Машинний пошук аномалій в поведінці інтернет-магазинів і покупців

<img src=«habrastorage.org/files/7d4/9e8/8b4/7d49e88b474c4a3a8661b24ef21a2837.jpg» alt=«image» alt text"/>
Якийсь час назад ми підключили модуль машинного навчання до системи, яка захищає платежі та перекази в Яндекс.Гроші від шахрайства. Тепер вона розуміє, коли відбувається щось підозріле, навіть без явних інструкцій у налаштуваннях.
У статті я розповім про методики і складнощі пошуку аномалій в поведінці покупців і магазинів, а також про те, як використовувати моделі машинного навчання, щоб все це злетіло.
Читати далі →

Чому традиційна захист від крадіжки грошових коштів у системах ДБО вразлива

Банківські електронні сервіси безпосередньо чи опосередковано оперують грошима. А там, де є гроші, завжди знайдуться ті, хто захоче їх вкрасти. Особливий інтерес у кіберзлочинців викликають системи дистанційного банківського обслуговування для юридичних осіб, так як на рахунках останніх акумулюються значні суми грошових коштів.
Для захисту від крадіжки грошових коштів у таких системах, як правило, потрібно вирішити наступні основні завдання: перевірити справжність користувача, а також автентичність та цілісність електронного документа, що виражає намір користувача. На практиці, таким документом є платіжне доручення, в числі реквізитів якого задаються сума грошових коштів і рахунок одержувача.

Читати далі →

Чому традиційна захист від крадіжки грошових коштів у системах ДБО вразлива

Банківські електронні сервіси безпосередньо чи опосередковано оперують грошима. А там, де є гроші, завжди знайдуться ті, хто захоче їх вкрасти. Особливий інтерес у кіберзлочинців викликають системи дистанційного банківського обслуговування для юридичних осіб, так як на рахунках останніх акумулюються значні суми грошових коштів.
Для захисту від крадіжки грошових коштів у таких системах, як правило, потрібно вирішити наступні основні завдання: перевірити справжність користувача, а також автентичність та цілісність електронного документа, що виражає намір користувача. На практиці, таким документом є платіжне доручення, в числі реквізитів якого задаються сума грошових коштів і рахунок одержувача.
Ці завдання традиційно вирішуються з використанням засобів суворої двофакторної аутентифікації і електронного підпису, виконаних у вигляді USB-токенів або смарт-карт (далі – токени).
Читати далі →

9 секретів онлайн-платежів. Частина 7: система Fraud-моніторингу

imageЧому відхиляються платежі? Як інтернет-магазини захищаються від шахраїв? Як визначити, справжньою картою вам платять або краденою? Що забезпечує захист e-commerce від фроду? Відповіді на ці питання ви знайдете в сьомий частини серії авторських статей «9 секретів онлайн-платежів» від PayOnline.

Від карткового фроду може постраждати і інтернет-магазин, і банк, і безпосередньо сам утримувач картки. У разі витоку даних карт, зловмисники намагаються зняти максимальну суму грошей і не залишити слідів, щоб інтернет-магазини розбиралися з банками, хто ж все-таки повинен відшкодувати втрачену суму. За власниками карт встежити неможливо — інтернет-магазин не може знати, хто знаходиться по той бік екрану: зловмисник чи добропорядний клієнт. Ризик є завжди, але щоб наблизити його значення до нуля існує безліч інструментів перевірки платежів та верифікації платників. Про одну з них, системи моніторингу шахрайських операцій, або «системі антифрод», піде мова далі.

Читати далі →

Огляд і відео доповідей з інформаційної безпеки з конференції SECR-2014

У минулому році, на конференції SECR-2014 (Software Engineering Conference Russia) було 140 доповідей по всім напрямкам програмної інженерії — від Computer Science до сучасного IT-менеджменту, від тонкощів верифікації Linux-драйвери до бізнес-аналізу і навіть юридичних питань. Була і секція доповідей з інформаційної безпеки.

Я знімав і публікував відео, а зараз, в нудний літній сезон, пропоную свій короткий огляд SECR-доповідей саме з різних аспектів інформаційної безпеки — як від експертів індустрії, так і від університетських дослідників. Буду радий, якщо замотивирую вас на перегляд та відгуки, або навіть виступити на конференції в цьому році.




Читати далі →

Антифрод. Архітектура сервісу (частина 3)

Це третя частина експерименту по створенню системи розпізнання шахрайських платежів (antifraud-система). Метою є створення доступного (в плані вартості розробки та володіння) antifraud-сервісу, який дозволить відразу декільком учасникам проведення online-платежів — мерчантам, агрегатор, платіжним системам, банкам — знизити ризики проведення шахрайських платежів (fraud) через їх площадки.

минулій частині ми сфокусували увагу на функціональних і нефункціональних вимог до антифрод-сервісу. У цій частині статті розглянемо програмну архітектуру сервісу, його модульну структуру і ключові деталі реалізації такого сервісу.

Antifraud in azure


Читати далі →

Антифрод. Функціональні та нефункціональні вимоги (частина 2)

першої частини експерименту було описано, чому проблема шахрайських платежів (fraud) гостро стоїть перед усіма учасниками ринку онлайн-платежів, які складнощі на шляху створення власної системи моніторингу шахрайських платежів (antifraud-системи) належить подолати, і чому для більшості мерчантов такі системи — дороге задоволення, за яке вони не завжди готові платити.

Ще одне, що ускладнює розробку подібних систем, обставина — те, що antifraud-система є business-critical системою і її простій буде вести або до зупинки бізнес-процесу (приймання оплати), або при некоректній роботі системи до збільшення ризиків фінансових і репутаційних втрат для компанії (інтернет-магазину, банку).

Тому практики та підходи, перелічені у статті застосовуються не тільки на стороні мерчанта, але на боці інших учасників інтернет-еквайрінгу — агрегаторів, платіжних систем, банків. Більш того, перелічені в статті підходи часто є закритими від спільноти best practices у відповідних організаціях.

У цій частині будуть описані вимоги до antifraud-системі, чий вплив на програмну архітектуру є істотним.


Читати далі →

Антифрод. Швидко, дешево... відмінно (частина 1)

Ця стаття являє собою опис експерименту по створенню системи виявлення шахрайських платежів по банківських картах.

У першій частині статті я розповім чому питання шахрайських платежів (fraud) стоїть так гостро для всіх учасників ринку електронних платежів — від інтернет-магазинів до банків — і в чому основні труднощі, з-за яких вартість розробки таких систем часом є занадто високою для багатьох учасників ecommerce-ринку.

У другій частині будуть описані вимоги технічного і нетехнічного характеру, які пред'являються до таких систем, і те, як я збираюся знизити вартість розробки і володіння antifraud-системи на порядок(і).

У третій частині буде розглянуто програмна архітектура сервісу, його модульна структура та ключові деталі реалізації.

У четвертій частині статті детально обговоримо найбільш складний з технічної точки зору і найбільш інтелектуальну частину системи — аналітичну систему розпізнання шахрайських платежів.

Get Started!

Стрімке зростання кількості операцій з пластиковими картами, які здійснюються через інтернет, ставить перед розробниками систем прийому online-платежів все нові і нові виклики, пов'язані зі зростанням масштабу таких систем і ускладненням підходів до забезпечення їх надійності і безпеки.

Не менш інтенсивно зростає кількість шахрайських операцій і різноманітність видів шахрайства. Росія, разом з Англією, Францією, Німеччиною, Іспанією, входить до топ-5 європейських країн за річним обсягом шахрайських операцій з банківськими картами. Загальний обсяг втрат від шахрайства по карткам в 2013 році в Європі перевищила 1 млрд. євро. На Росію припадає 110 млн. євро, з них 2,4 млн. євро шахрайство при оплаті через інтернет.

Повна ланцюжок учасників проведення online-платежу при купівлі товару/послуги через інтернет в загальному випадку виглядає приблизно так:

Online Payment Flow


Читати далі →

Як не треба налаштовувати антифрод-правила з географії користувача

Нещодавно мені потрібно було поповнити свій гаманець в Элекснете з банківської картки Альфа-Банку — стандартна процедура, яку я успішно робив вже кілька разів. Як звичайно, після авторизації в гаманці і введення даних картки замість звичного повідомлення про успіх, я отримав наступну помилку:



Упс. «Anti-black list»! Я і забув, що в цей раз я перебуваю за кордоном.

Деякий час я витратив на безуспішні спроби оплатити, але на жаль. Від відчаю навіть спробував проробити цю операцію через Tor, але і це зрозуміло не допомогло (витрачати час на те, щоб розібратися, як швидко задати в налаштуваннях Tor вихідні ноди тільки з певної країни, мені тим більше не хотілося), але зате я пару раз отримав другу цікаву помилку з наступним текстом:

«User IP address country does not match BIN country»

Тобто, в цей раз невдоволення антифрод-системи Элекснета викликало розбіжність країни IP-адреси мого закордонного провайдера з країною емітента картки.

Читати далі →

Популярно про фрод - відповіді на питання з реального життя електронних комерсантів

Під терміном фрод зараз мають на увазі будь-яке шахрайство в IT. Кардингом називають будь-які незаконні операції з банківською картою. Ми спеціалізуємося на запобігання карткового фроду в електронній комерції. Проблема в тому, що починаючи свій бізнес в мережі, підприємці, як правило, в першу чергу думають про вартість прийому платежів і мало знають про ризики, пов'язані з фродом. Найпопулярніші питання від ТСП (торгово-сервісні підприємства, інтернет-магазини, мерчанты) наведено нижче.

Що таке фрод?
Картковий фрод — це те, що може загальмувати розвиток онлайн-бізнесу. Якщо товаром або послугою скористався шахрай, губляться і товар, і гроші. Чого простіше, купити товар на сайті, ввівши при оплаті номер картки та інші цифри, які надруковані на ній. Але при цьому карта буде чужа — введені дані можна сфотографувати або підглянути, дістати з допомогою технологічних махінацій з банкоматами або через слабо захищені сайти інтернет-магазинів. Також не є секретом, що по мережі гуляє велика кількість баз даних з реквізитами крадених карток.

Чому небезпечно пропустити фрод?
Тому що реальний власник картки обов'язково напише заяву в банк про повернення списаної без його відома суми, тобто ініціює процедуру платежу. У разі проходження несанкціонованої операції по банківській карті через інтернет-магазин банк-емітент, що випустив карту, за дорученням держателя картки опротестує транзакцію і ТСП буде зобов'язана відшкодувати всю вартість покупки. При виникненні спірних ситуацій, пов'язаних з опротестуванням підозрілих операцій, у банку-еквайєра можуть виникати додаткові витрати в розмірі декількох сотень доларів за кожен випадок арбітражу з боку міжнародних платіжних систем (МПС), які банк із задоволенням поступиться ТСП. Особливо болючі втрати будуть виникати у низькомаржинального бізнесу. Наприклад, при маржинальності продажів в 2-3%, ТСП потрібно реалізувати кілька десятків товарних одиниць тільки для покриття виник збитку по одній шахрайської операції. При цьому високий середній чек ще більше посилює проблему — звідси і формуються «переваги» шахраїв за категоріями купованих товарів і послуг. Одні з найбільш гарячих галузей — подорожі та роздрібна торгівля.

І це ще не все. У разі, коли кількість шахрайських операцій досягає 1% від загальної кількості всіх транзакцій, МПС VISA і MasterCard мають право виставити банку-еквайєру, а отже і ТСП, штрафні санкції. ТСП після досягнення порогового значення фроду потрапляє в програму глобального аудиту, після чого банк-еквайєр повинен запитати у ТСП план заходів щодо зниження рівня фроду і строго контролювати кількість шахрайських операцій протягом наступних місяців. При виявленні повторних порушень на адресу ТСП виноситься попередження, а потім і штрафні санкції розміром від 5 000 доларів, які можуть бути збільшені до досить значних 200 000 доларів в особливо важких випадках. При цьому здійснюється роздільний моніторинг операцій в розрізі карток, випущених іноземними та домашніми емітентами, перевищення порогового значення тільки по іноземним картах також може бути підставою для включення ТСП у програму аудиту. В особливо запущених випадках ТСП може бути дискваліфікований, що призведе до неможливості прийому до оплати карток через будь-який банк у майбутньому. Варто зауважити, що серйозні фінансові наслідки можуть наступити і для самого банку-еквайєра при поганій ситуації по всім клієнтам в цілому.

Шахрайство є глобальним організованим бізнесом. Порушники об'єднуються в групи, і кожна з цих груп працює у своїй області. Порушники об'єднуються за допомогою соціальних мереж та спеціалізованих форумів, щоб допомагати один одному і ділитися своїм досвідом використання найбільш успішних схем атак, щоб досягти максимальної продуктивності. Тому, якщо в інтернет-магазині пройшов разовий фрод, в найкоротші терміни ще кілька груп спробують провести шахрайські транзакції — це явище називають «сніжною грудкою». А так як мотивація дуже сильна — гроші, то швидкість, з якою шахраї будуть атакувати магазин, буде пропорційно збільшуватися їх числа.

Що таке антифрод?
Надійний антифрод — це сервіс, який не дозволяє шахраям переводити гроші і купувати товари за чужий бановской карті через інтернет-магазин.

Крім найпростіших установок захисту, які зможе виставити будь мерчант, таких як захист від підбору CVV та номери карток; аналіз параметрів карти по банку, власнику, типу продукту, країні випуску та географії використання; ідентифікація покупця з історії покупок; ретроспективний аналіз покупок; виявлення підозрілих транзакцій за відбитками використовуваного обладнання; перевірка домену та IP адреси і тд, ми вміємо налаштовувати правила і фільтри, унікальні для кожного інтернет-магазину.

Наші патенти з безпеки та підтвердження справжності платежу:
image

Антифрод знижує конверсію?
Так, антифрод в загальному випадку знижує конверсію. Наше завдання полягає в тому, щоб мінімізувати кількість помилкових спрацьовувань і забезпечити максимально можливий рівень конверсії при вибраному рівні ризику. На конверсію погано впливають будь-які грубі налаштування (як правило, типові вендорські рішення на стороні банку) і стандартна реалізація технології динамічної авторизації 3-D Secure для 100% оброблюваних транзакцій. Недолік рішень Verified by Visa і MasterCard SecureCode полягає в тому, що станом на поточний момент часу не всі банки вміють коректно і зручно для держателя картки обробляти запити, які надходять, що в деяких випадках призводить до неможливості підтвердити намір здійснити операцію, а значить знижує конверсію. У багатьох випадках набагато ефективніше буде вибірково застосовувати 3DS авторизацію щодо карт окремих емітентів та/або підозрілих за сукупністю інших параметрів покупців. Патенти Payture передбачають використання власної технології динамічної авторизації CheckCode (перевірочний код), вільної від деяких недоліків типових рішень Visa і MasterCard, про яку ми розповімо окремо в майбутніх публікаціях. Антифрод дозволяє спростити процес покупки для звичайних покупців, а також в режимі онлайн відстежувати і повідомляти про підозрілі операції.

Скільки коштує антифрод?
Стандартна бізнес-модель на нашому ринку: беріть інтернет-еквайринг, антифрод включений. Але насправді, ми вже давно виділили антифрод в окремий сервіс, який надаємо разом з еквайрингом, так і незалежно від нього. Це дозволяє ТСП з різних країн світу використовувати наші компетенції щодо виявлення та запобігання шахрайства на міжнародних ринках, управляти ризиками на локальному ринку Росії тим ТСП-нерезидентам, які прив'язані багаторічним досвідом співпраці до глобальних операторів з прийому грошових коштів, які мають обмежену експертизу діяльності в нашій країні.

Вартість послуги антифрода залежить від кількості транзакцій за період часу і необхідності звернення до додаткових (платних) джерелами інформації щодо певних видів бізнесу: від 0,75 рублів до 6 рублів за транзакцію. Також у нас передбачені різні варіанти пакетних пропозицій, що дозволяють ТСП більш економно витрачати кошти при хорошому розумінні своїх ризиків і оборотів в натуральному і вартісному вираженні.

А хіба шахраї не є в основному проблемою банків?
Так вважають не тільки представники ТСП, але і 90% опитаних росіян по всеросійській вибірці центру НАФД (Національне агентство фінансових досліджень). У набагато більшому ступені інтернет-шахраї є проблемою підприємця. У відповідності зі Статтею №9 ФЗ «ПРО національну платіжній системі» оператор зобов'язаний відшкодувати клієнту «суму операції, здійсненої без згоди клієнта», а потім за правилами МПС банк стягує цю суму з ТСП. Так, відділи безпеки банків щільно співпрацюють з різними державними органами. Великі розкрадання найчастіше доводяться до суду, але випадки шахрайських платежів по банківських картах через інтернет-магазини на сьогоднішній момент в Росії практично не розслідуються. Хоча загальний обсяг збитків від кардинга (шахраї — жителі СНД) становить 680 млн доларів за 2013-2014 рр. і щотижня компрометируется 3-6 тисяч карт російських банків.

Ринок даних банківських карт за останні 10 років остаточно структурувався і прийшов до організації масових автоматизованих каналів збуту у вигляді електронних торгових майданчиків. За оцінкою Group-IB (компанія займається розслідуванням кіберзлочинів та шахрайств з використанням високих технологій), в 2014 році тільки в одному такому магазині перебувало 6,78 мільйонів карт.
image

І якщо ви хочете приймати до оплати картки, ви повинні знати, що картковий фрод — це один з найбільш важко караних і активно розвиваються видів шахрайства.

Чому картковий фрод популярний?
Тому що банківська картка — це зручний і найбільш швидко розвивається інструмент оплати в інтернеті. Кількість карток, емітованих в РФ в 2014 році склало 220 млн. У великих містах кожен другий дорослий житель має дві і більше банківські карти. Дві третини росіян користуються банківської картки для оплати товарів/послуг та зняття готівки практично щодня.
image

Якщо порівняти з оборотом електронної комерції, який щорічно зростає в середньому на 10-15%, то кількість спроб шахрайства збільшується мінімум на 25% в рік. За нашими даними, у 2014 році близько 10% від усіх операцій в інтернет-магазинах склали спроби провести фродовый платіж по карті.

Як дізнатися, що у мене пройшла шахрайська транзакція?
Без оперативного фрод-моніторингу — ніяк. Ви дізнаєтеся про це тільки через якийсь час, МПС надає держателям карток строк до шести місяців з моменту фактичної дати надання послуги. Це час, коли власники карт за правилами МПС можуть написати заяву на опротестування трансакції. Наприклад, якщо мова йде про продаж авіаквитка з вильотом через три місяці від дати замовлення, то термін закриття можливості опротестування трансакції складе до дев'яти місяців.

Інтернет-магазини намагаються максимально наслідувати формату продажів в офлайні — пропонують кілька розмірів для доставки і допомога консультанта, роблять онлайн примірку і хороші детальні фотографії, оформляють барвисту знижкову «вітрину» і зону імпульсних покупок. А сам процес оплати на сайті залишається тим вузьким місцем, де комерсанти втрачають свої гроші і лояльність покупців. Чи можна собі уявити, що в звичайному магазині вас обмежують трьома покупками в день або будь-якою сумою, не приймають до оплати картку іноземного банку, відхиляють платіж по незрозумілій для вас причини?

Саме для того, щоб з вини шахраїв не страждали чесні законослухняні покупці, а комерсанти не втрачали своїх клієнтів, ми весь час аналізуємо великі обсяги інформації, розвиваємо і вдосконалюємо свій антифрод сервіс, який отримав власне ім'я — Фродар (Fraudar). Це готові рішення та індивідуальний підхід з тонкою настройкою без додаткових витрат.
Читати далі →