Как банки используют системы обнаружения мошенничества. (Anti Frod Systems). Часть 1

#Обучение

Представьте: вы видите отличное предложение в Интернете и пытаетесь срочно им воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта без предупреждения заблокирована банком.

Или вы внезапно получаете смс о списании значительной суммы: о ужас! картой пользуются неизвестные негодяи, укравшие ваши данные…

Я расскажу, как банки и компании используют системы обнаружения мошенничества (антифрод) и защищают наши деньги (иногда от нас самих).

Что такое фрод?

Фрод в общем смысле, - это мошенничество, действия с целью завладеть чужим имуществом (товарами или деньгами) через обман.

В это понятие входят поступки от взятия кредита по поддельным документам до злоупотребления условиями возврата товаров в магазине. 

Фактически, фродом можно назвать действия, представляющие финансовый риск для отдельного человека или организации, и при этом не включающие открытый грабеж с применением агрессивных методов.

По статистике, большинство случаев мошенничества приходится на карточный фрод.

 Где прячутся риски? Слабые звенья в цепочке онлайн-покупок

Чтобы понять особенности работы антифрод-системы, сначала схематически рассмотрим цепочку событий, из которых состоит любая покупка в интернете.

Каждая стрелка означает взаимодействие, требующее передачи данных. Если первым звеном цепи станет мошенник, то все следующие звенья так или иначе пострадают:

• Покупатель в этой схеме – реальный владелец карты или мошенник, ставший обладателем его данных.
• Торговое предприятие (ТП, в терминах электронных платежей: мерчант) – например, онлайн-магазин.
• Электронная платежная система (например, Яндекс.Деньги, WebMoney)– сервис, принимающий оплату через Интернет
• Банк-эквайер – банк, предоставляющий магазину услуги по обработке карточных платежей
• Платежная система (например, Visa, Master Card, МИР) – отвечает за расчеты между банками
• Банк-эмитент — банк выпустивший карту, которой покупатель пытается оплатить товар.

Фрод становится возможен из-за использования данных добросовестного клиента мошенниками, вследствие их хищения через фишинг, скимминг, прямую утечку данных.

Для покупателя онлайн-покупка кажется единой операцией с расчетами в реальном времени, но расчеты между стоящими далее по цепочке организациями проходят в течение нескольких дней. Если мошенничество вскрылось не сразу, то расследовать его будет сложно. 

Кто больше страдает от фрода?

Как бы мы ни сочувствовали гражданам, чьи данные украдены, все же стоит учесть и возникающие сложности других сторон транзакции. Если магазин, банк или платежная система не успели среагировать, то вы как пострадавшая сторона можете попросить банк о возврате списанной без вашего ведома суммы. Банк, как правило, будет стараться пойти вам навстречу и инициирует так называемый chargeback.

А вот магазин, допустивший оплату с помощью ворованных данных, будет вынужден возместить стоимость покупки фактически из своего кармана.

Если среди всех транзакций магазина мошеннических окажется 1% и более от общего количества, то международные платежные системы могут выставить штраф и банку-эквайеру и магазину. Это вредит кошельку и репутации торговой точки и банка, ухудшает возможности их дальнейшего сотрудничества с другими организациями.

Чтобы исключить подобные сложности, в игру вступают антифрод-системы, работающие на стороне банка, платежной системы или онлайн-магазина.

Что такое антифрод?

В современном понимании антифродом называется аналитическая система и комплекс мер для оценки финансовых транзакций (в том числе – в Интернете) на предмет вероятности мошенничества.

Системы антифрода пытаются выявить мошеннические действия по характеристикам транзакции и клиента. 

Распознавая необычное поведение и применяя встроенные фильтры, антифрод-решение оценивает риск транзакции и применяет определенные меры, запрещая или разрешая её проведение либо рекомендации по дальнейшей обработке события уже силами сотрудников банка (фрод-аналитиками).

На рынке представлено много подобных решений со своими особенностями архитектуры и функционала, но их принципы работы схожи.

Как работает антифрод система?

Совершая покупку в онлайн-магазине, вы добавляете товары в корзину, оформляете заказ и переходите на страницу оплаты. Минимальные данные, которые вы далее сообщаете – это номер карты, имя ее владельца, CVC код.

Но фактически передаваемых данных намного больше: это сведения о среде выполнения (браузере, ОС и устройстве), IP-адрес, куки, включающие идентификатор http-сессии, и т.д.

Пользователь, делая покупку, совершает действие в браузере или мобильном приложении, транзакция направляется (опустим детали) на backend-сервер банка и далее во внутренних банковских информационных системах для проведения расчетов.

Рассмотрим общие принципы работы антифрод-системы на стороне банка.

Backend-сервер банка передает сведения о транзакции в антифрод-систему и ждет разрешения на «проведение» платежа и его фиксацию в автоматизированных банковских системах.

 Антифрод-система (и иногда – фрод-аналитик) анализируют сведения, чтобы принять решение о легитимности этой транзакции. 

Антифрод-система обрабатывает пришедшие события (платежи), оценивает их риск, если требуется - инициирует другие сервисы (такие как дополнительная аутентификация клиента) и передает обратно решение.

В результате – оплата пользователя оказывается подтвержденной или отклоненной.

 Что именно происходит внутри антифрод-системы?

Первый этап контроля: Стоп-листы

Это «жесткие» фильтры: если характеристики транзакции содержит сведения, относящиеся к стоп-списку, любые дальнейшие проверки прекращаются и транзакция отклоняется. Обычно проверяется номер карты, IP-адрес, торговая точка, страна.

Антифрод-система проверит, нет ли номер карты в списке номеров, использованных преступниками или «слитых» на черном рынке, не отмечен ли магазин как подозрительный.

Зачастую крупные онлайн-магазины не принимают карты, выпущенные в определенных странах Азии, Латинской Америки и Африки, так как международная статистика свидетельствует о большом количестве мошеннических операций с банковскими картами из этих регионов.

Оценка риска

Если транзакция не заблокирована сразу на основе стоп-листов, то антифрод-система применяет ряд правил для оценки степени риска.

Если транзакция не заблокирована сразу на основе стоп-листов, то антифрод-система применяет ряд правил для оценки степени риска.

В первую очередь информация о транзакции дополняется сведениями о клиенте, его карте, истории расчетов, «подтянутыми» из многочисленных систем банка и других источников (например, скорость передвижения пользователя может быть оценена по геолокационным данным с его мобильного устройства).

Транзакции присваивается определенный балл: от «безопасного» (зеленый) до «требующего дополнительной проверки» (желтый) или же «крайне подозрительного» (красный).

Как антифрод-система опознает подозрительные операции?

Правила антифрод-системы устанавливают ограничения (лимиты) на транзакции исходя из таких факторов, как:

• Количества покупок одним клиентом или по одной карте за определенный отрезок времени
• Сумму одной покупки по карте (или одним клиентом) за отрезок времени
• Количество карт, которыми за определенный промежуток времени пользуется один клиент
• Количество пользователей, совершающих покупки по одной и той же карте
• История операций данного клиента магазина / держателя карты (особенно – покупок и снятия средств)
• Профиль среднего покупателя магазина, в котором совершается онлайн-покупка

Основной триггер (сигнал), по которому событие маркируется как подозрительное, - неоднородность данных или событие, не характерное для этого клиента или профиля (группы) клиентов, к которым он относится.

Антифрод-системы хранят и обрабатывают большие объемы данных с использованием сложных математических методов и могут выявлять связи, неочевидные даже для внимательному сотрудника и новые необычные паттерны, еще не описанные существующими в системе сценариями.

Однако можно привести примеры ситуаций, которые антифрод-система с большой вероятностью оценит как несущие высокий риск.

К типичным подозрительным операциям при онлайн-покупке относятся:

• Оплата по одной карте с разных устройств, имеющих разные IP адреса
• Оплата с одинакового устройства и IP адреса с использованием различных карт
• Повторные неудачные попытки подтверждения транзакции
• Использование одной и той же карты для оплаты заказов разных учетных записей в одном и том же онлайн-магазине
• Различия в имени учетной записи покупателя онлайн-магазина и владельца карты, с которой оплачен заказ
• Разные страны покупателя, магазина и банка-эмитента карты

Решение антифрод-системы

Условные баллы, обозначающие степень риска транзакции (скоринг) определяют, будет ли она признана безвредной и одобрена, требующей дополнительного подтверждения личности клиента (аутентификации) и/или рассмотрения аналитика или же сразу отнесена к мошенническим и отклонена.

Как система распознает и подтверждает (аутентифицирует) пользователя?

Если антифрод-система присвоила транзакции уровень риска, требующий дополнительной аутентификации, то после ввода данных вашей карты вы можете получить email с просьбой подтвердить совершение покупки, СМС с кодовым словом, push-уведомление в мобильном приложении.

Кроме того, банк может заблокировать небольшую сумму на вашей карте и затем попросить вас ввести ее точное значение, чтобы убедиться, что карта действительно принадлежит вам. При крупных суммах транзакции вам может позвонить сотрудник банка для подтверждения платежа.

После благополучной аутентификации антифрод-система дает «зеленый свет»: транзакция может быть успешно совершена.

Работа фрод-аналитика

При ручном контроле фрод-аналитик рассматривает событие («инцидент»), относя его к категориям от «точно мошеннических» до «точно легитимных». Окончательный статус легитимности транзакции может зависеть не от решения отдельного сотрудника, а от совокупной оценки нескольких аналитиков, работающих независимо друг от друга.

Продолжение следует…

Источник