Как банки России вычисляют подозрительные операции
Антифрод – проверка на вшивость
Антифрод-система оценивает транзакции – преимущественно те, что были сделаны через интернет. Она выясняет, насколько подозрительной была транзакция, как высока вероятность того, что её выполнили мошенники.
В каждом антифрод-сервисе есть набор правил, списков и фильтров. Все они задействуются для расчёта рейтинга транзакции. Кроме того, система может предлагать рекомендации по дальнейшей обработке транзакции.
Антифрод-системы разрабатывают в основном банковские департаменты, которые отвечают за безопасность. Visa, MasterCard, PayPal и другие платёжные гиганты также имеют свои антифрод-сервисы.
Собственный антифрод есть у российского Управления К. Его используют, чтобы предупредить мошенничество в сфере информационных технологий.
Как вычисляют подозрительные транзакции
Представьте себе ситуацию: вы зашли в интернет-магазин, выбрали товар, положили в корзину. Следующий шаг – оплата. Вы вводите данные, подтверждаете оплату, и в этом месте активируется антифрод-система.
Обычно антифрод оценивает всё, что может получить:
- Данные карты – номер, дату окончания действия, ФИО владельца и др.;
- IP-адрес, с которого совершается платёж.
- Данные об операционной системе;
- Информация о браузере и cookies;
- Сведения о местоположении;
- Платёжная информация.
Отдельные системы могут запрашивать и другие данные и учитывать в анализе разные факторы: к примеру, с какой попытки был введён пароль, использовался ли отпечаток пальца или другие форматы биометрической аутентификации, платил ли пользователь ранее с этой карты в данном магазине и др.
Если степень риска фрода достаточно высока, транзакции отправляют на ручную проверку или дополнительную идентификацию. Здесь возможны три варианта:
Ложная тревога. Проверка подтверждает, что транзакция корректная и безопасная, она проводится.
Подозрительная транзакция. Оператор связывается с владельцем карты/аккаунта и проверяет, отправлял ли он деньги. Чаще всего пользователю звонят, спрашивают секретный вопрос и ответ на него (к примеру, девичью фамилию матери), какие действия он совершал недавно, уточняют дополнительные данные вроде номера налогоплательщика и т.п. Если ответы верны, то транзакция проходит. Если нет, отменяется.
Мошенническая транзакция. Выявлен фрод, транзакция отменяется, карта / счет / аккаунт блокируется. Пользователь может отменить блокировку, если подтвердит свою личность.
«Под капотом» антифрода: как работает система
Сначала транзакции проходят самую грубую и поверхностную проверку с помощью стоп-листов. Система ищет номер карты, ФИО плательщика, IP-адрес и другие данные в своей базе.
Если информация есть в «черном списке», транзакция не пройдёт. К примеру, сразу заблокируют транзакции с украденных карт, подозрительных IP-адресов, мошеннических магазинов.
Эксперты признают: антифрод не лишен расизма.
Например, системы многих американских магазинов не пропускают платежи из Китая, Латинской Америки, африканских стран. Да и покупателей из стран СНГ в США и Европе не любят. Мошенников там очень много, поэтому магазину проще работать только на тех рынках, где вероятность обмана куда ниже.
Второй этап – проверка дополнительных сведений о держателе карты. Это данные карты, история расчётов, сведения о похожих операциях. Здесь транзакция получает основные баллы и рейтинг: от «красного» (практически наверняка фрод) до «зелёного» (скорее всего, не фрод).
Дальше в ход идут правила. Обычно в антифрод-системе установлены лимиты:
- количество покупок за определенное время или определенным клиентом;
- сумма покупок по одной карте;
- сумма покупок одним клиентом;
- количество карт, которые использует клиент за определенный период;
- количество пользователей, которые расплачивались одной и той же картой;
- история операций определенного клиента в конкретном магазине.
Рейтинг транзакции «заминусуют», если:
- с одной и той же карты платят пользователи с разных IP;
- с одного и того же IP платят различные пользователи с разных карт;
- пользователь несколько раз неудачно пытался оплатить заказ;
- оплачивают в одном магазине с одной и той же карты, но с разных аккаунтов;
- IP покупателя, банка и магазина, который выпустил карту, из разных стран;
- ФИО владельца карты и аккаунта в магазине отличается;
- задействованы тоннели, SOCKS, VPN;
- у пользователя открыт подозрительный набор портов (к примеру, 22, 80, 443, 3389), которые часто используют для прокси, dedicate-серверов, SOCKS;
- у пользователя отключен Flash (хотя после массового отказа от него это не так актуально);
- в истории браузера за последнее время много подозрительных страниц (те же сайты с VPN, а также whoer-ы и т.д);
- подозрительные вкладки открыты в данный момент (да, антифрод видит и это);
- «отпечатки пальцев» системы не соответствуют ожидаемым: к примеру, когда вы используете Windows и тоннели, пакеты отправляет Linux, их отпечаток не совпадает с отпечатком Windows.
Подчеркнём: если хотя бы одно правило нарушается, транзакцию не обязательно отменят. Но чем больше факторов, тем выше вероятность, что её «завернут».
Как обходят антифрод
Кардеры, которые используют данные краденных кредитных карт для обнала или заказов в зарубежных интернет-магазинах, способны обойти даже самую надёжную систему – к примеру, антифрод eBay, Amazon, Visa, MasterCard и т.п. На каждую гайку найдётся свой болт с левой резьбой, и это позволит сымитировать легальную транзакцию.
К примеру, если поднять на тоннеле firewall или настроить его на dedicate-сервере, система не будет видеть, какие порты открыты. Если в цепочку перед dedicate-сервером или туннелем добавить Tor, то двусторонний пинг не выдаст, что IP принадлежит хостинг-провайдеру из «черного списка», туннелю, VPN или SOCKS. Если предварительно просмотреть десяток-другой сайтов из выдачи Google, пообщаться в Facebook и открыть 100500 фото «ВКонтакте», история браузера и открытые вкладки не вызовут подозрений.
Сами карты «раскачивают» мелкими транзакциями – они вызывают меньше подозрений и формируют добротный рейтинг. Крупные суммы с украденных карт «сливают» на пенсионные и зарплатные карты небольшими порциями.
Мошенники звонят и представляются сотрудниками банка, чтобы узнать ответы на вопросы из стандартного списка. Часто пользователи всё им рассказывают, ничего не подозревая.
Наконец, те, кто обходят антифрод, имитируют поведение типичных покупателей. Если найти магазин через поиск, посмотреть там пару десятков товаров, что-то добавить в корзину, затем что-то убрать, пообщаться с консультантом и т.п., антифрод будет лояльнее.
Выводы
Антифрод – системы, которые не дают мошенникам украсть ваши деньги, в основном при оплате картой в интернете. Например, купить iPhone на eBay с кредитки, украденной в США.
Обход антифрода – ст. 159.3 «Мошенничество с использованием платежных карт». Наказание — до 120 тыс. рублей, до 4 месяцев тюрьмы или до 2 лет условно, до 2 лет принудительных или исправительных работ. Многовато будет.
Подписывайтесь на канал, еще больше интересных и полезных материалов. "Денежный 💸".