24 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Для чего нужен антифрод

Для чего нужен антифрод

Фрод (fraud) в переводе с английского – мошенничество. Мошеннические действия постепенно переместились в интернет сферу. Логичным итогом этой тенденции стало появление специальных систем мониторинга и программ, которые помогают вычислить и избежать мошеннических действий.

В сфере рекламы такой проблемой являются сомнительные звонки. То есть, нецелевые звонки, которые совершаются с одноразовых sim-карт или интернет-телефонии специально нанятыми для этого людьми. Справиться с проблемой помогает антифрод – специально разработанная система для выявления подобных звонков.

Прежде всего, давайте разберемся, почему же следует выявлять сомнительные звонки и бороться с ними. Представьте, что вы обратились в рекламное агентство и заплатили ему за работу крупную денежную сумму. После этого количество звонков и заявок значительно увеличилось. Вы уже просчитываете возможную прибыль, но почему-то никто не делает заказы. И в итоге весь поток звонков не приносит запланированную прибыль. А бюджет на рекламу уже потрачен.

Объясняется такая ситуация тем, что рекламное агентство, в которое вы обратились, разместило на постороннем ресурсе объявление о подработке. В итоге она нашла людей, которые готовы обзвонить указанные номера, представиться заинтересованным клиентом, спросить информацию о продаваемом продукте и даже оставить предварительную заявку, но в итоге ничего не купить. То есть не принести вашей фирме ни рубля прибыли. А причина этого в том, что вы заплатили рекламной компании или частному лицу, занимающемуся рекламой, за пустые звонки.

Антифрод автоматически находит сомнительные звонки и отмечает их в итоговой статистике. Обычно их предел около 4%, но некоторые источники трафика повышают количество до 20%.

Сомнительными помечаются звонки, совершенные с виртуальных телефонных номеров либо с sim-карт, которые после звонка сразу отключаются. Также будут отмечены номера телефонов, с которых уже позвонили на большое количество различных проектов, учитываемых в системе антифрода.

С помощью программы можно проанализировать процент сомнительных звонков от общего их числа, процент сомнительных звонков, поступивших из определенных рекламных каналов. В итоге можно оценить эффективность проведенной рекламной кампании, перераспределить рекламный бюджет на те каналы, откуда поступает наименьшее количество сомнительных звонков.

Таким образом, эта простая программа поможет повысить эффективность рекламных компаний. Чтобы оценить всю пользу, можно сначала установить демо-версию, которая предлагается многими производителями.

Как работают антифрод системы букмекеров

Есть разные категории профессиональных игроков в ставках на спорт: вилочники, бонус-хантеры, коридорщики, валуйщики, просто хорошо прогнозирующие люди. Все они попадают в немилость букмекерских контор, так как отнимают у них прибыль. Логично, что БК всячески борются с про-беттерами, блокируя им аккаунты, снижая максимумы и создавая другие препятствия для игры. Разработаны целые программные комплексы для борьбы с неугодными клиентами, их называют антифрод системы, они призваны облегчать работу сотрудникам контор. Вручную выискивать неподходящие аккаунты нереально, для этого понадобился бы огромный штат специалистов, тем более в иных заведениях число пользователей превышает сотни тысяч человек.

Изначально, антифрод системы призваны отлавливать различного рода мошенников, отмывающих деньги, создающих множество аккаунтов (что, впрочем, не является чем-то плохим, но действительно усложняет жизнь букмекерским конторам) или использующих какие-либо серые схемы. Но надо понимать, что зачастую борьба букмекеров направлена именно против вилочников, так как они составляют наибольший процент про-беттеров и могут принести значительный финансовый ущерб конторам. В статье рассмотрим принципы работы системы антифрод, каких видов она бывает, какие задачи решает, как работает, можно ли обойти ее защиту и прочие нюансы.

Для начала дадим определение термину. Он взят с английского языка, там он пишется как anti-fraud. Anti – против, fraud – мошенничество. То есть, переводится как противодействие мошенничеству, нечестной игре. Сами букмекеры подчеркивают, что система направлена на борьбу с мультиаккаунтингом, чтобы нечестные клиенты не создавали массу учетных записей и не пытались использовать их в корыстных целях, например, не получить бонусы множество раз. Кроме того, обеспечивается защита от взломщиков, аферистов, сговорщиков и другого рода злоумышленников. Хотя последних, опять же, никак нельзя отнести к мошенникам. Ни слова о том, что комплекс помогает выявлять вилочников, но мы-то знаем, что именно против них работает антифрод, причем довольно эффективно.

Важно знать, что антифрод ни в коем случае не запрещенный софт, букмекеры имеют полное право им пользоваться. Если бы не специальные программы, сайты БК заполонили бы мультиаккаунтеры, мошенники, несовершеннолетние лица.

Порядок работы системы

Основное направление деятельности антифрод – защита от мошенников и мультиакккаунтеров. Теперь рассмотрим, как она работает, порядок действий. Итак, пользователь заходит на сайт и нажимает на кнопку регистрации, вводит личные данные и подтверждает, что хочет стать клиентом заведения. Далее подключается комплекс и выполняет следующие действия:

  • Сравнивает регистрационные сведения клиента с базой данных. Если есть совпадения (логин, e-mail), просит пользователя пересмотреть их.
  • Заносит нового пользователя в базу данных и сохраняет их.
  • Изучается «железо» клиента на предмет совпадения опять же с базой данных. Если будут одинаковые показатели, заносит пользователя в отдельный список как подозрительный.

Подозрения системы могут вызвать разные характеристики игрока. Наибольшее опасение у anti-fraud вызывает переход из сторонних VPN, прокси-серверов, сомнительных сайтов. А также если клиент указывает одну страну проживания, но фактически трафик идет из другого государства. Под особое внимание попадают странные куки, кривой софт, подменяющий IP. Все эти факторы приводят к тому, что человека робот определяет как потенциальную угрозу.

Если подозрений игрок не вызывает, он заносится в список как надежный. На этом работа первого этапа комплексной защиты заканчивается, клиент по цепочке передается в следующий отдел. Там будет изучаться манера игры и в целом, как ведет себя пользователь. Подробнее об этом этапе в следующей главе.

Анализ поведения игрока

Первый этап клиентом пройден, допустим, система посчитала его благонадежным. Дальше уже подключается второй уровень защиты, где анализируется манера игры пользователя. В зависимости от «продвинутости» антифрод, он может учитывать следующие показатели:

  • Откуда игрок заходит на сайт. Через сторонние ресурсы, поисковик, закладки в браузере и тому подобное.
  • Стиль ставок. На какой вид спорта ставит, какие рынки, в какое время чаще всего.
  • Суммы ставок. Использует ли максимумы, ставит ли каждый раз одни и те же значения. Круглые ли ставки.
  • Способы пополнения счета. Особое подозрение вызывают Qiwi и Skrill, так как именно они чаще всего используются вилочниками.
  • Ставит ли на вилочные события и как часто. БК прекрасно видит вилку, не хуже игроков. Достаточно оформить купон пару раз, чтобы попасть в поле зрения службу безопасности.
  • Движение финансов. Как часто запрашивается вывод денег, как часто пополняется счет.
  • Активность в аккаунте. Какие ссылки открывает, что за события просматривает.

Ну и многое другое. Антифрод буквально видит каждый шаг пользователя, что он делает, на что поставил, откуда пришел на сайт. Все эти сведения обрабатываются, и если находятся признаки нечестной игры, клиент заносится в особый список. Дальнейшие действия зависят от политики каждого букмекера.

Система штрафных очков

За каждое действие или показатель игрока, отклоняющееся от нормы, антифрод начисляет штрафные очки. Как только они доходят до определенного значения, начинаются применять санкции. Первый раз система обычно запрашивает верификацию личности, если «железо» уникальное и придраться в этом плане не к чему. Если защита определит, что пользователь вилочник, ему снизятся максимумы. Вопреки распространенному мнению, делает это робот автоматически, а не служба безопасности. Он обучен распознавать неугодных клиентов. В самых тяжелых ситуациях, когда со 100% вероятностью распознается мультиаккаунтинг, все учетные записи игрока блокируются, а средства «замораживаются» до выяснения обстоятельств.

Критическую величину штрафных баллов каждый букмекер устанавливает самостоятельно. Разумеется, об истинных значениях никто не знает, можно лишь строить догадки. Однако наиболее правдоподобно выглядит следующий сценарий:

  • 50% баллов за неуникальное «железо»;
  • 100% за одинаковые сведения при регистрации;
  • От 10 до 25% за подозрительную манеру игры.

Очки суммируются каждый раз. В то же время есть все основания полагать, что в некоторых ситуациях баллы могут быть уменьшены, например, если успешно пройдена верификация личности.

Взаимодействие со службой безопасности

Антифрод выполняет львиную часть работы по выявлению профессионального беттинга, но в некоторых случаях может потребоваться вмешательство специалиста в ручном режиме. К примеру, система обнаружила, что видеокарта есть в базе данных, при этом другие характеристики «железа» уникальные. Тогда вмешивается сотрудник СБ, который вручную проверят сведения и принимает решение. Если все в норме, аккаунт не трогают, плюс пользователь должен будет пройти идентификацию личности. Схема нужна, так как люди могут продавать друг другу запасные части компьютера, само устройство, плюс могут быть технические неполадки.

Также служба безопасности подключается при обращении клиента за порезку максимумов. По запросу пользователя сотрудник проверяет работу антифрод, и если не обнаружит следов сбоя, оставит ее решение в силе. По сути, живые люди выступают как контролеры. Они лишь наблюдают за работой комплекса защиты, и если она дает сбой могут подправить ее или оставить все без изменений. Писать и обвинять специалистов БК в предвзятости глупо и бестолково, не они принимают решения о блокировках аккаунтов, они лишь контролирую процесс. Это стоит помнить, когда возникает желание написать пару обидных слов в службу поддержки.

Особенности работы антифрод системы

Обозначим некоторые важные моменты в работе антифрод системы. Первое, что нужно знать, «попаны» никогда не попадут под санкции букмекера. Для них БК реализованы ряд сценариев. Пусть рядовой клиент использует прокси-сервера, VPN или другие методы для анонимизации, ему тут же начислят 50% штрафных очков и отметят как подозрительный. Однако дальше дело не продвинется, так как пользователь не станет ставить на арбитражные ситуации, применять иные нечестные методы игры. В итоге он сможет без проблем выводить деньги, пополнять счет и не бояться порезок счетов. Более того, со временем все очки фрода обнуляются, чтобы «попан» не попал под санкции, случайно поставив на вилочное событие, либо по-крупному затащив экспресс.

Вилочник же в самом начале получает пресловутые 50% баллов, далее он ставит на арбитражные ситуации и быстро зарабатывает остальные очки, а там уже и до снижения максимумов недалеко. Вот почему рекомендуется предварительно «разогреть» аккаунт, ставя «попанские» ставки, плюс разбавлять их обычными экспрессами.

Читать еще:  Покупка аккаунтов — удобно и надежно

Кроме того, антифрод система время от времени проводит анализ базы данных и ищет совпадения. Если она их обнаруживает, аккаунты, замеченные в подозрительном сходстве тут же блокируются, либо начинается процедура верификации личности. Как это выглядит? К примеру, игрок открыл два счета с одного и тоге же устройства, но с разным IP. Первое время проблем не возникнет, но как только anti-fraud запустит массовую проверку, блокировки не избежать. Вот почему мультиаккаунтер какое-то время играет и думает, что «прокатило», на самом деле санкции лишь вопрос времени.

Система антифрод в каждом букмекера своя, универсальных решений не бывает. Нужно лишь знать следующие моменты:

  • Чем богаче букмекер, тем мощнее у него защита. Тем проще он обнаружит мультиаккаунтинг.
  • В региональных операторах, не слишком популярных брендах защита слабее. Обычно их проще обмануть.
  • Лучшие комплексы способны сканировать компьютер клиента на самом глубоком уровне. Вплоть до характеристик звуковой карты, жесткого диска, материнской платы.
  • Антифрод учитывает не только «железо», но и браузер, различные расширения. Они тоже заносятся в базу данных.

В любом случае, нужно понимать, что основная задача anti-fraud – выявление мультиаккаунтинга. В первую очередь для борьбы с мошенниками, преступниками всех мастей. Далее уже идут вилочники, валуйщики и прочие про-беттеры.

Как обойти антифрод?

Пожалуй, главный вопрос, которым имеет смысл задаваться вилочникам. Под обходом антифрод подразумевается возможность создания множества аккаунтов, при этом не получив их блокировку. В первую очередь необходимо менять характеристики «железа», вплоть до мельчайших характеристик. Тут только два пути: либо покупать новое устройство после каждой порезки (ну или до, не дожидаясь санкций); либо использовать услуги виртуальных машин, по типу сервиса Vilki VPS. Самостоятельные попытки изменить значения ПК заканчиваются фиаско, букмекер легко вычисляет игрока. Кроме того, есть риск сломать устройство, что-либо неправильно настроив.

На первом этапе удается обмануть комплекс anti-fraud. Пусть система пропустит аккаунт, не распознав, что по ту сторону сидит один и тот же клиент. Но это не панацея, и не способ избежать порезки счета. Далее включается второй этап защиты, когда анализируется стиль ставок игрока. Стоит ему использовать арбитражные ситуации, как санкции тут же наступают. Поэтому важно имитировать поведение обычного «попана», что практически невозможно, тогда ведь потеряется выгода от вилок. В итоге можно лишь продлить жизнь учетной записи, но обмануть антифрод БК нереально.

Полезно также будет ознакомиться с советами профессиональных игроков, которые могут помочь минимизировать риски вилкования.

Заключение

Антифрод системы в букмекерских конторах работают по сложным алгоритмам, учитывая массу нюансов: «железо» клиента, его поведение, суммы ставок, переходы, стиль ставок и прочее. В первую очередь букмекеры защищаются от мошенников, лишь потом они пытаются отвадить от себя вилочников и прочих спекулянтов.

Анти-фрод системы и как они работают

Анти-фрод системы в сервисах Онлайн-банк

Для обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в “онлайн-банке”, используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:

  • ограничение количества покупок по одной банковской карте или одним пользователем за определенный период времени;
  • ограничение на максимальную сумму разовой покупки по одной карте или одним пользователем в определенный период времени;
  • ограничение на количество банковских карт, используемых одним пользователем в определенный период времени;
  • ограничение на количество пользователей, использующих одну карту;
  • учёт истории покупок по банковским картам и пользователями (так называемые «черные» или «белые» списки)

Обязательным требованием к реализации таких правил является распознавание пользователя по различным параметрам и алгоритмам. Соответственно, преимущество антифрод сервиса определяется его способностью быстро и с максимальной степенью вероятности распознать мошенника. Ещё одной функцией фрод-мониторинга является способность оценивать поведение покупателя в процессе проведения электронного платежа, к примеру в интернет-магазине. Насколько правдивую информацию указывает о себе человек и насколько совокупность параметров пользователя соответствует стандартным шаблонам поведения добропорядочных покупателей — все эти факторы, которые фрод-мониторинговые сервисы стараются учесть при оценке вероятности мошенничества.

Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.

Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка», которая характеризует способ обработки транзакции. Существуют три типа меток:

  • «Зеленая» отмечает транзакции с низкой вероятностью возникновения мошеннической операции.
  • «Желтой» меткой отмечаются транзакции, в которых шанс возникновения мошеннической операции выше среднего, и для проведения платежа потребуются дополнительного внимания.
  • «Красной» отмечаются транзакции, которые с наибольшей вероятностью могут оказаться мошенническими, и при их проведении потребуется документальное подтверждение аутентичности владельца карты.

Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок;обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.

С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом — напрямую.

Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.

«Красную» метку система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем

По данным портала www.banki.ru , самый популярный тип мошенничества с банковскими картами — это так называемый «friendly fraud» («дружеский фрод»). Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) — возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.

Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода. Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.

Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства». Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% — и это очень хороший показатель для рынка. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.

Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей, как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS, а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.

Антифрод: что это такое и с чем его… едят?

О системах автоматизированного выявления мошеннических действий и интересных фактах, связанных с их использованием или отсутствием, рассказали Михаил Апостолов, руководитель продуктового направления SOC Softline, и Михаил Авсенев, руководитель департамента сопровождения инфраструктуры входящей в ГК Softline компании «Инфосекьюрити».

Softline direct: Расскажите какую-нибудь интересную историю об антифроде, о защите от мошенничества. Есть мнение, что антифрод нужен только банкам…

Михаил Авсенев: Мнение есть. Но я расскажу историю про, внимание, сеть автозаправок! На первый взгляд, какая может быть связь? Но в большинстве таких предприятий действует программа лояльности или так называемый кэшбэк. В крупной сети автозаправок, название которой я, по понятным причинам, не упоминаю, на одной из бензоколонок оператор проводила все платежи через свою личную карту с кэшбэком. То есть физически брала у клиентов деньги и прогоняла через свой счет, получая кэшбэк. Схему вычислили таким способом: за день посмотрели все операции и получилось, что на эту одну карточку заправили практически целую цистерну бензина. Вот в таких ситуациях и нужен антифрод, который покажет или даже заморозит подобные транзакции.

Или вот еще пример: схемы мошенничества на различных игровых серверах. Например, как было с компанией CCP, разработчиком космической многопользовательской стратегии EVE Online. Игрок добыл какой-то не очень дорогой ресурс, артефакт, назовем его «веточка», потом вышел торговать на игровую биржу, где искусственно поднял на него цены, получил космическую прибыль в прямом и переносном смысле и обрушил всю игровую экономику. В итоге сервис был практически на грани закрытия.

Михаил Апостолов: Антифрод нужен не только банкам, но даже автозаправкам и разработчикам онлайн-игр. Он актуален в любом месте, где возникают онлайновые товарообменные отношения и происходят транзакции по переводу денег.

Читать еще:  Купить для геймпад PlayStation 4 не подделку

Михаил Авсенев: Кстати, о банках! Мошенники в финансовой сфере придумывают очень интересные схемы. Например, выпускают так называемый «белый пластик». Это когда на легальные карты создаются клоны, которые начинают быстро отовариваться в онлайн-магазинах, как правило, созданных теми же самыми мошенниками. Часто ли вы смотрите смс-сообщения от банка с информацией по операциям и счету? А у многих смс-информирование даже не подключено. В таких случаях клиент не сможет заблокировать карту вовремя и очень быстро лишится всех денег.

Мы живем в век информационных технологий, поэтому сведения о том, что у кого-то что-то получилось, распространяются очень быстро. Какая-нибудь слабая группировка создает схему мошенничества, потом продает эту схему более сильной группировке, у которой больше ресурсов. Поэтому риски могут быть от 1000 руб. до нескольких миллионов, которые можно потерять буквально в течение нескольких часов.

Михаил Апостолов: В таких случаях убытки неизменно составляют большие суммы, не сопоставимые со стоимостью антифрода, такого как Fraud Detection System компании «Инфосекьюрити».

Softline direct: Расскажите, от каких актуальных угроз может спасти услуга Fraud Detection System?

Михаил Авсенев: В прошлом году наиболее популярными были целенаправленные атаки. Не какие-нибудь типичные вирусы, а заранее подготовленное проникновение в сеть. При таких атаках злоумышленники в течение нескольких месяцев выясняют инфраструктурные моменты, протоколы обмена информацией, а дальше приступают к нападению. Еще при таких видах проникновения мошенники находится в сети долгое время, поэтому могут подготовить средства автоматизации и быстро вывести деньги. Наш антифрод позволяет выявлять эти угрозы очень быстро и в автоматическом режиме. Человек-оператор может пропустить что-то, не обратить внимание на подозрительные транзакции, не успеть вовремя среагировать.

Благодаря встроенным механизмам профилирования Fraud Detection System позволяет автоматически выявлять подобные атаки, выводы денег, нетипичное поведение пользователей. Например, человек производил транзакции в основном из Москвы и тут внезапно оказался во Владивостоке, а потом опять в Москве. Выявление таких аномалий позволит оператору увидеть подозрительные транзакции и предотвратить вывод денег. Атака, может быть, и состоится, но деньги не будут потеряны.

Свои атаки мошенники направляют также на платежные шлюзы. Формируются специально подготовленные документы, которые передаются в платежную систему. Наш антифрод позволяет контролировать легитимность платежа.

Softline direct: Какие узлы внутри банка являются излюбленными целями для мошенников? Что чаще всего выбирают хакеры?

Михаил Авсенев: Хакеры в основном заинтересованы в тех узлах сети, где содержится информация о платежах, клиентах или непосредственно в доступе к самим платежным шлюзам. В первую очередь это АРМ КБР. Дальше идут платежные системы Cyberplay, Cyberpay с RAPIDA и другие платежные системы АБС, информация о клиентах и их счетах, все, что может представлять ценность. Также это персональные и паспортные данные, информация о контрактах, материалы, которые можно использовать для конкурентной разведки.

Михаил Апостолов: Я хотел бы отметить, что среди услуг компании «Инфосекьюрити» есть мониторинг информационного пространства, который помогает выявлять возможные потенциальные или уже осуществленные «сливы» подобной информации.

Softline direct: Теперь хотелось бы поговорить о борьбе с мошенничеством в ритейле и страховании. Как именно будет полезен антифрод в этой сфере?

Михаил Авсенев: В ритейле наша система Fraud Detection System пригодится для выявления злоупотреблений в программах лояльности. В самом начале этого интервью я уже рассказывал о мошенничестве в сети бензоколонок, но какие-нибудь дополнительные баллы за покупку товаров также могут быть предметом интереса неблагонадежных лиц.

Страхование – еще одна интересная тема, так как в нем очень много схем мошенничества. Например, страховой агент берет несколько полисов и не регистрирует их в системе учета. Далее он говорит клиенту о суперскидке и продает полис дешевле. Если у клиента произойдет какой-то страховой случай, он сначала сообщит об этом страховому агенту. Тот зарегистрирует соответствующий полис задним числом, а остальные такие же – нет, в итоге у него получится огромная реальная выгода.

Михаил Апостолов: Если подытожить этот блок, там, где присутствуют какие-либо транзакции, потенциально есть и угроза мошенничества, поэтому организациям, которые дорожат своим именем и отказоустойчивостью системы, нужен антифрод.

Softline direct: Расскажите, пожалуйста, как работает Fraud Detection System?

Михаил Авсенев: Базовым элементом антифрода является транзакция, которая поступает в систему обработки. Эта система включает несколько фильтров.

Первый фильтр – черный и белый списки. В белых списках содержится информация по транзакциям, которые система безотказно принимает. В черных – информация о мошенниках, их счетах, а также признаки, которые позволяют выявить мошенничество в транзакциях.

После того, как черные и белые списки отработали, транзакция попадает в систему правил, которая выявляет нехарактерные параметры. Приведу пример: человек всегда оплачивал определенную сумму за коммунальные услуги, и внезапно платеж увеличился в десятки раз. Наша система выявит это благодаря встроенному механизму правил. Другой пример нехарактерного поведения – человек начинает очень резко снимать деньги. Если его обычный лимит был, допустим, 70 тыс. рублей в месяц, а в один прекрасный момент он обналичивает полтора миллиона – это повод связаться с ним и выяснить, точно ли он снимает деньги со своего счета.

Еще пример, когда с одного счета уходят платежи сразу в несколько мест с одинаковой суммой. Признаком мошенничества может являться и перечисление мелких сумм денег на множество различных счетов. Такие операции вызывают подозрения у системы антифрода. Они фиксируются, обрабатываются и передаются оператору, который получает данные о том, кто проводит транзакции, на какие счета и каково назначение платежа. Это помогает в принятии решения.

Если транзакция прошла через белые и черные списки, а также механизм правил, и при этом система не смогла принять решение, что транзакция легитимна, то такой спорный вопрос переадресуется оператору. Оператор начинает выяснять, действительно ли транзакция легитимна, можно ли ее пропустить.

Softline direct: А кто пишет правила, на которые вы ссылаетесь? Откуда они берутся?

Михаил Авсенев: Обучение решения идет на основе исторических данных. Мы подгружаем в систему информацию о транзакциях, которые были проведены за год или полгода, и начинаем обучать ее выявлению мошеннических действий. Это позволяет разгрузить оператора и обеспечить наименьшее количество рассмотрений транзакций в ручном режиме (около 1%).

Fraud Detection System интегрируется практически с любыми системами баз данных, в том числе и noSQL (без SQL).

Softline direct: Fraud Detection System – это облачное решение или его нужно устанавливать локально?

Михаил Авсенев: Есть и тот, и другой вариант. Если клиент хочет использовать облачную архитектуру, то мы размещаем у заказчика только коннектор к антифроду, который будет подключен к его внутренней структуре и будет передавать данные для расследования. Вся работа, правила и вычислительные мощности, которые нужны для антифрода, будут располагаться у нас на площадке. Для клиента это означает уменьшение затрат на выявление мошенничества. Но если клиент желает, мы можем разместить всю инфраструктуру у него. В тех случаях, например, когда заказчик не хочет отправлять нам свои данные, мы можем реализовать всю необходимую инфраструктуру на его площадке. Конечно же, отправка информации в наше облако осуществляется по защищенному каналу: SSL-шифрование по VPN. Клиент может быть уверен, что данные не утекут никуда.

Softline direct: При желании заказчика разместить все у себя, как будет работать антифрод?

Михаил Авсенев: Если заказчик размещает решение у себя, он получает ядро антифрода вместе с правилами, черными и белыми списками, веб-интерфейсом для операторов, которые будут подтверждать или опровергать транзакции и каналом связи, по которому мы будем мониторить нашу систему и отправлять обновления.

Softline direct: Заканчивая беседу, давайте подытожим, какие ключевые особенности можно выделить в работе Fraud Detection System? Чем оно отличается от других антифрод-решений?

Михаил Авсенев: Во-первых, два режима работы. Мы можем работать в разрыв, при котором сама система антифрода автоматически блокирует транзакции, либо в параллельном режиме. В последнем случае антифрод выявляет подозрительные транзакции и информирует об этом оператора, но транзакция все равно производится с возможностью отозвать ее после, что не нарушит функционирование бизнеса.

Вторая наша особенность – это большое количество источников, с которых мы собираем данные. Это и Microsoft SQL Server, Postgres SQL, MySQL, Oracle, DB2, MQ, REST API.

Помимо этого, у нас есть, назовем его так, «джентльменский набор» правил. Клиент получает этот набор по умолчанию при установке решения. Дальше мы адаптируем систему под нюансы конкретного заказчика. Правила подлежат гибкой настройке, что позволяет уменьшить количество ложных срабатываний. В итоге снижается нагрузка на операторов, и они могут обращать больше внимания на действительно важные вещи.

Следует также отметить возможность обучения для уменьшения количества ложных срабатываний. Благодаря этому наши клиенты получают систему, которая разбирает в автоматическом режиме более 98% транзакций. На ручную обработку остается лишь чуть более 1%.

Михаил Апостолов: Компания «Инфосекьюрити» существует на рынке уже достаточное количество времени. Антифрод Fraud Detection System используется в ИТ-системах очень крупных клиентов. Мы можем с уверенностью утверждать, что главной и ключевой особенностью решения является быстрая обработка большого количества транзакций.

Softline direct: А как сейчас развивается решение?

Михаил Авсенев: Развитие продукта идет в сторону нереляционных баз данных (noSQL), так как мы используем такие базы данных не только в антифрод-решении, но и в нашем SOC. Это позволяет выполнять множество транзакций в параллель, дополнительно увеличивает скорость работы антифрода и его отказоустойчивость. Распределенная база данных – это гораздо более надежное решение, чем решение на одном сервере.

Годовая
подписка
на
Хакер

Xakep #252. Чемоданчик хакера

Xakep #251. Укрепляем VeraCrypt

Xakep #250. Погружение в AD

Xakep #248. Checkm8

Как защищают банки: разбираем устройство и принципы банковского антифрода

Содержание статьи

Фрод становится возможен из-за недостаточной защищенности технологий и оконечных устройств пользователей, фишинга, социальной инженерии и подобного. Системы антифрода по атрибутам и признакам транзакций пытаются выявить фрод (мошеннические транзакции). Таких систем на рынке, в том числе и рынке России, достаточно много. Это, например, NICE Actimize, Eye4Fraud, SecureBuy Phoenix FM, RSA Adaptive Authentication, IRIS Analytics (IBM), Fraudwall и многие другие. Причем хорошие решения — дорогие решения. Вендоры получают за свои продукты огромные деньги, и совершенно понятно их нежелание раскрывать алгоритмы работы систем. Самые продвинутые решения используют алгоритмы машинного обучения.

Читать еще:  Особенности ремонта экранов iPhone

В цикле статей мы с тобой рассмотрим принципы работы одной широко известной в узких кругах системы антифрода, применяющейся во многих банках. Познакомимся с архитектурой системы применительно к интернет-банку, механизмами обработки транзакций, а также алгоритмами оценки рисков и принятия решений по определению фрода. В конце цикла попробуем оценить, какие проблемы возникают при работе с этой системой, и выявить общие слабые места систем антифрода в целом.

Архитектура системы антифрода

В общем виде архитектура системы дистанционного банковского обслуживания (ДБО) выглядит следующим образом.

Архитектура ДБО

Xakep #252. Чемоданчик хакера

Обычно банк предоставляет пользователю несколько каналов управления банковским счетом удаленно. Наиболее распространен доступ через браузер или с использованием мобильных приложений. Пользователь выполняет действие в своем браузере или мобильном приложении, транзакция поставляется на Frontend-сервер, который уже отправляет ее на Backend-сервер ДБО и далее в АБС (автоматизированная банковская система / расчетная система) банка для проведения расчетов. Один из возможных вариантов встраивания системы антифрода в такую архитектуру систем ДБО показан ниже.

Система антифрода в архитектуре ДБО

В данном случае Backend-сервер передает в систему антифрода транзакцию и ждет разрешения на отправку этой транзакции в АБС. После того как система антифрода обработает транзакцию и вынесет решение о ее легитимности, она передает свое решение на Backend-сервер ДБО, и тот уже отправляет ее дальше в АБС или отказывает пользователю в зависимости от принятого решения.

Встраивать систему антифрода можно по-разному, например она может находиться в разрыве между серверами ДБО и АБС банка или это может быть облачная система, услугами которой пользуется банк. Архитектура выбирается в зависимости от разных критериев, но общий принцип таков.

Связь системы антифрода и аутентификации пользователя

В общем смысле любая система антифрода ДБО определяет возможность выполнения транзакции, которую инициировал пользователь ДБО. При этом система оценивает рискованность данной транзакции и в случае повышенного риска различными способами пытается дополнительно проверить, что транзакция легитимна. Способы могут быть автоматизированными (с точки зрения банка) или ручными. Например, можно отправить пользователю СМС или push-уведомление, чтобы он подтвердил транзакцию, попросить пользователя ответить на контрольные вопросы, перезвонить пользователю. Все эти действия призваны еще раз при помощи дополнительных факторов аутентифицировать транзакцию (в данной статье под аутентификацией транзакции/действия понимается подтверждение того, что действие совершил аутентифицированный пользователь). Наконец, после прохождения дополнительной многофакторной аутентификации система антифрода автоматизированно или аналитик вручную решает, возможно ли провести транзакцию.

В результате систему антифрода можно назвать системой многофакторной адаптивной аутентификации. Под адаптивностью понимается способность системы высчитывать рискованность транзакций (в том числе и вход в систему ДБО), на основании этой информации совершать дополнительную аутентификацию транзакции и затем принимать решение о возможности выполнения транзакции.

Вот как выглядит процесс успешного входа в систему ДБО с дополнительной аутентификацией пользователя по контрольным вопросам, необходимость которой определила система антифрода.

Адаптивная аутентификация при входе в ДБО

На следующем рисунке после успешного входа пользователь пытается сделать денежный перевод. Адаптивная система аутентификации после оценки риска события предлагает аутентифицировать платеж при помощи одноразового пароля, переданного пользователю в СМС с реквизитами перевода.

Адаптивная аутентификация денежного перевода в ДБО

Соответственно, систему адаптивной аутентификации можно использовать не только для платежных систем, таких как ДБО, но и, например, для систем единой аутентификации, таких как Единая система идентификации и аутентификации.

Архитектура системы антифрода

Выбранная нами система антифрода состоит из нескольких основных сервисов. Первый — собственно ядро системы и сервис Adaptive Authentication. У сервиса есть своя база данных. Adaptive Authentication обрабатывает передаваемые ему из интернет-банка события (например, события входа, платежи), оценивает риск события, вызывает при необходимости другие сервисы (например, дополнительной аутентификации) и отправляет обратно решение. При этом возможно многоэтапное взаимодействие с интернет-банком для вынесения решения.

Компонентная архитектура рассматриваемой системы антифрода

Второй компонент, BackOffice, с использованием нескольких веб-приложений управляет настройками Adaptive Authentication. У BackOffice собственная база данных.

Третий компонент, Case Management, отвечает за работу фрод-аналитика, в нем обрабатываются случаи, которые выпадают на ручной контроль. Принимаемое фрод-аналитиком решение передается обратно в Adaptive Authentication. Если необходима дополнительная аутентификация пользователя, в ход идут встроенные или внешние средства аутентификации.

Недавно в системе появился новый сервис — Trojan Protection. Он получает информацию об устройстве пользователя напрямую от браузера пользователя, а не через интернет-банк. Сервис анализирует полученную информацию и, обнаружив аномалии, заполняет свой черный список устройств . Затем этот список использует Adaptive Authentication при вынесении решения о легитимности события. Заметим, что получаемые Trojan Protection данные от браузера пользователя не синхронизируются с событиями в интернет-банке, а передаются гораздо чаще. В других частях мы еще коснемся работы этого сервиса более подробно.

Интересный анализ утечки материалов ЦРУ, опубликованных проектом Wikileaks: ЦРУ везде и всюду

Рисунок ниже показывает взаимодействие компонентов системы на уровне веб-сервисов. Все события от интернет-банка приходят на endpoint’ы Adaptive Authentication (AA Endpoint и Async AA Endpoint), которые обрабатывают синхронные и асинхронные вызовы соответственно. Endpoint компонента Adaptive Authentication Admin (AdminService Endpoint) используется интернет-банком или другим внешним сервисом для управления пользователями и сессиями. Такое управление проектируется в системе нечасто. В компоненте Case Management содержится Case Management Endpoint для управления кейсами фрод-аналитиком и других систем, например CRM организации.

Веб-сервисы RSA Adaptive Authentication

Как работает система антифрода

Теперь перейдем к внутреннему устройству системы антифрода и ее отдельным процессам. Начнем с обработки события.

Обработка события в системе антифрода

Информация о событии, как мы видели выше, поступает из интернет-банка в компонент Adaptive Authentication. Далее этот компонент производит обработку события. На верхнем уровне она состоит из предварительной обработки (заполнение внутренних структур, поиск пользователя и устройства в базе данных, получение истории пользователя и устройства, расчеты по полученным данным, например скорость передвижения пользователя), оценки риска (скоринг, нормализация по полученным на первом этапе фактам) и определения на основании правил, задаваемых фрод-аналитиком, значения риска и ответного действия системы антифрода.

В антифрод-системе существует четыре ответа (рекомендованных действия): ALLOW (разрешить действие), DENY (запретить действие), CHALLENGE (произвести дополнительную аутентификацию) и REVIEW (разрешить действие, но при этом создать кейс в компоненте Case Management для последующей маркировки).

По ответам ALLOW и DENY никакого дополнительного процесса не предусматривается.

Наиболее безопасно использовать интернет-банк через мобильное приложение на платформе Apple iOS.

По ответу CHALLENGE запускается дополнительная аутентификация действия пользователя. Методы такой дополнительной аутентификации описаны ниже. После того как пользователь ее пройдет, в зависимости от результата система антифрода разрешает или запрещает данное событие.

По ответу REVIEW также предусматривается дополнительный процесс. Но он связан с постобработкой. При REVIEW событие разрешается, но откладывается (создается кейс) в Case Management для дальнейшей обработки вручную фрод-аналитиком. Фрод-аналитик может промаркировать событие как «точно фрод», «возможно, фрод», «точно легально», «возможно, легально» и «затрудняюсь классифицировать». Данное решение затем передается в Adaptive Authentication и учитывается системой в модели для скоринга следующих событий. Иногда процесс по ответу REVIEW настраивают таким образом, что событие не будет разрешаться, а интернет-банк будет ждать, пока фрод-аналитик не вынесет своего решения (по сути, это некоторое перекрытие функциональности ответа CHALLENGE, где методом дополнительной аутентификации является решение фрод-аналитика).

Детализированный процесс обработки события в системе антифрода

Попробуем немного пояснить:

  • (1, 2) Пользователь в интернет-банке инициирует событие (например, заполняет и отправляет платежное поручение).
  • (3) Клиентская часть (если это браузер, то при помощи JavaScript) собирает некоторые данные об устройстве пользователя, его программном обеспечении, браузере, скриптах и прочем и (4) вместе с данными по платежному поручению отправляет в банк.
  • (5) Все эти данные переводятся серверной частью интернет-банка в стандартную структуру для Adaptive Authentication и отправляются в него.
  • (6) Adaptive Authentication производит поиск пользователя интернет-банка. Если такой пользователь отсутствует, то (6a) заводит его у себя.
  • (7b, 7c) При этом Adaptive Authentication может запросить дополнительные данные о пользователе (у системы интернет-банка или у самого пользователя).
  • (7d, 7e) Пользователь заполняет форму (например, адрес, мобильный телефон) и передает данные о себе в Adaptive Authentication.
  • (7f) Adaptive Authentication обновляет информацию о пользователе в своей базе данных.

Правильные системы аутентификации отправляют пользователям СМС с одноразовым паролем, находящимся в конце сообщения. Это делается для того, чтобы нельзя было прочесть пароль в уведомлениях на смартфоне, первые символы которых обычно отображаются в центре уведомлений без необходимости разблокировки устройства.

  • (8) Далее Adaptive Authentication обрабатывает событие: рассчитывает риск и обрабатывает по правилам политики. В результате чего он формирует рекомендованное действие (см. выше) — ALLOW, DENY, CHALLENGE или REVIEW.
  • (9) Рекомендованное действие передается в интернет-банк. В случае CHALLENGE передаются еще и доступные методы дополнительной аутентификации.
  • (10a) Если в систему интернет-банка было возвращено рекомендованное действие CHALLENGE, то интернет-банк (если согласен с рекомендованным действием) запрашивает Adaptive Authentication произвести аутентификацию и передает выбранный им метод дополнительной аутентификации.
  • (10b) Adaptive Authentication сам запрашивает пользователя провести дополнительную аутентификацию или использует для этой цели внешний сервис, в том числе это может быть собственно интернет-банк.
  • (10c, 10d) Сервис проводит аутентификацию и (10e) возвращает результат в Adaptive Authentication.
  • (10f) Adaptive Authentication передает в интернет-банк статус дополнительной аутентификации пользователя.
  • (11) После получения рекомендованного действия и, при необходимости, статуса дополнительной аутентификации интернет-банк проводит операцию пользователя или запрещает ее в зависимости от того, что сообщила система антифрода.
  • (12a) В случае рекомендованного действия REVIEW система антифрода создает также кейс в компоненте Case Management.
  • (12b) Данный кейс обрабатывается вручную фрод-аналитиком, который принимает решение и маркирует событие.
  • (12c) Решение фрод-аналитика передается из компонента Case Management системы антифрода в Adaptive Authentication для учета в модели и обработке следующих транзакций.

Заключение

Сегодня мы ознакомились с архитектурой и принципами работы системы антифрода и на этом пока остановимся. В следующей части цикла продолжим архитектурное описание системы, а также процессов при разрешении и запрете транзакции, рассмотрении и дополнительной аутентификации, обозначим методы дополнительной аутентификации действий пользователя, предлагаемые системой антифрода.

Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...
Ссылка на основную публикацию
Статьи c упоминанием слов:
Похожие публикации