антифрод что это такое в банке
Анти-фрод системы и как они работают
Анти-фрод системы в сервисах Онлайн-банк
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок; обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
Антифрод-системы (Anti-fraud)
Антифрод-системы (от англ. anti-fraud — борьба с мошенничеством) — программные комплексы для предотвращения мошеннических транзакций. Антифрод-решения анализируют каждую транзакцию и присваивают ей метку, характеризующую ее надежность.
Обычно антифрод-системы состоят из системы обнаружения мошенничества (fraud detection), системы предотвращения мошенничества (fraud prevention) и системы анализа (fraud analysis).
Принципы работы антифрод-систем
Современные антифрод-системы учитывают множество параметров для определения подозрительных транзакций, например:
Для выявления и блокировки мошеннических транзакций применяются правила и фильтры, а также технологии машинного обучения.
Правила позволяют ограничить возможности для мошенничества. К распространенным правилам относятся:
Машинное обучение позволяет выявлять более сложные случаи мошенничества, например ситуации, когда операции по карте не выглядят однозначно подозрительно, но существенно отличаются от привычного поведения ее держателя. Так, если пользователь совершает заказ в интернет-магазине с незнакомого устройства, через браузер, которым обычно не пользуется, это может стать поводом запросить у него подтверждение личности.
В зависимости от настроек антифрод-система в конкретной организации может либо запрашивать дополнительную информацию у держателя карты в случае обнаружения подозрительной транзакции, либо автоматически блокировать такие транзакции, либо уведомлять о них оператора, который примет решение о дальнейших действиях.
Сфера применения антифрод-систем
Антифрод-системы используют банки, онлайн-магазины и платежные системы, такие как Visa, MasterCard или PayPal. Кроме того, антифрод-технологии могут применяться и в других сферах, например в видеоиграх, для защиты внутриигровых транзакций. Также термином «антифрод» называют решения, которые рекламодатели используют для выявления и пресечения кликфрода (накручивания кликов по рекламным ссылкам).
Публикации на схожие темы
Как жулики используют цифрового двойника, чтобы расплатиться вашей картой
Финансовые киберугрозы в 2020 году
Прогнозы по продвинутым угрозам на 2021 год
Прогнозы по продвинутым угрозам на 2020 год
Как защищают банки: разбираем устройство и принципы банковского антифрода
Содержание статьи
Фрод становится возможен из-за недостаточной защищенности технологий и оконечных устройств пользователей, фишинга, социальной инженерии и подобного. Системы антифрода по атрибутам и признакам транзакций пытаются выявить фрод (мошеннические транзакции). Таких систем на рынке, в том числе и рынке России, достаточно много. Это, например, NICE Actimize, Eye4Fraud, SecureBuy Phoenix FM, RSA Adaptive Authentication, IRIS Analytics (IBM), Fraudwall и многие другие. Причем хорошие решения — дорогие решения. Вендоры получают за свои продукты огромные деньги, и совершенно понятно их нежелание раскрывать алгоритмы работы систем. Самые продвинутые решения используют алгоритмы машинного обучения.
В цикле статей мы с тобой рассмотрим принципы работы одной широко известной в узких кругах системы антифрода, применяющейся во многих банках. Познакомимся с архитектурой системы применительно к интернет-банку, механизмами обработки транзакций, а также алгоритмами оценки рисков и принятия решений по определению фрода. В конце цикла попробуем оценить, какие проблемы возникают при работе с этой системой, и выявить общие слабые места систем антифрода в целом.
Архитектура системы антифрода
В общем виде архитектура системы дистанционного банковского обслуживания (ДБО) выглядит следующим образом.
Реверс малвари
Обычно банк предоставляет пользователю несколько каналов управления банковским счетом удаленно. Наиболее распространен доступ через браузер или с использованием мобильных приложений. Пользователь выполняет действие в своем браузере или мобильном приложении, транзакция поставляется на Frontend-сервер, который уже отправляет ее на Backend-сервер ДБО и далее в АБС (автоматизированная банковская система / расчетная система) банка для проведения расчетов. Один из возможных вариантов встраивания системы антифрода в такую архитектуру систем ДБО показан ниже.
Система антифрода в архитектуре ДБО
В данном случае Backend-сервер передает в систему антифрода транзакцию и ждет разрешения на отправку этой транзакции в АБС. После того как система антифрода обработает транзакцию и вынесет решение о ее легитимности, она передает свое решение на Backend-сервер ДБО, и тот уже отправляет ее дальше в АБС или отказывает пользователю в зависимости от принятого решения.
Встраивать систему антифрода можно по-разному, например она может находиться в разрыве между серверами ДБО и АБС банка или это может быть облачная система, услугами которой пользуется банк. Архитектура выбирается в зависимости от разных критериев, но общий принцип таков.
Связь системы антифрода и аутентификации пользователя
В общем смысле любая система антифрода ДБО определяет возможность выполнения транзакции, которую инициировал пользователь ДБО. При этом система оценивает рискованность данной транзакции и в случае повышенного риска различными способами пытается дополнительно проверить, что транзакция легитимна. Способы могут быть автоматизированными (с точки зрения банка) или ручными. Например, можно отправить пользователю СМС или push-уведомление, чтобы он подтвердил транзакцию, попросить пользователя ответить на контрольные вопросы, перезвонить пользователю. Все эти действия призваны еще раз при помощи дополнительных факторов аутентифицировать транзакцию (в данной статье под аутентификацией транзакции/действия понимается подтверждение того, что действие совершил аутентифицированный пользователь). Наконец, после прохождения дополнительной многофакторной аутентификации система антифрода автоматизированно или аналитик вручную решает, возможно ли провести транзакцию.
В результате систему антифрода можно назвать системой многофакторной адаптивной аутентификации. Под адаптивностью понимается способность системы высчитывать рискованность транзакций (в том числе и вход в систему ДБО), на основании этой информации совершать дополнительную аутентификацию транзакции и затем принимать решение о возможности выполнения транзакции.
Вот как выглядит процесс успешного входа в систему ДБО с дополнительной аутентификацией пользователя по контрольным вопросам, необходимость которой определила система антифрода.
Адаптивная аутентификация при входе в ДБО
На следующем рисунке после успешного входа пользователь пытается сделать денежный перевод. Адаптивная система аутентификации после оценки риска события предлагает аутентифицировать платеж при помощи одноразового пароля, переданного пользователю в СМС с реквизитами перевода.
Адаптивная аутентификация денежного перевода в ДБО
Соответственно, систему адаптивной аутентификации можно использовать не только для платежных систем, таких как ДБО, но и, например, для систем единой аутентификации, таких как Единая система идентификации и аутентификации.
Архитектура системы антифрода
Выбранная нами система антифрода состоит из нескольких основных сервисов. Первый — собственно ядро системы и сервис Adaptive Authentication. У сервиса есть своя база данных. Adaptive Authentication обрабатывает передаваемые ему из интернет-банка события (например, события входа, платежи), оценивает риск события, вызывает при необходимости другие сервисы (например, дополнительной аутентификации) и отправляет обратно решение. При этом возможно многоэтапное взаимодействие с интернет-банком для вынесения решения.
Компонентная архитектура рассматриваемой системы антифрода
Второй компонент, BackOffice, с использованием нескольких веб-приложений управляет настройками Adaptive Authentication. У BackOffice собственная база данных.
Третий компонент, Case Management, отвечает за работу фрод-аналитика, в нем обрабатываются случаи, которые выпадают на ручной контроль. Принимаемое фрод-аналитиком решение передается обратно в Adaptive Authentication. Если необходима дополнительная аутентификация пользователя, в ход идут встроенные или внешние средства аутентификации.
Интересный анализ утечки материалов ЦРУ, опубликованных проектом Wikileaks: ЦРУ везде и всюду
Рисунок ниже показывает взаимодействие компонентов системы на уровне веб-сервисов. Все события от интернет-банка приходят на endpoint’ы Adaptive Authentication (AA Endpoint и Async AA Endpoint), которые обрабатывают синхронные и асинхронные вызовы соответственно. Endpoint компонента Adaptive Authentication Admin (AdminService Endpoint) используется интернет-банком или другим внешним сервисом для управления пользователями и сессиями. Такое управление проектируется в системе нечасто. В компоненте Case Management содержится Case Management Endpoint для управления кейсами фрод-аналитиком и других систем, например CRM организации.
Веб-сервисы RSA Adaptive Authentication
Как работает система антифрода
Теперь перейдем к внутреннему устройству системы антифрода и ее отдельным процессам. Начнем с обработки события.
Обработка события в системе антифрода
Информация о событии, как мы видели выше, поступает из интернет-банка в компонент Adaptive Authentication. Далее этот компонент производит обработку события. На верхнем уровне она состоит из предварительной обработки (заполнение внутренних структур, поиск пользователя и устройства в базе данных, получение истории пользователя и устройства, расчеты по полученным данным, например скорость передвижения пользователя), оценки риска (скоринг, нормализация по полученным на первом этапе фактам) и определения на основании правил, задаваемых фрод-аналитиком, значения риска и ответного действия системы антифрода.
В антифрод-системе существует четыре ответа (рекомендованных действия): ALLOW (разрешить действие), DENY (запретить действие), CHALLENGE (произвести дополнительную аутентификацию) и REVIEW (разрешить действие, но при этом создать кейс в компоненте Case Management для последующей маркировки).
По ответам ALLOW и DENY никакого дополнительного процесса не предусматривается.
Наиболее безопасно использовать интернет-банк через мобильное приложение на платформе Apple iOS.
По ответу CHALLENGE запускается дополнительная аутентификация действия пользователя. Методы такой дополнительной аутентификации описаны ниже. После того как пользователь ее пройдет, в зависимости от результата система антифрода разрешает или запрещает данное событие.
По ответу REVIEW также предусматривается дополнительный процесс. Но он связан с постобработкой. При REVIEW событие разрешается, но откладывается (создается кейс) в Case Management для дальнейшей обработки вручную фрод-аналитиком. Фрод-аналитик может промаркировать событие как «точно фрод», «возможно, фрод», «точно легально», «возможно, легально» и «затрудняюсь классифицировать». Данное решение затем передается в Adaptive Authentication и учитывается системой в модели для скоринга следующих событий. Иногда процесс по ответу REVIEW настраивают таким образом, что событие не будет разрешаться, а интернет-банк будет ждать, пока фрод-аналитик не вынесет своего решения (по сути, это некоторое перекрытие функциональности ответа CHALLENGE, где методом дополнительной аутентификации является решение фрод-аналитика).
Детализированный процесс обработки события в системе антифрода
Попробуем немного пояснить:
Правильные системы аутентификации отправляют пользователям СМС с одноразовым паролем, находящимся в конце сообщения. Это делается для того, чтобы нельзя было прочесть пароль в уведомлениях на смартфоне, первые символы которых обычно отображаются в центре уведомлений без необходимости разблокировки устройства.
Заключение
Сегодня мы ознакомились с архитектурой и принципами работы системы антифрода и на этом пока остановимся. В следующей части цикла продолжим архитектурное описание системы, а также процессов при разрешении и запрете транзакции, рассмотрении и дополнительной аутентификации, обозначим методы дополнительной аутентификации действий пользователя, предлагаемые системой антифрода.
Ваш перевод заблокировали. Как банки России вычисляют подозрительные операции
Антифрод – это технологии и сервисы, которые помогают бороться с мошенничеством при совершении оплаты. Разбираемся, где их используют и как они работают.
Что такое фрод
Фрод – это действия, с помощью которых злоумышленники хотят обманным путем завладеть чужими деньгами. Чаще всего воруют с банковских карт: снимают в банкоматах, заказывают подарочные сертификаты или товары в интернет-магазинах.
Могут позариться и на аккаунты электронных платёжных систем. PayPal, Webmoney, Яндекс.Деньги, Qiwi, счета на биржах – вариантов великое множество.
Антифрод – проверка на вшивость
Антифрод-система оценивает транзакции – преимущественно те, что были сделаны через интернет. Она выясняет, насколько подозрительной была транзакция, как высока вероятность того, что её выполнили мошенники.
В каждом антифрод-сервисе есть набор правил, списков и фильтров. Все они задействуются для расчёта рейтинга транзакции. Кроме того, система может предлагать рекомендации по дальнейшей обработке транзакции.
Антифрод-системы разрабатывают в основном банковские департаменты, которые отвечают за безопасность. Visa, MasterCard, PayPal и другие платёжные гиганты также имеют свои антифрод-сервисы.
Собственный антифрод есть у российского Управления К. Его используют, чтобы предупредить мошенничество в сфере информационных технологий.
Как вычисляют подозрительные транзакции
Представьте себе ситуацию: вы зашли в интернет-магазин, выбрали товар, положили в корзину. Следующий шаг – оплата. Вы вводите данные, подтверждаете оплату, и в этом месте активируется антифрод-система.
Обычно антифрод оценивает всё, что может получить:
Отдельные системы могут запрашивать и другие данные и учитывать в анализе разные факторы: к примеру, с какой попытки был введён пароль, использовался ли отпечаток пальца или другие форматы биометрической аутентификации, платил ли пользователь ранее с этой карты в данном магазине и др.
Если степень риска фрода достаточно высока, транзакции отправляют на ручную проверку или дополнительную идентификацию. Здесь возможны три варианта:
«Под капотом» антифрода: как работает система
Сначала транзакции проходят самую грубую и поверхностную проверку с помощью стоп-листов. Система ищет номер карты, ФИО плательщика, IP-адрес и другие данные в своей базе.
Если информация есть в «черном списке», транзакция не пройдёт. К примеру, сразу заблокируют транзакции с украденных карт, подозрительных IP-адресов, мошеннических магазинов.
Эксперты признают: антифрод не лишен расизма.
Например, системы многих американских магазинов не пропускают платежи из Китая, Латинской Америки, африканских стран. Да и покупателей из стран СНГ в США и Европе не любят. Мошенников там очень много, поэтому магазину проще работать только на тех рынках, где вероятность обмана куда ниже.
Второй этап – проверка дополнительных сведений о держателе карты. Это данные карты, история расчётов, сведения о похожих операциях. Здесь транзакция получает основные баллы и рейтинг: от «красного» (практически наверняка фрод) до «зелёного» (скорее всего, не фрод).
Дальше в ход идут правила. Обычно в антифрод-системе установлены лимиты:
Рейтинг транзакции «заминусуют», если:
Подчеркнём: если хотя бы одно правило нарушается, транзакцию не обязательно отменят. Но чем больше факторов, тем выше вероятность, что её «завернут».
Как обходят антифрод
Кардеры, которые используют данные краденных кредитных карт для обнала или заказов в зарубежных интернет-магазинах, способны обойти даже самую надёжную систему – к примеру, антифрод eBay, Amazon, Visa, MasterCard и т.п. На каждую гайку найдётся свой болт с левой резьбой, и это позволит сымитировать легальную транзакцию.
К примеру, если поднять на тоннеле firewall или настроить его на dedicate-сервере, система не будет видеть, какие порты открыты. Если в цепочку перед dedicate-сервером или туннелем добавить Tor, то двусторонний пинг не выдаст, что IP принадлежит хостинг-провайдеру из «черного списка», туннелю, VPN или SOCKS. Если предварительно просмотреть десяток-другой сайтов из выдачи Google, пообщаться в Facebook и открыть 100500 фото «ВКонтакте», история браузера и открытые вкладки не вызовут подозрений.
Сами карты «раскачивают» мелкими транзакциями – они вызывают меньше подозрений и формируют добротный рейтинг. Крупные суммы с украденных карт «сливают» на пенсионные и зарплатные карты небольшими порциями.
Мошенники звонят и представляются сотрудниками банка, чтобы узнать ответы на вопросы из стандартного списка. Часто пользователи всё им рассказывают, ничего не подозревая.
Наконец, те, кто обходят антифрод, имитируют поведение типичных покупателей. Если найти магазин через поиск, посмотреть там пару десятков товаров, что-то добавить в корзину, затем что-то убрать, пообщаться с консультантом и т.п., антифрод будет лояльнее.
Выводы
Антифрод – системы, которые не дают мошенникам украсть ваши деньги, в основном при оплате картой в интернете. Например, купить iPhone на eBay с кредитки, украденной в США.
Обход антифрода – ст. 159.3 «Мошенничество с использованием платежных карт». Наказание — до 120 тыс. рублей, до 4 месяцев тюрьмы или до 2 лет условно, до 2 лет принудительных или исправительных работ. Многовато будет.
Ксения Шестакова
Живу в будущем. Разбираю сложные технологии на простые составляющие.
У нас сгорела беспроводная зарядка с AliExpress. Вот так
Хакеры научились получать доступ к данным ПК через Cortana
Rockstar извинилась за провальный ремастер трилогии GTA и пообещала всё исправить
Госдума: блокировать и признавать Telegram СМИ никто не планирует
Apple выпустила рекламу про куриные яйца, снятую на iPhone 13 Pro
Apple планирует вернуть всех сотрудников в офис с 1-го февраля
Bloomberg: Apple хочет выпустить электромобиль к 2025 году
Сколько Apple платит своим сотрудникам в 2021 году. Отобрали 6 должностей
Продажи AirPods неожиданно упали на 12% во втором квартале 2021 года
К началу 2022 года iOS-разработчики смогут предлагать оплату подписок в обход App Store
🙈 Комментарии 30
Ура, полезная статья.
В россии правда не совсем актуально в виду того, что во первых установлены жесткие лимиты, а во вторых, проплаты идут через виртуальные карты.
Ктогда будет статья по 115-Ф3 и как снять десяток миллионов не попав под мониторинг?? шутка
пс. Верните Ирину Чернову)
Как не ошибиться в выборе антифрода
Для защиты от мошеннических действий давно и с успехом применяются системы класса «антифрод». Однако мало кто знает, что существуют разные типы таких продуктов, причём каждый из них отличается определёнными особенностями. Мы попробуем разобраться в том, для каких ситуаций необходимо использовать тот или иной вариант антифрода, и узнаем, чем хорош продукт браузерного типа Web Antifraud.
Введение
Система «антифрод» (от англ. anti-fraud — «против мошенничества») разрабатывается, как следует из названия, для обнаружения и предотвращения мошеннических действий. Первоначально такие системы стали активно применяться российскими банками в 2011–2012 годах, после того как произошли первые крупномасштабные кибератаки на системы дистанционного банковского обслуживания. Впоследствии механизмы антифрода оказались востребованными и в других сферах, например в розничной и электронной торговле, системах клиентской лояльности, игровых сервисах, контекстной рекламе, страховании, ЖКХ и т. д. В целом, подобные платформы актуальны там, где происходят транзакции и товарообмен в онлайн-режиме.
Антифрод-системы имеют механизмы предназначенные для оценки финансовых или других видов транзакций в интернете на предмет подозрительности с точки зрения мошенничества и предлагающие различные варианты реагирования. Как правило, антифрод состоит из стандартных и уникальных правил, фильтров и списков, по которым и проверяется каждая транзакция, т. е. используется сигнатурное выявление нелегитимных операций. Также активно применяется технология машинного обучения, позволяющая обучать антифрод на данных от заказчиков и выявлять закономерности.
Классы антифрод-систем
Существуют два типа антифрод-систем. Первый предназначен для анализа транзакций (платежей). Чаще всего его называют транзакционным антифродом. Основной особенностью такой системы является использование сигнатурного метода выявления мошеннических действий и / или применение машинного обучения на огромном количестве финансовых операций или действий сотрудников.
Сигнатурный метод основан на использовании определённых правил. Данный подход базируется на срабатывании триггеров в соответствии с заранее описанной логикой. К подобным фильтрам относятся слишком крупные или частые транзакции, транзакции в нетипичных и нелогичных местах геолокации и другие сомнительные действия, которые, очевидно, нуждаются в дополнительной проверке. Для выявления мошеннической операции нередко применяются комбинации сигнатур. Современная антифрод-система имеет в своём арсенале несколько сотен подобных правил. Однако у подобного метода есть недостатки — например, необходимость постоянной доработки старых правил и создания новых.
Подход основанный на машинном обучении заключается в обработке больших массивов данных и в реализации алгоритмов, которые выявляют скрытые корреляции между действиями пользователя и вероятностью мошенничества. Например, в банках берётся база прошлых транзакций с отмеченными в ней операциями, которые были заблокированы (скажем, переводы денежных средств без согласия клиента), и в ходе обучения антифрод выявляет закономерности, которые привели к блокировке. В дальнейшем он сможет самостоятельно выявлять и блокировать аналогичные транзакции.
Рисунок 1. Пример работы транзакционного антифрода
Второй класс систем — это так называемый браузерный, или сессионный, антифрод. В отличие от первого типа он не выявляет аномалии среди транзакций или других операций. Сессионный антифрод собирает различную техническую информацию о сеансе работы пользователя, например сведения об устройстве, с которого был произведён платёж, данные о соединении, по которому передавалась информация, параметры поведения пользователя (каким образом были произведены нажатия на клавиши, как перемещался курсор и как делались щелчки мышью, положение смартфона в руках и другие действия).
Кроме того, браузерный антифрод в отличие от транзакционного позволяет выявить кражу учётных записей, например в результате фишинговой атаки или утечки данных, а также определить, что аккаунт принадлежит злоумышленнику, ещё на самом раннем этапе, когда кибермошенник только делает попытку зарегистрироваться в системе.
Рисунок 2. Перечень технических сведений о пользователе в браузерном антифроде
Данный тип антифрода анализирует большое количество технических данных и различных нюансов поведения пользователя с использованием устройств. Все эти процедуры не реализованы в транзакционных антифрод-системах. Из-за сложности при разработке механизмов работы сессионных антифродов данный класс систем меньше представлен на рынке.
Критерии выбора антифрод-системы
Каждый класс антифрод-систем анализирует свой набор данных, а значит, для того чтобы добиться максимально полной защиты от мошенничества на основе поведения пользователя, сбора информации об его устройстве и транзакциях, следует использовать оба вида антифрод-систем одновременно.
К числу заказчиков, для которых будет актуально использование обоих видов антифрода (браузерного и транзакционного), могут относиться банки, платёжные сервисы, криптобиржи, брокеры, сервисы обмена электронных валют, сервисы бонусных программ, другие финансовые платформы — то есть те компании, у которых есть системы внутренних переводов денег или управления бонусами.
Однако не всем компаниям обязательно использовать тандем из двух видов. Есть типы заказчиков, которые могут обойтись одним лишь браузерным (сессионным) антифродом, например микрофинансовые и микрокредитные организации (МФО / МКО), устроители промоакций (CRM-агентства), интернет-магазины. Это — те компании, которые предлагают клиентам личный кабинет на сайте, но в то же время не имеют систем внутренних платежей. Также это — предприятия, которые получают запросы от новых клиентов: заявки на получение займов, заказы в интернет-магазине.
Продукт Web Antifraud, разработанный одноимённой компанией, является представителем класса браузерных антифрод-систем и позволяет реализовать механизм мониторинга и анализа действий пользователей для выявления мошенничества на сайтах заказчиков, т. е. при использовании личного кабинета, а также при управлении заявками и заказами от новых клиентов.
Давайте теперь попробуем разобраться в том, по каким критериям следует выбирать антифрод-систему. Пожалуй, большое внимание следует обратить на цену. Несомненно, что в эту сумму помимо стоимости самого продукта должны входить работы по внедрению, обучение администраторов системы и другие сопутствующие расходы. Антифрод не должен стоить дороже, чем ущерб от мошеннических действий, иначе его применение будет невыгодным. Например, если подписка на систему приобретена на год, то потенциальная сумма ущерба также оценивается за этот срок.
Если оценивать антифрод-системы по функциональным возможностям, которые используются для определения уровня риска, то наиболее объективными показателями будут те, по которым можно сделать конкретные выводы об инциденте — например, используется ли прокси-сервер при доступе к сайту, возможен ли удалённый доступ к устройству, то есть те показатели, о которых можно судить вполне точно.
Если используется механизм для расчёта оценки (скоринговая модель), то на основе подсчитанных цифр трудно сделать вывод о реальности инцидента. Обычно принцип подсчёта баллов недоступен пользователю, в связи с чем нет возможности определить, из чего складывается конкретная сумма. С одной стороны, это упрощает процесс реагирования (например, если больше 75 баллов из 100, то это мошенник, если ниже, то нет), но точность принятия решений и анализа рисков будет ниже, а следовательно, будет сложнее проводить расследования.
Ещё одним фактором, влияющим на выбор антифрода, является использование машинного обучения в системе. Это позволяет выявлять риски на основе анализа большого объёма данных и выявлять закономерности с помощью искусственного интеллекта.
Также важным параметром антифрод-системы является отсутствие необходимости сбора конфиденциальных и персональных данных клиентов. Это позволит предотвратить потенциальную утечку критически важных данных в открытый доступ в результате возможных несанкционированных действий или по другим причинам, что обезопасит от имиджевого и финансового ущерба, а также избавит от необходимости получать согласие клиента для обработки его персональных данных третьей стороной.
Однако при выборе антифрода любому заказчику необходимо отдавать себе отчёт в том, что ни одна система не может защитить ото всех атак. Основная задача эффективной антифрод-системы — сделать атаку настолько сложной и затратной, чтобы злоумышленник отказался от данной цели и переключился на другие, более доступные системы.
На данный момент на рынке существуют разные продукты, подходящие подо все или большинство из вышеуказанных критериев. Очень часто эффективность работы того или иного антифрода зависит от внутренних алгоритмов системы, которые разработчики не раскрывают. При этом нужно понимать, что разные продукты на разных сайтах и в разных информационных системах будут показывать разную эффективность. Поэтому очень важным для заказчика моментом является проведение сравнительного пилотного тестирования нескольких продуктов в собственной инфраструктуре перед тем, как сделать окончательный выбор.
Архитектура антифрод-системы
Web Antifraud, как уже было сказано, является сессионной (браузерной) антифрод-системой, которая рассчитана главным образом на следующие категории заказчиков:
Также данный продукт подойдёт и для других платформ, в которых аккаунты клиентов представляют ценность для мошенников.
Web Antifraud сочетает в себе несколько ключевых функций: анализ устройства, анализ поведения, выявление вредоносных программ, проверку возможной связи между аккаунтами пользователей.
Анализ устройств заключается в сборе более чем 100 технических характеристик устройства пользователя; на основе 60 различных проверок рассчитывается вероятность совершения мошеннических действий на сайте. Также выявляются попытки эмулировать устройства других пользователей или избежать проверок.
Второй ключевой особенностью этого продукта является анализ поведения, позволяющий выявлять аномалии в поведении пользователя. Не секрет, что каждый человек отличается индивидуальностью; соответственно, и с сайтом он также взаимодействует уникальным образом — совершает присущие только ему движения мышью, с определённой скоростью набирает текст на клавиатуре, заходит на сайт из определённых геолокаций, по своим правилам перемещается по сайту и т. д. Подобное поведение состоит изо множества привычек, которые принадлежат только этому человеку. Если были замечены существенные изменения в поведении пользователя, то, скорее всего, аккаунтом пользуется другой человек, и это — сигнал для проведения дополнительной проверки. У мошенников тоже есть свои шаблоны поведения, которые также выявляются и служат поводом для повышенного внимания к пользователям.
Рисунок 3. Карта в Web Antifraud с отмеченной геолокацией пользователей
Ещё одной существенной функцией Web Antifraud является защита от вредоносных программ, в том числе троянов. Работа данного механизма заключается в определении попыток повлиять на функциональность и работоспособность сайта. Чаще всего такие попытки связаны с инъекцией вредоносного JavaScript-кода, который запускается на компьютере пользователя. Web Antifraud выявляет подобные атаки и собирает всю доступную информацию по ним для дополнительного анализа.
Web Antifraud также позволяет обнаруживать неявные связи между аккаунтами, которые используют общие устройства и IP-адреса, а также по некоторым другим факторам. Это позволяет выявлять группы аккаунтов, которые могут использоваться в мошеннических действиях.
В дополнение к вышеперечисленному Web Antifraud обладает функцией проверки целостности и актуальности пользовательских сессий. В результате работы механизма детектируются попытки перехвата или подмены сеанса. Антифрод обладает защитой от повторения предыдущих запросов (replay-атак). Web Antifraud способен определять включённый режим инкогнито в браузерах и модификации стандартных интернет-обозревателей (антидетекты), а также оценивать доверенность среды (устройства, IP-адреса и другие признаки), из которой заходит пользователь.
Для повышения уровня безопасности антифрод-система дополнительно предлагает функцию 2FA (двухфакторной аутентификации). В случае подозрения на неправомерность доступа к аккаунту Web Antifraud может запросить дополнительный способ подтверждения с помощью тех инструментов, которыми владеет пользователь (например, посредством получения кода на электронный адрес, SMS-сообщения на мобильный телефон, использования аппаратного токена, отпечатка пальца и другой биометрии).
Для того чтобы можно было удобно и оперативно управлять аналитикой, в антифроде применяется веб-приложение «Web Antifraud Аналитика». Данный инструмент позволяет получать в режиме реального времени отчёты о работе системы, об инцидентах и активности пользователей, осуществлять поиск, получать по каждой учётной записи подробную аналитику с визуальными геометками на карте и найденными связанными аккаунтами.
Рисунок 4. Консоль управления аналитикой в Web Antifraud
Особенности интеграции системы
Работы по внедрению Web Antifraud в инфраструктуру не отличаются большой сложностью.
Для интеграции антифрод-системы с сайтом заказчика необходимо добавить JavaScript-код в критически важные страницы, которые следует контролировать, и подключить серверную часть (бэкенд) сайта к API разработчика. Для того чтобы при интеграции не возникало трудностей, клиенту предоставляется подробное описание работы API Web Antifraud. Также можно привлечь для консультаций службу технической поддержки.
Следует отметить, что антифрод-система собирает только данные из браузеров пользователей при посещении сайта заказчика и получает уведомления о выполнении определённых действий (например, входа в аккаунт, регистрации, перевода денежных средств). Таким образом, интеграция с сайтом получается вполне поверхностной и не требует изменения логики его работы.
Выводы
Системы класса «антифрод» являются крайне эффективными и действенными инструментами для борьбы с мошенническими действиями в цифровом пространстве. Тем не менее необходимо отметить, что в зависимости от специфики деятельности организации можно использовать либо один из двух типов антифрод-продуктов, либо оба сразу. Как мы выяснили, транзакционный антифрод лучше всего подойдёт заказчикам, которые выполняют различные финансовые операции, например платёжным шлюзам. Браузерный антифрод будет актуален для организаций, в которых критически важными являются манипуляции с личным кабинетом или другие подобные процедуры, выполняемые пользователями сервиса. Кроме того, возможны ситуации, когда можно использовать оба класса систем, например в банках, криптобиржах, брокерских системах, сервисах бонусных программ.
Также не стоит забывать о дополнительных критериях, по которым следует оценивать данные продукты, таких как конечная стоимость, функциональные возможности, система оценки уровня риска, защита конфиденциальных данных и т. д.
Продукт Web Antifraud относится к классу браузерных антифрод-систем и, судя по рассмотренным функциональным возможностям, вполне эффективно решает задачи борьбы с мошенничеством благодаря анализу устройств и поведения пользователей, выявлению вредоносных программ и проверке связи между аккаунтами. Также необходимо отметить информативный аналитический модуль и относительную простоту интеграции Web Antifraud в инфраструктуру заказчика.