Мобильное приложение журнала
Google Play Apple Store
курс цб на 19.09: USD 64.429 EUR 71.2391
криптовалют: BTC 10157.6$ ETH 210.23$
Журнал ПЛАС » Архив » 2019 » Журнал ПЛАС №4 » 646 просмотров

Кросс-канальный мониторинг. Логичный этап развития антифрод-систем

Кросс-канальный мониторинг. Логичный этап развития антифрод-систем

В апрельском номере журнала «ПЛАС» мы уже обсуждали с Алексеем Голенищевым, директором по мониторингу операций и диспутам Альфа-Банка, причины, по которым использование преступниками социальной инженерии не только начинает выходить сегодня на первый план в общей картине фрода, но и приобретает кросс-канальный характер. Сегодня наш разговор с ним о технологиях и подходах, позволяющих противостоять такого рода активности с помощью фрод-мониторинга, построенного на кросс-канальном принципе.

Что такое кросс-канальный мониторинг

Прежде чем углубиться в детали кросс-канального мониторинга, начнем с определения этого сравнительно нового подхода. Кросс-канальный мониторинг – это совокупность процессов мониторинга рисковых операций, которая позволяет принимать, обрабатывать и анализировать в режиме реального времени как «финансовую» информацию, т. е. информацию о транзакционной активности клиента (включая всевозможные платежи, операции с наличными средствами, со счетами, различные переводы и т. д.), так и информацию о его «нефинансовых» операциях, таких как смена реквизитов, смена ПИН-кодов, смена паролей доступа и т. п., а также данные об устройствах, с которых клиент совершает операцию, – тип, модель, SIM-карта и др., включая анализ так называемых finger-print (цифровых отпечатков) этих устройств, элементов статической и  поведенческой биометрии и данных геолокации. При этом главный смысл кросс-канального фрод-мониторинга заключается в том, что «финансовые» данные берутся одновременно из всех транзакционных каналов. Это операции по картам, операции с использованием систем ДБО (интернет-банк, мобильный банк), а также операции со счетами/вкладами, совершаемые клиентом непосредственно в отделениях банка.

Соответственно, обрабатывая всю эту информацию в режиме реального времени, система кросс-канального мониторинга обеспечивает возможность автоматизированной генерации алертов и принятия решений.

Основные этапы развития мониторинга: офлайн-системы

Чтобы проанализировать и понять предпосылки для внедрения кросс-канального мониторинга, стоит предпринять небольшой исторический экскурс, цель которого – показать, какой путь прошли за последние десятилетия схемы мошенничества в банковской сфере и, соответственно, подходы банков к противодействию преступной активности.

Простейшие элементы фрод-мониторинга, которые тогда еще нельзя было назвать «системами», стали разрабатываться в банках еще в середине 1990-х годов, когда в России началась достаточно активная эмиссия банковских карт. Росло количество карт, росли денежные обороты. Вполне естественно, что вместе с этим на отечественный рынок стали приходить и развиваться всевозможные схемотехники хищений денежных средств с использованием банковских карт. Как раз к середине 1990-х они получили достаточно широкое распространение, и размеры таких хищений стремительно росли.

Суть кросс-канального фрод-мониторинга – «финансовые» данные берутся одновременно из всех транзакционных каналов

В основном это было связано с распространенной в то время технологической практикой международных платежных систем. Коммуникационные сети, процессинговые центры и другие технологические сегменты, призванные обеспечивать стабильную работоспособность банковских карт, были еще недостаточно развиты для передачи и обработки больших потоков данных в режиме онлайн. И поэтому, для того чтобы держатели карт не испытывали частых проблем с обслуживанием карт из-за необходимости онлайн-авторизации каждой операции банком-эмитентом и связанных с этим всевозможных «технологических» отказов, международные платежные компании ввели систему floor-limit. Это была система лимитов, предусматривающая максимальные суммы карточных операций, в пределах которых направление онлайн-запроса на систему авторизации банка для торгово-сервисных предприятий не было обязательным. Запрос в банк-эмитент не приходил, карта проверялась только на предмет отсутствия ее в стоп-листе, и в случае подтверждения этого – операция по карте разрешалась. Надо сказать, что floor-лимиты устанавливались достаточно высокие. Так, на европейском рынке, тогда еще не объединенном зоной евро, например, в Германии, для супермаркетов сети Karstadt лимит был в размере 500 марок (около 300 долларов США в то время). Аналогичные лимиты действовали в крупных торговых сетях Франции, например в Galleries Lafayette, и других стран Европы.

Данной ситуацией очень профессионально пользовались преступники. В основном мошенничество осуществлялось следующим образом: вначале злоумышленники открывали в банках карты под самыми различными предлогами, часто по поддельным документам, либо используя «дропов» (подставных лиц). Иногда организовывая для этого несуществующие фирмы с набором большого количества псевдосотрудников, которых обязывали открывать в банках карты. Причем часто сами оплачивали им выпуск. Потом мошенники собирали эти карты с нулевыми балансами и отправлялись с ними в Европу, где устраивали настоящий «покупательский» чес по магазинам, торгующим высоколиквидными легкореализуемыми товарами, и наполняли ширпотребом (электроникой, джинсами и т. п.) буквально целые контейнеры и трейлеры. Естественно, приобретая это все по ценникам в пределах floor-лимита для конкретного магазина.

Далее набитые ходовым товаром фуры везли в Польшу, на Украину, в Белоруссию, в страны Балтии и др., где и реализовывали товар, тем самым обналичивая денежные средства, полученные мошенническим путем. А так как денег на счетах карт изначально не было, то совершенные таким образом покупки уводили счета в глубокий дебет, иногда достигавший десятков тысяч долларов, который банкам впоследствии было практически невозможно вернуть.

Объемы такого мошенничества по тем временам были действительно гигантскими. Проведенные в магазинах операции без авторизаций, после, в клиринге, сыпались на банки как снежный ком. И этому было трудно что-либо противопоставить.

Столкнувшись с первой волной фрода, банки пришли к пониманию необходимости мониторинга карточных транзакций

Именно тогда, столкнувшись с первой волной фрода, банки пришли к пониманию необходимости мониторинга карточных транзакций. Для этого были нужны системы, способные выявлять подобные операции, и с их помощью максимально оперативно влиять на ситуацию: блокировать карты, счета и т. п. Поначалу, по причине отсутствия промышленных онлайн-систем, мониторинг худо-бедно организовывался в псевдоонлайне, когда делались периодические выборки/отчеты с онлайн-трафика, а также анализировались клиринговые файлы на предмет выявления операций с признаками мошенничества. При этом часто использовались стандартные возможности Access и Excel. Просматривая и анализируя эти выборки, сотрудники служб безопасности банка пытались выявить повторяемые карточные операции, сходные по своим параметрам (включая страны, магазины, суммы и т. п.) с мошенническими «долимитными» операциями.

Разумеется, такие процессы не были эффективны. Даже выявление подозрительно активной карты и ее блокировка были действенны только в случае, если при последующих операциях авторизационный запрос доходил до банка, и тот мог направить магазину команду на «изъятие карты». Но и это не гарантировало, что ее действительно изымут у пользователя на кассе магазина. Персонал торговой точки зачастую был в сговоре с мошенниками, учитывая значительные суммы оборота.

Предотвратить такие хищения помогали лишь глобальные стоп-листы, которые в те годы часто рассылались банками-эквайрерами по торговым точкам на бумаге, которые уже категорично обязывали отказывать в совершении операции и изымать карты, в противном случае накладывая финансовую ответственность на магазин. Однако стоп-листы обновлялись платежными системами в среднем раз в две недели, и мошенники часто знали даты их обновления, начиная совершать мошеннические платежи со «свежей» картой как раз за две недели до ее возможного попадания в новый выпуск стоп-листа. В итоге службам мониторинга банков часто приходилось вручную обзванивать службы безопасности эквайреров, иностранные торгово-сервисные предприятия (ТСП) и даже местную полицию в попытке хоть как-то повлиять на ситуацию.

Долгий путь от офлайна к онлайну

Очевидно, что на этом фоне росли требования банков к оперативности и эффективности форд-мониторинга. Ближе к концу 1990-х банки уже начали постепенно реализовывать отдельные элементы онлайн-систем мониторинга, однако специализированных промышленных разработок на рынке представлено практически не было, они появились немного позже. Разработчики софтверных банковских продуктов, таких как процессинговые и клиринговые системы, пока еще в эту область не погрузились.

В результате банки буквально на коленках писали какие-то скрипты в своих фронт-офисных системах, пытаясь получить возможность «выцеплять» из онлайн-потока транзакционных данных операции с «рисковыми» признаками. Это было непросто, местами «криво», поскольку информация по операциям «жила» в одной системе, счета и клиентская база – в другой. Все эти данные приходилось как-то связывать между собой, анализируя «глазами», интуитивной логикой, а не автоматизированно. Создавать какие-либо профили было сложно. Политики и приемы выявления рисковых операций были достаточно грубыми, а правила выборок – довольно примитивными. Тем не менее даже такой, но уже более «онлайновый» подход все же позволял «вытаскивать» из потока рисковые операции и на основе несложной, можно сказать, ручной экспресс-аналитики оперативно принимать решения и проводить необходимые мероприятия.

Следующей отправной точкой в развитии систем фрод-мониторинга стало начало 2000-х годов, когда не так активно, как хотелось бы, стали появляться первые профессионально написанные промышленные онлайн-решения фрод-мониторинга.

Продолжение материала содержит полезную для вашего бизнеса информацию…

Подписка позволяет читать все статьи портала

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных