0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как выбрать антифрод-систему

Содержание

Как выбрать антифрод-систему?

Сегодня мошенничество, связанное с финансовыми онлайн-транзакциями, становится все более сложным и продвинутым, что, в свою очередь, приводит к внушительным финансовым потерям как со стороны клиента, так и со стороны финансовых организаций. Подобные действия в онлайн-банках постоянно развиваются, их сложно анализировать и выявлять из-за обманного поведения, которое динамично, распространяется по разным профилям клиентов и распределено по очень большим и разносортным наборам данных.

Несмотря на значительное количество антифрод-систем, большинство из них направлено на детектирование определенных сигнатур фрода. Такой подход позволяет выявлять лишь мошеннические операции, описанные в сигнатурах, и то на достаточно непродолжительный временной период – злоумышленники адаптируются, находят новые уязвимые точки и используют другие инструменты для очередных атак. В связи с этим при построении современных антифрод-систем становится необходимым применение технологий машинного обучения, корректно настроенные алгоритмы которых позволяют не только детектировать более сложный фрод, но и адаптироваться к динамичным условиям онлайн-транзакций. В статье мы проанализируем актуальные проблемы по детектированию фрода, попробуем разобраться в эффективности сигнатурных методов и машинного обучения по выявлению мошеннических операций, а также рассмотрим наиболее популярные и эффективные алгоритмы машинного обучения, использующиеся при построении антифрод-систем.

Актуальные проблемы антифрод-систем

Большинство антифрод-систем построено по типу rule-based, то есть на сигнатурном выявлении нелегитимных операций. Данный подход позволяет детектировать определенные мошеннические действия, однако имеет ряд недостатков. Кроме того, важно не просто обнаружить фрод, но и сделать это мгновенно, потому что восстановить убытки и репутационные потери при позднем детектировании будет практически невозможно. Вот почему необходимо, чтобы антифрод-система имела высокую точность и скорость обнаружения мошенничества при незначительных показателях ложных срабатываний, тогда процесс выявления аномалий не превратится в процедуру по расследованию легитимных операций.

Рассмотрим наиболее актуальные и значимые проблемы при построении и эксплуатации антифрод-систем:

  • Массив анализируемых данных очень большой, разносортный и несбалансированный, в связи чем появляется проблема по обработке данных очень большого объема. По статистике, количество мошеннических операций на общее число операций не превышает 0,01%. Столь огромный дисбаланс существенно усложняет выявление мошеннических операций.

Рис. 1. Соотношение легитимных и мошеннических операций

Необходимость обнаружения мошеннических действий в режиме реального времени, поскольку временной интервал жизненного цикла типовой транзакции очень короток. Для того чтобы успеть предотвратить финансовые потери, антифрод-триггер должен срабатывать максимально быстро.

Мошенническое поведение динамично изменяется. Злоумышленники, также как и защищающаяся сторона, следят за постоянно развивающимися технологиями и современными антифрод-решениями, поэтому мошенники регулярно совершенствуют и модернизируют свои методы и инструменты атак.

Модели поведения клиентов (групп клиентов) банка существенно различаются. В свою очередь, мошенники научились успешно подделывать подлинное поведение определенных клиентов (групп клиентов) и периодически его изменять, тем самым расширяя легитимные пороги для операций. Учитывая это, охарактеризовать мошенническое действие становится все труднее.

Сигнатурные правила или машинное обучение?

Как уже было сказано, в качестве основного функционала по выявлению мошеннических операций подавляющее количество антифрод-систем использует сигнатурные правила. Но достаточно ли они эффективны? Применение технологий машинного обучения в обнаружении мошенничества получило широкое распространение в последние годы и сместило интерес отрасли от антифрод-систем, созданных на сигнатурах, к решениям на основе Machine Learning. В чем же ключевое различие обоих подходов и какой из них эффективнее?

Сигнатурные правила. Подход, основанный на сигнатурных правилах, базируется на срабатывании триггеров в соответствии с логикой, описанной профильным экспертом. К наиболее популярным относятся слишком крупные или частые транзакции, транзакции в нетипичных местах геолокации и другие, которые, очевидно, нуждаются в дополнительной проверке. Для выявления фродовой операции нередко применяются комбинации из таких сигнатурных правил. На сегодня типовая антифрод-система имеет в своем арсенале около 300 подобных правил. Основные недостатки данных систем – постоянная необходимость доработки старых и создания новых правил, способных предотвратить угрозы, актуальные для бизнеса, и невозможность определения неявных корреляций. Часто такие системы используют в качестве бэкенда примитивное программно-аппаратное обеспечение, которое не в состоянии обрабатывать большие данные в реальном времени. Схематично процесс работы антифрод-системы, базирующейся на сигнатурных правилах, представлен на рис. 2.

Рис. 2. Схема работы антифрод-системы, базирующейся на сигнатурных правилах

Машинное обучение. Несмотря на относительную эффективность сигнатурных правил, направленных на детектирование очевидных мошеннических операций, в пользовательском поведении бывают скрытые события, способные неявно сигнализировать о возможном фроде. Машинное обучение направлено на реализацию алгоритмов, выявляющих скрытые корреляции между действиями пользователя и вероятностью мошенничества. Благодаря этому возможно значительно снизить риск пропуска потенциальных мошеннических действий и в то же время не увеличить показатель ложных срабатываний. Антифрод-системы, базирующиеся на машинном обучении, как правило, имеют современные инструменты по обработке и анализу данных, что позволяет сократить время и трудозатраты на детектирование мошенничества. Схематично процесс работы антифрод-системы, основанной на машинном обучении, представлен на рис. 3.

Рис. 3. Схема работы антифрод-системы, базирующейся на машинном обучении

Эксперты Angara Technologies Group, основываясь на практическом опыте, отмечают следующие ограничения, присущие сигнатурным правилам при выявлении мошеннических операций:

Фиксированные критичные пороги.

Абсолютные значения о показателе фрода («да» или «нет», отсутствие вероятностей).

Повышенная вероятность ошибки, вызванной человеческим фактором.

Низкое покрытие общего числа мошеннических сценариев.

Отсутствие realtime-обработки и анализа.

Невозможность адаптации правила под динамичное поведение клиента.

Обзор и сравнение алгоритмов машинного обучения, применяемых в антифрод-системах

Учитывая сложность детектирования мошенничества и недостаточную эффективность сигнатурных правил становится ясно, что необходимы новые инструменты. На текущий момент машинное обучение является наиболее эффективным подходом к построению современных антифрод-систем. Однако на каком алгоритме остановить свой выбор или, быть может, стоит использовать сразу несколько? Рассмотрим наиболее популярные алгоритмы машинного обучения и сравним их на предмет того, какой из них наиболее эффективен при детектировании мошенничества. В качестве критериев оценки были выбраны следующие:

Алгоритм должен обладать высокой точностью обнаружения мошеннических действий при обработке больших объемов данных – «точность».

Алгоритм должен покрывать максимально большое число возможных мошеннических сценариев – «покрытие».

Алгоритм должен быть наименее затратным как в плане временных ресурсов, так и денежных – «стоимость».

В таблице представлен сравнительный обзор ключевых алгоритмов, которые используются в современных антифрод-системах. Сопоставление алгоритмов проводилось на основании частоты их применения и критериев, рассмотренных выше, где 1 – «низкий», 2 – «средний», 3 – «высокий». Выбор перечня алгоритмов и соответствующих оценочных показателей основан на исследовании 2019 года Ясского университета имени А. И. Кузы о наиболее часто используемых алгоритмах машинного обучения в антифрод-системах – «An Analysis of the Most Used Machine Learning Algorithms for Online Fraud Detection».

Таблица. Сравнение алгоритмов машинного обучения

Со стороны платежной системы

Самое очевидное зло от фрода — это потери средств при мошеннических переводах. Но есть еще и проблемы, которые могут прилетать самой компании, в которой количество чарджбэков (чб — процедура опротестования платежа, которая запускается банком-эмитентом) и фрода начинают превышать установленную норму. А это уже сразу паровозом и репутационные потери, и финансовые, и регуляторные. Под регуляторными я тут имею в виду неиллюзорную возможность попасть на мониторинг платежных систем в отношении каждого терминала нашей компании (по каждому из них отдельно отслеживается уровень фрода и чарджбэка, а не по показателям компании в целом).

Существуют такие показатели как fraud to sale и chargeback to translation ratio. Лимит fraud to sale у Visa составляет 0,9% от общего оборота или 75 000 долларов). То есть если на 1000 продаж у тебя 90 случаев фрода — это очень и очень громкий звоночек. Плюс в том, что Visa ставит такой лимит именно для кросбордерных транзакций, игнорируя случаи, в которых все участники платежа находятся в одном регионе. А минус в том, что в нашем случае достичь такого лимита как два байта переслать, у нас кроссбордерных операций очень много.

У MasterCard правила более жесткие, она считает все операции, ей без разницы, кроссбордер это или domestic (в одном регионе). Фрод есть фрод. Санкции в случае с MC представляют собой приезд аудиторов, которые будут лично внимательно следить за тем, как в компании ведется борьба с фродом. Конечно, компания может отказаться от визита аудиторов, мол, нет, извините, не пустим. В ответ на что представители MC пожмут плечами и просто отключат компанию от своей системы.

В общем, когда fraud to sale или chargeback to translation ratio начинает перешагивать установленный лимит, платежная система начинает медленно обращать на тебя свой тяжелый усталый взор, сулящий мало приятного. Тебе начинают приходить нотификации, прилетают штрафы, тебе дают возможность (тот самый случай, когда возможность = обязанность) пофиксить такое положение дел, приходится заполнять кучу бумаг, документации и remediation-планов. Мало приятного и много сложного.

И кроме всей этой официозной волокиты идут и финансовые потери — компания платит за это штрафы. Может открыться так называемое “чарджбэчное окно”, в которое начинают бодро прилетать все чарджбэки, заявленные в системе мониторинга платежных систем. Банк-эквайер не может оспорить такие операции, поэтому он перекладывает ответственность на своего payment-фасилитатора (то есть на нас). Мы пытаемся отбиваться от этого, взыскивая средства с наших мерчантов, возникает дебиторская задолженность, а это снова напряги и время.

Читать еще:  Заказать интернет магазин под ключ

В общем, если есть возможность этого избежать — надо избегать. Для этого и нужен хорошо отлаженный антифрод. С метриками, их подробным учетом, отображением и мониторингом.

Три кита

Во-первых, это интерфейс написания правил. Удобный, красивый и понятный. Об этом будет чуть ниже.

Во-вторых, специальный язык написания этих правил.

В-третьих, быстрая обработка этих написанных правил.

Почему быстро — потому что скорость тут реально важна. Антифрод как сущность ставится в разрыв платежной системы. И тут есть два подхода подобной реализации.

Здесь в приоритете именно скорость проведения платежей. Бизнес обычно в такой ситуации принимает решения, что приоритет по скорости терять не стоит, поэтому если вдруг антифрод будет что-то долго обдумывать, анализировать и в целом немного тормозить процесс — пофиг, пляшем, игнорируем показания антифрода и просто проводим платеж.

2) Минимизация рисков

В этой ситуации бизнес понимает, что антифрод, в общем-то, не просто так поставили в систему, и прислушивается к его показаниям. Если есть подозрение на фрод, то бизнес тормозится, разбираются в ситуации, и только потом платеж проводится. Или не проводится.

Поэтому антифрод должен быть быстрым, максимально быстрым, и при этом адекватно конфигурироваться.

Внутри самого антифрода, на самом деле, довольно несложные колоночные вещи, там уйма задач на агрегацию данных. Вот смотрите, что собирается в системе:

  • ip
  • fingerprint
  • БИН банка
  • ID мерчанта
  • токен карты

И есть задача вида схлопнуть в окне движущееся сейчас количество платежей с конкретным значением. Например, посмотреть прямо сейчас, что проводится с определенного фингерпринта. Или уточнить проходящие платежи по конкретной карте. Это очень помогает работе.

Да, кстати, важно понимать, что антифрод — это не вещь в себе. Он не может быть плохим или хорошим, это инструмент, требующий настройки. И если антифрод работает хреново, это не потому, что антифрод хреновый — это его хреново настроили, вписали не те правила или не учли еще кучу важных штук.

А настраивать его правильно важно для бизнеса. Не только потому, что из банка, где антифрод хреновый, все клиенты разбегутся, а потому, что отрасль тут сильно зарегулирована. Если в банк приходит слишком много фродового чарджбека, это повод для штрафов и дополнительных проверок. Ну а если совсем все грустно, то отключат нафиг от платежной системы.

И это правильно. Если ты оперируешь чужими деньгами, люди тебе их доверяют, а ты не в состоянии их защитить — на кой ты вообще на рынке? Открой шиномонтаж, например.

Поэтому у тебя или хорошо настроенный антифрод, или никакого вообще, ибо тебя выкинули с рынка и он тебе больше не нужен.

Содержание

На что нацелены киберпреступники?

Киберпреступники хорошо оснащены и организованы, в таких группах есть ролевое распределение – координаторы, дропперы и прочие специализации. Технологии хищения также развиваются и представляют полноценный технологический процесс — от стадии выявления уязвимостей до готовых инструментов и методов хищения.

Атаки, при этом, могут вестись на информационные системы и самих банков и их клиентов, включая АРМ КБР (Автоматизированное рабочее место клиента Банка России), СДБО (система дистанционного банковского обслуживания), АБС (Автоматизированная банковская система) и прочие. Основная цель киберпреступников – максимизация прибыли от хищения при минимизации рисков, реже – причинение репутационного ущерба.

Для противодействия хорошо подготовленным киберпреступникам требуется комплексный подход по предотвращению мошеннических операций при дистанционном банковском обслуживании.

Какие существуют методы борьбы с фродом?

С самого начала развития каналов дистанционного банковского обслуживания возникла необходимость в защите от несанкционированного их использования.

На текущий момент комплекс средств борьбы с мошенничеством довольно широк, это и стандартные логин и пароль, ЭЦП, аппаратные и программные ключи, антивирусное ПО, оповещение по SMS о совершенных операциях, коды доступа по SMS на каждую или наиболее рисковую операцию, автоматическое завершение сессии пользователя при настраиваемом времени неактивности, установка лимитов платежей, промышленные антифрод-системы и прочее.

При этом важно понимать, что любые технические и программные средства будут бесполезны без соблюдения элементарных правил безопасности, без организационных мер. Хороший тому пример – рост числа хищений с помощью методов социального инжиниринга, когда человеческий фактор становится самым слабым звеном в цепи.

Как устроена работа антифрод-решения для системы ДБО?

В настоящее время существует довольно много различных антифрод-решений, классифицировать их можно по следующим признакам – внутренние или внешние, западные или отечественные, самописные или промышленные, на базе продукционных правил или более сложных систем искусственного интеллекта, универсальные или бизнес-ориентированные, облачные или локальные (устанавливаемые внутри банка), коммерческие или свободно распространяемые и пр.

Т.к. мы рассматриваем только антифрод-решения для предотвращения мошенничества в каналах ДБО, частный случай схемы работы такой системы можно представить так (хотя антифрод-система может также напрямую взаимодействовать с АБС):

Простейшие антифрод-решения используют обычные фильтры, аналогичные фильтрам в АБС (по сумме платежа, черным спискам и пр.), более сложные обучаются на накапливаемых данных о поведении клиентов, истории платежей и используют хорошо зарекомендовавшие себя методы машинного обучения, такие как поиск аномалий (отклонений от обычного поведения).

Все эти решения помимо их предназначения объединяет одно – все они получают данные для анализа из некоторого источника и на основе определенных критериев делают свое заключение, считать ли платеж правомочным или мошенническим.

Основным источником данных для анализа является, как нетрудно догадаться, система ДБО, т.к. именно через нее идет общение клиента с банком и именно в ней формируются платежные документы и другие события, анализом которых и занимается антифрод-система. Часть этих данных антифрод может получить и из АБС, но информация о многих событиях системы ДБО до АБС не доходит, т.к. в АБС она просто не нужна.

Также источниками информации могут служить «черные списки», распространяемые анти-дроп клубом, ЦБ РФ (FinCERT), базы проверки контрагентов, сформированные по открытым и закрытым источникам (например, от компании «Интегрум»).

Среди анализируемых антифрод-системой параметров и событий могут быть как данные получателя платежа (конечный пункт назначения (куда уходят деньги), другие реквизиты и параметры платежа), так и характеристики рабочего места отправителя платежа. Эти данные включают, в том числе, информацию о получателе платежа, банке получателя, назначении и сумме платежа, времени и периодичности платежей, остатке по счету, IP и MAC адресе, ошибках входа и изменения логина/пароля, изменении устройства, провайдера или домена в ходе сессии работы пользователя, наличии ПО удаленного доступа (например, RDP), наличии обращений к зловредным доменам, изменении формы, геоданные и прочие. В реально работающих системах фрод-анализа таких параметров десятки.

Как отмечалось выше, в развитых антифрод-системах данные анализируются в динамике, с учетом накапливаемой истории платежей по каждому клиенту и при каждом платеже или другом событии производится поиск аномалий, т.е. отклонений от стандартных паттернов поведения, присущих определенному клиенту.

Основными метриками эффективности антифрод-систем является процент ложных срабатываний – положительных (правомочный платеж признан фродом) и отрицательных (пропущен фродовый платеж). Обе метрики должны быть минимизированы, т.к. в случае положительного ложного срабатывания потребуется ручная проверка платежа (нагрузка на сотрудников банка) и до получателя деньги дойдут позже, а в случае отрицательного деньги будут украдены киберпреступниками. Эти две метрики взаимосвязаны и зависят от настройки чувствительности системы или, по-другому, от порога срабатывания. Развитые антифрод-системы при соответствующей настройке и опытном фрод-аналитике позволяют снизить положительные ложные срабатывания до менее 1%, а отрицательные свести практически к 0.

По каким критериям нужно выбирать антифрод-систему для банков?

При выборе системы фрод-анализа каждый банк сам определяет какие характеристики антифрода для него наиболее важны. Тем не менее, можно привести ряд качественных и количественных критериев, на которые стоит обратить внимание при выборе:

  • Эффективность решения — на основе опыта использования в других банках;
  • Зрелость решения – сколько лет существует на рынке;
  • Специализация решения – учет специфики российского банковского бизнеса;
  • Количество внедрений в России – количество и размер банков;
  • Скорость внедрения системы – в том числе доступность команды внедрения;
  • Развитие и сопровождение системы – наличие у вендора необходимых ресурсов и экспертизы, возможности и готовности модифицировать систему под нужды банка;
  • Интеграционные возможности – наличие интеграции с СДБО, АБС, внешними поставщиками информации;
  • Технологическая платформа – поддерживаемое общесистемное программное обеспечение (открытое и проприетарное, ОС, СУБД, сервера приложений), масштабируемость и прочее.
  • Стоимость решения – стоимость лицензии, поддержки, доработок, TCO.

Совокупная оценка по данным критериям позволит банку выбрать оптимальное для него антифрод-решение.

Почему банки отдают предпочтение решению «FRAUD-Анализ» компании BSS?

Решение компании BSS существует на рынке уже более 6 лет и предназначено для предотвращения мошенничества при обслуживании банком юридических и физических лиц в системах дистанционного банковского обслуживания (ДБО). Решение полностью соответствует специфике банковского бизнеса и законодательству РФ, непрерывно развивается, совершенствуя свой функционал и способность отвечать на самые серьезные современные вызовы мошенничества в системах ДБО Сегодня «FRAUD-Анализ» представляет собой мощный инструмент и внедрено в более чем 40 российских банках, включая 10 банков из ТОП-100.

Отличие решения BSS от других западных и российских антифрод-систем прежде всего в сбалансированности характеристик этого продукта. Решение не является ни самым дешевым, ни самым старым на рынке, ни самым универсальным. Почему же банки делают свой выбор в пользу него? Причин несколько:

  • Постоянное улучшение на основе 6-летнего опыта использования продукта в более чем 40 банках.
  • Одинаково продуктивно для проверки платежей юридических и физических лиц.
  • В решении реализована эффективная адаптивная модель проверки с использованием накопленных системой знаний о клиентах и их поведении. Модель гибко настраивается, в том числе, через встроенный конструктор критериев и правил.
  • Работа системы прозрачна и решения, принимаемые системой, могут контролироваться и, при необходимости, корректироваться уполномоченными сотрудниками банка.
  • Система хранит детальную информацию о проверке каждого платежа, строит профили плательщиков и получателей, формирует аналитические отчеты.
  • Решение имеет гибкую систему оповещений о различных событиях (по SMS, email).
  • В систему встроены политики безопасности, разграничение прав доступа, аудит действий пользователей, доменная и внутренняя аутентификация, журналирование всех операций.
  • Технологически система построена на промышленной платформе JavaEE с поддержкой различных свободно распространяемых и проприетарных серверов приложений (Glassfish, WebSphere AS, Weblogic ), СУБД (PostgreSQL, Oracle RDBMS, MS SQL Server), ОС (Windows, Linux). Решение легко масштабируется и настраивается.
  • Решение уже «из коробки» умеет работать с системами ДБО компании BSS: CORREQTS Corporate, CORREQTS Retail, «ДБО BS-Client x64», «ДБО BS-Client. Частный Клиент» и системой «Сервер Нотификации», а также через открытый формат легко интегрируется с АБС и другими системами банка.
  • С «FRAUD-Анализ» версии v. 4.0 система может взаимодействовать с решением по анализу рабочего места пользователя BT SB компании Group-IB.
  • Первичное развертывание системы в банке занимает всего несколько часов.
  • Компания, при необходимости, оперативно производит модификацию продукта под специфичные запросы банка.
Читать еще:  Как проверить трафик на Мотиве

Выводы

Выбор банком эффективной системы фрод-анализа позволяет свести риски кражи денежных средств клиентов, а также репутационные риски самого банка к минимуму.

Антифрод в отчетах

Антифрод: что это такое

Антифродом называют системы мониторинга и предотвращения мошеннических операций. Они проверяют каждый платеж в режиме реального времени и блокируют те, которые кажутся им подозрительными.

Приведем пример. Антон забыл вовремя продлить лицензию на антивирус и посмотрел несколько видео на порносайтах. Его компьютер заразили вирусом, который умеет считывать данные банковской карты. Антон не подозревал об этом и зашел в интернет-магазин, чтобы купить болгарку. Вирус перехватил данные карты, а мошенники потом потратили все деньги с нее на покупки в других магазинах. Антифрод может такое предотвращать — он просто не даст мошенникам оплатить заказ, и Антон не потеряет деньги.

Еще пример. Чтобы привлечь новых покупателей, вы запустили акцию: скидку 50% на первый заказ. Кто-то решил нажиться на этом: создал кучу аккаунтов и заплатил за покупки одноразовыми картами. Из-за него вы не только не получили прибыль, но еще и ушли в минус. Антифрод-системы предотвращают и такое — они оценивают не только данные карты, но и поведение покупателей в целом.

Антифрод-системы защищают всех:

  • покупателей — от воровства денег со счета и кражи данных банковской карты;
  • вас — от тех, кто нечестно пользуется бонусами, и от разбирательств с покупателями, чьи карты обналичили в вашем магазине;
  • мошенников — от преступлений.

Еще есть антифрод-системы, которые выявляют не подозрительные транзакции, а другие обманные техники или фроды. Например, видят некачественные установки приложений, фейковые лиды и скликивания объявлений, как в Яндекс.Директе. Мы остановимся подробнее на антифроде для онлайн-продаж.

Кросс-канальный мониторинг. Логичный этап развития антифрод-систем

Что такое кросс-канальный мониторинг

Прежде чем углубиться в детали кросс-канального мониторинга, начнем с определения этого сравнительно нового подхода. Кросс-канальный мониторинг – это совокупность процессов мониторинга рисковых операций, которая позволяет принимать, обрабатывать и анализировать в режиме реального времени как «финансовую» информацию, т. е. информацию о транзакционной активности клиента (включая всевозможные платежи, операции с наличными средствами, со счетами, различные переводы и т. д.), так и информацию о его «нефинансовых» операциях, таких как смена реквизитов, смена ПИН-кодов, смена паролей доступа и т. п., а также данные об устройствах, с которых клиент совершает операцию, – тип, модель, SIM-карта и др., включая анализ так называемых finger-print (цифровых отпечатков) этих устройств, элементов статической и поведенческой биометрии и данных геолокации. При этом главный смысл кросс-канального фрод-мониторинга заключается в том, что «финансовые» данные берутся одновременно из всех транзакционных каналов. Это операции по картам, операции с использованием систем ДБО (интернет-банк, мобильный банк), а также операции со счетами/вкладами, совершаемые клиентом непосредственно в отделениях банка.

Соответственно, обрабатывая всю эту информацию в режиме реального времени, система кросс-канального мониторинга обеспечивает возможность автоматизированной генерации алертов и принятия решений.

Основные этапы развития мониторинга: офлайн-системы

Чтобы проанализировать и понять предпосылки для внедрения кросс-канального мониторинга, стоит предпринять небольшой исторический экскурс, цель которого – показать, какой путь прошли за последние десятилетия схемы мошенничества в банковской сфере и, соответственно, подходы банков к противодействию преступной активности.

Простейшие элементы фрод-мониторинга, которые тогда еще нельзя было назвать «системами», стали разрабатываться в банках еще в середине 1990-х годов, когда в России началась достаточно активная эмиссия банковских карт. Росло количество карт, росли денежные обороты. Вполне естественно, что вместе с этим на отечественный рынок стали приходить и развиваться всевозможные схемотехники хищений денежных средств с использованием банковских карт. Как раз к середине 1990-х они получили достаточно широкое распространение, и размеры таких хищений стремительно росли.

В основном это было связано с распространенной в то время технологической практикой международных платежных систем. Коммуникационные сети, процессинговые центры и другие технологические сегменты, призванные обеспечивать стабильную работоспособность банковских карт, были еще недостаточно развиты для передачи и обработки больших потоков данных в режиме онлайн. И поэтому, для того чтобы держатели карт не испытывали частых проблем с обслуживанием карт из-за необходимости онлайн-авторизации каждой операции банком-эмитентом и связанных с этим всевозможных «технологических» отказов, международные платежные компании ввели систему floor-limit. Это была система лимитов, предусматривающая максимальные суммы карточных операций, в пределах которых направление онлайн-запроса на систему авторизации банка для торгово-сервисных предприятий не было обязательным. Запрос в банк-эмитент не приходил, карта проверялась только на предмет отсутствия ее в стоп-листе, и в случае подтверждения этого – операция по карте разрешалась. Надо сказать, что floor-лимиты устанавливались достаточно высокие. Так, на европейском рынке, тогда еще не объединенном зоной евро, например, в Германии, для супермаркетов сети Karstadt лимит был в размере 500 марок (около 300 долларов США в то время). Аналогичные лимиты действовали в крупных торговых сетях Франции, например в Galleries Lafayette, и других стран Европы.

Данной ситуацией очень профессионально пользовались преступники. В основном мошенничество осуществлялось следующим образом: вначале злоумышленники открывали в банках карты под самыми различными предлогами, часто по поддельным документам, либо используя «дропов» (подставных лиц). Иногда организовывая для этого несуществующие фирмы с набором большого количества псевдосотрудников, которых обязывали открывать в банках карты. Причем часто сами оплачивали им выпуск. Потом мошенники собирали эти карты с нулевыми балансами и отправлялись с ними в Европу, где устраивали настоящий «покупательский» чес по магазинам, торгующим высоколиквидными легкореализуемыми товарами, и наполняли ширпотребом (электроникой, джинсами и т. п.) буквально целые контейнеры и трейлеры. Естественно, приобретая это все по ценникам в пределах floor-лимита для конкретного магазина.

Далее набитые ходовым товаром фуры везли в Польшу, на Украину, в Белоруссию, в страны Балтии и др., где и реализовывали товар, тем самым обналичивая денежные средства, полученные мошенническим путем. А так как денег на счетах карт изначально не было, то совершенные таким образом покупки уводили счета в глубокий дебет, иногда достигавший десятков тысяч долларов, который банкам впоследствии было практически невозможно вернуть.

Объемы такого мошенничества по тем временам были действительно гигантскими. Проведенные в магазинах операции без авторизаций, после, в клиринге, сыпались на банки как снежный ком. И этому было трудно что-либо противопоставить.

Именно тогда, столкнувшись с первой волной фрода, банки пришли к пониманию необходимости мониторинга карточных транзакций. Для этого были нужны системы, способные выявлять подобные операции, и с их помощью максимально оперативно влиять на ситуацию: блокировать карты, счета и т. п. Поначалу, по причине отсутствия промышленных онлайн-систем, мониторинг худо-бедно организовывался в псевдоонлайне, когда делались периодические выборки/отчеты с онлайн-трафика, а также анализировались клиринговые файлы на предмет выявления операций с признаками мошенничества. При этом часто использовались стандартные возможности Access и Excel. Просматривая и анализируя эти выборки, сотрудники служб безопасности банка пытались выявить повторяемые карточные операции, сходные по своим параметрам (включая страны, магазины, суммы и т. п.) с мошенническими «долимитными» операциями.

Разумеется, такие процессы не были эффективны. Даже выявление подозрительно активной карты и ее блокировка были действенны только в случае, если при последующих операциях авторизационный запрос доходил до банка, и тот мог направить магазину команду на «изъятие карты». Но и это не гарантировало, что ее действительно изымут у пользователя на кассе магазина. Персонал торговой точки зачастую был в сговоре с мошенниками, учитывая значительные суммы оборота.

Предотвратить такие хищения помогали лишь глобальные стоп-листы, которые в те годы часто рассылались банками-эквайрерами по торговым точкам на бумаге, которые уже категорично обязывали отказывать в совершении операции и изымать карты, в противном случае накладывая финансовую ответственность на магазин. Однако стоп-листы обновлялись платежными системами в среднем раз в две недели, и мошенники часто знали даты их обновления, начиная совершать мошеннические платежи со «свежей» картой как раз за две недели до ее возможного попадания в новый выпуск стоп-листа. В итоге службам мониторинга банков часто приходилось вручную обзванивать службы безопасности эквайреров, иностранные торгово-сервисные предприятия (ТСП) и даже местную полицию в попытке хоть как-то повлиять на ситуацию.

Долгий путь от офлайна к онлайну

Очевидно, что на этом фоне росли требования банков к оперативности и эффективности форд-мониторинга. Ближе к концу 1990-х банки уже начали постепенно реализовывать отдельные элементы онлайн-систем мониторинга, однако специализированных промышленных разработок на рынке представлено практически не было, они появились немного позже. Разработчики софтверных банковских продуктов, таких как процессинговые и клиринговые системы, пока еще в эту область не погрузились.

Читать еще:  Как удобнее читать электронные книги

В результате банки буквально на коленках писали какие-то скрипты в своих фронт-офисных системах, пытаясь получить возможность «выцеплять» из онлайн-потока транзакционных данных операции с «рисковыми» признаками. Это было непросто, местами «криво», поскольку информация по операциям «жила» в одной системе, счета и клиентская база – в другой. Все эти данные приходилось как-то связывать между собой, анализируя «глазами», интуитивной логикой, а не автоматизированно. Создавать какие-либо профили было сложно. Политики и приемы выявления рисковых операций были достаточно грубыми, а правила выборок – довольно примитивными. Тем не менее даже такой, но уже более «онлайновый» подход все же позволял «вытаскивать» из потока рисковые операции и на основе несложной, можно сказать, ручной экспресс-аналитики оперативно принимать решения и проводить необходимые мероприятия.

Следующей отправной точкой в развитии систем фрод-мониторинга стало начало 2000-х годов, когда не так активно, как хотелось бы, стали появляться первые профессионально написанные промышленные онлайн-решения фрод-мониторинга.

Для чего нужен антифрод

Юрий Прокофьев, аналитик компании «Фродекс»

Сегодня, по различным оценкам, порядка 95% краж средств клиентов банка связано с мошенничеством в интернет- и мобильном банкинге. Природа мошенничества динамична, и каждый день появляются новые мошеннические схемы.

Современные системы дистанционного банковского обслуживания (ДБО) используют большое количество разнообразных антифрод-систем, основной задачей которых является предотвращение осуществления подозрительных платежных поручений клиента. Большинство таких систем учитывают различные параметры платежного поручения в совокупности с некоторыми данными, полученными от клиента. Подобный подход имеет недостаток – антифрод-система работает с теми данными, которые она получает со стороны клиента. Неизвестно, кто на самом деле формирует платежное поручение и что происходит на стороне клиента ДБО на момент отправления документа в банк. Подобные знания необходимы для составления полной картины происходящего и принятия более точного решения – является данный платеж мошенническим или нет. Как раз для решения этой проблемы компанией «Фродекс» была разработана система ICFraud.

Что такое ICFraud и зачем он нужен?

Как мы знаем, эффективная система защиты состоит из нескольких уровней. Каждый дополнительный уровень усиливает систему в целом. Подобный подход позволяет каждому уровню фокусироваться на какой-либо конкретной задаче. Одним из таких уровней является система ICFraud.

ICFraud – это система мониторинга состояния клиентского окружения, выполняющая сбор необходимой для её работы информации с последующим анализом и выявлением нежелательной активности.

Что понимается под окружением пользователя? Представим себе привычную картину работы клиента с системой ДБО: пользователь открывает в окне браузера страницу интернет-банкинга, вбивает туда логин и пароль и начинает работу. Браузер клиента и то, что происходит на данный момент на странице пользователя, – все это является окружением пользователя.

Как только пользователь открывает страницу защищаемого системой ICFraud банка, последняя приступает к сбору необходимой информации и выявлению подозрительной активности.

Таким образом, система ICFraud решает сразу две основные задачи:

выявляет мошенническую активность на ранней стадии;

снижает количество ложных срабатываний основной антифрод-системы.

В таком случае, необходим способ обнаружения именно сеанса удаленного управления.

В основу разработки системы заложены принципы обнаружения мошеннических действий, выработанные исследователями со всего мира совместно с собственными проведенными исследованиями.

Испытания показали высокую эффективность обнаружения ряда популярных веб-атак, таких как session hijacking, xss и прочих.

Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого.

Как работает ICFraud?

Мониторинг осуществляется за счет собранных js-скриптом данных из пользовательского окружения.

Полученные данные частично обрабатываются скриптом и пересылаются на сервер для дальнейшего анализа. В случае выявления мошеннической активности формируется событие, информация о котором может быть получена либо по запросу через API предоставляемое системой ICFraud, либо средствами PUSH-уведомлений.

Поэтапно это выглядит следующим образом:

Клиент начинает взаимодействовать с системой ДБО банка.

На страницу клиента подгружается js-скрипт системы ICFraud.

Происходит сбор необходимой информации на стороне клиента с последующим мониторингом. Полученная информация пересылается на сервер ICFraud.

Сформированное платежное поручение обрабатывается антифрод-системой банка.

Антифрод-система банка обращается к ICFraud, используя API, и получает информацию о подозрительной активности на стороне клиента. (Также имеется возможность настройки PUSH-уведомлений.)

Используя полученную информацию, антифрод-система принимает окончательное решение, является ли данная операция клиентской или мошеннической.

Сразу стоит заметить, что никакая персональная информация о клиенте банка не собирается. ICFraud работает только с данными, которые js-скрипт получает из окружения пользователя. К таким данным, например, относятся: список плагинов, информация о временной зоне, дополнительная информация, позволяющая определять тип браузера по косвенным признакам.

Возможности системы ICFraud

Формирование уникального отпечатка пользователя Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого и собирать статистику по действиям для каждого из них. Также благодаря этому система может выполнять дополнительные аналитические проверки, оперативно выявлять изменения и «узнавать» «хорошее» и «плохое» клиентское окружение.

  • Выявление кражи cookie

Кража cookie, как правило, приводит к получению злоумышленником авторизованного доступа к онлайн-банкингу жертвы без знания логина и пароля. Способов получения cookie большое количество, но конечная цель одна и та же. ICFraud способен выявить, является ли текущая сессия «угнанной» или нет.

  • Выявление удаленного управления

Согласно статистике одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение. Подобное подключение может быть осуществлено как под предлогом «помощи» доверчивой жертве в решении какой-либо проблемы, так и троянскими программами, включающими в свой арсенал средства удаленного управления. При подобной атаке в окружении пользователя не происходит значительных изменений, и может показаться, что действия совершаются самим клиентом. ICFraud способен выявлять подобные подключения и информировать об этом банк.

  • Выявление использования анонимайзеров

Использование анонимайзеров, как правило, может указывать на мошенническое намерение пользователя. При подобном поведении есть вероятность, что логин и пароль были получены злоумышленником, который старается скрыть свое настоящее местоположение. Это может также означать, что кто-то проводит разведку для дальнего выявления уязвимостей системы. Подобное поведение является подозрительным при работе с ДБО, и ICFraud способен выявлять такие подключения.

Система ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках.

  • Выявление ботов

Как правило, боты используют как для автоматизации поиска уязвимостей, так и для подбора комбинаций логина и пароля. В любом случае работа бота с системой онлайн-банкинга недопустима.

  • Выявление внедрения постороннего кода в страницу клиента

Внедрение постороннего кода в страницу может быть как следствием успешной XSS атаки или инжекта кода в трафик, так и работой вируса на компьютере пользователя. Распространенным последствием внедрения подобной формы является отображение дополнительной формы для ввода персональных данных пользователя, в том числе логина и пароля. Также возможно добавление дополнительных тегов или , подгружающих дополнительный вредоносный код с серверов злоумышленников. Система способна обнаруживать подобные аномалии.

  • Выявление сторонних запросов со страницы пользователя

Такие запросы также могут свидетельствовать об успешно внедренном стороннем коде, который старается взаимодействовать с серверами злоумышленников для, например, передачи пользовательские данных или загрузки вредоносного кода.

  • Определение разного рода спуфинга

Зачастую, чтобы внешне быть похожим на реального пользователя, мошенники стараются выбрать и использовать то же программное обеспечение, что и у жертвы. Попытка подделать окружение пользователя может свидетельствовать о мошеннической или вирусной активности на стороне клиента, и система ICFraud осуществляет анализ на выявление подобных действий.

Возможности ICFraud позволяют защищать самих пользователей системы ДБО путем оповещения банка о подозрительной активности на стороне клиента, а также определять попытки атак на саму систему ДБО банка.

Варианты использования системы

Имеется два варианта использования системы. В первом случае система разворачивается в рамках банковской инфраструктуры, во втором – банк подключается к облаку ICFraud, которое осуществляет все необходимые расчеты.

К достоинствам первого подхода можно отнести тот факт, что данные собираются и обрабатываются на стороне банка, и банк имеет полный контроль над обрабатываемыми данными. Но имеются и недостатки. Так, например, банку необходимо выделить ресурсы для разворачивания системы и следить за его состоянием. Второй способ лишен подобных недостатков и не требует от банка дополнительных ресурсов на содержание системы.

Во втором случае, ввиду того что данные собираются с огромного количества устройств, взаимодействующих с раз личными банками, имеется возможность построения более точных моделей для системы анализа основанной на машинном обучении. Это позволяет быстрее определять мошенническую активность и выявлять новые мошеннические схемы. Более того, если некоторое пользовательское окружение было помечено системой как «плохое», то другие банки, с которыми оно начнет взаимодействовать, будут проинформированы о замеченной ранее подозрительной активности в этом окружении.

Достоинства системы ICFraud

Благодаря продуманной архитектуре система ICFraud способна быстро обрабатывать поступающую в нее информацию и оперативно информировать об обнаруженных подозрительных активностях и выявленных мошеннических действиях.

Вместо заключения

Ввиду постоянного роста числа пользователей систем ДБО актуальность защиты как самих пользователей, так и систем ДБО растет. Таким образом, система мониторинга и контроля окружения пользователя ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках.

© Компания Фродекс, 2011-2020. Использование материалов данного сайта возможно только после согласования с компанией Фродекс.

Конец истории

Недавно клиент ходил на очередную беседу в полицию и видел, как клерк выкатил три супермаркетовых тележки, полные бумаг — все по его делу. Скорее всего, клиент стал одним из звеньев в цепочке очередного хитроумного мошенничества. Возможно, схема заключается в том, что под новое юрлицо выпускаются кредитные карты в каком-либо из австралийских банков, с них делаются оплаты или снимается наличность до достижения кредитного лимита, и далее мошенники исчезают. Полиция утверждает, что близка к разгадке. Мы запаслись антифродом и с нетерпением ждем развязки.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector