
Кросс-канальный мониторинг. Логичный этап развития антифрод-систем

Что такое кросс-канальный мониторинг
Прежде чем углубиться в детали кросс-канального мониторинга, начнем с определения этого сравнительно нового подхода. Кросс-канальный мониторинг – это совокупность процессов мониторинга рисковых операций, которая позволяет принимать, обрабатывать и анализировать в режиме реального времени как «финансовую» информацию, т. е. информацию о транзакционной активности клиента (включая всевозможные платежи, операции с наличными средствами, со счетами, различные переводы и т. д.), так и информацию о его «нефинансовых» операциях, таких как смена реквизитов, смена ПИН-кодов, смена паролей доступа и т. п., а также данные об устройствах, с которых клиент совершает операцию, – тип, модель, SIM-карта и др., включая анализ так называемых finger-print (цифровых отпечатков) этих устройств, элементов статической и поведенческой биометрии и данных геолокации. При этом главный смысл кросс-канального фрод-мониторинга заключается в том, что «финансовые» данные берутся одновременно из всех транзакционных каналов. Это операции по картам, операции с использованием систем ДБО (интернет-банк, мобильный банк), а также операции со счетами/вкладами, совершаемые клиентом непосредственно в отделениях банка.
Соответственно, обрабатывая всю эту информацию в режиме реального времени, система кросс-канального мониторинга обеспечивает возможность автоматизированной генерации алертов и принятия решений.
Основные этапы развития мониторинга: офлайн-системы
Чтобы проанализировать и понять предпосылки для внедрения кросс-канального мониторинга, стоит предпринять небольшой исторический экскурс, цель которого – показать, какой путь прошли за последние десятилетия схемы мошенничества в банковской сфере и, соответственно, подходы банков к противодействию преступной активности.
Простейшие элементы фрод-мониторинга, которые тогда еще нельзя было назвать «системами», стали разрабатываться в банках еще в середине 1990-х годов, когда в России началась достаточно активная эмиссия банковских карт. Росло количество карт, росли денежные обороты. Вполне естественно, что вместе с этим на отечественный рынок стали приходить и развиваться всевозможные схемотехники хищений денежных средств с использованием банковских карт. Как раз к середине 1990-х они получили достаточно широкое распространение, и размеры таких хищений стремительно росли.
В основном это было связано с распространенной в то время технологической практикой международных платежных систем. Коммуникационные сети, процессинговые центры и другие технологические сегменты, призванные обеспечивать стабильную работоспособность банковских карт, были еще недостаточно развиты для передачи и обработки больших потоков данных в режиме онлайн. И поэтому, для того чтобы держатели карт не испытывали частых проблем с обслуживанием карт из-за необходимости онлайн-авторизации каждой операции банком-эмитентом и связанных с этим всевозможных «технологических» отказов, международные платежные компании ввели систему floor-limit. Это была система лимитов, предусматривающая максимальные суммы карточных операций, в пределах которых направление онлайн-запроса на систему авторизации банка для торгово-сервисных предприятий не было обязательным. Запрос в банк-эмитент не приходил, карта проверялась только на предмет отсутствия ее в стоп-листе, и в случае подтверждения этого – операция по карте разрешалась. Надо сказать, что floor-лимиты устанавливались достаточно высокие. Так, на европейском рынке, тогда еще не объединенном зоной евро, например, в Германии, для супермаркетов сети Karstadt лимит был в размере 500 марок (около 300 долларов США в то время). Аналогичные лимиты действовали в крупных торговых сетях Франции, например в Galleries Lafayette, и других стран Европы.
Данной ситуацией очень профессионально пользовались преступники. В основном мошенничество осуществлялось следующим образом: вначале злоумышленники открывали в банках карты под самыми различными предлогами, часто по поддельным документам, либо используя «дропов» (подставных лиц). Иногда организовывая для этого несуществующие фирмы с набором большого количества псевдосотрудников, которых обязывали открывать в банках карты. Причем часто сами оплачивали им выпуск. Потом мошенники собирали эти карты с нулевыми балансами и отправлялись с ними в Европу, где устраивали настоящий «покупательский» чес по магазинам, торгующим высоколиквидными легкореализуемыми товарами, и наполняли ширпотребом (электроникой, джинсами и т. п.) буквально целые контейнеры и трейлеры. Естественно, приобретая это все по ценникам в пределах floor-лимита для конкретного магазина.
Далее набитые ходовым товаром фуры везли в Польшу, на Украину, в Белоруссию, в страны Балтии и др., где и реализовывали товар, тем самым обналичивая денежные средства, полученные мошенническим путем. А так как денег на счетах карт изначально не было, то совершенные таким образом покупки уводили счета в глубокий дебет, иногда достигавший десятков тысяч долларов, который банкам впоследствии было практически невозможно вернуть.
Объемы такого мошенничества по тем временам были действительно гигантскими. Проведенные в магазинах операции без авторизаций, после, в клиринге, сыпались на банки как снежный ком. И этому было трудно что-либо противопоставить.
Именно тогда, столкнувшись с первой волной фрода, банки пришли к пониманию необходимости мониторинга карточных транзакций. Для этого были нужны системы, способные выявлять подобные операции, и с их помощью максимально оперативно влиять на ситуацию: блокировать карты, счета и т. п. Поначалу, по причине отсутствия промышленных онлайн-систем, мониторинг худо-бедно организовывался в псевдоонлайне, когда делались периодические выборки/отчеты с онлайн-трафика, а также анализировались клиринговые файлы на предмет выявления операций с признаками мошенничества. При этом часто использовались стандартные возможности Access и Excel. Просматривая и анализируя эти выборки, сотрудники служб безопасности банка пытались выявить повторяемые карточные операции, сходные по своим параметрам (включая страны, магазины, суммы и т. п.) с мошенническими «долимитными» операциями.
Разумеется, такие процессы не были эффективны. Даже выявление подозрительно активной карты и ее блокировка были действенны только в случае, если при последующих операциях авторизационный запрос доходил до банка, и тот мог направить магазину команду на «изъятие карты». Но и это не гарантировало, что ее действительно изымут у пользователя на кассе магазина. Персонал торговой точки зачастую был в сговоре с мошенниками, учитывая значительные суммы оборота.
Предотвратить такие хищения помогали лишь глобальные стоп-листы, которые в те годы часто рассылались банками-эквайрерами по торговым точкам на бумаге, которые уже категорично обязывали отказывать в совершении операции и изымать карты, в противном случае накладывая финансовую ответственность на магазин. Однако стоп-листы обновлялись платежными системами в среднем раз в две недели, и мошенники часто знали даты их обновления, начиная совершать мошеннические платежи со «свежей» картой как раз за две недели до ее возможного попадания в новый выпуск стоп-листа. В итоге службам мониторинга банков часто приходилось вручную обзванивать службы безопасности эквайреров, иностранные торгово-сервисные предприятия (ТСП) и даже местную полицию в попытке хоть как-то повлиять на ситуацию.
Долгий путь от офлайна к онлайну
Очевидно, что на этом фоне росли требования банков к оперативности и эффективности форд-мониторинга. Ближе к концу 1990-х банки уже начали постепенно реализовывать отдельные элементы онлайн-систем мониторинга, однако специализированных промышленных разработок на рынке представлено практически не было, они появились немного позже. Разработчики софтверных банковских продуктов, таких как процессинговые и клиринговые системы, пока еще в эту область не погрузились.
В результате банки буквально на коленках писали какие-то скрипты в своих фронт-офисных системах, пытаясь получить возможность «выцеплять» из онлайн-потока транзакционных данных операции с «рисковыми» признаками. Это было непросто, местами «криво», поскольку информация по операциям «жила» в одной системе, счета и клиентская база – в другой. Все эти данные приходилось как-то связывать между собой, анализируя «глазами», интуитивной логикой, а не автоматизированно. Создавать какие-либо профили было сложно. Политики и приемы выявления рисковых операций были достаточно грубыми, а правила выборок – довольно примитивными. Тем не менее даже такой, но уже более «онлайновый» подход все же позволял «вытаскивать» из потока рисковые операции и на основе несложной, можно сказать, ручной экспресс-аналитики оперативно принимать решения и проводить необходимые мероприятия.
Следующей отправной точкой в развитии систем фрод-мониторинга стало начало 2000-х годов, когда не так активно, как хотелось бы, стали появляться первые профессионально написанные промышленные онлайн-решения фрод-мониторинга. Часто необоснованно дорогие в угоду бренда производителя, но несмотря на это – далекие от совершенства. Тем не менее это были уже специализированные системы, которые позволяли мониторить карточные операции с использованием набора транзакционных данных, как числовых, так и географических, от страны до конкретного ТСП. Правила мониторинга стали многофакторными, более сложными, с механизмами рискового скоринга и клиентского профилирования. Некоторые производители даже использовали такую терминологию, как «нейросети», «экспертные» системы, хотя, на мой взгляд, это были всего лишь элементы маркетинга, как и модная нынче терминология машинного обучения и искусственного интеллекта. Все равно машина «обучается» по заданным правилам, а искусственный интеллект «принимает» решения на основе запрограммированной логики. А вместе все это – лишь более современные, математически смоделированные форм-факторы добрых, старых rule-based технологий в красивой маркетинговой упаковке.
Но вернемся к 2000-ным. К тому времени схемы мошенничества также развивались и становились сложнее и разнообразнее. Floor-лимиты практически канули в Лету. Коммуникации стали развиваться, появились беспроводные сети и т. д. А на рынке банковских карт получило бурное развитие мошенничество, связанное с использованием поддельных карт в различных его проявлениях. Чипы на картах еще были редкостью. Данные карт легко копировались с магнитных полос или перехватывались в незащищенных каналах связи, а производство поддельных карт становилось более организованным, качественным и менее затратным.
В интернете можно было найти множество ресурсов, продающих так называемые «дампы» – скомпрометированные данные магнитных полос реальных карт, которые позволяли изготовлять поддельные карты – с имитацией дизайна действительных карт, для покупок в магазинах (включая поддельные голограммы и т. д.). Также в обороте появились подделки – так называемый «белый пластик», используемый для операций в банкоматной сети.
Арсенал схемотехник в распоряжении мошенников становился все более богатым и изощренным. Соответственно, вслед за развитием мошенничества росли и требования к системам мониторинга, к их возможностям и функционалам. Создавались новые правила, конструировались актуальные поведенческие модели. Отдельные блоки систем работали в режиме «prevention» (предотвращения операций), когда операции с наиболее рисковым «весом» отклонялись автоматически, а другие продолжали работать в режиме «monitoring», выдавая рисковые операции на ручной разбор оператору.
Характерно, что 2010 год стал тем условным рубежом, с которого онлайн-система фрод-мониторинга именно в карточном бизнесе стала своего рода must have. Практически каждый банк, осуществлявший достаточно масштабную эмиссию, уже имел к этому моменту собственную in-house систему фрод-мониторинга. В свою очередь, банки поменьше, как правило, находящиеся на обслуживании у более крупных в качестве агентов, использовали их системы.
Не только карты
Следующий этап развития систем фрод-мониторинга дополнился появлением таких систем не только в карточной инфраструктуре, но и в каналах ДБО. Здесь, наверное, показателен пример Альфа-Банка, в котором я работаю с 2001 года. Уже в 2010 году мы внедрили, возможно, первую в России систему фрод-мониторинга ДБО, – вначале для операций физических лиц в интернет-банке и его мобильном приложении. Этот шаг был обусловлен активным развитием бизнеса дистанционных банковских сервисов, резко повысивших свою популярность среди клиентов банка. Очевидно, что растущая клиентская активность и высокие обороты всегда привлекают интерес со стороны мошенников. И чем они выше, тем серьезнее и аппетит мошенников. Уже в 2009–2010 гг. преступники вышли в системы ДБО, применив там достаточно новые модели мошенничества. Так, например, появились вирусные заражения посредством вредоносных компьютерных программ, позволяющих подменять реквизиты операций, получать удаленное управление устройством клиента и т. д. В результате возникла потребность мониторинга операций ДБО, и, как я уже сказал, в 2010 году мы внедрили такую систему, запустив ее чуть больше чем за полгода, буквально «с нуля».
Учитывая, что на тот момент модели хищений были не сильно изощренными, вполне прогнозируемыми и понятными, правил мониторинга в ДБО было на порядок меньше, чем в карточных системах. Тем не менее система показала себя удивительно эффективной и результативной. Буквально через год мы расширили ее функционал, обеспечив мониторинг ДБО и для юридических лиц. А чуть позже завели в мониторинг и так называемые «бумажные» операции (операции, совершаемые в отделениях банка, – закрытие депозитов, снятие и заказ крупных сумм и т. д.), поскольку и там встречались такие мошеннические модели, как, например, операции с использованием поддельных паспортов и доверенностей.
В результате на рубеже 2015–2016 гг. у нас существовали две отдельные, «разновендорные», хорошо развитые системы фрод-мониторинга, каждая из которых эффективно работала в своем транзакционном канале. Возможно, их развитие и дальше продолжалось бы автономно в своих операционных рамках. Однако появление новых форм и моделей мошенничества, в т. ч. катастрофический рост мошенничества с использованием социальной инженерии, доля которого, согласно отчету ФинЦЕРТа Банка России за 2018 год, составила порядка 97% от всех случаев мошенничества в банковской среде, заставило нас в корне пересмотреть подходы к фрод-мониторингу. И главной причиной здесь стало набирающее обороты кросс-канальное мошенничество, как новая транзакционная модель упомянутой социальной инженерии. Когда мошенники, получив доступ к данным карт клиентов, их личным кабинетам, счетам и т. д., используют одновременно все возможные каналы для хищения средств.
Кросс-канальный мониторинг – актуальный этап развития
Итак, мы перешли к самому актуальному на сегодняшний момент тренду, тренду 2018–2019 гг., – кросс-канальному мошенничеству.
Как оно происходит? Основной принцип кросс-канального мошенничества можно описать следующим образом. Воздействуя непосредственно на клиента приемами социальной инженерии, преступники зачастую получают доступ практически ко всем инструментам жертвы, которые она использует для совершения банковских операций. Это и карты, и интернет-банк, мобильное банковское приложение, платежные сервисы с технологией токенизации карточных данных и т. д. Появление этого типа мошенничества, как я уже отмечал в нашей предыдущей беседе, обусловлено переводом в цифру широкого спектра банковских сервисов, сервисов госорганов при активном развитии преступниками методов социальной инженерии. Мошенники реализуют сценарии, предусматривающие одновременную активность сразу во многих каналах удаленного банковского обслуживания, от ДБО до карточной системы. При этом мониторинг операций отдельно в каждом из этих каналов зачастую не дает возможности выявить подозрительное поведение клиента, так как по отдельности такие операции могут выглядеть вполне законно. И только в совокупности дадут четкую картину мошенничества.
Очевидно, если происходит атака на клиента, то она нацелена на все имеющиеся у него на счетах денежные средства и все имеющиеся у него средства доступа к ним. Даже если клиент никогда не пользовался интернет-банком, не устанавливал на телефон мобильное приложение и т. д., мошенник может сделать это за него, выманив у жертвы необходимые для этого данные: номера карт, кодовые слова, одноразовые пароли. А дальше – непосредственно совершать вывод средств, используя все возможные транзакционные каналы: переводы по счетам, картам (Р2Р-операции, бесконтактные снятия наличных в банкоматах), интернет-операции, сервисы токенизированных операций Apple Pay, Samsung Pay и др..
Например, мошенник с помощью методов социальной инженерии (представившись сотрудником безопасности банка) вынуждает жертву выдать ему пароль доступа в мобильное приложение. Он заходит в него под учетными данными действительного клиента, после чего начинает действовать по, как правило, известным ему схемам. Зная, что множественные повторяемые операции в одном и том же канале легко выявляются, он делает по одной-две «разноканальные» операции, используя технологии переводов по счетам, с карты на карту, оплаты в интернет, токенизированные операции. При этом он совершает «нефинансовые» действия – сброс/смена паролей, смена/назначение ПИН-кода, привязку карт к Apple Pay и др., выпуск виртуальных карт, принятие кредитного предложения и т. д. и т. п., используя все продуктовые и сервисные возможности, предоставляемые любым продвинуто-диджитализированным банком своим клиентам.
Очевидно, что если система фрод-мониторинга останется «моноканальной», она попросту не сможет выявить все перечисленные триггеры, как финансовые, так и нефинансовые, в их связи и последовательности.
Только одновременный мониторинг всех каналов предоставления банковских услуг, причем с привязкой именно к клиенту, его ID, а не к конкретному счету или карте, которых может быть множество, способен выявить сложные модели поведения мошенников, а значит, и оперативно предотвратить хищения. Так, даже на этапе изменения мошенником параметров «профиля» клиента и/или какой-либо его другой «нетранзакционной» активности, о чем упоминалось выше, такая система даст понять, что происходят некие рисковые события, требующие немедленного вмешательства со стороны службы мониторинга.
Еще одним фактором, усиливающим негативное влияние социальной инженерии, является то, что в некоторых случаях сами клиенты не только выдают конфиденциальную информацию, но и собственноручно совершают операции по команде говорящего с ними по телефону мошенника, которого они принимают, например, за сотрудника банковского call-центра. Такие операции в еще большей степени могут выглядеть как «нормальные» и трудно выявляться, пока, как говорится, «жадность не сгубит» мошенника или клиент сам не спохватится. И здесь опять на помощь может прийти многофункциональная кроссканальная система фрод-мониторинга с возможностью предиктивной аналитики, профилирования, скоринга, работы с элементами Big Data и не «маркетинговыми», а реально работающими модулями самообучения и принятия решений.
Таким образом, кросс-канальный мониторинг становится сегодня таким же must have, каким ранее уже стал моноканальный онлайн-мониторинг.
В конце 2018 – начале 2019 года Альфа-Банк успешно провел пилотный проект по запуску и применению решения кроссканального фрод-мониторинга. Результат проекта показал, что такая система способна работать достаточно эффективно, не оказывая негативного влияния на различные каналы обслуживания с точки зрения доступности, быстродействия и т. д., и позволяет оперативно выявлять попытки мультиканального мошенничества на самых ранних этапах. Также мы пришли к выводу, что мониторинг карточных операций и мониторинг ДБО несколько отличаются по некоторым ключевым принципам. В первую очередь это связано с различными форматами коммуникаций с клиентами, поскольку клиентами являются как физические, так и юридические лица. Также есть и технические отличия – это и технологии операций, и процедуры исполнения платежных поручений, и многое другое.
Поэтому мы совместно с нашими партнерами разработали проект создания полноценной кросс-канальной системы, который подразумевает интеграцию двух имеющихся у нас систем фрод-мониторинга в одну мониторинговую экосистему, по принципу, когда одна система мониторинга обогащает своими данными другую систему. При этом в каждой системе выстраивается свой кросс-канальный «движок» и адаптированный операторский интерфейс.
На сегодняшний день мы уже реализовали отдельные элементы такой системы с максимально информативными и легкими для восприятия и работы операторов интерфейсами, смоделированными по принципу «ничего лишнего». Очевидно, что основная работа еще впереди – кастомизация, наполнение, также новую систему нужно адаптировать и «обучать». А еще всем – быть бдительными, не доверять бездумно всему услышанному и увиденному, а фрод-мониторинг нам в помощь!