О системах автоматизированного выявления мошеннических действий и интересных фактах, связанных с их использованием или отсутствием, рассказали Михаил Апостолов, руководитель продуктового направления SOC Softline, и Михаил Авсенев, руководитель департамента сопровождения инфраструктуры входящей в ГК Softline компании «Инфосекьюрити».

Softline direct: Расскажите какую-нибудь интересную историю об антифроде, о защите от мошенничества. Есть мнение, что антифрод нужен только банкам…

Михаил Авсенев: Мнение есть. Но я расскажу историю про, внимание, сеть автозаправок! На первый взгляд, какая может быть связь? Но в большинстве таких предприятий действует программа лояльности или так называемый кэшбэк. В крупной сети автозаправок, название которой я, по понятным причинам, не упоминаю, на одной из бензоколонок оператор проводила все платежи через свою личную карту с кэшбэком. То есть физически брала у клиентов деньги и прогоняла через свой счет, получая кэшбэк. Схему вычислили таким способом: за день посмотрели все операции и получилось, что на эту одну карточку заправили практически целую цистерну бензина. Вот в таких ситуациях и нужен антифрод, который покажет или даже заморозит подобные транзакции.

Или вот еще пример: схемы мошенничества на различных игровых серверах. Например, как было с компанией CCP, разработчиком космической многопользовательской стратегии EVE Online. Игрок добыл какой-то не очень дорогой ресурс, артефакт, назовем его «веточка», потом вышел торговать на игровую биржу, где искусственно поднял на него цены, получил космическую прибыль в прямом и переносном смысле и обрушил всю игровую экономику. В итоге сервис был практически на грани закрытия.

Михаил Апостолов: Антифрод нужен не только банкам, но даже автозаправкам и разработчикам онлайн-игр. Он актуален в любом месте, где возникают онлайновые товарообменные отношения и происходят транзакции по переводу денег.

Михаил Авсенев: Кстати, о банках! Мошенники в финансовой сфере придумывают очень интересные схемы. Например, выпускают так называемый «белый пластик». Это когда на легальные карты создаются клоны, которые начинают быстро отовариваться в онлайн-магазинах, как правило, созданных теми же самыми мошенниками. Часто ли вы смотрите смс-сообщения от банка с информацией по операциям и счету? А у многих смс-информирование даже не подключено. В таких случаях клиент не сможет заблокировать карту вовремя и очень быстро лишится всех денег.

Мы живем в век информационных технологий, поэтому сведения о том, что у кого-то что-то получилось, распространяются очень быстро. Какая-нибудь слабая группировка создает схему мошенничества, потом продает эту схему более сильной группировке, у которой больше ресурсов. Поэтому риски могут быть от 1000 руб. до нескольких миллионов, которые можно потерять буквально в течение нескольких часов.

Михаил Апостолов: В таких случаях убытки неизменно составляют большие суммы, не сопоставимые со стоимостью антифрода, такого как Fraud Detection System компании «Инфосекьюрити».

Softline direct: Расскажите, от каких актуальных угроз может спасти услуга Fraud Detection System?

Михаил Авсенев: В прошлом году наиболее популярными были целенаправленные атаки. Не какие-нибудь типичные вирусы, а заранее подготовленное проникновение в сеть. При таких атаках злоумышленники в течение нескольких месяцев выясняют инфраструктурные моменты, протоколы обмена информацией, а дальше приступают к нападению. Еще при таких видах проникновения мошенники находится в сети долгое время, поэтому могут подготовить средства автоматизации и быстро вывести деньги. Наш антифрод позволяет выявлять эти угрозы очень быстро и в автоматическом режиме. Человек-оператор может пропустить что-то, не обратить внимание на подозрительные транзакции, не успеть вовремя среагировать.

Благодаря встроенным механизмам профилирования Fraud Detection System позволяет автоматически выявлять подобные атаки, выводы денег, нетипичное поведение пользователей. Например, человек производил транзакции в основном из Москвы и тут внезапно оказался во Владивостоке, а потом опять в Москве. Выявление таких аномалий позволит оператору увидеть подозрительные транзакции и предотвратить вывод денег. Атака, может быть, и состоится, но деньги не будут потеряны.

Свои атаки мошенники направляют также на платежные шлюзы. Формируются специально подготовленные документы, которые передаются в платежную систему. Наш антифрод позволяет контролировать легитимность платежа.

Softline direct: Какие узлы внутри банка являются излюбленными целями для мошенников? Что чаще всего выбирают хакеры?

Михаил Авсенев: Хакеры в основном заинтересованы в тех узлах сети, где содержится информация о платежах, клиентах или непосредственно в доступе к самим платежным шлюзам. В первую очередь это АРМ КБР. Дальше идут платежные системы Cyberplay, Cyberpay с RAPIDA и другие платежные системы АБС, информация о клиентах и их счетах, все, что может представлять ценность. Также это персональные и паспортные данные, информация о контрактах, материалы, которые можно использовать для конкурентной разведки.

Михаил Апостолов: Я хотел бы отметить, что среди услуг компании «Инфосекьюрити» есть мониторинг информационного пространства, который помогает выявлять возможные потенциальные или уже осуществленные «сливы» подобной информации.

Softline direct: Теперь хотелось бы поговорить о борьбе с мошенничеством в ритейле и страховании. Как именно будет полезен антифрод в этой сфере?

Михаил Авсенев: В ритейле наша система Fraud Detection System пригодится для выявления злоупотреблений в программах лояльности. В самом начале этого интервью я уже рассказывал о мошенничестве в сети бензоколонок, но какие-нибудь дополнительные баллы за покупку товаров также могут быть предметом интереса неблагонадежных лиц.

Страхование – еще одна интересная тема, так как в нем очень много схем мошенничества. Например, страховой агент берет несколько полисов и не регистрирует их в системе учета. Далее он говорит клиенту о суперскидке и продает полис дешевле. Если у клиента произойдет какой-то страховой случай, он сначала сообщит об этом страховому агенту. Тот зарегистрирует соответствующий полис задним числом, а остальные такие же – нет, в итоге у него получится огромная реальная выгода.

Михаил Апостолов: Если подытожить этот блок, там, где присутствуют какие-либо транзакции, потенциально есть и угроза мошенничества, поэтому организациям, которые дорожат своим именем и отказоустойчивостью системы, нужен антифрод.

Softline direct: Расскажите, пожалуйста, как работает Fraud Detection System?

Михаил Авсенев: Базовым элементом антифрода является транзакция, которая поступает в систему обработки. Эта система включает несколько фильтров.

Первый фильтр – черный и белый списки. В белых списках содержится информация по транзакциям, которые система безотказно принимает. В черных – информация о мошенниках, их счетах, а также признаки, которые позволяют выявить мошенничество в транзакциях.

После того, как черные и белые списки отработали, транзакция попадает в систему правил, которая выявляет нехарактерные параметры. Приведу пример: человек всегда оплачивал определенную сумму за коммунальные услуги, и внезапно платеж увеличился в десятки раз. Наша система выявит это благодаря встроенному механизму правил. Другой пример нехарактерного поведения – человек начинает очень резко снимать деньги. Если его обычный лимит был, допустим, 70 тыс. рублей в месяц, а в один прекрасный момент он обналичивает полтора миллиона – это повод связаться с ним и выяснить, точно ли он снимает деньги со своего счета.

Еще пример, когда с одного счета уходят платежи сразу в несколько мест с одинаковой суммой. Признаком мошенничества может являться и перечисление мелких сумм денег на множество различных счетов. Такие операции вызывают подозрения у системы антифрода. Они фиксируются, обрабатываются и передаются оператору, который получает данные о том, кто проводит транзакции, на какие счета и каково назначение платежа. Это помогает в принятии решения.

Если транзакция прошла через белые и черные списки, а также механизм правил, и при этом система не смогла принять решение, что транзакция легитимна, то такой спорный вопрос переадресуется оператору. Оператор начинает выяснять, действительно ли транзакция легитимна, можно ли ее пропустить.

Softline direct: А кто пишет правила, на которые вы ссылаетесь? Откуда они берутся?

Михаил Авсенев: Обучение решения идет на основе исторических данных. Мы подгружаем в систему информацию о транзакциях, которые были проведены за год или полгода, и начинаем обучать ее выявлению мошеннических действий. Это позволяет разгрузить оператора и обеспечить наименьшее количество рассмотрений транзакций в ручном режиме (около 1%).

Fraud Detection System интегрируется практически с любыми системами баз данных, в том числе и noSQL (без SQL).

Softline direct: Fraud Detection System – это облачное решение или его нужно устанавливать локально?

Михаил Авсенев: Есть и тот, и другой вариант. Если клиент хочет использовать облачную архитектуру, то мы размещаем у заказчика только коннектор к антифроду, который будет подключен к его внутренней структуре и будет передавать данные для расследования. Вся работа, правила и вычислительные мощности, которые нужны для антифрода, будут располагаться у нас на площадке. Для клиента это означает уменьшение затрат на выявление мошенничества. Но если клиент желает, мы можем разместить всю инфраструктуру у него. В тех случаях, например, когда заказчик не хочет отправлять нам свои данные, мы можем реализовать всю необходимую инфраструктуру на его площадке. Конечно же, отправка информации в наше облако осуществляется по защищенному каналу: SSL-шифрование по VPN. Клиент может быть уверен, что данные не утекут никуда.

Softline direct: При желании заказчика разместить все у себя, как будет работать антифрод?

Михаил Авсенев: Если заказчик размещает решение у себя, он получает ядро антифрода вместе с правилами, черными и белыми списками, веб-интерфейсом для операторов, которые будут подтверждать или опровергать транзакции и каналом связи, по которому мы будем мониторить нашу систему и отправлять обновления.

Softline direct: Заканчивая беседу, давайте подытожим, какие ключевые особенности можно выделить в работе Fraud Detection System? Чем оно отличается от других антифрод-решений?

Михаил Авсенев: Во-первых, два режима работы. Мы можем работать в разрыв, при котором сама система антифрода автоматически блокирует транзакции, либо в параллельном режиме. В последнем случае антифрод выявляет подозрительные транзакции и информирует об этом оператора, но транзакция все равно производится с возможностью отозвать ее после, что не нарушит функционирование бизнеса.

Вторая наша особенность – это большое количество источников, с которых мы собираем данные. Это и Microsoft SQL Server, Postgres SQL, MySQL, Oracle, DB2, MQ, REST API.

Помимо этого, у нас есть, назовем его так, «джентльменский набор» правил. Клиент получает этот набор по умолчанию при установке решения. Дальше мы адаптируем систему под нюансы конкретного заказчика. Правила подлежат гибкой настройке, что позволяет уменьшить количество ложных срабатываний. В итоге снижается нагрузка на операторов, и они могут обращать больше внимания на действительно важные вещи.

Следует также отметить возможность обучения для уменьшения количества ложных срабатываний. Благодаря этому наши клиенты получают систему, которая разбирает в автоматическом режиме более 98% транзакций. На ручную обработку остается лишь чуть более 1%.

Михаил Апостолов: Компания «Инфосекьюрити» существует на рынке уже достаточное количество времени. Антифрод Fraud Detection System используется в ИТ-системах очень крупных клиентов. Мы можем с уверенностью утверждать, что главной и ключевой особенностью решения является быстрая обработка большого количества транзакций.

Softline direct: А как сейчас развивается решение?

Михаил Авсенев: Развитие продукта идет в сторону нереляционных баз данных (noSQL), так как мы используем такие базы данных не только в антифрод-решении, но и в нашем SOC. Это позволяет выполнять множество транзакций в параллель, дополнительно увеличивает скорость работы антифрода и его отказоустойчивость. Распределенная база данных – это гораздо более надежное решение, чем решение на одном сервере.