Аналитика и комментарии

23 января 2023

Сергей ВЕЛЬЦ, «КИБЕРТОНИКА»: АНТИФРОД - новые технологии

Без программных платформ фрод-мониторинга, работающих в режиме реального времени и генерируемых ими алертов, в современных условиях финтеха уже не удастся выявлять, блокировать и предупреждать мошеннические транзакции: вывод средств клиентов на посторонние счета, незаконные валютные операции, операции с запрещёнными контрагентами, фальсификации заявок на кредитование и компрометацию личных данных клиентов. Специально для NBJ Сергей ВЕЛЬЦ, технический директор и сооснователь компании ООО «Кибертоника» подготовил ознакомительный материал об основах фрод-мониторинга и настройки алертов – как в финансовом, так и в других секторах. В нем он рассказывает о современных разработках на отечественном рынке ПО, о тех вынужденных компромиссах: между удобством и безопасностью платёжного сервиса, скоростью обработки и безопасностью, отказоустойчивостью и безопасностью – которые ныне ушли в прошлое.

Современные решения от компании «Кибертоника» для фрод-мониторинга используют динамический подход, самообучающиеся алгоритмы, чтобы свести к минимуму как пропуски подозрительных действий, так и безосновательные блокировки, зависания и сбои в работе клиентского приложения.

Масштабы проблемы

Мошенники становятся все изощреннее, фродеры и скаммеры больше не нацелены исключительно на крупные компании, которым легче пережить потери от фрода. Сейчас фрод (мошенничество) – реальная угроза для компаний любых типов, размеров и стран.

По общемировым оценкам аналитиков, во время пандемии объемы электронного мошенничества увеличились на 46%; по итогу, резкий рост случаев мошенничества отметили три четверти всех существующих мерчантов.

Расходы на борьбу с мошенничеством за  1 год по данным ЦБ РФ выросли на 10 млрд. руб В целом, по оценкам  международного агентства Кроу, мошенничество в различных его проявлениях обходится мировой экономике более чем в 5,127 трлн долларов ежегодно.

Как работает программная платформа фрод-мониторинга

Современные решения для фрод-мониторинга - это комплексное ПО, которое внедряется во всех точках обслуживания ваших клиентов по продуктам и услугам

Как правило, работа происходит через API на бэкэнде, и дополнительно задействуется некий фронт-энд компонент – как самый распространённый пример, для передачи цифровых отпечатков пользовательского устройства (планшета, ноутбука, телефона и т.д.).

В режиме 24/7 проходит мониторинг, скоринг и анализ данных; критические точки процесса – такие события, как пользовательская регистрация и платежи.

Например, в интернет-магазине такая система может отслеживать поведение каждого покупателя, а также всю доступную информацию о нём, включая ту, которую он сам предоставил. Когда кто-то создает новую учетную запись, входит в систему (авторизуется), вводит данные своей платежной карты при оформлении заказа – во всех этих точках можно профилировать пользователя и его намерения.

Виды пользовательских данных

Источники такого рода информации включают:

●      анализ IP

●      цифровые отпечатки устройства

●      цифровые отпечатки браузера

●      История действий пользователя (цифровой след) и социальный профиль

●      поведенческий анализ и замеры скорости действий пользователя

●      биометрия

Подробные отчеты можно просматривать вручную или, чаще, автоматически прописать на их основе новые принципы ответных действий системы.

Алерты и блокировки: самый простой способ

Наборы правил (принципы) во фрод-мониторинге могут быть простыми или насколько угодно сложными. Вот пример срабатывания простого правила:

Если пользователь с почтой «yaMOSHENNIK @ vector.ru» пытается произвести платеж, заблокировать его и сгенерировать алерт.

Исходя из соображений здравого смысла можно составить некий черный список, при этом для любого, кто в него не попадает, никаких затруднений не создаётся.Черные списки, хотя и являются удобной функцией, но предполагают слишком конкретное условие сравнения, например: в логине почты содержатся слова «я мошенник». Поддержание чёрных списков слишком затратно по времени и при расширении масштабов становится вообще бессмысленным занятием.

Алерты и блокировки: рабочий способ

Необходимы более общие принципы, чтобы выявлять и блокировать разного рода мошенников и уведомлять об их активности аналитиков алертами.

Наборы правил устроены намного сложнее. Программные платформы фрод-мониторинга обеспечивают их точную подстройку, часто даже позволяют протестировать новые правила в отдельной «песочнице».

Пример рабочего правила, которое используется заказчиками таких программных решений:

«Если с одного и того же IP-адреса в течение 10 минут авторизовалось более 4-х разных учетных записей, заблокировать IP-адрес на 1 час и отправить алерт…»

Другой пример: одинокая пенсионерка (добровольно предоставленные сведения из учётной записи), которая целый год пользовалась нашим интернет-банком или нашим платёжным сервисом (при регистрации сделала множество опечаток, что зафиксировано), для заказов продуктов и средств бытовой гигиены. При получении кода авторизации транзакции, вводила его правильно обычно только со второго раза. Вдруг стала оперировать мышью, переключаться между вкладками и заполнять поля ввода со скоростью, достижимой лишь для профессиональных киберспортсменов, либо это робот. Запросила кредит на покупку самого современного и модного гаджета. Подозрительно? Ещё бы!

Подход Cybertonica к системе фрод-мониторинга и кастомизации

Миссия Cybertonica - борьба с мошенничеством. Но для каждого ЛПР и фрод-аналитика оптимальный уровень автоматизации свой; исполняя свою миссию, решение Кибертоники  точно подстраивает предлагаемые инструменты под запросы каждого заказчика, в соответствие с его удобством, а также с его сферой деятельности и характером угроз.

Для необанков и небанковского финтеха мы можем предложить большую гибкость и меньший отток клиентов, ведь можно обеспечить более высокий уровень сервиса для клиентов, которые так ценят свободу от традиционных банков с их формализмом.

Фактически, технология динамической подстройки от компании Кибертоника  может помочь любому бизнесу, которому важно обеспечить лояльный и комфортный сервис клиенту – независимо от сферы, гарантировать одобрение действий хороших клиентов, с минимизацией сбоев. Только подозрительным пользователям придётся пройти повторную аутентификацию и/или дополнительную проверку.

Как работает скоринговая система на практике

Единая платформа «Кибертоника»  поддерживает мониторинг в режиме реального времени более 100 отдельных параметров данных, собранных с помощью передовых технологий, включая анализ цифровых следов, цифровых отпечатков устройств, анализ поведения и многое другое. Затем показатели объединяются с помощью модуля агрегации данных в легко читаемые профили и подытоживаются оценками риск-скоринга.

Скоринг дает быструю оценку риска по каждому пользователю и/ или действию; исходя из этой оценки, выносится решение: живым специалистом и/или автоматически, на основе индивидуализированных политик и правил.

FAQ: Сложно ли настраивать правила? Бывают ли какие-то готовые начальные настройки?

Наше решении Fraud Suite -  наборы правил могут вырабатываться максимально гибко, несколькими способами:

●      генерация правил при помощи алгоритма с машинным обучением whitebox на материале исторических данных

●      Выбор из готовых отраслевых настроек правил по умолчанию, разработанных с учетом наиболее распространенных угроз каждой конкретной отрасли.

●      баллы

●      прописанные вручную в явной форме операторами правила

●      комбинации вышеперечисленного.

Для редактирования и дополнения правил на любом этапе доступна удобная информационная панель.

Что представляет собой  фрод-мониторинг счетов в банковской сфере?

Банки подразумевают под этим понятием непрерывный и тщательный мониторинг транзакций и банковских сессий  в  web /  моб. приложениях.

Существующие системы мониторинга движений по счёту обычно отслеживают и сам банковский счёт: любые изменения адресной информации, бенефициаров, выпуск новых карт и т.д.

FAQ: Нужны ли Необанкам системы мониторинга фрода? Придётся ли жертвовать гибкостью и удобством в обслуживании?

Хотя фрод-мониторинг и является важным для всех банков – для небанковских организаций и необанков возникает дилемма: обеспечивая удобство и комфорт сервиса в противовес ригидным традиционным банкам, допустимо ли им жертвовать ради этого ещё и защитой клиентов от мошенничества. К счастью, это ложная дилемма. Несмотря на то, что для банков есть много сложностей, связанных с соблюдением местного законодательства о борьбе с отмыванием денег, тема нашего обсуждения касается всех банков и уравнивает их.

Необанки могут внедрять решения по фрод-мониторингу, работающие скрыто, где это возможно (клиент даже не почувствует перехода на новые стандарты), и использовать динамический подход: блокировать клиентскую сессию только в случае подозрений разного рода.

От проверки KYC до онлайн-транзакций по картам и так далее.

Настройка алертов

Наборы правил определяют необходимые действия системы, в том числе, при настройке наборов правил выбирают виды рассылки ответственным сотрудникам, то есть «алертов». Настройка правил ещё более усложняется в случае введения в компании рискового скоринга пользователей.

Таких правил могут быть сотни. Они только не должны быть взаимоисключающими!

Конкретное действие может привести к срабатыванию нескольких триггеров, каждый из которых ухудшает рейтинг, переводя событие на более высокий уровень риска.

На выходе, будет осуществлена блокировка транзакции (или нет), будет обязательно разослан алерт, может потребоваться вмешательство аналитика фрод-мониторинга.

Алерт может отправиться даже для того клиента, который показался системе благонадежным в целом.

В чём сходство кредитного скоринга в кредитных организациях – и блокировок подозрительных транзакций? Управление рисками – основа фрод-мониторинга.

Если целью считать предотвращение мошенничества, то именно фрод-мониторинг на основе рискового скоринга – средство его достигнуть.

Рейтинги рисков – стратегическая основа для современного фрод-мониторинга. Учитываются сотни параметров массива наблюдений, которые характеризуют намерения клиента, оцениваются в комплексе, на выходе получаем числовую оценку угрозы. Является ли наш клиент вероятным мошенником (да/нет)?

Система собирает все описанные параметры, учитывает каждый фактор и выдаёт комплексную оценку рисков (скоринг). По итогам скоринга определяется рассылка алертов или другие действия.

Обычно у нас пользователи с высоким показателем скоринга автоматически блокируются системой, с низким показателем риска – пропускаются. Пользователи со средним уровнем риска – направляются на проверку вручную, либо им предлагается пройти дополнительную верификацию.

Платформы с настраиваемыми правилами могут адаптироваться под любые потребности, заказчик сам определяет действия системы в каждом общем случае.

FAQ: Что такое «мониторинг фрод-рисков»?

Термин «мониторинг фрод-рисков» обычно употребляется как синоним «фрод-мониторинга», но здесь подчеркивается составляющая риск-менеджмента; иногда прямо в регламентах в качестве стратегии и системы управления рисками в регламентах компании прописывается именно «мониторинг фрод-рисков».

Искусственный интеллект и машинное обучение на страже безопасности мерчантов

Одна из технологий искусственного интеллекта, «Машинное обучение», позволяет усовершенствовать процесс фрод-мониторинга на всех этапах: и генерацию набора правил, и мониторинг в режиме реального времени, и реагирование в рисковых ситуациях.

Чтобы составить набор правил, модули машинного обучения анализируют исторические данные, связанные с компанией или ее сектором в целом. Затем система формирует для оператора предложения правил, которые могли бы отвечать индивидуальным запросам компании, правил, касающиеся наиболее вероятных областей преобразования.

Возвращаясь к вопросу автореагирования на показатель рискового скоринга, модели машинного обучения могут отслеживать, какие из обращений, отправленных на ручную проверку, в конечном итоге были одобрены, а какие – отклонены, а также другие подробности: чёрный список одобренных транзакций, которые оказались ложно-положительными (ошибка 1 рода), и так далее. В результате, со временем точность реагирования всегда повышается.

Касаемо фрод-алертов, рассылаемых аналитикам по фрод-мониторингу и другим ответственным специалистам, машинное обучение позволит, при необходимости, ограничить ненужные или несрочные рассылки с течением времени – например, проанализировав долю так и не обработанных операторами алертов каждого вида.

FAQ: Что делать, если алгоритмы «машинного обучения» делают явно для нас неадекватные прогнозы и предложения?

Машинное обучение уже заняло важное место во фрод-мониторинге – и обладает еще большим потенциалом.

Однако у него также есть некоторые ограничения. Поскольку алгоритму ещё предстоит обучаться и адаптироваться на основе исторических данных и данных реального времени, поначалу он не будет столь эффективным. Избежать проблем, возможно, позволит внедрение систем с уже обученными на базе чужих данных алгоритмами.

Качественные характеристики системы фрод-мониторинга

Платформы фрод-мониторинга должны быть гибкими для адаптации к потребностям клиентов, масштабируемыми и постоянно развивающимися для реагирования на постоянно меняющиеся мошеннические схемы.

Компаниям, использующим решения фрод-мониторинга, важно удобство использования, поэтому платформа должна быть максимально простой в этом плане, а также обладать доступной для тестирования демо-версией, бесплатной поддержкой, быстрым развертыванием, наконец, прозрачностью в работе (а также тарификации).

Некоторые ключевые характеристики, на которые следует обратить внимание при подборе ПО для фрод-мониторинга:

●      мониторинг в режиме реального времени

●      интеграция данных с электронной почтой и телефонией

●      машинное обучение

●      настраиваемые правила

●      поведенческая аналитика

●      упрощённая аутентификация пользователей сервиса в зависимости от оценки риска

●      модель фрод-скоринга

●      произвольные запросы

●      визуализация, графики

●      пространство для “песочницы”

●      отчеты и алерты

FAQ: Полная автоматизация?! Можно ли «установить и забыть» ПО для фрод-мониторинга?

Это в основном зависит от ситуации с рисками в вашем секторе, вашей чувствительности к рискам и других факторов, но в целом, передовые комплексные решения для фрод-мониторинга могут эксплуатироваться как в режиме «непрерывной настройки», так и в режиме «установить и забыть» – как посчитает нужным заказчик.

«Минимальное участие» возможно, хотя в этом случае надо осознавать угрозы совместимости и безопасности.

Такие разработчики, как компания «Кибертоника», могут помочь оценить и настроить все для вас

Резюме.

Фрод-мониторинг в режиме реального времени поможет вам задерживать мошенников по горячим следам, а грамотно настроенные алерты позволят Вам держать руку на пульсе и обеспечить стабильно высокий уровень защиты.

Поделиться: