Об эксперте: Алексей Глотов, руководитель службы исследования больших данных российского оператора мобильной связи Tele2. Абонентская база компании превышает 48 млн клиентов. Единственный акционер Tele2 — «Ростелеком».
Омниканальность, мультиакторность и антифрод в мессенджерах
— Как за последнее время изменилось поведение мошенников? Каким образом они коммуницируют с жертвами?
— Первый основной тренд — омниканальность. Изначально весь фрод (мошенничество) шел исключительно через голосовой канал, то есть через обычные звонки. Сейчас аферисты уходят в мессенджеры, веб-трафик. Коммуникация может начаться во время звонка, потом перейти в мессенджер или наоборот.
Соответственно, меняются принципы выстраивания наших скоринговых решений: раньше они в основном сосредотачивались на анализе голосовых паттернов, на поведении конкретного номера телефона и абонента, а теперь мы больше анализируем мессенджеры и веб-трафик, комбинируем анализ различных каналов.
Второй тренд — мультиакторность. С абонентом могут последовательно взаимодействовать несколько мошенников с разными номерами и вести его по негативному сценарию.
— Можно ли вообще распознать мошеннический трафик в мессенджерах? Многие эксперты говорят, что это практически невозможно.
— Это сложная история. Мы можем увидеть, что у абонента установлены мессенджеры, а также сам факт звонка в определенный момент времени.
Но даже эти данные могут служить маркером для наших клиентов из числа, к примеру, банков. Допустим, их клиент пытается совершить операцию, которую банковская антифрод-система по своим внутренним критериям относит к числу операций с высокой вероятностью мошенничества. Банк обращается к нам за дополнительными данными: разговаривал ли этот человек по Telegram или WhatsApp.
Мы со своей стороны выявляем сигнатуры в приложении, то есть понимаем, что последовательность записей данных в веб-трафике, портов, адресов соответствует работе приложения Telegram или WhatsApp. Фиксируем факт звонка и сообщаем банку, что в конкретный момент абонент разговаривал через мессенджер. Мы не можем сказать, с кем и о чем конкретно. Но для банка сам факт звонка через мессенджер может быть дополнительным аргументом при принятии решения о разрешении или блокировке операции.
В этом кейсе Tele2 и банк — партнеры. Мы видим свою часть данных, они — свою, а финальное решение остается за банком.
— Много ли у вас партнеров, с которыми вы обмениваетесь данными?
— С нами работают все крупные банки. Маркетплейсы тоже активно занимаются антифродом и интересуются нашими сервисами. В последнее время возрастает интерес со стороны страховых компаний.
Работа «от защиты», особенности поведения жертв и мошенников
— Мошенники все чаще и быстрее меняют номера. Как за ними можно уследить?
— В целом наш подход — дать абоненту знание о том, кто ему звонит. В идеале, конечно, сообщить человеку, какая организация пытается с ним связаться: Tele2, «Яндекс» или потенциальный мошенник. И дальше он сам может принять решение, отвечать или нет. Наша база знаний сегодня — десятки миллионов номеров. Постепенно мы увеличиваем долю распознаваемых звонков.
В борьбе с мошенничеством крайне важно достаточно быстро определить нежелательные признаки в поведении абонента. Сейчас наши сервисы состоят из отдельных компонентов: одни осуществляют скоринг базы каждый час, другие работают по событийной модели (звонки в мессенджерах, проксирование трафика), то есть близко к режиму реального времени. Наша практика показывает, что фродовое поведение в среднем наблюдается два-три дня, и мы в состоянии его выявить примерно через шесть-восемь часов после начала активности.
Но здесь интересен другой момент. Мошенники находятся в проактивном положении, на полшага впереди, они все время придумывают новые схемы. А мы, получается, должны под них подстраиваться. И совсем недавно мы вместе с партнерами из банковского сектора выработали новый подход — рассматривать не только мошенника, но и его потенциальную жертву.
Мы пытаемся понять, насколько высока вероятность обмануть конкретного абонента. То есть скорим уже не мошенников, а тех, кого хотим защитить. Мы хорошо знаем свою абонентскую базу и видим, что, например, Иван Иванович часто разговаривает с мошенническими номерами или со спамерами. И пользователи наших сервисов в таком случае будут более внимательно относиться к транзакциям Ивана Ивановича и могут запросить дополнительное подтверждение операции.
Иными словами, можно работать от защиты человека, а не пытаться гоняться за мошенниками. Конечно, одно другого не отменяет, но новый подход позволяет более эффективно бороться со злоупотреблениями. Мы с партнерами видим, что это перспективная история.
— Есть ли понимание, сколько абонентов находятся в зоне риска?
— Пока есть только самые предварительные оценки. По ним, доля таких абонентов достигает 15–20%.
— Что объединяет таких людей?
— Какие-то общие факторы есть. Например, как много звонков к ним идет с так называемых альфа-номеров, то есть с номеров организаций. У людей, подверженных риску, доля таких звонков существенно выше.
При этом если человек подвержен риску, то уже не важен ни конкретный канал общения — голосовой или с помощью мессенджеров, ни сценарий поведения злоумышленников. Как показывают наши исследования, это в значительной степени один и тот же сегмент людей.
Данный подход позволяет нам создавать более эффективные и устойчивые системы противодействия мошенничеству.
— Есть ли какие-то отличительные черты у злоумышленников?
— Да, у мошенников тоже есть свои паттерны. Например, они меньше передвигаются, чем обычный абонент. У мошенников также больше уникальных номеров людей, которым они звонят.
Есть еще один интересный паттерн. Если построить график распределения продолжительности звонков, то у мошенников он бимодальный. Мы увидим два пика. Первый пик в самом начале, например, на 30-й секунде, то есть это очень короткие разговоры: собеседник сразу понял, что что-то не так, и положил трубку. Второй пик — в конце, допустим на 15-й минуте. И это говорит о том, что человек начал общаться с мошенником и провел довольно продолжительную беседу.
Разметка, обучение нейросетей и голосовые ассистенты
— Какие подходы и технологии к анализу и обработке данных вы используете?
— Для нас очень важна разметка данных, на которой обучаются нейросети. И мы в данном направлении работаем как с использованием внутренних ресурсов, опрашивая своих абонентов, чтобы узнать, был звонок спамерским или мошенническим, так и получаем разметку от наших партнеров — банков или маркетплейсов. Внешняя разметка является достаточно важным фактором создания эффективных антифрод-решений, поскольку результирующее событие — был ли нанесен ущерб, видят именно наши партнеры. Кроме того, паттерны поведения мошенников меняются, они работают по новым скриптам, что приводит к постепенной деградации ML-моделей, обученных на определенной разметке. Поэтому партнерство в данном случае просто необходимо.
И в этом плане могу отметить наше ноу-хау — активное обучение в режиме, близком к реальному времени на разметке, которую присылают партнеры. С его помощью мы повышаем качество моделей.
Еще одно передовое направление — графовые нейросети. Мы берем окружение абонента и окружение фродового номера. Нейросеть может выявить между разными абонентами очень тонкие и неочевидные взаимосвязи. Например, кейс, который я упоминал ранее: несколько мошенников ведут потенциальную жертву. Графовые алгоритмы позволяют достаточно качественно выявлять, что действия группы абонентов направлены на достижение одной цели — причинить ущерб абоненту.
Также активно развиваются голосовые ассистенты. Если абонент подключил эту услугу, то у него есть возможность переадресовать звонки с номеров, которые могут быть мошенническими, на голосового ассистента. Звонящий сначала пообщается с роботом, потом абонент получит расшифровку этого разговора. Если это был полезный звонок, можно будет перезвонить.
Федеративное обучение, блокчейн и субъектность абонента
— Как будет развиваться рынок антифродовых решений?
— Думаю, кооперация между разными компаниями будет усиливаться. Причем усиливать связи будут как телеком-операторы друг с другом, так и телеком-операторы с организациями из других секторов. Партнерства, обмен данными и их взаимное обогащение важны и перспективны, они позволят обезопасить максимальное число людей, вне зависимости от того, клиентами каких банков или мобильных операторов они являются.
Если говорить о развитии технологий, то здесь одно из перспективных направлений — федеративное обучение. Есть большая проблема в построении моделей: телеком-оператор видит свои данные и признаки абонентов, банк — свои, маркетплейс — третий набор данных и признаков клиентов, страховая компания — четвертый. И каждый предлагает какое-то частное решение.
Понятно, что объединение этих данных позволит построить более эффективные модели. Но бизнес не склонен открывать доступ к своим данным, а законодательство во многих случаях просто этого не разрешает, поскольку возникают риски.
И здесь может помочь федеративное обучение. Часть моделей обучаются в банке, часть — у телеком-оператора, еще одна часть — у маркетплейса и т.д. В данном случае на стороне каждого участника обучается частная модель, которая затем передается на центральный сервер, где и происходит построение одной более сильной модели, при этом сами данные остаются у их владельца. Полученная модель будет более точной как в плане охвата номеров, так и в плане определения — мошенники ими пользуются или спамеры.
Наконец, у развития рынка есть еще одна составляющая. Сегодня человек — абонент, клиент банка или маркетплейса — выступает в роли объекта. Я думаю, наступит переломный момент, когда ему будет дана субъектность. То есть он сам будет определять политику контактов и решать, кто может ему звонить, а кто нет. Для реализации такого подхода потребуются доверенные технологии типа блокчейна.
— Блокчейн можно как-то применять для борьбы с мошенниками и спамерами?
— Вся эта история с назойливым спамом связана с тем, что операторы персональных данных не всегда хорошо обеспечивают их защиту. Понятно, что наши регуляторы держат руку на пульсе и активно мониторят ситуацию, но здесь явно есть над чем работать. Нужно в целом повышать культуру защиты персональных данных.
И тут как раз может быть полезен блокчейн. Управление персональными данными можно вести через доверенные распределенные системы, чтобы было четко видно и зафиксировано, кто запросил эти данные, кому они передавались и т.д.
Вообще блокчейн, как и ИИ, в свое время очень сильно распиарили. Но это очень хорошая технология. Просто нужно понимать, где ее стоит применять. Блокчейн имеет большие перспективы в сферах, где есть много субъектов и контрагентов, которые друг другу не доверяют.
— Как скоро федеративное обучение начнут использовать в России?
— Когда в России еще работали зрелые западные вендоры — те, кто поставлял железные, хардверные решения, — на рынке уже были коммерчески успешные проекты. Организации строили совместные модели по принципу федеративного обучения. После их ухода вся эта история немного подвисла. Сейчас есть много пилотных тестовых решений, в области федеративного обучения набирается экспертиза.
С моей точки зрения, эта технология обязательно займет свою нишу. Обмениваться данными нельзя из-за требований законодательства, но при этом нужно повышать качество решений и рекомендаций для клиентов. Я думаю, все этого хотят. Так что года через два-три эта технология получит свое распространение в России.
— А сколько нужно времени, чтобы абоненты обрели субъектность?
— Сейчас есть небольшая доля активных людей, которые хотели бы, скажем так, встать к штурвалу и самостоятельно управлять политикой своих коммуникаций. Их очень раздражают назойливые звонки, спам, попытки фрода. И они хотели бы занять какую-то активную позицию по этому вопросу. Но большинство пока к этому не готово. Это скорее вопрос социально-экономического развития общества. Чем оно выше, тем больше будет распространяться субъектность.
— Здесь тоже потребуется несколько лет?
— Нет, конечно. Здесь можно говорить о десятилетии. Речь идет о смене поколений. Не стоит ждать, что уже состоявшееся поколение будет гибким. Постепенно, от поколения к поколению, будет повышаться уровень субъектности и грамотности.