Антифрод-системы: описание, особенности и принцип работы

Содержание:

Виды фрода, в зависимости от источника
2017:Описание Protect360
Как противодействовать мошенничеству?
- Всё это приводит к снижению издержек за счёт:
- Наши конкурентные преимущества
See also
Фрод и кредитные карты
Кто страдает от внутреннего фрода
Types of Financial Fraud
2019: Запуск пост-атрибуционной защиты от мобильного фрода
Источник угрозы
Anti-fraud provisioning
Legal Considerations
Как бороться?
- Методы борьбы с фродом
  - AML
  - KYC
  - CTF
- Кто такие фрод-аналитики
Ad Science
What Is Fraud?
- Key Takeaways
Фрод и GSM
- SMS-фрод
- Варианты GSM-фрода
ComScore
Moat
- Что замеряет
- Методика замера ботов

Виды фрода, в зависимости от источника

Фрод — это самое настоящее мошенничество. Но злой помысел может исходить от разных лиц. Рассмотрим пример на основе взаимоотношений оператора связи и клиента (абонента).

Пользовательский (абонентский)

Примером такого мошенничества можно назвать незаконное подключение к услугам операторов связи и их неоплату, звонки за чужой счет, подделывание кредитных карточек и так далее, то есть те случаи, когда клиент пытается обмануть оператора.

Операторский

В данном случае уже оператор пытается обмануть клиента, например, подключает ему платные услуги без спроса и/или устанавливает высокую стоимость отписки от них.

Стоит сказать и об операторской системе антифрод — запрет исходящих СМС на короткие номера. Чаще всего, эта услуга предоставляется бесплатно — необходимо только подключить.

Межоператорский

Это вид фрода между двумя операторами, которые пытаются обмануть друг друга. Тут возможны перенаправления фрод-трафика, представление дорогих видов связи как бюджетных и так далее.

Внутренний

Самый интересный тип мошенничества. В данном случае противоправные действия совершаются одним из сотрудников компании, который имеет доступ к какой-то информации, оборудованию и пользуется своим положением. Жертвой могут стать:

сама компания;
другие сотрудники;
клиенты.

Внутренний фрод тоже можно разделить на две большие группы:

воровство — кража денежных средств или других материальных ценностей;
злоупотребление — извлечение личной выгоды, не связанное с прямым хищением.

Известно, что в IT-сфере происходит движение огромных денежных масс — от банка или оператора к клиенту, между фирмами или физлицами и так далее. Некоторые сотрудники, которые привлекаются к этим процессам, хотят поживиться за счет этого потока.

Тут просто огромное поле для различных вариантов злоупотреблений:

оказание фиктивных услуг;
оказание услуг по завышенным ценам;
подписание договора с аффилированным подрядчиком;
списание денежных средств со счета клиента;
подключение знакомых к корпоративным тарифам и так далее.

Фиктивные услуги плохи не только по своей сути, но и по той причине, что сотрудник или целое подразделение будут отмечены как высокоэффективные и награждены премией, хотя на самом деле, работы никакой не велось. Например, если речь идет о заключении фиктивных договоров.

Именно ущерб от внутреннего фрода считается максимальным, поскольку у злоумышленника есть все необходимые «пароли и явки», а его, при этом, сложно вычислить.

Источники угрозы

Выделяют три основных источника внутреннего фрода:

Люди с криминальным прошлым — они легче идут на мошенничество. Чтобы избежать проблем, службы безопасности советуют не нанимать подобный персонал, а также поддерживать высокую корпоративную культуру в коллективе.
Люди с высоким уровнем доступа к информации или денежным средствам — представляют особый риск.
Увольняющиеся сотрудники, а точнее, тех, кого увольняют за нарушения в работе или просто сокращают. Они могут попытаться украсть базы данных, испортить настройки оборудования, занести вирус только для того, чтобы навредить компании или получить компенсацию.

2017:Описание Protect360

Решение Protect360, представленное компанией AppsFlyer 20 сентября 2017 года, использует несколько уровней антифрод-технологий, чтобы обеспечить защиту, которая практически в режиме реального времени блокирует мошеннические установки и маркирует подозрительные действия и аномальные активности.

Защита от фрода

По заявлению разработчиков, продукт способен обеспечить защиту от вида мошенничества, который основан на сбросе идентификатора мобильного устройства (DeviceID). При этом Protect360 не только предотвращает фрод со сбросом DeviceID на уровне SiteID и распознаёт мошеннические устройства, но и защищает пользователей от других видов фрода с установками мобильных приложений, таких как: перехват установок, клик-флудинг и атаки посредника (MiTM).

Обмен данными в реальном времени

Благодаря тому, что постбэки передаются в режиме реального времени, сетевые партнёры остаются в курсе изменений, что позволяет сократить временные затраты на согласования между заказчиками и исполнителями, при этом исключая проблемы с мошенничеством.

Отчетность

Благодаря детализированным отчётам, которые содержат информацию о том, где и когда предпринимались попытки мошенничества, маркетологи в сотрудничестве с сетевыми партнёрами могут предпринять проактивные меры.

Совместимость с решениями AppsFlyer

В дополнение к обеспечению автоматической защиты, Protect360 способен интегрироваться с существующими сервисами AppsFlyer, такими как Live Alerts, Validation Rules и IO Builder: Fraud Appendix, что позволяет повысить защиту.

Live Alerts уведомляет членов команд удобным для них способом об изменениях в ключевых показателях эффективности, таких как метрики фрода.
Validation Rules определяет, какие установки будут или не будут засчитываться на основании ряда критериев, включая индикаторы фрода.
IO Builder: Fraud Appendix позволяет маркетологам и сетям избежать длительных согласований путём определения критериев фрода до запуска рекламных кампаний.

Как противодействовать мошенничеству?

Наш опыт включает в себя более полусотни проектов по выявлению и защите как от внутреннего, так и от внешнего мошенничества в различных сферах бизнеса: финансовые организации, телекоммуникационные компании, государственные организации, ритейл, предприятия ТЭК. Мы анализируем бизнес-процессы заказчика, находим потенциально небезопасные места, выявляем сценарии фрода, оцениваем вероятность возникновения подобных кейсов, выдаем рекомендации по снижению рисков путем корректировки текущих процессов и внедрения специальных мер противодействия. А именно:

изучаем бизнес-процессы и выявляем потенциально небезопасные места, превышение полномочий, манипуляции с информацией и данными, аномальное поведение, использование небезопасных технологий. Цель этапа – выявить «слабые звенья», закрыть которые нужно в первую очередь;
формируем сценарии возможного мошенничества, оцениваем вероятность потенциального ущерба и стоимости защитных мер;
даем рекомендации по корректировке текущих бизнес-процессов, настройке систем, введения организационных процедур, при необходимости – внедрения специализированного ПО;
формируем требования к антифрод-системе, помогаем выбрать систему исходя из потребностей заказчика. Мы не привязаны к конкретному вендору – рекомендуем то, что подходит заказчику;
формируем логику системы, правила выявления и предотвращения, механизмы реагирования, создаем скоринг мошенничества;
прорабатываем процессы противодействия мошенничества с использованием автоматизированной системы антифрода: выявление мошенничества, реагирование на инциденты, поддержка правил выявления, оценка эффективности внедренных процессов, формируем отчетность;
обучаем сотрудников заказчика;
поддерживаем внедренный процесс и системы в актуально состоянии непрерывно.

Всё это приводит к снижению издержек за счёт:

предотвращения финансовых потерь от мошенничества и нивелирования затрат на расследования;
сокращения входящего потока перед внутренними платными сервисами за счет отсеивания высокорисковых запросов;
раннего выявления среди сотрудников, вовлеченных во внутренний fraud;
минимизации имиджевых рисков компании, связанных с обнаружением случаев мошенничества;
общей оптимизации бизнес-процессов.

Наши конкурентные преимущества

применение лучших российских и международных практик в сфере противодействия мошенничеству;
высокий экспертный уровень сотрудников, подтвержденный лицензиями и сертификатами и качеством успешно реализованных проектов;
выделенный проектный офис и большой опыт управления проектами уровня enterprise;
контроль качества оказываемых услуг;
большой опыт проведения аудитов и расследований для выявления ранее неизвестных кейсов фрода;
многолетняя практика проектов в сфере противодействия мошенничеству;
опыт построения с нуля процессов противодействия мошенничеству любого уровня сложности;
экспертные знания как в специализированных антифрод-платформах, так и в реализациях, построенных на базе непрофильных систем.

Фрод и кредитные карты

Мошенничество с помощью кредитных карт
, (кардинг, включает в себя кражу данных карты в интернете (фишинг), копирование информации, содержащейся на магнитной полосе карты (скимминг), а также мошенничество при оплате при физическом отсутствии карты (Card not present transaction англ. ).

Большинство банков публикуют списки фродоопасных стран на своем сайте. И если клиент посещает такую страну, банк отслеживает операции с его пластиковой карточкой и предлагает перевыпустить её за счет банка или клиента.

Фродом являются также и операции с поддельными картами. Подделываются кредитные карты так — берётся гибридная карточка (т.е. на карте представлены чип и магнитная полоса), копируются записи её магнитной полосы и переносятся на другую карточку только с магнитной полосой или на гибридную карточку с «кривым» чипом (например, сожжённым или неперсонализированным). Операции могут успешно выполняться: в режиме онлайн (в устройствах читающих магнитную полосу), в режиме офлайн (подлимитные операции) или в режиме fallback (при невозможности читать чип устройство проводит операцию по магнитной полосе). Ответственность за такой фрод ложится на эмитента карточки или на эквайрера, если по правилам конкретной платежной системы возможен перенос ответственности.

Кто страдает от внутреннего фрода

Объектами воздействия мошенников могут стать оборудование и программное обеспечение компании, бумажные и электронные финансовые документы, выше- и нижестоящие сотрудники.

Серверы, маршрутизаторы и другое оборудование весьма уязвимы в силу зависимости их работы от множества выполняемых узким кругом специалистов настроек, в которых все остальные, как правило, совершенно не разбираются. Это дает инженерам и программистам широкие возможности по перенаправлению трафика, искажению отчетов о нем, заражению вредоносными программами.

Лица, имеющие доступ к финансовым системам, могут как напрямую красть небольшие, а потому незаметные суммы со счетов множества клиентов, так и оформлять фальшивые счета, платежные документы, запросы на возврат якобы ошибочно переведенных средств и т.д.

Вариантами обмана сотрудников могут быть завышение показателей для получения высоких премиальных выплат, фальшивые запросы на перевод денег, выведывание у коллег логинов и паролей более высокого уровня доступа.

Types of Financial Fraud

Common individual mortgage fraud schemes include identity theft and income/asset falsification, while industry professionals may use appraisal frauds and air loans to dupe the system. The most common investor mortgage fraud schemes are different types of property flipping, occupancy fraud, and the straw buyer scam.

Fraud also occurs in the insurance industry. Thoroughly reviewing an insurance claim may take so many hours that an insurer may determine that a more cursory review is warranted considering the size of the claim. Knowing this, an individual may file a small claim for a loss that didn’t really occur. The insurer may decide to pay the claim without thoroughly investigating since the claim is small. In this case, insurance fraud has been conducted.

The Federal Bureau of Investigation (FBI) describes securities fraud as criminal activity that can include high yield investment fraud, Ponzi schemes, pyramid schemes, advanced fee schemes, foreign currency fraud, broker embezzlement, pump-and-dumps, hedge fund related fraud, and late-day trading. In many cases, the fraudster seeks to dupe investors through misrepresentation and to manipulate financial markets in some way. These crimes are characterized by providing false or misleading information, withholding key information, purposefully offering bad advice, and offering or acting on inside information.

2019: Запуск пост-атрибуционной защиты от мобильного фрода

Компания AppsFlyer запускает пост-атрибуционную защиту от мобильного фрода, ущерб от которого в 2019 году оценивается в $2,3 млрд.

Компании используют различные сервисы для того, чтобы рекламировать свои мобильные приложения. Такие сервисы получают прибыль за каждое скачивание приложения. Но иногда сервисы используют различные мошеннические схемы, например, ботов, которые скачивают приложение и приносят недобросовестным площадкам прибыль. Из-за таких действий рекламодатели по всему миру теряют миллиарды на ложных установках. Так, в России только за один квартал количество фрода выросло на 9,4%, рассказали в компании.

AppsFlyer научился вычислять эти ложные установки благодаря пост-атрибуционной защите. Даже если в момент скачивания приложения ботом ему удается обмануть систему, благодаря пост-атрибуции он все равно будет распознан.

Рекламодатели в результате получают полный отчет и видят все мошеннические активности, связанные со скачиванием приложения, и могут не платить рекламным сервисам за такие ложные установки.

Источник угрозы

В соответствии с объектами воздействия можно выделить три основных источника внутреннего фрода в IT-сфере.

Люди, имеющие криминальное прошлое, легче идут на мошеннические действия. Поэтому любая компания должна осуществлять проверку кандидата до приема на работу и мониторинг его дальнейшей деятельности, поддерживать высокую корпоративную культуру и внедрять эффективные схемы мотивации. В конце концов, достойный и стабильный официальный заработок привлекательнее временных (и к тому же грозящих уголовным преследованием) мошеннических схем.

К категориям особого риска следует отнести системных администраторов и других сотрудников с высоким уровнем доступа, а также лиц, осуществляющих переводы денежных средств. Отдельную категорию составляют увольняющиеся сотрудники — особенно те, кто вынужден уйти в случае сокращений либо увольнений за нарушения в работе. Движимые обидой либо желанием получить компенсацию, они могут попытаться украсть базы данных, внести неправильные настройки в работу оборудования, заразить компьютеры вредоносными программами.

Anti-fraud provisioning

Beyond laws that aim at prevention of fraud, there are also governmental and non-governmental organizations that aim to fight fraud. Between 1911 and 1933, 47 states adopted the so-called Blue Sky Laws status.
These laws were enacted and enforced at the state level and regulated the offering and sale of securities to protect the public from fraud. Though the specific provisions of these laws varied among states, they all required the registration of all securities offerings and sales, as well as of every U.S. stockbroker and brokerage firm. However, these Blue Sky laws were generally found to be ineffective. To increase public trust in the capital markets the President of the United States, Franklin D. Roosevelt, established the U.S. Securities and Exchange Commission (SEC). The main reason for the creation of the SEC was to regulate the stock market and prevent corporate abuses relating to the offering and sale of securities and corporate reporting. The SEC was given the power to license and regulate stock exchanges, the companies whose securities traded on them, and the brokers and dealers who conducted the trading.

Legal Considerations

While the government may decide that a case of fraud can be settled outside of criminal proceedings, non-governmental parties that claim injury may pursue a civil case. The victims of fraud may sue the perpetrator to have funds recovered, or, in a case where no monetary loss occurred, may sue to reestablish the victim’s rights.

Proving that fraud has taken place requires the perpetrator to have committed specific acts. First, the perpetrator has to provide a false statement as a material fact. Second, the perpetrator had to have known that the statement was untrue. Third, the perpetrator had to have intended to deceive the victim. Fourth, the victim has to demonstrate that it relied on the false statement. And fifth, the victim had to have suffered damages as a result of acting on the intentionally false statement.

Как бороться?

Для этого существуют отдельные антифрод-системы, которые оценивают подозрительность операций, сделанных через Интернет (преимущественно — но могут и оффлайн-платежи проверить).

В каждом подобном сервисе есть свои фильтры, списки и правила — с их помощью каждой транзакции назначается рейтинг. Если рейтинг падает ниже определенной отметки, то операция признается подозрительной. Система сама может рекомендовать действия по дальнейшей обработке операции.

Чаще всего он представляет собой отдельные программные продукты, предназначенные для анализа потока данных и транзакций с целью выявления мошенничества.

данные карты — владельца, номер, срок;
IP-адрес и местоположение;
данные об устройстве — операционная система, браузер, cookies.

Наиболее продвинутые системы могут запрашивать и дополнительную информацию — например:

с какой попытки введен пароль;
есть ли защита по отпечатку пальца или распознаванию лица;
использовалась ли эта карта ранее в данном магазине и так далее.

Существуют и международные программы борьбы с фродом.

Методы борьбы с фродом

С фродом сталкивается буквально каждая компания, которая что-то продает через интернет или оффлайн. Наиболее крупные разрабатывают собственные системы антифрод, например, МТС, Сбербанк, Тинькофф и так далее. Более мелкие игроки покупают такие продукты.

Проблема настолько масштабна, что ею занимается государственные департаменты. Основу современной финансовой индустрии составляет политика противодействия:

мошенничеству;
отмыванию денег;
финансированию терроризма.

AML

Расшифровка этой аббревиатуры на английском звучит как anti-money-laundering, что в переводе означает противодействие отмыванию денег.

Этот набор был придуман на саммите G7 в 1989 году. Например, один из пунктов этих правил гласит о необходимости требования у новых клиентов документов, удостоверяющих личность.

KYC

Еще одна аббревиатура на английском языке — know your customer, или по-русски: знай своего клиента.

Помимо этого, данная информация должна подвергаться анализу, и необходимо дать оценку рискам в контексте склонности клиента к отмыванию денежных средств или другим противоправным действиям. Также продавец должен составить портрет транзакционного поведения покупателя.

В различных странах существует свои принятые законодательно KYC-процедуры. Получается, что порой магазин просто обязан требовать документы для соблюдения закона и уменьшения своих финансовых рисков.

CTF

Расшифровывается как counter-terrorist financing, или борьба с финансированием терроризма, если по-русски. Довольно размытое понятие, поэтому подобные жалобы могут приходить на любые сайты и операции.

Кто такие фрод-аналитики

Фрод-аналитик — специалист в компании, который борется с мошенничеством и защищает ее интересы. Чаще всего, его основные задачи сводятся к следующему:

написание и внедрение антифрод-программ;
выявление атак и подозрительных операций и противодействие им;
написание антифрод-правил, формирование примеров мошеннических кейсов;
тестирование системы фрод-мониторинга;
взаимодействие с разработчиками по вопросу разработки или доработки ПО.

Подобные специалисты имеются во всех крупных компаниях. Более мелкие игроки рынка часто прибегают к услугам аутсорсинга.

Ad Science

По уровню интеграции с селлерами, ценовой политике и списку продуктов компания Integral Ad Science схожа с DV (DoubleVerify). Недавно IAS объявили о своём сотрудничестве с Facebook (включая Instagram и Audience Network) в области замера бот-трафика и Viewability, а ещё раньше — о сотрудничестве с YouTube в сфере измерения Brand Safety.

Услугами IAS можно воспользоваться, установив соответствующий пиксель на показ ваших рекламных материалов; кроме того, основные продукты IAS уже интегрированы с DSP.

По данным IAS за второе полугодие 2016 года:

процент бот-показов для дисплейных кампаний варьировался от 1,1% до 22,7%;
доля бот-трафика для видео-кампаний была от 1,6% до 26,5%.

Полный отчёт можно запросить на сайте компании.

Коллеги из IAS ставят следующие бенчмарки по аудируемым метрикам:

Viewability — не менее 54,1%;
Ad Fraud — не более 1,6%;
Brand Safety — не менее 95,6%.

Всего c помощью IAS мы проанализировали около 45 млн показов, в основном по баннерным медийным размещениям (без programmatic-кампаний). По нашим размещениям мы имеем показатели, соответствующие бенчмаркам от IAS, хотя результаты по всем метрикам могут значительно отличаться от кампании к кампании.

What Is Fraud?

Fraud is an intentionally deceptive action designed to provide the perpetrator with an unlawful gain or to deny a right to a victim. Fraud can occur in finance, real estate, investment, and insurance. It can be found in the sale of real property, such as land, personal property, such as art and collectibles, as well as intangible property, such as stocks and bonds. Types of fraud include tax fraud, credit card fraud, wire fraud, securities fraud, and bankruptcy fraud.

Fraudulent activity can be carried out by one individual, multiple individuals or a business firm as a whole.

Key Takeaways

Fraud involves deceit with the intention to illegally or unethically gain at the expense of another.
In finance, fraud can take on many forms including making false insurance claims, cooking the books, pump & dump schemes, and identity theft leading to unauthorized purchases.
Fraud costs the economy billions of dollars each and every year, and those who are caught are subject to fines and jail time.

Фрод и GSM

За 2005 год мировые сотовые операторы потеряли от сотового фрода около 25 миллиардов долларов. По данным Международной ассоциации сотовой телефонии (CTIA — Cellular Telecommunications Industry Association), ежегодные потери от «двойников» у операторов стандарта D-AMPS/AMPS во всем мире составляют около 1 млрд. USD.

Международная ассоциация операторов сетей GSM выработала свою классификацию для фрод-преступлений.

По данным Mummert+Partner, более 1,5 млн обладателей мобильных телефонов ежегодно отказываются оплачивать выставленные счета.

SMS-фрод

Фрод используется для воровства средств с мобильных телефонов.

Фрод — это метод превышения лимита количества отправляемых SMS-запросов, обусловленный техническими возможностями платформы ОСС, приводящий к получению абонентом заказываемых услуг без фактической их оплаты.

Возможен вариант открытия платного сервиса, со способом оплаты посредством SMS-сообщений. При этом технически возможно получение отрицательного баланса на SIM-карте с дебетным тарифным планом.

Для предотвращения этого вида мошенничества используется Фрод-порог, который обновляется для каждого номера 1 раз в 60 минут.

Варианты GSM-фрода

При подписке на какой-то контент за условную плату клиенту в договор включают очень высокий тариф на отписку, а после делают всё возможное, чтобы клиент решил отписаться.
Невозвраты по SIM-картам кредитных тарифных планов
Оформление SIM-карт на потерянные документы с тем, чтобы полученные SIM-карты с роумингом использовать за границей. При этом счета за разговоры местный оператор отсылает оператору, выпустившему SIM-карту, с некоторой задержкой, а пока платит за разговоры самостоятельно.
откровенный обман, когда звонящий говорит, что, переводя небольшую сумму на его телефон, вы помогаете своему родственнику, попавшему в аварию или в другую затруднительную ситуацию.
сотовый кэш-бокс
Stolen Phone Fraud
Subscription Fraud
Access Fraud

ComScore

Anti-fraud или фильтрация невалидного трафика (IVT) как сервис у ComScore входит в продукт vCE (validated Campaign Essentials) — это валидация и верификация рекламных кампаний в digital. Подробнее об этом продукте можно почитать на сайте сервиса. Есть три варианта валидации digital-РК в vCE:

Audience Validation (TRP, demos — охват и соцдем, behaviors — поведенческие сегменты) — для измерения необходима интеграция промерочного пикселя;
Ad Validation Only (viewability, NHT, brand safety, engagement) — для измерения необходима интеграция JavaScript кода в креатив (на уровне Ad Сервера);
Ad Validation + Audience Validation — для измерения необходима интеграция JavaScript кода в креатив (на уровне Ad Сервера).

Соответственно, для валидации трафика на предмет фрода нам достаточно будет воспользоваться пакетом Ad Validation Only, так как сюда входит замер NHT — non-human traffic. Одними из своих преимуществ коллеги из ComScore считают обнаружение невалидного трафика многих типов:

ComScore гордится и другой разработкой по выявлению роботного трафика — Triple Detection. Triple Detection Technology использует 3 основных источника данных ComScore — ad tags, census page tags и панель людей, что позволяет измерять IVT лучше, чем более простые технологии.

За последнее время нам не доводилось проводить какие-либо измерения качества трафика с помощью ComScore. А делиться с читателями старыми знаниями мы считаем неправильным;-)

Moat

Что замеряет

Viewability измерения по MRC стандарту:Display, Video, Mobile Web, In-App, Native.
Walled Garden измерения: Facebook, Instagram, Twitter, YouTube, Snapchat.
Замер бот-трафика и его фильтрация на этапе pre-bid.
Brand Safety замеры.

Методика замера ботов

Выделение поисковых роботов и трафика из дата-центров.
Трафик с неизвестных прокси-серверов.
Трафик с IP-адресов, находящихся в черном списке.
Трафик из неизвестных браузеров.

Совсем недавно о сотрудничестве с Moat в области Viewability объявила Mail.Ru Group. А незадолго до этого Moat купила сама Oracle.

Пиксель Moat принимается абсолютным большинством DSP, популярных в России и за рубежом.

Одним из главных недостатков системы является относительно высокая цена ad serving. Цена одной тысячи замеров в данном случае будет напрямую зависеть от объёма: так, годовой контракт на аудит 500 млн показов обойдется клиенту более чем в 3 млн рублей. А поскольку подобная стоимость верификации, как правило, затрудняет выполнение обязательств по бюджету клиента, нам пока не представилось случая в полной мере протестировать все возможности Moat.