Антифрод. Что это такое ? и как это работает?

27.01.2018

Представьте: вы видите отличное предложение в Интернете и пытаетесь срочно им воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта без предупреждения заблокирована банком. 

Или вы внезапно получаете смс о списании значительной суммы: о ужас! картой пользуются неизвестные негодяи, укравшие ваши данные…

Я расскажу, как банки и компании используют системы обнаружения мошенничества (антифрод) и защищают наши деньги (иногда от нас самих).

Что такое фрод?

Фрод в общем смысле, - это мошенничество, действия с целью завладеть чужим имуществом (товарами или деньгами) через обман.

В это понятие входят поступки от взятия кредита по поддельным документам до злоупотребления условиями возврата товаров в магазине.

Фактически, фродом можно назвать действия, представляющие финансовый риск для отдельного человека или организации, и при этом не включающие открытый грабеж с применением агрессивных методов.

По статистике, большинство случаев мошенничества приходится на карточный фрод.

Где прячутся риски? Слабые звенья в цепочке онлайн-покупок

Чтобы понять особенности работы антифрод-системы, сначала схематически рассмотрим цепочку событий, из которых состоит любая покупка в интернете.

Каждая стрелка означает взаимодействие, требующее передачи данных. Если первым звеном цепи станет мошенник, то все следующие звенья так или иначе пострадают:

Покупатель в этой схеме – реальный владелец карты или мошенник, ставший обладателем его данных.

Торговое предприятие (ТП, в терминах электронных платежей: мерчант) – например, онлайн-магазин.

Электронная платежная система (например, Яндекс.Деньги, WebMoney)– сервис, принимающий оплату через Интернет

Банк-эквайер – банк, предоставляющий магазину услуги по обработке карточных платежей

Платежная система (например, Visa, Master Card, МИР) – отвечает за расчеты между банками

Банк-эмитент — банк выпустивший карту, которой покупатель пытается оплатить товар.

Фрод становится возможен из-за использования данных добросовестного клиента мошенниками, вследствие их хищения через  фишинг, скимминг, прямую утечку данных.

Для покупателя онлайн-покупка кажется единой операцией с расчетами в реальном времени, но расчеты между стоящими далее по цепочке организациями проходят в течение нескольких дней. Если мошенничество вскрылось не сразу, то расследовать его будет сложно.

Кто больше страдает от фрода?

Как бы мы ни сочувствовали гражданам, чьи данные украдены, все же стоит учесть и возникающие сложности других сторон транзакции. Если магазин, банк или платежная система не успели среагировать, то вы как пострадавшая сторона можете попросить банк о возврате списанной без вашего ведома суммы. Банк, как правило, будет стараться пойти вам навстречу и инициирует так называемый chargeback.

А вот магазин, допустивший оплату с помощью ворованных данных, будет вынужден возместить стоимость покупки фактически из своего кармана.

Если среди всех транзакций магазина мошеннических окажется 1% и более от общего количества, то международные платежные системы могут выставить штраф и банку-эквайеру и магазину. Это вредит кошельку и репутации торговой точки и банка, ухудшает возможности их дальнейшего сотрудничества с другими организациями.

Чтобы исключить подобные сложности, в игру вступают антифрод-системы, работающие на стороне банка, платежной системы или онлайн-магазина.

Что такое антифрод?

В современном понимании антифродом называется аналитическая система и комплекс мер для оценки финансовых транзакций (в том числе – в Интернете) на предмет вероятности мошенничества.

Системы антифрода пытаются выявить мошеннические действия по характеристикам транзакции и клиента. 

Распознавая необычное поведение и применяя встроенные фильтры, антифрод-решение оценивает риск транзакции и применяет определенные меры, запрещая или разрешая её проведение либо рекомендации по дальнейшей обработке события уже силами сотрудников банка (фрод-аналитиками).

На рынке представлено много подобных решений со своими особенностями архитектуры и функционала, но их принципы работы схожи.

Как работает антифрод система?

Совершая покупку в онлайн-магазине, вы добавляете товары в корзину, оформляете заказ и переходите на страницу оплаты. Минимальные данные, которые вы далее сообщаете – это номер карты, имя ее владельца, CVC код.

Но фактически передаваемых данных намного больше: это сведения о среде выполнения (браузере, ОС и устройстве), IP-адрес, куки, включающие идентификатор http-сессии, и т.д.

Пользователь, делая покупку, совершает действие в браузере или мобильном приложении, транзакция направляется (опустим детали) на backend-сервер банка и далее во внутренних банковских информационных системах для проведения расчетов.

Рассмотрим общие принципы работы антифрод-системы на стороне банка.

Backend-сервер банка передает сведения о транзакции в антифрод-систему и ждет разрешения на «проведение» платежа и его фиксацию в автоматизированных банковских системах.

Антифрод-система (и иногда – фрод-аналитик) анализируют сведения, чтобы принять решение о легитимности этой транзакции.

Антифрод-система обрабатывает пришедшие события (платежи), оценивает их риск, если требуется - инициирует другие сервисы (такие как дополнительная аутентификация клиента) и передает обратно решение. 

В результате – оплата пользователя оказывается подтвержденной или отклоненной.

Что именно происходит внутри антифрод-системы?

Первый этап контроля: Стоп-листы

Это «жесткие» фильтры: если характеристики транзакции содержит сведения, относящиеся к стоп-списку, любые дальнейшие проверки прекращаются и транзакция отклоняется. Обычно проверяется номер карты, IP-адрес, торговая точка, страна.

Антифрод-система проверит, нет ли номер карты в списке номеров, использованных преступниками или «слитых» на черном рынке, не отмечен ли магазин как подозрительный.

Зачастую крупные онлайн-магазины не принимают карты, выпущенные в определенных странах Азии, Латинской Америки и Африки, так как международная статистика свидетельствует о большом количестве мошеннических операций с банковскими картами из этих регионов.

Оценка риска

Если транзакция не заблокирована сразу на основе стоп-листов, то антифрод-система применяет ряд правил для оценки степени риска.

В первую очередь информация о транзакции дополняется сведениями о клиенте, его карте, истории расчетов, «подтянутыми» из многочисленных систем банка и других источников (например, скорость передвижения пользователя может быть оценена по геолокационным данным с его мобильного устройства).

Транзакции присваивается определенный балл: от «безопасного» (зеленый) до «требующего дополнительной проверки» (желтый) или же «крайне подозрительного» (красный).

Как антифрод-система опознает подозрительные операции?

Правила антифрод-системы устанавливают ограничения (лимиты) на транзакции исходя из таких факторов, как:

• количества покупок одним клиентом или по одной карте за определенный отрезок времени

• сумму одной покупки по карте (или одним клиентом) за отрезок времени

• количество карт, которыми за определенный промежуток времени пользуется один клиент

• количество пользователей, совершающих покупки по одной и той же карте

• история операций данного клиента магазина / держателя карты (особенно – покупок и снятия средств)

• профиль среднего покупателя магазина, в котором совершается онлайн-покупка

Основной триггер (сигнал), по которому событие маркируется как подозрительное, - неоднородность данных или событие, не характерное для этого клиента или профиля (группы) клиентов, к которым он относится.

Антифрод-системы хранят и обрабатывают большие объемы данных с использованием сложных математических методов и могут выявлять связи, неочевидные даже для внимательному сотрудника и новые необычные паттерны, еще не описанные существующими в системе сценариями.

Однако можно привести примеры ситуаций, которые антифрод-система с большой вероятностью оценит как несущие высокий риск.

К типичным подозрительным операциям при онлайн-покупке относятся:

• Оплата по одной карте с разных устройств, имеющих разные IP адреса

• Оплата с одинакового устройства и IP адреса с использованием различных карт

• Повторные неудачные попытки подтверждения транзакции

• Использование одной и той же карты для оплаты заказов разных учетных записей в одном и том же онлайн-магазине

• Различия в имени учетной записи покупателя онлайн-магазина и владельца карты, с которой оплачен заказ

• Разные страны покупателя, магазина и банка-эмитента карты

Решение антифрод-системы

Условные баллы, обозначающие степень риска транзакции (скоринг) определяют, будет ли она признана безвредной и одобрена, требующей дополнительного подтверждения личности клиента (аутентификации) и/или рассмотрения аналитика или же сразу отнесена к мошенническим и отклонена.

Как система распознает и подтверждает (аутентифицирует) пользователя?

Если антифрод-система присвоила транзакции уровень риска, требующий дополнительной аутентификации, то после ввода данных вашей карты вы можете получить email с просьбой подтвердить совершение покупки, СМС с кодовым словом, push-уведомление в мобильном приложении.

Кроме того, банк может заблокировать небольшую сумму на вашей карте и затем попросить вас ввести ее точное значение, чтобы убедиться, что карта действительно принадлежит вам. При крупных суммах транзакции вам может позвонить сотрудник банка для подтверждения платежа.

После благополучной аутентификации антифрод-система дает «зеленый свет»: транзакция может быть успешно совершена.

Работа фрод-аналитика

При ручном контроле фрод-аналитик рассматривает событие («инцидент»), относя его к категориям от «точно мошеннических» до «точно легитимных». Окончательный статус легитимности транзакции может зависеть не от решения отдельного сотрудника, а от совокупной оценки нескольких аналитиков, работающих независимо друг от друга.

Пример работы антифрод-системы

Давайте из клиентов банка на несколько минут превратимся в антифрод-аналитиков и пройдем шаг анализа операции на примере одной из самых известных антифрод-систем SAS AML (SAS AntiMoney Laundering - «Антиотмывание денег» - название говорит само за себя).

Система подобного рода состоит из следующих функциональных частей:

1.  Хранение данных

2.  Триггеры и оповещения («алерты»)

3.  Расследование

4.  Встроенная аналитика

5.  Администрирование антифрод-системы

1.   Хранение данных

Не углубляясь в технические детали, отметим, что в распоряжении антифрод-системы имеется: информация о клиентах и их транзакциях, техническая информация о структуре данных, настраиваемые правила и стоп-листы, история всех оповещений о подозрительных операциях, сгенерированных системой, а также – история всех принятых по этим уведомлениях решений сотрудников антифрод-подразделения банка.

2. Уведомления и сценарии

Эта часть системы, также как и хранение данных, скрыта от глаз обычного пользователя, но устроена довольно интересно. 

Под сценарием понимается некая типовая ситуация, на которую система должна отреагировать определенным образом. 

Помимо библиотеки типовых сценариев, уже имеющихся в системе, сотрудники банка могут создавать свои.

Система позволяет реагировать на события и транзакции на основе различных правил:

•    отдельных событий (например единоразового изменение адреса местоположения клиента банка),

•    исторической цепочки событий (например, ряда покупок, сделанных с небольшим временным интервалом в различных локациях),

•    поведенческих сценариев (то есть сочетания различных действий клиента в течение определенного времени – например, 

изменения привязанного к карте номера мобильного, за которым следует снятие крупной суммы наличных в банкомате).

Система позволяет настраивать правила, на основе которых меняется внутренний скоринг-балл клиента (условно, это цифра, указывающая на степень его «подозрительности»), постоянно дорабатывая точность реагирования. Настраивать также можно исключения (события, на которые системе реагировать не следует) и правила распределения случаев («инцидентов») по сотрудникам банка для дальнейшего внимательного «ручного» контроля.

3. Расследование

Операции, отмеченные системой как подозрительные, вовсе не всегда автоматически блокируются.

Есть еще один слой контроля – ручное расследование, проводимое сотрудниками банка.

Обычно события, автоматически отмеченные как подозрительные, система отправляет на рассмотрение определенным сотрудникам или группам (например, в банке может существовать специальный отдел, отвечающий за мониторинг трансграничных операций юрлиц).

При подробном рассмотрении сотрудники отдела увидят примерно такой экран:

Просмотр информации об отдельном клиенте банка: вверху – оповещения об отдельных транзакциях, внизу - сведения о всех транзакциях.

Нажав на отдельное уведомление, фрод-аналитик увидит информацию о конкретном кейсе мошенничества.

Просмотр отдельного кейса (группы событий)

На экране представлено текстовое описание ситуации (ряд преступников, замеченных в торговле запрещенными препаратами, имели счета в одном и том же банке), информация о категории сценария (операции с наличными), и т.д.

Если уведомление сработало зря, то сотрудник может отметить срабатывание как ложное, что будет зафиксировано логикой системы.

В дальнейшем эта сохраненная информация будет использоваться для уточнения правил срабатывания сценариев.

Система перестраивает логику срабатывания сценариев, фильтров и правил, сохраняя информацию о ложных оповещениях и о решениях, принятыми сотрудниками банка.

Скорее всего, общий мониторинг событий осуществляется неким «дежурным» аналитиком, в чьи обязанности входит назначение сложных случаев для рассмотрения коллегам, специализирующимся на том или ином виде операций.

Поэтому следующий шаг в расследовании будет заключаться в выборе сотрудника, кому будут поручены случаи, представленные на экране.

В списке справа внизу – имена пользователей-сотрудников, которым можно назначить данный случай для рассмотрения.

При маршрутизации инцидента может быть задействовано много подразделений и сотрудников – например, часть случаев может направляться в техническую службу. Если технический сбой не подтвердился, то далее он направляется в службу безопасности.

4) Встроенная аналитика

Это – одновременно «мозг» и «душа» антифрод-системы, скрытые от обычного пользователя, но весьма важные для работы. 

Движки на основе Big data могут выявить схемы мошенничества, не описанные ни одним существующим на данный момент фиксированным сценарием. В антифрод-системах используются не только численные методы, но и анализ естественного языка. 

Решения для визуализации данных позволяют наглядно отобразить общую картину.

SAS Anti Money Laundering. График наглядно показывает объем транзакций и связи между различными клиентами

Ну а решение, как интерпретировать эту красивую картинку, все равно пока, преимущественно, остается за банком.

5) Администрирование системы

Это – самая скучная часть, включающая в себя поддержку, сопровождение и дополнительную настройку антифрод-системы. 

Например, схема маршрутизации случая по подразделениям банка может быть настроена в таком окне:

Пример настройки схемы маршрутизации уведомления для расследования.

Итак, теперь вы представляете в общих чертах, как работают антифрод-системы на примере решения SAS AML.

Что ждет антифрод-системы в ближайшем будущем?

В последние годы банки и регуляторы объединяются, вырабатывая рекомендации по противодействию мошенничеству. 

Реализован комплексный обмен данными между финансовыми организациями, а технологии машинного обучения и Big data, позволяют на лету анализировать огромный объем данных и принимать решения практически в режиме реального времени.

Кажется, это уже начало приносить плоды: по сообщению НБКИ, количество кредитов с признаками мошенничества в первом полугодии 2017 года уменьшилось на 15%.

Активно развиваются системы-антифрод для малого и среднего бизнеса, в том числе благодаря различным недорогим облачным антифрод-решениям для интернет-магазинов.

Есть основания ожидать, что способы выявления мошенников станут более точными, а ложных срабатываний систем – будет все меньше.

Какое отношение антифрод-системы имеют к вам лично?

Если вы хотите избежать случайных блокировок вашей карты, не совершайте действий, которые могут выглядеть подозрительно с точки зрения антифрод-системы (их мы перечислили выше). Заранее сообщайте в банк о планируемых поездках, если собираетесь расплачиваться картой.

Чтобы защититься от мошенников и сохранить данные вашей карты в безопасности:

•    избегайте использования банкоматов в подозрительных местах (старайтесь пользоваться банкоматами, расположенными в зданиях банка)

•    не передавайте карту в руки сотрудникам предприятий торговли и официантам

•    будьте осторожны при использовании общественных WIFI сетей (не пользуйтесь интернет-банком и не совершайте онлайн-покупки, используя бесплатный Интернет в кафе, метро, на улицах города).

•    не сообщайте полные данные вашей карты, если совершаете покупку или продажу у частного лица в интернете

Надеюсь, что моя статья поможет вам не только пополнить багаж знаний, но сделать использование банковских карт более удобным и безопасным.