17 августа 2012, 16:17
Количество просмотров 1619

Системы фрод-мониторинга транзакций TranzWare Fraud Analayzer

По данным различных информационных источников, в настоящее время на мировом рынке находится в обращении около 5 млрд. платежных карт....
Системы фрод-мониторинга транзакций TranzWare Fraud Analayzer

Сегодня система фрод-мониторинга транзакций TranzWare Fraud Analayzer от компании Compass Plus является одним из наиболее перспективных решений в своем сегменте рынка

Фират Вакильев, Зам. Генерального директора компании Compass Plus

Немного статистики

По данным различных информационных источников, в настоящее время на мировом рынке находится в обращении около 5 млрд. платежных карт. Основная доля эмиссии приходится на карты ведущих международных платежных систем MasterCard Worldwide (более 1,8 млрд. карт, Visa Int. (свыше 1,6 млрд. карт), а также карточные продукты стремительно развивающейся на протяжении последних лет китайской платежной системы China UnionPay (около 1 млрд. карт). Темпы прироста глобального объема карточной эмиссии за последние три года стабилизировались на уровне 20% в год, так же как и годовые обороты по картам, объем которых сейчас составляет более 10 млрд. долл. США. Прямые потери от мошеннических операций по картам и преступлений, связанных с незаконным выпуском и обращением банковских карт, только в США превышают 3 млрд. долл. в год (эта цифра не включает в себя репутационных убытков, нанесенных участникам рынка безналичных платежей). Традиционно высокорисковой средой для проведения карточных операций выступает Интернет. Так, по данным ряда аналитических организаций (например, Internet Fraud Prevention Advisory Council, США), от 2% до 40% Интернет-транзакций по банковским картам в зависимости от категории торгово-сервисного предприятия являются подозрительными с точки зрения возможного мошенничества.

Необходимо отметить, что за последнее десятилетие международные платежные системы предприняли и продолжают предпринимать широкий ряд инновационных организационно-технических мер, позволяющих на практике повысить уровень безопасности карточных транзакций. К основным из них можно отнести:

• Разработку и внедрение стандарта EMV (первая версия опубликована EMVCo в 1996г.)

• Внедрение аутентификационных систем для проведения транзакций в сети Интернет на основе стандартов SET (Версия 1.0 стандарта была принята в 1997г.) и 3D Secure (3D-Secure Introduction Ver.1.0, 13 августа 2001г.)

• Расширение EMV для поддержки технологии двухфакторной аутентификации DPA/CAP (первые публикации EMVCo – 2004г.)

• Разработка и начало проведения аудиторских проверок кредитно-финансовых институтов на соответствие стандарту по обеспечению безопасности данных PCI DSS (первая версия опубликована в 2005г.).

Очевидно, что с ростом объемов карточного бизнеса соответственно возрастают и риски потерь от деятельности преступников, по крайней мере в абсолютных цифрах. Например, в России, где суммарный объем эмиссии банковских карт не так давно перешел рубеж в 75 млн., в последние годы наблюдается заметный рост активности карточных мошенников, темпы которого сопоставимы с динамичным ростом рынка в целом.

Проблематика и прогнозы

Проблема карточного мошенничества как организованного вида преступности возникла практически одновременно с появлением первых кредитных карт. При этом принято различать две основные фазы совершения преступления с использованием платежной карты:

• Первая фаза преступления – несанкционированный доступ к реквизитам выпущенных на законных основаниях карт и значениям ПИН-кода, а также хищение самих карт и ПИН-конвертов как у самих законных держателей карт, так и в процессе их рассылки организациями-эмитентами по своей клиентской базе.

За долгие годы существования данного вида преступлений таких методов разработано множество, и они постоянно совершенствуются преступным сообществом параллельно с развитием карточных технологий и организационно-технических методов борьбы с мошенничеством. В целом борьба с несанкционированным доступом к реквизитам платежных карт и конфиденциальным данным их держателей сама по себе чрезвычайно важна, актуальна и заслуживает отдельного рассмотрения, однако выходит за рамки темы настоящей статьи.

• Вторая фаза преступления – использование карточных реквизитов и карт, похищенных у их законных держателей, а также поддельных карт для совершения мошеннических операций. Характер деятельности преступников и сами способы совершения мошенничества с банковскими картами существенно различаются в зависимости от особенностей конкретных страновых и региональных рынков. Так, например, в США и странах Западной Европы наиболее распространенным видом преступлений, связанных с платежными картами, является совершение мошеннических MOTO-транзакций и оплата покупок в сети Интернет.

На его долю в этих регионах приходится до 70% всех мошеннических транзакций. Напротив, в России, странах СНГ и развивающихся странах Африки и Юго-Восточной Азии наиболее распространены такие мошеннические операции, как снятие наличных в ATM и совершение покупок в торгово-сервисных сетях с использованием похищенных и поддельных карт. Такая расстановка преступных приоритетов связана прежде всего с относительно слабым развитием в данных регионах электронной коммерции. Несмотря на то что уровень карточного мошенничества на рынках стран постсоветского пространства пока еще несравним с аналогичными показателями на рынках стран АТР, сегодня многие эксперты уже относят СНГ, включая Россию, к регионам с наиболее высоким потенциальным риском. Так, уже на протяжении последних двух лет в странах с развивающимися рынками наблюдается устойчивая тенденция к изменению ситуации с карточным мошенничеством в худшую сторону. Если говорить о постсоветском пространстве, эта тенденция особенно заметна на рынках стран Балтии, Украины, России и Казахстана, где уверенно набирают темпы проекты эмиссии кредитных карт, которые идут на смену дебетовым продуктам – на основе которых традиционно строились зарплатные проекты. Так, если в России в 2004 г. доля настоящих, т. е. револьверных кредитных карт в совокупном объеме эмиссии не превышала 1% (причем практически вся эмиссия данных карточных продуктов осуществлялась кредитными организациями с участием иностранного капитала, являющимися, по сути, филиалами и дочерними структурами крупных западных банков), то по состоянию на конец 2006 г. данный показатель составляет уже порядка 20%. Кроме того, большинство банков, ориентирующихся на развитие своего розничного бизнеса, усиленными темпами внедряют проекты электронной коммерции. Учитывая данные обстоятельства, а также весьма низкие темпы EMV-миграции российских банков, сегодня можно с большой вероятностью прогнозировать всплеск мошеннической активности на отечественном рынке в ближайшие 2–3 года.

Методы мониторинга и предотвращения мошенничества

Борьба с мошенничеством в той или иной степени осуществляется всеми кредитно-финансовыми институтами, реализующими эмиссию и эквайринг банковских карт. Разница между ролью каждого из них в этом направлении заключается лишь в том, в какой мере данная деятельность является приоритетной для той или иной структуры и насколько профессионально она организована с юридической, административной и технологической точки зрения. Российская практика показывает, что до недавнего времени большинство банков определяли для себя актуальность риск-менеджмента и фрод-мониторинга самостоятельно, исходя из объемов существующего бизнеса и текущих потерь от мошеннических операций. Очевидно, что панацеи в виде какого-либо одного метода или технического средства, которое гарантировало бы стопроцентную защиту от любых форм мошенничества, не существует. Только комплекс организационно-технических мер, основанный на инновационных методиках и решениях, способен если не полностью предотвратить, то существенно снизить риски мошенничества и связанные с ним убытки. Каким же образом эмитенты, эквайеры и процессинговые компании могут повысить эффективность защиты от данного вида преступности, получающего все большее распространение?

TranzWare Fraud Analyzer

Компания Compass Plus приступила к проектированию и разработке системы TranzWareFraud Analyzer еще в 2003 г. Первая Production-версия системы появилась менее чем через год, и сразу после этого стартовал пилотный проект внедрения системы в ПриватБанке (Украина). Необходимо отметить, что уже в то время ПриватБанк, являясь одним из крупнейших участников рынка платежных карт СНГ, имел четкое представление о проблеме карточного мошенничества. Ежедневное количество транзакций, обрабатываемых процессинговым центром банка, достигало при пиковых нагрузках одного миллиона, а суточная норма chargeback-транзакций, которые приходилось генерировать и обрабатывать банку, доходила до одной сотни. Естественно, что справляться с таким потоком транзакций в ручном режиме было просто невозможно, и реализация проекта внедрения системы автоматизированного мониторинга и анализа потенциально мошеннических транзакций была жизненно необходима. Важно отметить, что аналитики департамента риск-менеджмента ПриватБанка внесли существенный вклад в процесс проектирования будущей системы TranzWare Fraud Analyzer. В настоящее время объем базы данных TWFA в ПриватБанке превышает 2 TB.

В рамках настоящей статьи мы рассмотрим только технические методы и решения, которые успели широко зарекомендовать себя на практике в качестве наиболее эффективных:

• Использование технологии SMS-оповещения держателей карт об авторизационных запросах на проведение операций по их картам. Метод весьма эффективный, поскольку клиент банка фактически самостоятельно обеспечивает фрод мониторинг собственных (либо мошеннических) операций по своим картам. К его недостаткам можно отнести то, что, как правило, доставка SMS-сообщения не гарантирована по времени, кроме того, могут возникать проблемы с получением SMS-сообщений на телефон, находящийся в роуминге. Следует также учесть, что клиент не может быть в обязательном порядке подписан на такую услугу.

• Предоставление своим клиентам – пользователям систем удаленного банковского обслуживания, возможностей технологий дополнительной аутентификации и/или двухфакторной аутентификации (DPA/CAP идр.), а также обеспечение поддержки механизма электронно-цифровой подписи при выполнении финансовых операций. В данном направлении сегодня практически у каждого разработчика промышленных систем обслуживания электронных платежей имеются соответствующие программно-аппаратные решения.

• Использование технологии 3D Secure (Verified by Visa и MasterCard Secure Code), которое позволяет значительно снизить риски при проведении карточных платежей в сети Интернет как для эквайеров, так и для эмитентов, а также гарантировать торгово-сервисным предприятиям получение оплаты.

• Эмиссия EMV-карт с поддержкой DDA (Dynamic Data Authentication), обеспечивающих наиболее высокий уровень защиты от скимминга.

• Не формальное, а фактическое следование стандарту по обеспечению безопасности данных PCI DSS. В частности, подразумевается как минимум применение в программном обеспечении карточных систем Front Office и Back Office маскирования PAN и шифрования основных карточных реквизитов на уровне базы данных, отказ от долгосрочного хранения содержимого треков магнитных полос и значений PVV/CVV2/CVC2.

• ... и, наконец, использование специальных программных систем фрод-мониторинга и анализа транзакций.

Сегодня многие известные поставщики комплексных решений для процессинга банковских карт имеют в своем продуктовом портфеле системы и модули, обеспечивающие мониторинг транзакций на предмет выявления мошеннических операций. Среди них такие мировые бренды, как ACI Worldwide, Card Tech Limited, OpenWay Group, TietoEnator и другие. Очевидно, что компания, которая не может обеспечить данную функциональность хотя бы в минимальном объеме, сегодня вряд ли может претендовать на серьезных клиентов.

Предлагаемые различными поставщиками системы фрод-мониторинга и анализа транзакций довольно сильно отличаются по своей архитектуре. Условно их можно разделить на два основных класса: online и offline системы. Online системы (как правило, они являются подсистемами, входящими в состав авторизационных модулей) обеспечивают анализ транзакций в режиме реального времени и базируются на данных процессинговой системы. Offline (или, точнее будет сказать, quasi-online) системы анализируют транзакции после их завершения и чаще всего импортируют данные о транзакциях в собственные БД.

Часто в ходе принципиальных дискуссий на тему выбора того или иного типа решения поднимается вопрос: “А какой же подход (online или offline) эффективнее?” На наш взгляд, в данном случае однозначного ответа не существует. Каждый из подходов имеет свои положительные и отрицательные стороны, равно как и право на существование.

Компания Compass Plus в вопросах выбора между online или offline придерживается компромиссной точки зрения. По-настоящему комплексная система должна обладать простым и легким инструментом для оперативного осуществления анализа транзакции непосредственно в процессе ее авторизации, а также мощной и гибкой системой обработки данных в режиме offline.

Именно по такому принципу построена архитектура программных продуктов Compass Plus. Специальное приложение модуля Algorithmix, входящее в состав фронтальной системы TranzWare Online (TWO), содержит минимальный набор правил, необходимый и достаточный для оперативного анализа транзакции непосредственно в процессе ее авторизации/маршрутизации и при необходимости автоматического принятия превентивных мер (отказ в авторизации, блокировка карты и т. п.). Тем не менее система и в этом случае позволяет пользователю как модифицировать уже используемые правила, так и добавлять в нее новые, собственные правила, главное в данном случае – не переусложнить проведение мониторинга и не блокировать тем самым основной процесс авторизации. Так, отдельное приложение TranzWare Fraud Analyzer (TWFA), работающее по отношению к TWO в quasi-online режиме, загружает транзакции в собственную базу данных с периодичностью в несколько минут и проводит их обработку по мере поступления. Для Rules Based (т. е. базирующейся на правилах) систем фрод-мониторинга очень важной характеристикой является возможность создания пользователем собственных и редактирования имеющихся в конфигурации правил. Многие из представленных на рынке систем этой возможности не предоставляют, и, как следствие, для них характерна высокая стоимость поддержки и длительный цикл внедрения новых правил.

Рис. 1 Архитектура семейства продуктов TranzWare Data Warehouse

Системы фрод-мониторинга транзакций TranzWare Fraud Analayzer - рис.1

Рис. 2 Схема процесса анализа транзакций и данных объектов TranzWare Fraud Analayzer

При выборе решения для фрод-мониторинга также крайне важно заранее определить, способна ли система-претендент обеспечивать необходимую производительность. Следует отметить, что требования к производительности подобных систем очень высоки, т.к. они должны подвергать сложному многофазному анализу десятки и даже сотни транзакций в секунду.

TranzWare Fraud Analyzer

Программный продукт TranzWare Fraud Analyzer предназначен для осуществления мониторинга потоков транзакций и данных об объектах с целью выявления потенциально мошеннических операций и событий. Как и большинство приложений подобного назначения, TWFA является Rules Based системой. Данный продукт реализует функции анализа данных как для эмитентских, так и для эквайринговых online и offline транзакций.

Целевой пользовательской аудиторией TranzWare Fraud Analyzer являются банки, осуществляющие эмиссию и эквайринг платежных карт, участники локальных и международных платежных систем, а также процессинговые компании, предоставляющие сервис мониторинга транзакций своим агентам, в том числе и на условиях аутсорсинга.

Архитектура решения

TranzWare Fraud Analyzer – одно из прикладных приложений семейства продуктов, базирующихся на общем хранилище данных TranzWare Data Warehouse (TWDWH). На рис. 1 представлена схема архитектуры данного семейства продуктов. Платформа TWDWH обеспечивает возможность импорта из различных источников, преобразования, связывания и хранения информации о банковских операциях, сделках, транзакциях, счетах, картах, клиентах и прочих объектах. В свою очередь, TranzWare Fraud Analyzer реализует прикладные функции выявления и организации расследования фактов мошенничества с платежными картами.

Загрузка данных о транзакциях и объектах в БД TWDWH может осуществляться как из программных продуктов Compass Plus (TranzWare Online и TranzWare CMS), так и из систем сторонних производителей с использованием модулей File Loader и DB loader. Эти средства обеспечивают легкую интеграцию практически с любыми “карточными” системами.

TranzWare Fraud Analyzer работает в режиме quasi-Online. Это означает, что данные в хранилище поступают из различных систем по определенному регламенту, и правила анализа применяются к данным либо немедленно, либо по определенному для каждого правила расписанию.

Объекты и функциональность

Логика работы системы TranzWare Fraud Analyzer построена на анализе транзакций и данных объектов. Процесс анализа заключается в применении заранее описанных правил к постоянно поступающему в БД потоку данных. Схема процесса анализа приведена на рис. 2. Обработке в правилах подвергаются следующие объекты:

• Транзакция (авторизация и клиринг)

• Кредитно-финансовый институт

• Филиал кредитно-финансового института

• Клиент

• Счет

• BIN’s

• BIN Ranges

• Карточный продукт

• Карта

• Терминал (POS, ATM и т. д.)

• Мерчант

Системы фрод-мониторинга транзакций TranzWare Fraud Analayzer - рис.2

Рис. 3 Пример описания правила анализа активности объекта

Системы фрод-мониторинга транзакций TranzWare Fraud Analayzer - рис.3

Рис. 4 Дизайнер алгоритмов

В ходе анализа порождаются и функционируют следующие объекты:

• Controlled Object (Объект контроля ) – объект системы, который необходимо подвергать анализу с целью выявления попыток мошенничества. Контролируемый объект задается при описании правила.

• Alert (Тревога ) – сигнал тревоги, возникающий в случае, когда транзакция или последовательность транзакций была признана подозрительной. Сигналы тревоги генерируется в результате анализа последовательности транзакций и при анализе активности объектов контроля. Alert передается на обработку персоналу – обозревателям (Reviewers).

• Action (Действие). Действия порождаются либо автоматически в результате анализа последовательности транзакций, либо по команде обозревателя. Действия могут обрабатываться внутри системы (например, изменение уровня риска карты) или передаваться в виде запросов на обработку во внешние системы (например, блокировка карты во Front Office). Действия порождаются как в ответ на Alert, так и в ходе последующего расследования.

• Case (Дело). Обозреватель открывает дело, если, по его мнению, ситуация требует более пристального внимания. Дело отличается от Alert тем, что не требует немедленного решения, а может быть отложено на определенное время, например, до следующей проверки или до выяснения каких-либо обстоятельств. В рамках дела также можно совершать определенные действия.

Система обеспечивает возможность использования двух методов анализа: анализ активности объектов (карт, мерчантов и т. д.) и анализ потока транзакций. Соответственно предоставляются два пользовательских средства описания правил: язык определения лимитов SQML (Structured Query Markup Language) и объектно-ориентированное средство графической разработки алгоритмических блок-схем (Algorithm Designer).

Анализ активности объектов контроля (перечислены выше) основан на вычислении значений лимитов и статистики для контролируемых объектов. Лимиты для каждого объекта описываются путем заполнения специальных экранных форм и написания правила на языке SQML. Каждое правило лимитов выполняется с заданной периодичностью. Период и время выполнения задаются при описании правил. В процессе проверки лимитов система аккумулирует и подсчитывает статистику по анализируемым объектам. Для выявления мошеннических операций данные транзакции за определенный период времени сравниваются с накопленными статистическими данными. Таким образом выявляется необычная и/или подозрительная активность объекта. В результате анализа формируются записи о нарушениях лимитов (Limit Violations), которые лежат в основе Alert.

На рис. 3 приведен пример описания правила анализа активности объекта. Правила второго типа предназначены для анализа транзакционного потока. В качестве среды разработки, проектирования, документирования алгоритмов анализа выступает Дизайнер алгоритмов (Algorithms Designer (см. рис. 4). Алгоритмический язык, представленный в Дизайнере алгоритмов, – это своеобразная комбинация классической блок-схемы и объектно-ориентированного подхода. Последовательность обработки транзакций задается в виде набора взаимосвязанных алгоблоков, а взаимодействие алгоритма с остальной частью системы TWFA задается через прикладные объекты, внедренные в алгоритм. Для каждого алгоритма ведется его история версий. В процессе разработки, тестирования, анализа и использования алгоритма всегда можно вернуться к его предыдущей версии. Алгоритмы, разработанные в Дизайнере алгоритмов, запускаются периодически после получения новых транзакций системой. В зависимости от результатов выполнения алгоритма возможны следующие действия:

1. Простая генерация Alert.

2. Генерация Alert с автоматическим действием по нему. Действие может обрабатываться внутри системы (изменение степени риска карты или мерчанта и т. п.), передаваться в виде запросов на обработку во внешние системы (блокировка карты, помещение карты в стоплист и т. п.), а также инициировать формирование сообщения для отправки клиенту (SMS, E-mail).

Механизм ведения расследований позволяет описывать правила расследований, контрольные даты, действия по делу, распределение работ, документооборот и т. д. В дополнение к возможностям ведения расследований, Fraud Analyzer предусматривает также ведение диспутов в платежных системах. Для этого TranzWare Fraud Analyzer тесно интегрирован с другим продуктом семейства – TranzWare Claims Manager.

Конкурентные преимущества TranzWare Fraud Analyzer

Решение TranzWare Fraud Analyzer обладает рядом существенных конкурентных преимуществ, среди которых:

• Высокая гибкость настройки, которая обеспечивается наличием мощных инструментов разработки и отладки правил и аналитических алгоритмов. Для их создания пользователю предлагается удобный, интуитивно понятный графический интерфейс и язык описания.

• Бизнес-ориентированность. Для конфигурирования системы и описания алгоритмов и правил нет необходимости привлекать IT-специалистов. Эти задачи с успехом может решать прикладной аналитик и методолог.

• Автоматизация функций мониторинга мошеннических операций, обеспечивающая рост производительности и снижение текущих расходов.

• Обработка больших объемов данных: сотни миллионов транзакций, десятки миллионов карт, счетов, клиентов, десятки тысяч терминалов и торговых организаций – таковы реальные объемы действующих проектов.

• Открытость и легкость интеграции с хостовыми решениями сторонних производителей.

• Система не только выявляет подозрительные операции, но и автоматически выполняет заданные правилами действия, а также автоматизирует необходимые расследования.

• Удобный графический интерфейс, способствующий лучшему восприятию данных, повышению эффективности и производительности труда персонала.

• Доступность: 24x7 благодаря высокой отказоустойчивости решения.

TranzWare Fraud Analyzer полностью соответствует требованиям стандартов фрод-мониторинга, предъявляемым Visa Int. в регионе CEMEA, а также требованиям стандарта по обеспечению безопасности данных PCI DSS. Таким образом, все существующие и потенциальные пользователи TranzWare Fraud Analyzer могут быть уверены в том, что с помощью данного решения они не только надежно защитят себя от мошеннических операций, но и продемонстрируют Visa Int. соответствие своей деятельности установленным стандартам мониторинга.

Перспективное развитие

Как известно, для решения задач анализа данных помимо Rules Based технологий используются методы Data Mining, в частности, нейронные сети. Такие методы основаны на периодическом обучении нейронной сети с использованием заведомо достоверных данных и последующей эксплуатации обученной модели для практического анализа данных. В настоящее время компания Compass Plus приступила к реализации данной технологии в программной системе TranzWare Fraud Analyzer, что позволит сделать новый шаг в развитии продукта и повысить эффективность работы системы.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube