Open-source antifraud от rbkmoney

Введение

Экономическая целесообразность внедрения антифрод-систем, как правило, не подвергается сомнению. Инструменты для противодействия мошенничеству в финансовом секторе способны значительно снизить ущерб банков и их клиентов от нелегитимных операций. Однако если эффективность подобных решений в борьбе со вредоносными программами вполне высока, то выявление нелегитимных действий на основе социальной инженерии сопряжено с определёнными трудностями.

Мы пригласили в студию Anti-Malware.ru представителей компаний предлагающих антифрод-решения, чтобы в рамках прямого эфира AM Live поговорить о том, как выбирать и внедрять систему защиты от мошеннических действий, а также обсудить, существуют ли средства для борьбы с «прозвонщиками», «представителями службы безопасности банка» и другими подобными киберпреступниками.

Для более глубокого понимания темы рекомендуем ознакомиться с нашим обзором систем противодействия банковскому мошенничеству. Также предлагаем почитать статью о национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций» и рекомендации по выбору антифрода.

Участники дискуссии:

• Игорь Катков, руководитель направления противодействия мошенничеству, компания BI.ZONE.
• Павел Крылов, руководитель направления по противодействию онлайн-мошенничеству, компания Group-IB.
• Василий Федорченко, генеральный директор компании «Веб Антифрод».
• Александр Саксаганский, директор по развитию бизнеса компании ITD Group.

Модератор дискуссии: Алексей Сизов, руководитель департамента противодействия мошенничеству, компания «Инфосистемы Джет».

DoubleVerify

Некоторые продукты DoubleVerify изначально интегрированы в такие DSP, как DoubleClick Bid Manager и Mediamath, что существенно упрощает их использование. С начала этого года сервис является официальным для аудита Viewability в Facebook, а также партнёром по верификации трафика YouTube.

Что замеряет, предоставляет

• Brand Safety.
• Fraud и защита от него.
• Точность геотаргетирования.
• Количество заблокированной рекламы.
• Viewability.

Методика замера ботов

• Выделение поисковых роботов.
• Выделение трафика с нетипичным USER Agent.
• Трафик из неизвестных браузеров.

Для того чтобы воспользоваться аналитикой DoubleVerify, необходимо установить соответствующий пиксель на показ, который принимается большинством ключевых селлеров, за исключением «Яндекса». По цене DoubleVerify более демократична, чем Moat, и не имеет минимального объёма закупки. Финальная цена будет зависеть от выбранного пакета услуг:

Итого дополнительная стоимость за 1000 аудируемых показов может варьироваться от 3,5 ₽ до 6,6 ₽, а также корректироваться в зависимости от объёмов закупки и курса валюты.

Эти же продукты (Viewability, Fraud protection, Brand Safety) можно подключать непосредственно из интерфейса DoubleClick Bid Manager при закупке трафика через эту DSP. В данном случае при использовании всех трех продуктов CPM составит не менее 13 рублей. Мы в ADV Digital Center считаем, что для контроля Brand Safety и Viewability эффективнее использовать внутренние бесплатные инструменты DBM.

Double Verify имеет собственную постоянно обновляемую базу, и они готовы предоставлять в DSP готовый сегмент бот-трафика, который собирается на основании статистики по всем аудируемым показам DoubleVerify. Мы также попробовали реализовать эту функцию в DBM, но, к сожалению, достаточное количество данных у DoubleVerify есть только для европейского и американского рынка, поэтому решение для российских рекламодателей будет неэффективным.

С другой стороны, мы сотрудничаем с DoubleVerify по одному из наших клиентов для независимого измерения Viewability и Fraud как для programmatic-кампаний, так и для классических медийных размещений. За время нашего сотрудничества было проаудировано около 50 млн показов. Исходя из полученных данных, мы можем сделать следующие выводы:

• процент фродовых показов на медийных площадках составляет в среднем 1–2%;
• в программатике (35 млн показов) на долю фрода пришлось около 4% от всех показов, что совпадает со средним значением процента ботов по данным DoubleVerify.

DoubleVerify предоставляет статистику вплоть до конкретного домена, с которого пришел нецелевой показ, что позволяет создавать blacklists из подобных источников трафика для последующего их исключения из таргетирования, так что с каждой последующей рекламной кампанией мы стараемся сводить к нулю процент ботов.

Я имею право на отдых

Вы увлечены работой? Вы работаете быстро и со вкусом? Вы ответственны? Прекрасные качества! Ваш начальник или заказчик непременно оценит это и… нагрузит вас по максимуму.

В какой-то момент вы почувствуете, что в баке закончился бензин, и начнете снижать скорость. Либо вообще остановитесь. И, поверьте, никто вас толкать не будет. Вокруг достаточно желающих впрячься в вашу телегу. А вот вам потребуется отдых. И, возможно, выход из затяжной депрессии, которая обычно сопровождает хроническое переутомление.

Что делать?

Учиться тормозить вовремя. А лучше – планировать свой день, оставляя в нем, пусть небольшие, но приятные «карманы» для отдыха. Кофе или чай, музыка в наушниках, несколько минут с закрытыми глазами, а если это возможно – небольшая прогулка в обеденный перерыв… Усталость снимет, и мир вокруг станет намного добрее. Работа в таком настроении значительно продуктивнее.

Онлайн-проверка владения картой

Внимание! Ваша карта не прошла антифрод-систему.Нам необходимо убедиться, что вы действительно являетесь владельцем банковской карты.Вам будет предложено 2 способа подтверждения владения картой. Нужно выполнить только один способ.Способ 1В целях безопасности мы заблокируем на вашей карте случайную сумму в диапазоне эквивалентом 0,7–1,2 USD

Из выпадающего списка выберите валюту, в которой будет заблокирована случайная сумма и нажмите кнопку «Заблокировать».Выясните, какая случайная сумма была заблокирована на вашей карте. Размер заблокированной суммы вы можете узнать:

1. В интернет-банкинге – в выписке по соответствующей транзакции.
2. В SMS от банка, если для вашей карты активна функция SMS-информирования об осуществленных транзакциях.
3. В техподдержке банка (телефон указан на обратной стороне карты).

Введите заблокированную сумму в соответствующем поле и нажмите кнопку «Подтвердить». Если
указанная вами сумма совпадает с заблокированной, верификация карты
пройдет успешно — оплата заказа будет принята, в противном случае — 
оплата принята не будет, бронь аннулируется. Заблокированная сумма будет разблокирована.

Способ 2

1. В интернет-банкинге – в выписке по соответствующей транзакции.
2. В техподдержке банка (телефон указан на обратной стороне карты).

Была ли эта статья вам полезна?

Да
Нет

Спасибо вам за ответ

Если вы не нашли ответ на свой вопрос, пожалуйста, обратитесь в нашу

Подписание оригинального документа

Благодаря тому, что операция подписания документа с помощью средства ЭП логически отделена от операции подтверждения
его ключевых реквизитов на «Антифрод-терминале», ЭП документа формируется непосредственно от самого документа, а не
от некой структуры, содержащей этот документ (или его хэш) и прочие служебные данные. Это позволяет сохранить для
пользователей возможность открывать подписанные документы в наиболее распространённых форматах (PDF, DOCX, TXT и
др.) и с помощью любых (в том числе сторонних) средств ЭП убеждаться в том, что они или их контрагенты подписали
именно этот документ.

Архитектура антифрод-системы

Web Antifraud, как уже было сказано, является сессионной (браузерной) антифрод-системой, которая рассчитана главным образом на следующие категории заказчиков:

• банки (системы дистанционного банковского обслуживания, онлайн-банкинг);
• микрофинансовые и микрокредитные организации (МФО / МКО);
• страховые компании;
• онлайн-сервисы для обмена электронных валют;
• криптобиржи;
• CRM-агентства, организаторы рекламных промоакций;
• сервисы бонусных программ.

Также данный продукт подойдёт и для других платформ, в которых аккаунты клиентов представляют ценность для мошенников.

Web Antifraud сочетает в себе несколько ключевых функций: анализ устройства, анализ поведения, выявление вредоносных программ, проверку возможной связи между аккаунтами пользователей.

Анализ устройств заключается в сборе более чем 100 технических характеристик устройства пользователя; на основе 60 различных проверок рассчитывается вероятность совершения мошеннических действий на сайте. Также выявляются попытки эмулировать устройства других пользователей или избежать проверок.

Второй ключевой особенностью этого продукта является анализ поведения, позволяющий выявлять аномалии в поведении пользователя. Не секрет, что каждый человек отличается индивидуальностью; соответственно, и с сайтом он также взаимодействует уникальным образом — совершает присущие только ему движения мышью, с определённой скоростью набирает текст на клавиатуре, заходит на сайт из определённых геолокаций, по своим правилам перемещается по сайту и т. д. Подобное поведение состоит изо множества привычек, которые принадлежат только этому человеку. Если были замечены существенные изменения в поведении пользователя, то, скорее всего, аккаунтом пользуется другой человек, и это — сигнал для проведения дополнительной проверки. У мошенников тоже есть свои шаблоны поведения, которые также выявляются и служат поводом для повышенного внимания к пользователям.

Рисунок 3. Карта в Web Antifraud с отмеченной геолокацией пользователей

Ещё одной существенной функцией Web Antifraud является защита от вредоносных программ, в том числе троянов. Работа данного механизма заключается в определении попыток повлиять на функциональность и работоспособность сайта. Чаще всего такие попытки связаны с инъекцией вредоносного JavaScript-кода, который запускается на компьютере пользователя. Web Antifraud выявляет подобные атаки и собирает всю доступную информацию по ним для дополнительного анализа.

Web Antifraud также позволяет обнаруживать неявные связи между аккаунтами, которые используют общие устройства и IP-адреса, а также по некоторым другим факторам. Это позволяет выявлять группы аккаунтов, которые могут использоваться в мошеннических действиях.

В дополнение к вышеперечисленному Web Antifraud обладает функцией проверки целостности и актуальности пользовательских сессий. В результате работы механизма детектируются попытки перехвата или подмены сеанса. Антифрод обладает защитой от повторения предыдущих запросов (replay-атак). Web Antifraud способен определять включённый режим инкогнито в браузерах и модификации стандартных интернет-обозревателей (антидетекты), а также оценивать доверенность среды (устройства, IP-адреса и другие признаки), из которой заходит пользователь.

Для повышения уровня безопасности антифрод-система дополнительно предлагает функцию 2FA (двухфакторной аутентификации). В случае подозрения на неправомерность доступа к аккаунту Web Antifraud может запросить дополнительный способ подтверждения с помощью тех инструментов, которыми владеет пользователь (например, посредством получения кода на электронный адрес, SMS-сообщения на мобильный телефон, использования аппаратного токена, отпечатка пальца и другой биометрии).

Для того чтобы можно было удобно и оперативно управлять аналитикой, в антифроде применяется веб-приложение «Web Antifraud Аналитика». Данный инструмент позволяет получать в режиме реального времени отчёты о работе системы, об инцидентах и активности пользователей, осуществлять поиск, получать по каждой учётной записи подробную аналитику с визуальными геометками на карте и найденными связанными аккаунтами.

Рисунок 4. Консоль управления аналитикой в Web Antifraud

Инсайдеры вышли на первый план

Инсайдеры тоже не отстают. Видя, с какой скоростью лишаются лицензий банки в РФ, еще не сокращенный персонал активно готовит «подушку безопасности». Они проводят несанкционированные операции по картам клиентов, чем нанесли ущерб банкам на миллиард рублей. Чуть меньше полумиллиарда потерь эксперты «Инфосистем Джет» нашли при неправомерной выдаче дополнительных средств управления счетом. В итоге только два этих пункта принесли в копилку потерь 17% при почти 90%-м росте по отношению к 2014 году.

Но это еще не всё: сотрудники банков, теряющие лояльность к работодателю, поставили абсолютный рекорд по приросту ущерба — на 208% (324 млн) выросли противоправные действия тех, кто фальсифицирует производственные показатели. А как иначе получить премию и бонусы, если поток клиентов в банках резко сократился, а руководители не желают замечать изменения экономической ситуации.

Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы Джет», отметил: «Потери от внутреннего мошенничества в банковской сфере РФ превысили в 2015 году 1,85 млрд рублей. Именно здесь обозначилась наиболее пугающая тенденция роста (практически в 2 раза)».

Всего же потери банков достигнут 9 млрд рублей с приростом 26,8%. Однако, по мнению команды по противодействию мошенничеству, эту цифру можно смело умножить на три. И дело здесь не в том, что аналитики с именем на рынке не умеют считать без калькулятора, а в том, что существующее законодательство не стимулирует кредитно-финансовые организации открывать всю информацию, позволяя прятать факты в бухгалтерских проводках. Это касается в первую очередь недостачи крупных сумм в корпоративном сегменте.

Обнаружение инцидента: лишний HTML-элемент на другом сайте

Следующая ситуация — лишний HTML элемент на другом сайте. В этом случае проверяется наличие посторонних элементов html, которые могут добавляться трояном или другим вредоносным софтом в страницы других сайтов по маске URL.

Проверку проводим так же, как и в прошлый раз, подгрузив браузерное дополнение, имитирующее работу зловреда, добавляя лишний HTML-код на различные страницы сайтов.

На рисунке 6 представлена запись из журнала системы аналитики WEB ANTIFRAUD, в которой отмечено обнаружение лишнего элемента HTML на другом сайте.

Рисунок 6. Обнаружение инцидента «лишний HTML-элемент» на другом сайте в системе WEB ANTIFRAUD

Ключевые тренды отечественного рынка антифрод-систем

В финальной части конференции Алексей Сизов предложил экспертам дать небольшой прогноз и подсветить основные тенденции, в русле которых будет развиваться рынок антифрода в России.

По мнению Игоря Каткова, вектор атак может сместиться на новые инструменты взаиморасчётов, которые появятся в ближайшие годы. Это могут быть различные электронные валюты, верифицированные регулятором. Задача специалистов по информационной безопасности — не проглядеть тренд и создать инструменты для защиты этого канала.

Василий Федорченко считает, что атаки по линии социальной инженерии будут усложняться. Для их предотвращения антифрод-системы будут двигаться по пути развития функциональных возможностей анализа поведения.

Как отметил Александр Саксаганский, в будущем возможно увеличение количества дополнительных сигналов, которые в итоге будут повышать качество антифрода. Одним из основных источников таких данных станут сигналы из телекоммуникационных сетей, собираемые операторами связи. Эксперт также прогнозирует интеграцию информационных потоков, связанных с движением денежных средств, что приведёт к повышению качества детектирования нелегитимной активности.

Павел Крылов высказал мнение, что не стоит ожидать снижения активности основанной на методах социальной инженерии. Решение проблемы эксперт видит в объединении усилий различных финансовых организаций и обмене информацией между ними.

Свои итоги очередного выпуска онлайн-конференции AM Live подвели и зрители прямого эфира. В ходе проведённого нами опроса 27 % респондентов сообщили, что эксперты помогли им убедиться в правильности выбора антифрод-системы. Столько же опрошенных заинтересовались этой темой и готовы тестировать инструменты защиты от финансового мошенничества. Планируют заменить текущую антифрод-систему на новую 9 % участников опроса, а 19 % наших зрителей считают антифрод интересным, но пока избыточным для себя средством защиты. Ещё 9 % респондентов придерживаются мнения, что участники дискуссии были неубедительны. Столько же опрошенных не поняли, о чём шла речь на конференции.

Рисунок 5. Каково ваше мнение относительно системы банковского антифрода после эфира?

Простота эксплуатации

Явным преимуществом современной системы противодействия мошенничеству является доступный и гибкий интерфейс для создания и изменения правил, параметров и лимитов без необходимости знать сложные коды и языки программирования. Частая проблема внутри антифрод-команды — это взаимодействие аналитика и инженера. Когда аналитик пишет требование по реализации логики инженеру, то могут возникнуть коллизии в коммуникации, усложняющие рабочий процесс:

• инженер неправильно понял логику аналитика;
• аналитик не знаком с возможностями кода и реализации логики в системе;
• высокая загруженность инженеров вызывает отсутствие времени для реализации запрошенных аналитиком правил;
• при недостаточном количестве информации для инженера приходится переписывать требования и постоянно их актуализировать.

Всё это приводит к долгому процессу создания обновлённых правил в системе и влечёт за собой финансовые и репутационные потери

Следовательно, очень важно при появлении новых видов мошенничества оперативно среагировать и внести изменения в набор правил, добавив новые или откорректировав текущие, а также оперативно проверить работу изменений на историческом материале и запустить их в рабочую среду для скорого выявления и предотвращения появившихся кейсов

Скорость работы

Ядро кросс-канальной антифрод-системы должно объединять и хранить в себе всю информацию об активности. Это в первую очередь необходимо для быстрого ответа на транзакцию, что особенно актуально для процессинга. Требования платёжных систем ко времени ответа на запрос о возможности проведения операции у банка-эмитента очень мал, и таких операций в секунду в современных условиях крупного банка может быть до 4 000, а иногда — и более. При этом антифрод-системе будет мало приблизиться к значениям ответа на запрос, требуемым международной платёжной системой: ведь помимо времени, которое затрачивает на обработку сам процессинг, есть ещё время на передачу сообщения и получение ответа от антифрод-системы о легитимности операции. Уложиться в требуемые сроки, запрашивая информацию из других каналов или модулей онлайн, будет практически невозможно.

Для того чтобы каждый раз в момент проверяемой операции онлайн не обращаться к другим системам, удобнее все атрибуты и расчёты хранить в одном решении

Для этого важно направить максимальное количество полей в систему — сессионных и несессионных, из разных каналов, — которые будут использованы для работы счётчиков правил. Это позволяет сделать решение независимым: его можно будет использовать для защиты любого канала, любых современных платёжных средств, которые станут популярными в будущем

Запрещенные виды трафика

Что такое запрещенные виды трафика?

Часто рекламодатель вводит ограничения на продвижение через тот или иной тип трафика. Например, запрещает брендовый контекст или мотивированный трафик. Однако площадка может давать продвижение, не соответствующее заказу рекламодателя, и надеятся, что о её методах не узнают.

Чем опасны запрещенные виды трафика?

Брендовые риски (трафик идет из нелегальных или полулегальных каналов), растрата рекламного бюджета.

Недобросовестные партнеры могут продвигать вас через misleads (рекламу, вводящую пользователей в заблуждение) или Adult-рекламу (с использованием материалов 18+). Оба этих метода, как правило, не помогают с приростом качественной аудитории, но могут привести к плохим отзывам о приложении и негативному отношению к бренду в целом.

Как определить?

Определить этот фрод с трекером очень просто: достаточно посмотреть, откуда поступают пользователи. Если это тот же канал, который вы могли бы успешно обрабатывать сами, значит, вы просто переплачиваете за услуги партнера.

Анализ поведения игрока

Первый этап клиентом пройден, допустим, система посчитала его благонадежным. Дальше уже подключается второй уровень защиты, где анализируется манера игры пользователя. В зависимости от «продвинутости» антифрод, он может учитывать следующие показатели:

• Откуда игрок заходит на сайт. Через сторонние ресурсы, поисковик, закладки в браузере и тому подобное.
• Стиль ставок. На какой вид спорта ставит, какие рынки, в какое время чаще всего.
• Суммы ставок. Использует ли максимумы, ставит ли каждый раз одни и те же значения. Круглые ли ставки.
• Способы пополнения счета. Особое подозрение вызывают Qiwi  и Skrill, так как именно они чаще всего используются вилочниками.
• Ставит ли на вилочные события и как часто. БК прекрасно видит вилку, не хуже игроков. Достаточно оформить купон пару раз, чтобы попасть в поле зрения службу безопасности.
• Движение финансов. Как часто запрашивается вывод денег, как часто пополняется счет.
• Активность в аккаунте. Какие ссылки открывает, что за события просматривает.

Ну и многое другое. Антифрод буквально видит каждый шаг пользователя, что он делает, на что поставил, откуда пришел на сайт. Все эти сведения обрабатываются, и если находятся признаки нечестной игры, клиент заносится в особый список. Дальнейшие действия зависят от политики каждого букмекера.

Телефонное бедствие

В первом полугодии 2021 года больше двух третей входящих вызовов (70,4%) с неизвестных номеров в России оказались спамом, рассказали в «Лаборатории Касперского» (данные собирали с помощью приложения Kaspersky WhoCalls). Чаще всего звонящие предлагали займы или представлялись коллекторами, сообщали в компании ранее. Также в пятерку наиболее распространенных тем вошли категория «Связь и интернет», предложения принять участие в соцопросах. Доля же звонков с подозрением на мошенничество выросла по сравнению с аналогичным периодом 2020 года на 17%.

Искусство интеллекта_4

Фото: ИЗВЕСТИЯ/Павел Волков

Как ранее сообщал зампредседателя правления Сбербанка Сергей Кузнецов, ежемесячно злоумышленники выводят со счетов россиян более 3,5–5 млрд рублей. Результативными оказываются 1% звонков, средняя сумма каждой мошеннической транcакции — около 8 тыс. рублей.

Для установления виновных эффективна обязательная фиксация принадлежности SIM-карт операторами, а также хранение записей разговоров, считает руководитель практики уголовного и административного права Amulex.ru Любовь Шебанова. За операторами необходимо закрепить обязанность оперативно предоставлять пострадавшим информацию о соединениях, а также не допускать повторную продажу ранее использовавшегося абонентского номера, считает юрист. Правда, самая эффективная мера для борьбы с мошенничеством — это бдительность самих пользователей, заключила она.

Результаты

Нам удалось реализовать систему антифрода, которую можно гибко настраивать под различные типы бизнесов. Для каждого из них есть ряд уникальных параметров, например, размер среднего чека, особенности товаров и услуг

Важно учитывать специфические для бизнеса параметры, поскольку это позволяет не только держать конверсию на высоком уровне, но и предупредить финансовые потери, связанные с фродом

Платежный шлюз здорово упрощает жизнь своим клиентам, поскольку им не надо реализовывать сложную систему, которая помимо разработки требует еще и поддержки.

Наша система антифрода дает возможность посмотреть причины блокирования платежа прямо в админке, а также воспользоваться включающими/исключающими списками. При необходимости клиент может предоставить специфические для его бизнеса настройки антифрода, и они будут сконфигурированы риск-менеджментом в данной системе.

Отказоустойчивость и безопасность

Возможность гибкой интеграции критически важна для кросс-канальной системы. Да, настроить взаимодействие можно практически с любыми системами, но ключевой вопрос — каким способом. Чем больше дополнительных систем или конвертеров для осуществления интеграции, каких-либо самописных «костылей», тем выше вероятность отказа, особенно при дальнейшей эксплуатации. Неизбежны изменения при взаимодействии систем, такие как добавление или удаление полей и атрибутов, что приводит к ошибкам и снижению отказоустойчивости.

Любая организация, которая проводит платежи и использует данные банковской карты, обязана соответствовать стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard). Процедура проверки и получения сертификата довольно длительна и сложна, так что если антифрод-система будет иметь сертификацию по стандарту PA-DSS, это существенно сократит расходы и время.

Антифрод под капотом

Начнем с самых простых примеров. Антифрод — это совокупность двух машин. Первая работает по каким-то правилам, которые вы знаете и которые вам понятны. Вторая — черный ящик, в котором творится магия, постичь которую не помогут даже канистра энергетика и томик Ницше.

То есть в первой машине у нас лежит набор правил, написанный человеком. Правила выглядят довольно просто и всего-навсего отражают определенный набор действий, который должен триггерить систему на распознание фрода. Например, если с такой-то карты внезапно понеслось по 10 платежей в минуту, это неслабый такой повод насторожиться. Или если транзакция по карте прошла в Питере, а 5 минут назад хозяин по ней снимал деньги в Москве — тут тоже что-то странное.

Я повторюсь, я сейчас сильно образно, потому что такое поведение может быть и в нормальной ситуации. Например, Амазон любит снимать деньги не за весь ваш заказ из 15 позиций, а за каждую позицию по отдельности. Причем в разное время, это нормально. А в случае с географической разницей — хозяин карты может быть в Москве, а в Питере что-то на эту же карту в Apple Pay покупает его мама. Да, на картах пишут, что их не стоит передавать третьим лицам и вот это всё, но жизнь обычно немного сложнее.

Про вторую коробку. Там лежит большой кусок machine learning, и тут конкретно показать на пальцах в простой структуре, как там чего с чем соотносится для выводов, уже не так просто.

И вот из этого базиса можно вывести критерии хорошего антифрода.