Как устроен антифрод и почему с мошенниками так сложно бороться

При оплате покупки онлайн вам наверняка приходилось вводить код из СМС, чтобы подтвердить, что это именно вы используете свою карту, а не злоумышленник крадет ваши средства.

Это пример того, как работает антифрод (от англ. anti-fraud — борьба с мошенничеством) — комплекс мер, направленный на предотвращение мошеннических транзакций.

Антифродом называют автоматизированные программы, которые оценивают банковские или онлайн-операции по определенным критериям. Если какая-то из транзакций им не соответствует, проводится более тщательная проверка, после чего принимается решение о разрешении или блокировке операции.

Антифрод-системы применяются для защиты любых денежных операций, в том числе в онлайне, и используются банками, крупными магазинами и платежными системами (Visa, MasterCard, PayPal). С 2003–2004 годов использование таких систем стало обязательным во всем мире.

Антифрод необходим, чтобы пресечь попытку использовать личную информацию в корыстных целях. Ваши данные могут оказаться под угрозой в результате нескольких видов мошенничества:

• хакерских атак или вирусов, проникающих через спам на компьютер;
• вишинга, когда злоумышленники звонят случайному человеку и представляются «сотрудниками банка N» с просьбой сообщить данные банковской карты;
• фишинга, если мошенники копируют официальные сайты компаний и «продают» там услуги;
• скимминга, когда через специальные устройства, устанавливаемые на банкоматы, копируются данные карты.

Рассмотрим пример довольно обычного фрода. Мошенник захотел купить в интернет-магазине товары по акции и воспользоваться для этого данными украденных банковских карт. Кажется, все просто: ему нужно создать несколько аккаунтов и оплатить покупки по одному разу с каждой карты. В результате могут понести ущерб и настоящие держатели карт, и владельцы предприятия.

Первичная проверка и фильтры

Однако правила алгоритмов антифрода этому помешают, так как на их основе пройдет первичная проверка, где будут учитываться:

• количество транзакций за единицу времени;
• размер суммы единоразового платежа или перевода;
• число пользователей одной карты;
• лимит на объем покупок;
• количество карт, с которых один пользователь может совершать покупки за определенный период времени.

Даже если пользователь проводит транзакции сразу с нескольких IP-адресов или действительно находится в иной стране, чем та, где была выпущена карта, система это распознает и просигнализирует об аномалии. Однако это не повод блокировать платеж: операция пройдет еще несколько этапов проверки.

Кроме IP-адресов учитываются и такие фильтры как цифровой отпечаток, страна эмитента и соответствие данных о том, где была выпущена карта и откуда поступил платеж, а также история операций и наличие отклоненных транзакций.

Применение машинного обучения

Стоит учитывать, что антифрод-система — постоянно настраиваемый и обновляемый алгоритм, который начинает работать лучше, если его скорректировать. Для этого используется машинное обучение: искусственный интеллект (ИИ) формирует шаблоны (сценарии), опираясь на исторические данные о поведении пользователей, чтобы в дальнейшем делать прогнозы.

Обучение системы может проходить как под контролем специалиста (антифрод-аналитика), так и автономно, когда система самостоятельно распознает мошенничество и сигнализирует о нетипичных ситуациях.

Финальная проверка: метки

После проверки фильтрами, система устанавливает метки на каждую операцию:

• Зеленая — «одобрено», мошенничество маловероятно. К примеру, когда пользователь ежемесячно оплачивает коммунальные услуги, и транзакции проводятся примерно на одну и ту же сумму. В этом случае дополнительных проверок не требуется, а увеличение размера транзакций в десятки раз могло бы вызвать другую метку.
• Желтая — «требуется проверка», есть вероятность мошенничества. Такая метка может возникнуть, когда с одного счета небольшие одинаковые суммы уходят на несколько других счетов. Либо происходит многократное снятие таких сумм со счета — просто онлайн-магазин решил засчитывать каждую покупку в отдельности. Тогда может потребоваться помощь оператора для установки причин транзакций или платежная система попросит подтвердить личность кодом из СМС или отпечатком пальца на экране мобильного телефона.
• Красная — «опасность мошенничества», когда действия пользователя нетипичны. Например, клиент обналичивает ₽1,5 млн, в то время как его обычный лимит был не более ₽70 тыс. в месяц. Или когда картой, выпущенной в России, пользователь из Италии оплачивает покупки во французском интернет-магазине. Финальное решение — блокировать транзакцию или предпринять еще какие-то действия — принимает антифрод-аналитик. Банк имеет право заблокировать карту: клиенту придет СМС-уведомление с инструкциями, какую информацию и в какой срок нужно отправить, чтобы подтвердить законность действий. Или, если банковское приложение содержит такую услугу, придется пройти дополнительную идентификацию, например посмотреть в камеру телефона для распознавания внешности, и только потом завершить транзакцию.

С тех пор как банки ввели новые средства защиты — бесконтактные платежи и систему многофакторной аутентификации (СМС-оповещения, push-уведомления, специальные вопросы и отпечатки пальцев), — количество возможностей для мошенничества должно было существенно снизиться.

Однако за 2020 год число правонарушений в сфере ИТ выросло на 73,4%, среди них наиболее популярными оказались фишинг и скам. Во втором квартале 2021 года в основном в результате того же фишинга с банковских счетов россиян было украдено более ₽3 млрд, при этом банки вернули только 7,4% украденных средств. Половину из них клиенты банков перевели мошенникам сами.

Ограничения антифрод-системы и решения

Существует множество ограничений, из-за которых банки не могут своевременно отреагировать на случаи мошенничества или вернуть украденные суммы. В их числе — отсутствие у банков права блокировать входящие платежи и задерживать транзакции, устаревшие данные карт злоумышленников (которые уже успели их поменять), использование подставных лиц, скорость вывода средств мошенниками, долгая проверка счетов и отсутствие поправок в законодательстве, касающихся блокировки и возврата похищенных средств. Кроме того, клиенты сами раскрывают данные карт, поддаваясь на провокацию мошенников.

Несмотря на это, банки продолжают заниматься улучшением своих систем безопасности и, например, начали учитывать различия в поведении молодых и пожилых пользователей.

Мошенники часто пользуются доверием пожилых людей и обманными путями убеждают их перевести свои деньги на некий «безопасный счет». Но для возрастных клиентов нехарактерно снимать деньги со вклада до выплаты процентов, в то время как среди молодежи такое поведение не вызовет подозрения систем безопасности.

Поэтому если антифрод-система сочтет поведение пожилого человека подозрительным, это станет поводом для сотрудника службы безопасности задать ему уточняющие вопросы и, возможно, предотвратить хищение.

Антифрод не может полностью гарантировать защиту пользователей, но без него вероятность столкновения с основными видами мошеннических схем гораздо выше. Ответственность лежит не только на сотрудниках службы безопасности, антифрод-аналитиках, владельцах предприятий, но и на держателях карт.

Необходимо повышать свою цифровую грамотность и придерживаться четких правил цифровой безопасности:

• Хранить PIN-код, данные для входа в интернет-банк (логин, пароль, проверочные слова) в безопасном месте.
• Ни в коем случае не спешить доверять звонящему (мошенники могут представиться сотрудником банка и использовать подмену номера) и не сообщать никому данные своей карты, одноразовые СМС-пароли для подтверждения операций, только если вы сами не позвонили в банк.
• Включить СМС-уведомления от банка.
• Использовать только проверенные и официальные сайты компаний, где вы планируете совершить покупку.
• Выбирать банкоматы, расположенные в офисах банка или крупных торговых центрах с видеонаблюдением.