Сегодня уже никого не требуется убеждать в том, что банковский фрод является сложным, комплексным и системным видом атаки на клиентов банка или кредитную организацию в целом. Иногда в атаках участвуют сотрудники банка, помогая, например, в выборе потенциальной жертвы или в выводе похищенных денежных средств.

ИБ-специалисты указывают на то, что мошенники, освоив ту или иную технику атаки в одном из каналов взаимодействия банка с клиентом, моментально «тиражируют» ее на другие каналы. Например, практики социальной инженерии, показавшие эффект в ДБО, переносятся в сектор кредитования. Это означает только одно — система антифрода сегодня должна быть исключительно кросс-канальной.

«Кросс-канальный антифрод — это система, предназначенная для мониторинга в режиме реального времени банковских операций в целях выявления фактов как внешнего, так и внутреннего мошенничества, закрывающая все актуальные на текущий момент времени каналы обслуживания клиентов. В число таких каналов мы включаем интернет-банк, мобильное приложение, процессинг, контакт-центр, платежные терминалы, чат-боты в мессенджерах и т.д.», — рассказал Сергей Парфенов, технический директор компании «Фаззи Лоджик Лабс».

Сергей Парфенов («Фаззи Лоджик Лабс»)

Комплексная работа антифрода обеспечивается системным подходом при анализе множества типов контролируемой информации — как финансовой, так и иной. В состав первой входят, например, данные о платежах, операциях с наличными средствами, со счетами, данные о переводах и т.д.

Нефинансовая информация включает в себя данные о смене реквизитов, PIN-кодов, паролей доступа и т.п. Анализируются данные об устройствах, с помощью которых клиент совершает операции: тип, модель, данные sim-карты, а также паттерны статической и поведенческой биометрии, включая геолокацию. Вся полученная информация обогащается данными о сотрудниках банка и партнерах, участвующих в совершении операций.

Таким образом, появляется возможность полноценного онлайн-мониторинга как транзакционной, так и сессионной активности клиента. Как же система выявляет признаки мошенничества?

Сергей Парфенов объяснил: «Ядром любой антифрод-системы является механизм оценки каждой совершаемой транзакции. Все существующие системы оценки риска делятся на два класса. Во-первых, это “rule-based”-оценка рисков на основе правил, примененных к входным данным. Во-вторых, “model-based”-оценка рисков с применением самообучающихся систем принятия решения. У каждого из этих подходов есть свои плюсы и минусы. Механизм правил — это абсолютно понятные, предсказуемые проверки, которые приводят к предсказуемым результатам. Машинное обучение позволяет построить типичный и нетипичный профили, для того чтобы каждую последующую операцию сравнивать с ними и сказать: “Это максимально нетипично для легитимного клиента и максимально типично для мошенника”».

Для эффективного анализа разработчикам антифрод-систем необходимо умение удачно сочетать методы детектирования аномалий как на основе правил, так и с использованием технологий машинного обучения.

Бонусы тоже надо защищать

Кросс-канальная природа программ лояльности или систем бонусов затрудняла выявление мошенничества в этой сфере. Как пример, злоумышленники, взломавшие аккаунт и воспользовавшиеся чужими бонусами, были невидимы.

В их схемах могут быть задействованы сотрудники банков, избыточно начисляющие бонусы, накапливающие их, а затем незаконно использующие их самостоятельно либо передающие аккаунты третьим лицам.

Это могут быть клиенты, покупающие товары с начислением бонусов и использующие их в сетях магазинов с возвратом товаров. Фиксируются попытки списания одних и тех же бонусов через разные каналы: web-портал, колл-центр, мобильное приложение и т.д. Не редкость продажа и передача бонусных баллов, когда это запрещено правилами программы, например, в гостиницах. Появление кросс-канальных антфирод-систем позволяет успешно выявлять и пресекать использование подобных незаконных схем.

Требования к «идеальной» системе

Кросс-канальные антифрод-системы, работающие зачастую в режиме, близком к реальному времени, довольно требовательны к аппаратному обеспечению. Поэтому здесь важно найти компромисс между требованиями и реальностью, а также искать синергию от грамотного использования различных технологий мониторинга и анализа.

«В настоящее время к нашему решению Smart Fraud Detection мы предъявляем следующие требования по быстродействию. Во-первых, время ответа по запросам для онлайн-платежей, операций в терминалах и банкоматах не может быть более 100 мс. Во-вторых, количество операций в секунду может быть более 4 тыс. Потребность в онлайн-проверках и круглосуточном обслуживании клиентов накладывает на систему довольно жесткие рамки по доступности сервисов — “четыре девятки” (99,99%). Не менее жесткие требования предъявляются к параметрам отказоустойчивости и катастрофоустойчивости, а также ко времени восстановления после катастроф», — уточнил Сергей Парфенов.

Интеграция самописного антифрода с внешними и внутренними IT-системами кредитно-финансовых организаций зачастую очень трудоемка. Система Smart Fraud Detection имеет много точек интеграции, поэтому эффективность ее интеграции гораздо выше.

Кроме того, «идеальная» система кросс-канального антифрода невозможна без удобной для пользователей платформы расследования инцидентов в едином информационном пространстве. Для этого требуется возможность гибкой настройки ролей доступа для операторов к операциям и действиям в разрезе зон ответственности, а также проведения расследования в режиме «одного окна» — одновременное отображение транзакций по всем каналам в разрезе параметров операции.

Какие существуют лучшие практики организации работ по внедрению и сопровождению такого сложного решения, как антифрод-система в банке? Одна из них — помощь вендора, имеющего реальный опыт построения all-in-one-продуктов, на базе учета трендов отрасли, включая требования по импортозамещению ПО.