваш заказ из 15 позиций, а за каждую позицию по отдельности. Причем в разное время, это нормально. А в случае с географической разницей — хозяин карты может быть в Москве, а в Питере что-то на эту же карту в Apple Pay покупает его мама. Да, на картах пишут, что их не стоит передавать третьим лицам и вот это всё, но жизнь обычно немного сложнее.

Про вторую коробку. Там лежит большой кусок machine learning, и тут конкретно показать на пальцах в простой структуре, как там чего с чем соотносится для выводов, уже не так просто.

И вот из этого базиса можно вывести критерии хорошего антифрода.

Законодательное регулирование

Итак, вы видите сообщение: «Операция запрещена системой антифрода». Почему? Защитное ПО позволяет банкам блокировать все подозрительные (с их точки зрения) операции. Делается это и ради безопасности клиента, и ради прибыли самого банка. Ведь если произведенная операция была совершена без согласия на то владельца счета, то финансовая организация обязана полностью возместить ему ущерб. Это предписывает ФЗ №161 «О финансовой национальной системе» (ст. 9).

Обратимся к недавнему документу Центробанка РФ под названием «О требованиях к защите данных в платежных системах Банка России». Он устанавливает, что все отечественные банки обязаны сообщать о всевозможных фрод-операциях (несанкционированных отправках денежных средств через платежные системы). Также финансовые организации обязаны уведомлять госорганы о подозрениях о возникновении (или даже возможности возникновения) инцидентов в сегментах сети, где находится рабочее место доступа к платежной системе.

На сегодняшний день хищения крупных денежных сумм со счетов клиентов — уже подсудное дело. Но, к сожалению, мошеннические операции, связанные с противоправным удержанием финансов жертвы при расплачивании с виртуальными магазинами, практически не расследуются в РФ.

На доработке в Российской Федерации законопроект, вводящий жесткую ответственность за совершение киберпреступлений:

  • Ст. 158 УК России дополнится пунктом о краже электронных денег, сумм с банковских счетов.
  • Ст. 183 УК России дополнится пунктом о незаконном сборе личных данных жертвы путем злоупотребления ее доверием.

Радует, что на сегодняшний день Центральный банк РФ определился с концепциями регулирования краудфаундинга — одного из способов коллективного финансирования проекта, основанного на добровольных пожертвованиях. Основные риски: использование краудфаундинга для построения финансовых пирамид, непрозрачность инструментов финансирования, возможность невозврата средств спонсорам при нереализации проекта.

Видео

Своя рубаха

Когда мы писали свой антифрод, мы смотрели на все это, проверяли работоспособность, и поставили в итоге ClickHouse.

Работает это так. У нас есть платёжная система, которой активно пользуются. Соответственно, генерится большое количество событий. Все эти события мы единым потоком сливаем в ClickHouse, где они успешно агрегируются и обрабатываются. И обрабатываются быстро.

Некоторое время назад у нас был вендорский антифрод. Вполне себе решение, работало по подписке, особых неудобств не доставляло. Но когда мы вывели для себя критерии правильного антифрода, мы стали писать свой. Писали мы его суммарно месяца два, внешняя апишечка описана swagger-ом. Когда закончили, стали тестить, сначала пускали почти весь трафик на старый, а небольшую часть — на новый. Ну а вдруг там навернется чего.

Не навернулось. Мы его активно отлаживали, использовали на старте как такую добавочную рекомендалочку. А на днях мы полностью перетащили все на него, он ощутимо быстрее старого, шустро отрабатывает все правила, в общем — полет нормальный. Но старый пока лежит как запаска.

Антифрод — это отличная почва для использования возможностей машинного обучения. Ведь на входе есть база (сами платежи), есть определенный датасет, есть модель, которая легко описывается уже известными имеющимися фродами. То есть можно для модели просто взять и на старом потоке платежей отметить — вот, зацени, тут был фрод, ату его, ату. В общем, для полноценной тренировки нейросети тут есть все, бери и пользуйся.

Уютного интерфейса мы пока не сделали, так как пока мы на этапе отлаживания протокола и правил (их у нас штук 200+, новые пишем ежедневно). Система управляется бодрым curl напрямую из консоли. И тут уже главная задача антифродера (да, есть такой специально обученный человек, который именно этим занимается) — сидеть, внимательно смотреть на трафик, получать чарджбеки из-за фрода, корректировать правила. Как видите, роботам пока не удалось полностью спихнуть с работы кожаных мешков.

В общем, новый сейчас хорош. Но пока не прямо отличный-отличный. Хотим впилить туда dry run — это когда ты написал правило, а потом прогнал через него какой-то конкретный платеж с пометкой «А что было бы с платежом, если бы к нему применилось это правило». Это вот ощутимо прокачает его возможности.

А ещё интерфейсы моделирования хочется строить. Ну знаете, как в фильмах, когда бравые ФБР-овцы отслеживают беглеца по кредитке — ага, смотри, вот тут он заправился на кредитку, вон там кофе купил, а в том городе наличку снял. И все это с привязкой к карте, прочим данным, с красивой визуализацией. Дело времени.

Виды фрода

Фрод – это, прежде всего, мошенничество. И он выходит далеко за рамки интернет-маркетинга. Тем не менее, рассмотрим, с чем приходится сталкиваться маркетологам. Его можно условно поделить на два вида: внешний и внутренний. 

Имитация заинтересованного клиента

На биржах и в социальных сетях публикуют объявление, где за вознаграждение требуют притвориться заинтересованным клиентом. Пользователь переходит по рекламе – системы аналитики фиксируют, что он пришел по платному трафику – и делает вид, что ему интересен продукт. На самом деле усилия персонала, например, отдела продаж, впустую. А рекламный подрядчик, CPA-платформа или рекламное агентство, получает выплату за привлечение лида. 

Для этого часто используют звонки с подменных номеров и одноразовых SIM-карт. Подмена исходящего номера – один из способов мошенников остаться незаметным и при этом выдать себя за другого человека, если это необходимо. Нередко подключают ненадежные SIM-карты – их продажа нелегальна. Узнать в таких случаях, кто на самом деле звонил в компанию, практически невозможно. Продажи и общение с клиентами через звонок по-прежнему остается одним из основных способов связи для бизнеса. Поэтому фрод через телефонные вызовы встречается везде. 

Атаки ботов

Здесь боты имитируют действия человека, например, переход по ссылке. Более продвинутые скрипты умеют проводить на сайте как можно больше времени и даже скроллить страницы. Моментальная атака ботов способна за считанные часы «скликнуть» весь маркетинговый бюджет. Существует большое количество всевозможных скриптов и алгоритмов, которые нацелены на причинение вреда сайта. Такими услугами могут пользоваться конкуренты или злоумышленники, которые постоянно находятся в поисках жертвы. 

Внутренний фрод

Внутренний фрод – под этим понимают мошенничество, которое совершается сотрудником внутри организации. Для этого он использует свое служебное положение и доступ к рабочему оборудованию в корыстных целях. Менее актуально для интернет-маркетинга в отличие от внешнего фрода.

Как оценить эффективность антифрода

Здесь лучшим показателем эффективности будет снижение фродового трафика. Если система не дает результата, это говорит о том, что антифрод не работает. Борьба с фродом напоминает гонку вооружений: скрипты ботов постоянно обновляются и становятся умнее, а системы обновляют свой функционал. 

Архитектура системы

Кратко коснемся архитектуры антифрод-сервисов. Как правило, они ориентированы в сторону клиент-серверного построения. Технические особенности же во многом будут зависеть от дизайна, избранного конкретных разработчиком, и среды, в которую его продукт будет внедряться.

Но любая из систем обязательно будет содержать в себе следующие элементы:

  • Ядро всей системы.
  • Базы данных.
  • Консоли управления.
  • Специальные клиентские модули.

Если мы обратимся к обзору мобильных антифрод-систем, то их наполнение в целом будет таким же. Переходим к новой теме.

Антифрод – проверка на вшивость

Антифрод-система оценивает транзакции – преимущест

Антифрод-система оценивает транзакции – преимущественно те, что были сделаны через интернет. Она выясняет, насколько подозрительной была транзакция, как высока вероятность того, что её выполнили мошенники.

В каждом антифрод-сервисе есть набор правил, списков и фильтров. Все они задействуются для расчёта рейтинга транзакции. Кроме того, система может предлагать рекомендации по дальнейшей обработке транзакции.

Антифрод-системы разрабатывают в основном банковские департаменты, которые отвечают за безопасность. Visa, MasterCard, PayPal и другие платёжные гиганты также имеют свои антифрод-сервисы.

Собственный антифрод есть у российского Управления К. Его используют, чтобы предупредить мошенничество в сфере информационных технологий.

Классы антифрод-систем

Существуют два типа антифрод-систем. Первый предназначен для анализа транзакций (платежей). Чаще всего его называют транзакционным антифродом. Основной особенностью такой системы является использование сигнатурного метода выявления мошеннических действий и / или применение машинного обучения на огромном количестве финансовых операций или действий сотрудников.

Сигнатурный метод основан на использовании определённых правил. Данный подход базируется на срабатывании триггеров в соответствии с заранее описанной логикой. К подобным фильтрам относятся слишком крупные или частые транзакции, транзакции в нетипичных и нелогичных местах геолокации и другие сомнительные действия, которые, очевидно, нуждаются в дополнительной проверке. Для выявления мошеннической операции нередко применяются комбинации сигнатур. Современная антифрод-система имеет в своём арсенале несколько сотен подобных правил. Однако у подобного метода есть недостатки — например, необходимость постоянной доработки старых правил и создания новых.

Подход основанный на машинном обучении заключается в обработке больших массивов данных и в реализации алгоритмов, которые выявляют скрытые корреляции между действиями пользователя и вероятностью мошенничества. Например, в банках берётся база прошлых транзакций с отмеченными в ней операциями, которые были заблокированы (скажем, переводы денежных средств без согласия клиента), и в ходе обучения антифрод выявляет закономерности, которые привели к блокировке. В дальнейшем он сможет самостоятельно выявлять и блокировать аналогичные транзакции.

 

Рисунок 1. Пример работы транзакционного антифрода

 

Второй класс систем — это так называемый браузерный, или сессионный, антифрод. В отличие от первого типа он не выявляет аномалии среди транзакций или других операций. Сессионный антифрод собирает различную техническую информацию о сеансе работы пользователя, например сведения об устройстве, с которого был произведён платёж, данные о соединении, по которому передавалась информация, параметры поведения пользователя (каким образом были произведены нажатия на клавиши, как перемещался курсор и как делались щелчки мышью, положение смартфона в руках и другие действия).

Кроме того, браузерный антифрод в отличие от транзакционного позволяет выявить кражу учётных записей, например в результате фишинговой атаки или утечки данных, а также определить, что аккаунт принадлежит злоумышленнику, ещё на самом раннем этапе, когда кибермошенник только делает попытку зарегистрироваться в системе.

 

Рисунок 2. Перечень технических сведений о пользователе в браузерном антифроде

 

Данный тип антифрода анализирует большое количество технических данных и различных нюансов поведения пользователя с использованием устройств. Все эти процедуры не реализованы в транзакционных антифрод-системах. Из-за сложности при разработке механизмов работы сессионных антифродов данный класс систем меньше представлен на рынке.

Особенности интеграции системы

Работы по внедрению Web Antifraud в инфраструктуру не отличаются большой сложностью.

Для интеграции антифрод-системы с сайтом заказчика необходимо добавить JavaScript-код в критически важные страницы, которые следует контролировать, и подключить серверную часть (бэкенд) сайта к API разработчика. Для того чтобы при интеграции не возникало трудностей, клиенту предоставляется подробное описание работы API Web Antifraud. Также можно привлечь для консультаций службу технической поддержки.

Следует отметить, что антифрод-система собирает только данные из браузеров пользователей при посещении сайта заказчика и получает уведомления о выполнении определённых действий (например, входа в аккаунт, регистрации, перевода денежных средств). Таким образом, интеграция с сайтом получается вполне поверхностной и не требует изменения логики его работы.

Сфера применения антифрод-систем

Антифрод-системы используют банки, онлайн-магазины и платежные системы, такие как Visa, MasterCard или PayPal. Кроме того, антифрод-технологии могут применяться и в других сферах, например в видеоиграх, для защиты внутриигровых транзакций. Также термином «антифрод» называют решения, которые рекламодатели используют для выявления и пресечения кликфрода (накручивания кликов по рекламным ссылкам).

Теги

Adblock
detector