Способы обнаружения и борьбы с мошенничествами FRAUD

Представьте: вы видите много интересных предложений в Интернете и пытаетесь срочно этим воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта была заблокирована банком без предупреждения.
Или вы внезапно получаете смс об удалении большой суммы: о ужас! карта используется неизвестными злодеями, которые украли ваши данные …
Я объясню вам, как банки и предприятия используют системы обнаружения мошенничества (анти-мошенничество) и защищают наши деньги (иногда от самих себя).

Что такое фрод?

Фрод в общем смысле, — это мошенничество, действия с целью завладеть чужим имуществом (товарами или деньгами) через обман.
В это понятие входят поступки от взятия кредита по поддельным документам до злоупотребления условиями возврата товаров в магазине.
Фактически, фродом можно назвать действия, представляющие финансовый риск для отдельного человека или организации, и при этом не включающие открытый грабеж с применением агрессивных методов.
По статистике, большинство случаев мошенничества приходится на карточный фрод.

Обзор слабых звеньев в цепочке онлайн-покупок

Чтобы понять особенности системы противодействия мошенничеству, сначала схематично рассмотрим цепочку событий, из которых складывается любая покупка в Интернете.

Каждая стрелка означает взаимодействие, требующее передачи данных. Если первым звеном цепи станет мошенник, то все следующие звенья так или иначе пострадают:

• Покупатель в этой схеме – реальный владелец карты или мошенник, ставший обладателем его данных.
• Торговое предприятие (ТП, в терминах электронных платежей: мерчант) – например, онлайн-магазин.
• Электронная платежная система (например, Яндекс.Деньги, WebMoney)– сервис, принимающий оплату через Интернет
• Банк-эквайер – банк, предоставляющий магазину услуги по обработке карточных платежей
• Платежная система (например, Visa, Master Card, МИР) – отвечает за расчеты между банками
• Банк-эмитент — банк выпустивший карту, которой покупатель пытается оплатить товар.

Мошенничество становится возможным благодаря добросовестному использованию данных клиентов мошенниками в результате их кражи посредством фишинга, скимминга, прямой утечки данных.
Для покупателя онлайн-покупка представляется единственной операцией с выставлением счетов в режиме реального времени, но выставление счетов между организациями, расположенными ниже по цепочке, происходит в течение нескольких дней. Если мошенничество не будет обнаружено сразу, расследование будет затруднено.

Кто страдает от такого типа мошенничества?

Как бы мы ни сочувствовали гражданам, чьи данные были украдены, всегда стоит учитывать возникающие трудности других участников сделки. Если магазин, банк или платежная система не успели отреагировать, вы как потерпевшая сторона можете попросить банк вернуть списанную сумму без вашего ведома. Обычно банк пытается встретить вас на полпути и инициировать так называемый возвратный платеж.
Но магазин, который разрешил оплату с использованием украденных данных, будет вынужден вернуть покупную цену из собственного кармана.

Если среди всех транзакций магазина окажется, что 1% или более от общей суммы являются мошенническими, международные платежные системы могут наложить штраф на банк-эквайер и магазин. Это наносит ущерб портфелю и репутации продавца и банка, ухудшая возможность их будущего сотрудничества с другими организациями.
Для устранения этих осложнений в банке, платежной системе или интернет-магазине задействованы системы защиты от мошенничества.

Антифрод

В современном понимании антифрод — это аналитическая система и набор мер, используемых для оценки финансовых транзакций (в том числе онлайн) с точки зрения вероятности мошенничества.
Системы защиты от мошенничества пытаются обнаруживать мошеннические действия на основе характеристик транзакции и клиента.
Выявляя необычное поведение и применяя встроенные фильтры, решение по борьбе с мошенничеством оценивает риск транзакции и применяет специальные меры, запрещающие или разрешающие ее выполнение, или рекомендации по дальнейшей обработке события сотрудниками банка (аналитики мошенничества).
На рынке представлено множество подобных решений с собственной архитектурой и функционалом, но принципы работы у них схожи.

Принцип работы антифрод

Делая покупки в интернет-магазине, добавьте товары в корзину, разместите заказ и перейдите на страницу оформления заказа. Минимальные данные, которые вы также должны предоставить, — это номер карты, имя владельца и код CVC.
Однако фактически передаваемых данных гораздо больше: это информация о среде выполнения (браузер, операционная система и устройство), IP-адрес, файлы cookie, включая идентификатор сеанса http и т. д.

При совершении покупки пользователь выполняет действие в браузере или мобильном приложении, транзакция отправляется (без указания деталей) на внутренний сервер банка, а затем во внутренние информационные системы банка для проведения расчетов.

общие принципы работы антифрод-системы на стороне банка.

Внутренний сервер банка передает информацию о транзакции в систему защиты от мошенничества и ожидает разрешения «провести» платеж и зафиксировать его в автоматизированных банковских системах.
Система по борьбе с мошенничеством (а иногда и аналитик по мошенничеству) анализирует информацию, чтобы принять решение о законности этой транзакции.
Система защиты от мошенничества обрабатывает входящие события (платежи), оценивает ваш риск, при необходимости запускает другие службы (например, дополнительную аутентификацию клиента) и отправляет решение обратно.
В результате платеж пользователя подтверждается или отклоняется.

Происходящее внутри антифрод-системы

Стоп-листы

Это «жесткие» фильтры: если характеристики транзакции содержат информацию, имеющую отношение к стоп-листу, все последующие проверки отменяются и транзакция отклоняется. Обычно проверяются номер карты, IP-адрес, точка продажи и страна.
Система защиты от мошенничества проверит, входит ли номер карты в список номеров, используемых преступниками или просочившийся на черный рынок, когда бизнес отмечен как подозрительный.
Крупные интернет-магазины часто не принимают карты, выпущенные в определенных странах Азии, Латинской Америки и Африки, поскольку международная статистика свидетельствует о большом количестве мошеннических транзакций с банковскими картами из этих регионов.

Оценка риска

Если транзакция не блокируется немедленно на основании стоп-листов, система защиты от мошенничества применяет ряд правил для оценки степени риска.
Во-первых, информация о транзакции дополняется информацией о клиенте, его карте, истории платежей, «вытягивается» из различных банковских систем и других источников (например, скорость передвижения пользователя можно оценить по геолокационным данным с вашего мобильного устройства) .
Транзакция получает определенный балл: от «безопасного» (зеленый) до «требующего дополнительной проверки» (желтый) или «очень подозрительного» (красный).

Как система опознает подозрительные операции

Правила антифрод-системы устанавливают ограничения (лимиты) на транзакции исходя из таких факторов, как:

• Количества покупок одним клиентом или по одной карте за определенный отрезок времени
• Сумму одной покупки по карте (или одним клиентом) за отрезок времени
• Количество карт, которыми за определенный промежуток времени пользуется один клиент
• Количество пользователей, совершающих покупки по одной и той же карте
• История операций данного клиента магазина / держателя карты (особенно – покупок и снятия средств)
• Профиль среднего покупателя магазина, в котором совершается онлайн-покупка

Основным триггером (сигналом), по которому событие помечается как подозрительное, является неоднородность данных или событие, не характерное для данного клиента или профиля (группы) клиентов, к которым он принадлежит.
Системы защиты от мошенничества хранят и обрабатывают большие объемы данных с использованием сложных математических методов и могут выявить связи, которые не очевидны даже для внимательного сотрудника, и необычные новые закономерности, которые еще не были описаны существующими сценариями в системе.

Однако можно привести примеры ситуаций, которые антифрод-система с большой вероятностью оценит как несущие высокий риск.

К типичным подозрительным операциям при онлайн-покупке относятся:

• Оплата по одной карте с разных устройств, имеющих разные IP адреса
• Оплата с одинакового устройства и IP адреса с использованием различных карт
• Повторные неудачные попытки подтверждения транзакции
• Использование одной и той же карты для оплаты заказов разных учетных записей в одном и том же онлайн-магазине
• Различия в имени учетной записи покупателя онлайн-магазина и владельца карты, с которой оплачен заказ
• Разные страны покупателя, магазина и банка-эмитента карты

Решение системы

Условные баллы, указывающие на степень риска транзакции (оценка), определяют, будет ли она признана безвредной и одобренной, требующей дополнительного подтверждения личности клиента (аутентификация) и / или проверки аналитиком, или сразу же классифицирована как мошенническая и отклонена.

Как система аутентифицирует пользователя

Если система противодействия мошенничеству присвоила транзакции, требующей дополнительной аутентификации, уровень риска, после ввода реквизитов карты вы можете получить электронное письмо с запросом подтверждения покупки, SMS с кодовым словом, push-уведомление в мобильном приложении. .
Кроме того, банк может заблокировать небольшую сумму на вашей карте, а затем попросить вас ввести ее точную сумму, чтобы убедиться, что карта действительно принадлежит вам. При больших суммах транзакции вам может позвонить сотрудник банка, чтобы подтвердить платеж.
После успешной аутентификации система защиты от мошенничества дает зеленый свет: транзакция может быть успешно завершена.

Работа фрод-аналитика

При ручном управлении аналитик по мошенничеству рассматривает событие («инцидент»), классифицируя его как «определенно мошенническое» или «определенно законное». Окончательный статус легитимности транзакции может зависеть не от решения отдельного сотрудника, а от совокупной оценки нескольких аналитиков, работающих независимо друг от друга.

Пример работы антифрод-системы

Давайте на несколько минут перейдем от клиентов банка к аналитикам по борьбе с мошенничеством и пройдем этап анализа транзакций на примере одной из самых известных систем борьбы с мошенничеством SAS AML (SAS AntiMoney Laundering — название говорит само за себя).

Такие системы состоят из следующих функциональных частей:

1. Хранение данных
2. Триггеры и оповещения («алерты»)
3. Расследование
4. Встроенная аналитика
5. Администрирование антифрод-системы

1. Хранение данных

Не вдаваясь в технические подробности, отметим, что система защиты от мошенничества имеет информацию о клиентах и ​​их транзакциях, техническую информацию о структуре данных, настраиваемые правила и стоп-листы, а также историю всех предупреждений о подозрительных транзакциях, совершенных системой и история всех решений, принятых сотрудниками Департамента по борьбе с мошенничеством Банка на основании этих отчетов.

2. Уведомления и сценарии

Эта часть системы, как и хранилище данных, скрыта от глаз обычного пользователя, но устроена довольно интересно.
Под сценарием понимается некая типовая ситуация, на которую система должна определенным образом реагировать.
Помимо библиотеки типовых скриптов, уже имеющихся в системе, сотрудники банка могут создавать свои собственные.

Система позволяет реагировать на события и транзакции на основе различных правил:

• Отдельных событий (например единоразового изменение адреса местоположения клиента банка),
• Исторической цепочки событий (например, ряда покупок, сделанных с небольшим временным интервалом в различных локациях),
• Поведенческих сценариев (то есть сочетания различных действий клиента в течение определенного времени – например, изменения привязанного к карте номера мобильного, за которым следует снятие крупной суммы наличных в банкомате).

Система позволяет настраивать правила, на основании которых изменяется внутренняя оценка клиента (условно, это число, обозначающее степень его «подозрительности»), постоянно повышая точность ответа. Вы также можете настроить исключения (события, на которые система не должна реагировать) и правила распределения обращений («инциденты») среди сотрудников банка для более «ручного» контроля.

3. Расследование

Операции, отмеченные системой как подозрительные, не всегда автоматически блокируются.
Есть еще один уровень контроля — ручное расследование, проводимое сотрудниками банка.
Обычно события, автоматически помечаемые как подозрительные, отправляются системой определенным сотрудникам или группам на рассмотрение (например, в банке может быть специальный отдел, отвечающий за мониторинг транзакций международных юридических лиц).

При подробном рассмотрении сотрудники видят такой экран

Просмотр информации об отдельном клиенте банка: вверху – оповещения об отдельных транзакциях, внизу — сведения о всех транзакциях.
Нажав на отдельное уведомление, фрод-аналитик увидит информацию о конкретном кейсе мошенничества.

Просмотр отдельного кейса (группы событий)

На экране представлено текстовое описание ситуации (ряд преступников, замеченных в торговле запрещенными препаратами, имели счета в одном и том же банке), информация о категории сценария (операции с наличными), и т.д.

Если уведомление сработало безуспешно, сотрудник может пометить триггер как ложный, что будет зафиксировано системной логикой.
В дальнейшем эта сохраненная информация будет использоваться для уточнения правил активации сценариев.
Система реконструирует логику активации сценариев, фильтров и правил, запоминая информацию о ложных уведомлениях и решениях, принятых сотрудниками банка.

Скорее всего, общий мониторинг событий выполняет какой-то «дежурный» аналитик, в обязанности которого входит возложение трудных для рассмотрения дел на коллег, специализирующихся на том или ином виде операции.
Поэтому следующим этапом расследования будет выбор сотрудника, которому будут предъявлены обвинения по делам, представленным на экране.

В списке справа внизу – имена пользователей-сотрудников, которым можно назначить данный случай для рассмотрения.

При маршрутизации инцидента может быть задействовано много подразделений и сотрудников – например, часть случаев может направляться в техническую службу. Если технический сбой не подтвердился, то далее он направляется в службу безопасности.

4. Встроенная аналитика

Это «мозг» и «душа» системы защиты от мошенничества, скрытая от обычного пользователя, но очень важная для работы.
Механизмы больших данных могут обнаруживать схемы мошенничества, которые не описываются каким-либо фиксированным сценарием, существующим в настоящее время. В системах защиты от мошенничества используются не только численные методы, но и анализ естественного языка.
Решения для визуализации данных помогают визуализировать общую картину.
SAS по борьбе с отмыванием денег. График четко показывает объем транзакций и отношения между различными клиентами.

Ну а решение, как интерпретировать эту красивую картинку, все равно пока, преимущественно, остается за банком.

5. Администрирование системы

Это самая раздражающая часть, которая включает в себя поддержку, обслуживание и дополнительную настройку системы защиты от мошенничества.
Например, схему маршрутизации деления банка можно настроить в следующем окне:
Пример настройки схемы маршрутизации уведомлений для расследования.
Итак, теперь у вас есть общее представление о том, как работают системы защиты от мошенничества на примере решения SAS AML.

Чтобы защититься от мошенников и сохранить данные вашей карты в безопасности:

• Избегайте использования банкоматов в подозрительных местах (старайтесь пользоваться банкоматами, расположенными в зданиях банка).
• Не передавайте карту в руки сотрудникам предприятий торговли и официантам.
• Будьте осторожны при использовании общественных WIFI сетей (не пользуйтесь интернет-банком и не совершайте онлайн-покупки, используя бесплатный Интернет в кафе, метро, на улицах города).
• Не сообщайте полные данные вашей карты, если совершаете покупку или продажу у частного лица в интернете.