Как мы защитили белорусский Сбер с помощью BI.ZONE AntiFraud
Фрод (от англ. fraud ‘мошенничество’) — это разновидность киберпреступлений, нацеленная на деньги жертвы. В сущности, это мошенничество в цифровом формате, чаще всего — в банковской сфере. При этом в рамках фрода злоумышленники могут задействовать социальную инженерию, кардинг (операции с крадеными карточками) и другие инструменты.
Чтобы защитить клиентов от подобных атак, банки и сервисы внедряют антифрод-системы. Их задача — проверять финансовые и другие операции по ряду признаков, чтобы выяснить, не мошеннические ли они. Способы проверки зависят от конкретной реализации, но обычно это набор правил, а также списки и фильтры для выявления мошеннических операций. Примеры критериев для оценки транзакции — ее сумма и местоположение клиента.
BAF сочетает два вида антифрода — транзакционный и сессионный. За первый отвечает модуль защиты платежных операций, за второй — модуль глубокой сессионной аналитики и глобального профилирования. В зависимости от задач заказчик может подключить один модуль или сразу оба.
Платформа поддерживает омниканальность, то есть защищает несколько каналов одновременно:
- Дистанционное банковское обслуживание (ДБО) физлиц. Сюда входят мобильные приложения и веб‑банкинг — то, что ближе всего к конечному клиенту. Банки уделяют особое внимание защите этого канала.
- Карточная эмиссия. Название обманчиво: мы не мониторим выпуск пластика — лишь операции по карточкам, в том числе международные переводы.
- Эквайринг. В этом сегменте мы защищаем банк от мошенничества с POS‑терминалами, включая платежи в интернете. Сюда же входят операции в банкоматах.
- ДБО юрлиц. Все то же самое, что и для физлиц, но связанное с обслуживанием ИП, ООО и ПАО.
Каналы можно подключать в любом порядке, в том числе параллельно — все зависит от пожеланий заказчика и доступности его специалистов.
Вот как устроена работа BAF (мы подробно объясняем ее на странице продукта):
Схема работы BI.ZONE AntiFraud
Отличительные особенности BAF:
- Работает не только с банками: платформа борется с мошенниками в программах лояльности, системах бонусных баллов, онлайн-магазинах и мобильных операторах.
- Собирает данные о фроде со всех клиентов (с их согласия) и стран в единую базу. Если злоумышленники в Казахстане попробуют повторить механику, с которой сталкивались белорусские банки, BAF их предиктивно остановит — не пройдет даже первая попытка.
- Реагирует со скоростью до 0,1 секунды.
Рассмотрим типовой процесс интеграции BAF с банковским сервисом на примере Сбер Банка (Беларусь).
Представители белорусского банка обратились к нам с задачей: нужно усилить защиту от мошеннических операций в цифровых каналах. Дело в том, что они столкнулись с волной фрода, завязанного на социальной инженерии. Для защиты клиентов потребовались современные средства.
Примерный срок — от 1 недели до 3 месяцев
На этом этапе мы обсуждаем конкретику:
- согласуем требования к системе — функциональные и нефункциональные;
- утверждаем протоколы взаимодействия, роли пользователей, стартовые наборы правил;
- прописываем, какие функции потребуются исполнителям на конкретных должностях — от специалистов службы поддержки до офицеров безопасности, если того захочет заказчик.
Если не распланировать работу грамотно, позже придется перестраивать систему (возможно, с нуля), что выльется в дополнительные издержки. В этих обстоятельствах особенно важно обращаться к опыту экспертов на стороне антифрод-системы: они подсветят проблемные места и помогут найти решения для сложных вопросов.
Примерный срок — от 2 недель до 4 месяцев на каждый канал
Защитить один платежный канал лучше, чем не защищать ничего. Однако когда мошенники обнаруживают, что в одном из каналов их схемы больше не работают, то переводят фокус на другой. Поэтому мы стараемся подключить все каналы как можно скорее и объединить систему в единый кросс‑канальный антифрод.
Аналитика по базовым правилам начинает работу сразу. Спустя пару недель, обучившись на первых транзакциях, запускается модель машинного обучения — она оценивает уровень риска для каждой операции. Вкупе базовые правила и модель машинного обучения позволяют выявлять мошеннические операции и предотвращать их в любых каналах.
Для банка мы сначала защитили карточную эмиссию и эквайринг, затем — ДБО физлиц и организаций.
Столкнулись с несколькими вызовами:
- Заказчику пришлось искать свободные руки. Внедрение новой системы требует особого внимания, при этом никуда не исчезают остальные процессы противодействия мошенничеству. В итоге на специалистов ложится двойная нагрузка.
- Возникла необходимость выстроить процесс автоматической блокировки карт и сервисов ДБО физических лиц на случай, если произойдет инцидент.
- Мошенники также не сидели сложа руки: с каждым подключенным каналом они придумывали новые схемы. Однако коллеги из белорусского Сбер Банка нейтрализовали угрозы, а введение BI.ZONE AntiFraud в промышленную эксплуатацию пресекло эти риски на корню.
Примерный срок — от 2 недель до 4 месяцев
Когда взаимодействие между системами налажено, начинается опытно-промышленная эксплуатация. Обобщенный сценарий выглядит так:
- Испытываем интеграцию на реальных данных.
- Проверяем модель машинного обучения.
- Анализируем результаты с заказчиком и обсуждаем разметку данных.
- Составляем отчет по модели машинного обучения, проверяем, как она справилась.
- Согласуем финальный отчет приемочных испытаний.
- Проверяем интеграцию системы и корректность ее работы.
Какие‑то этапы могут добавляться в зависимости от заказчика, но общий роадмап всегда один: функциональное, интеграционное и нагрузочное тестирования, а также разработка планов аварийного восстановления (disaster recovery plans, DRP) — на случай форс‑мажоров.
На этом этапе учили сотрудников заказчика работать с системой. Параллельно с этим заказчик выстроил внутренние процессы для Центра клиентской поддержки.
Поскольку в организации уже работают штатные эксперты по противодействию мошенничеству, заказчик выбрал базовую поддержку: антифрод-правила банк актуализирует самостоятельно, а мы выступаем в роли консультантов
Если от Сбер Банка (Беларусь) все же поступают запросы на антифрод-поддержку и аналитику, выполняем их в рабочие часы, поскольку они требуют глубокого погружения. Технические вопросы коллег из белорусского банка, как и других клиентов, решаем в режиме 24/7.
Мы защитили от мошенников 4 платежных канала белорусского банка, а значит, и деньги клиентов.
Помимо основных запросов, таких как предотвращение мошенничества и выполнение требований регуляторов, мы решаем ряд дополнительных задач:
- Помогаем бизнесу сэкономить. Компании в среднем сохраняют до 80 млн рублей в рамках облачной поставки.
- Оперативно защищаем даже от новых схем, поскольку оперируем большим объемом данных о мошенничестве, собранным от многочисленных клиентов.
- Быстро обрабатываем много транзакций — до 20 000 операций в секунду со средним временем ответа 0,05 секунды.
- Выносим вердикты для все большего числа операций. Так, за три квартала 2022 года мы проанализировали в 2 раза больше операций, чем за весь 2021-й. В то же время BAF стала лучше дифференцировать легитимные и мошеннические транзакции.
- Соблюдаем SLA в 0,2 секунды на проверку транзакции. За это время операция успевает пройти через несколько оценочных алгоритмов и получить вердикт.
Как показывает опыт Сбер Банка (Беларусь), внедрение антифрод-системы проходит не так сложно и долго, как кажется на первый взгляд, а митигация возможных рисков окупает затраты.