выявление фрода что это
Фрод (fraud) и антифрод: что это такое, как и где используется?
В последнее время появилось очень много различных понятий, связанных с Интернет-торговлей и Интернет-мошенничеством, а также банковской сферой. Одно из них — fraud (фрод). Его можно назвать язвой электронной коммерции, поскольку каждая компания, принимающая платежи на своем сайте, рано или поздно столкнется с ним и понесет убытки. Предлагаем разобраться, что такое этот фрод, и как с ним бороться.
Что такое фрод?
Фрод — это не аббревиатура, поэтому никакой расшифровки тут быть не может. Слово перешло в русский от английского fraud, что переводится как «обман». Сама суть фрода в самом его популярном смысле — в том, что мошенник оплачивает товар или услугу не своими деньгами, а ворованной карточкой или электронным кошельком вроде PayPal.
Получается, что фродить — значит обманывать, заниматься мошеннической деятельностью. Чаще всего речь сужают только до IT-сферы, но не всегда.
Значение слова «фродстер» тоже легко найти — это физическое или юридическое лицо, которое занимается фродом.
Пример «на пальцах»
Рассмотрим процессы фрода на примере Василия.
Какой у этой истории конец?
Виды фрода, в зависимости от источника
Фрод — это самое настоящее мошенничество. Но злой помысел может исходить от разных лиц. Рассмотрим пример на основе взаимоотношений оператора связи и клиента (абонента).
Пользовательский (абонентский)
Примером такого мошенничества можно назвать незаконное подключение к услугам операторов связи и их неоплату, звонки за чужой счет, подделывание кредитных карточек и так далее, то есть те случаи, когда клиент пытается обмануть оператора.
Операторский
В данном случае уже оператор пытается обмануть клиента, например, подключает ему платные услуги без спроса и/или устанавливает высокую стоимость отписки от них.
Стоит сказать и об операторской системе антифрод — запрет исходящих СМС на короткие номера. Чаще всего, эта услуга предоставляется бесплатно — необходимо только подключить.
Межоператорский
Это вид фрода между двумя операторами, которые пытаются обмануть друг друга. Тут возможны перенаправления фрод-трафика, представление дорогих видов связи как бюджетных и так далее.
Внутренний
Самый интересный тип мошенничества. В данном случае противоправные действия совершаются одним из сотрудников компании, который имеет доступ к какой-то информации, оборудованию и пользуется своим положением. Жертвой могут стать:
Внутренний фрод тоже можно разделить на две большие группы:
Известно, что в IT-сфере происходит движение огромных денежных масс — от банка или оператора к клиенту, между фирмами или физлицами и так далее. Некоторые сотрудники, которые привлекаются к этим процессам, хотят поживиться за счет этого потока.
Тут просто огромное поле для различных вариантов злоупотреблений:
Фиктивные услуги плохи не только по своей сути, но и по той причине, что сотрудник или целое подразделение будут отмечены как высокоэффективные и награждены премией, хотя на самом деле, работы никакой не велось. Например, если речь идет о заключении фиктивных договоров.
Именно ущерб от внутреннего фрода считается максимальным, поскольку у злоумышленника есть все необходимые «пароли и явки», а его, при этом, сложно вычислить.
Источники угрозы
Выделяют три основных источника внутреннего фрода:
Виды фрода, в зависимости от сферы
Разными бывают не только источники фрода, но и сферы жизни, в которых они встречаются.
Банковская сфера
Самый популярный фрод — мошенничество с помощью кредитных карт, которые было раскрыто на примере Василия.
Откуда берется
Понятно, что если карта была потеряна или украдена, то необходимо мгновенно обращаться в банк, поскольку ее данные практически сразу могут попасть в нехорошие руки. Но как можно заполучить эти данные, если карта лежит в сейфе под восемью замками или хотя бы в кошельке? Вариантов несколько:
Выделим еще один вид фрода с банковскими картами, но на этот раз мошенником является сам владелец. Схема проста: человек покупает что-либо в интернет-магазине, а затем инициирует в банке процедуру чарджбэка, то есть возврата средств за неоказанную услугу.
Если у магазина нет доказательств необоснованности этого обвинения, то ему действительно придется выплатить указанную сумму еще и с комиссией. Такой вид мошенничества называют friendly fraud, что в переводе с английского означает «дружеский фрод».
Сфера маркетинга
В данном случае речь идет не о кликах или картах, а об имитации действий, которые необходимы для KPI рекламодателя, которому нужно продвинуть, например, мобильное приложение. Это могут быть клики, скачивания, покупки и так далее.
Выполняются подобные действия с помощью кликовых ферм и ботов, а основная цель — потратить весь рекламный бюджет. Прибегают к таким способам не только конкуренты и мошенники, но и рекламные и маркетинговые агентства, которым надо достичь определенных показателей по трафику.
Выделяют 5 основных методов такого мошенничества.
Спуфинг или подделка SDK
Злоумышленники включаются в передачу данных между приложением и сервером, а после этого выполняют фиктивные действия или установки.
Так как все данные видны мошенникам, то они понимают, какая именно информация передается при выполнении определенных действий — открытии приложения, добавлении товара в корзину или получении нового уровня. Соответственно, эту информацию легко повторить и сымитировать деятельность реального человека.
Избежать такую проблему несложно — необходимо шифровать пакеты данных, а также использовать динамические параметры для их передачи.
Клик-спам
Все установки приложений можно разделить на органические (из личного интереса, под влиянием друзей) и платные (то есть рекламные). Органические пользователи ценятся намного больше, и с их помощью можно отследить реальную востребованность программы.
Но мошенники знают способ, как представить органические установки платными. Фактически, злоумышленники просто незаметно генерируют постоянные клики пользователя на рекламу своего софта — это может происходить в приложении или веб-странице. Из-за этого пользователь теперь будет считаться платным и при скачивании естественный интерес человека учитываться не будет.
Таким способом пользуются веб-мастера, которым надо быстро продвинуть приложение и заработать на рекламе.
Инъекция кликов
Это более современный вариант клик-спама, о котором речь шла выше. Суть в том, что мошенники подделывают клик по рекламному объявлению приложения, скачивание которого только что началось. В результате установка признается платной, а не органической, и рекламщик получает прибыль.
Это сильный и порочный круг для работодателя, поскольку статистика рекламы хорошая — скачивания и установки на бумаге есть. Но так как на самом деле реклама не эффективна, то и результата нет — рекламодатели вкладывают все больше и больше средств, теряя и деньги, и время.
Поддельные установки
Очень простой вариант — использование эмуляторов, в которых можно создать огромное количество случайных устройств. В них уже симулируются скачивания, установки и прочие необходимые действия внутри приложение.
Особо продвинутые злоумышленники могут даже поддерживать сессию в активном состоянии, чтобы выглядеть органичным пользователем, а не фродом.
Поддельные покупки
Тут речь идет о мошенничестве со стороны юзеров. По статистике Adjust, около трети всех покупок в приложениях на iOS можно смело назвать фальшивыми. Это портит статистику и аналитику компаниям, отсюда и потери потенциального дохода.
Специалисты подсчитали, то на 1 реальный клик пользователя приходится 2,6 мошеннических. Потери составляют по несколько десятков миллиардов долларов за год.
Такси
Фрод — это не всегда что-то сложное или отдаленное. Он может поджидать свою жертву на каждом шагу, даже при заказе обычного такси. Конечно, иногда стараются обмануть и пассажиры, но у таксистов существует куда больше вариантов это сделать.
Разберем варианты фрода, которыми поделился «Яндекс.Такси».
Какой можно дать совет пассажирам? Будьте внимательны и осторожны, но это касается не только такси.
Арбитраж и реклама
Это отдельный вид мошенничества, при котором обман может происходить и как со стороны веб-мастера, делающего рекламу, так и со стороны рекламодателя, который хочет сэкономить на услугах.
Поисковые системы серьезно относятся к безопасности, поэтому строят многоуровневую защиту от фрода, включающую в себя автоматические и ручные методы фильтрации.
Обычно контроль состоит из трех этапов:
Шейв в арбитраже
Абритраж — это привлечение трафика на какой-либо ресурс по партнерской программе. Фрод встречается и тут, и снова он не несет в себе ничего хорошего:
Разберемся, что такое шейв в арбитраже, как распознать, и как защититься.
Слово «шейв» перешло от английского «shave», то есть брить. В арбитраже оно обозначает различные операции со статистикой и другие способы обмана вебмастеров.
Получается, что шейв — это ситуация, когда владелец партнёрской программы преуменьшает показатели, чтобы меньше средств выплатить своим партнерам.
Поскольку СРА-сетей не так много, то информация о таких жадинах и мошенниках быстро разносится по тематическим форумам.
Перечислим основные признаки шейва:
Если замечены подобные тенденции, то лучше всего перейти на другой оффер или партнерскую сеть. Чаще всего подобные проблемы заметны в букмекерских конторах или онлайн-казино.
В данном случае под фродом понимается тот вид мошенничества, когда веб-мастера используют подельников для создания фальшивых фродовых заявок на покупку товара или услуги.
Даже если оператор позвонит такому «клиенту», то он подтвердит заказ, хотя заранее знает, что тот ложный. Рекламодатель радуется клиенту, а веб-разработчик получает прибыль, так как привел «клиента».
На что надо обращать внимание, чтобы избежать схем фрода ПП (партнерских программ)?
Другие сферы
Возможности для мошенничества можно разглядеть буквально в любой сфере жизни. Приведем несколько примеров.
· завышение сумм выплат;
· агентский фрод («мертвые души»);
· оформление договора задним числом для получения компенсации за уже свершившееся событие.
· изменение суммы пени или других начислений;
· совершение ненужных закупок по завышенной стоимости;
· частое отключение услуг под видом профилактических работ.
· превышение в использовании программы лояльности;
· необоснованная переоценка продукта;
· возврат по поддельным чекам или накладным.
· изменения в работе оборудования, например, счетчиках;
· мошенничество на заправках.
И «стандартные» способы фрода, которые могут быть задействованы практически в любой сфере — использование персональных данных.
Как бороться?
Для этого существуют отдельные антифрод-системы, которые оценивают подозрительность операций, сделанных через Интернет (преимущественно — но могут и оффлайн-платежи проверить).
В каждом подобном сервисе есть свои фильтры, списки и правила — с их помощью каждой транзакции назначается рейтинг. Если рейтинг падает ниже определенной отметки, то операция признается подозрительной. Система сама может рекомендовать действия по дальнейшей обработке операции.
Другое название антифрода — фрод-мониторинг.
Чаще всего он представляет собой отдельные программные продукты, предназначенные для анализа потока данных и транзакций с целью выявления мошенничества.
Если речь идет об интернет-магазине, то антифрод-система подключается на моменте подтверждения платежа. В этот момент она собирает всю информацию о клиенте:
Наиболее продвинутые системы могут запрашивать и дополнительную информацию — например:
Существуют и международные программы борьбы с фродом.
Методы борьбы с фродом
С фродом сталкивается буквально каждая компания, которая что-то продает через интернет или оффлайн. Наиболее крупные разрабатывают собственные системы антифрод, например, МТС, Сбербанк, Тинькофф и так далее. Более мелкие игроки покупают такие продукты.
Проблема настолько масштабна, что ею занимается государственные департаменты. Основу современной финансовой индустрии составляет политика противодействия:
Расшифровка этой аббревиатуры на английском звучит как anti-money-laundering, что в переводе означает противодействие отмыванию денег.
Это определенный набор законов, правил и процедур, который необходимы для предотвращения получения гражданами доходов незаконным путем.
Этот набор был придуман на саммите G7 в 1989 году. Например, один из пунктов этих правил гласит о необходимости требования у новых клиентов документов, удостоверяющих личность.
Еще одна аббревиатура на английском языке — know your customer, или по-русски: знай своего клиента.
Эту процедуру можно назвать часть AML, в ходе которой продавец должен собирать и анализировать идентификационную информацию о клиенте.
Помимо этого, данная информация должна подвергаться анализу, и необходимо дать оценку рискам в контексте склонности клиента к отмыванию денежных средств или другим противоправным действиям. Также продавец должен составить портрет транзакционного поведения покупателя.
В различных странах существует свои принятые законодательно KYC-процедуры. Получается, что порой магазин просто обязан требовать документы для соблюдения закона и уменьшения своих финансовых рисков.
Расшифровывается как counter-terrorist financing, или борьба с финансированием терроризма, если по-русски. Довольно размытое понятие, поэтому подобные жалобы могут приходить на любые сайты и операции.
Кто такие фрод-аналитики
Фрод-аналитик — специалист в компании, который борется с мошенничеством и защищает ее интересы. Чаще всего, его основные задачи сводятся к следующему:
Подобные специалисты имеются во всех крупных компаниях. Более мелкие игроки рынка часто прибегают к услугам аутсорсинга.
Заключение
К сожалению, фрод — очень популярное явление, которое встречается буквально в каждой сфере нашей жизни. Сейчас к этому понятию больше относят мошенничество именно в IT-сфере, например, с банковскими картами и кражей паролей, в арбитраже и рекламе. В противовес выступают системы фрод-мониторинга, которые с каждым днем становятся все лучше, а обойти антифрод становится все сложнее.
Если вы стали жертвой мошенников и перевели деньги в нечестную компанию, заполняйте форму и специалисты помогут в возврате денег:
Каким бывает фрод в маркетплейсе, как его вычислять и предотвращать. Доклад Яндекса
Прежде чем строить антифрод, надо понять, каким на сервисе бывает фрод — какие методы злоумышленники выбирают, чтобы получить выгоду и навредить пользователям. Алексей Савостин поделился опытом Яндекс.Маркета в исследовании способов фрода, рассказал о целях (порой изощрённых), которые преследуют фродеры, и о данных, по которым можно определять подозрительную активность.
— Всем привет, меня зовут Алексей Савостин. Я занимаюсь направлением антифрода в Яндекс.Маркете и сегодня расскажу, как мы строили антифрод для маркетплейса «Беру», который с октября стал частью Маркета. (. )
Для чего нужен антифрод в маркетплейсе? Первое — помогаем как можно шире распространять среди новых и лояльных клиентов акционные товары так, чтобы они все не ушли к одному реселлеру. Второе — защищаем от карточного фрода и фишинга наших покупателей, а также других людей, которые не пользуются нашей площадкой, но владеют картами. Третье — защищаем поставщиков от фейковых заказов с резервом стоков.
Расскажу подробнее о том, какие направления есть у фрода маркетплейса и какие источники убытков существуют.
Самое крупное направление — реселлеры, дальше идут магазины конкурентов, пункты самовывоза и кардеры.
Реселлеры влияют на несколько направлений убытков для маркетплейса и в том числе ухудшают пользовательский опыт клиентов, которых мы ждем и для которых работаем.
Фрод скидок и бонусов. Реселлеры, нарушая правила сервиса, регистрируют большое количество аккаунтов и пытаются разбить заказы на очень мелкие, выкупая товары с максимальными скидками, маркет-бонусами (это акции, привязанные к конкретному заказу) и используя различные кэшбэк-сервисы.
Нагрузка на логистику. Разбивая заказы на самые маленькие, они формируют очень большую нагрузку — на одного фродера может быть до нескольких сотен заказов в день. Таким образом, хорошие клиенты не могут получить оптимальные сроки доставки, потому что слоты доставок имеют физическое ограничение.
Резерв стоков. Были случаи, когда товары попадали в акцию с большой скидкой, реселлеры без оборотных средств делали закупки с разных аккаунтов, используя ПВЗ Маркетплейса либо партнеров как склады.
Например, замечательные люди с Горбушки покупали телевизоры с хорошей ценой. Ну как покупали… Делали заказы с постоплатой, и забирали только те телевизоры, на которые нашелся клиент уже непосредственно на радиорынке. Таким образом, бо́льшая часть телевизоров отправлялась назад на склад и не попадали к другому покупателю, потому что они в этот момент были зарезервированы. Деньги наших партнеров не работали, и все терпели убытки.
Недобросовестные конкуренты, которые хотят чаще попадать на карточку товара, могут отправить товар других поставщиков в Сибирь или на Дальний восток, а у нас и у наших партнеров есть ограниченное количество товаров на складе. Почему это так работает? Есть набор поставщиков, которые хотят продать свой товар на маркетплейсе. У каждого поставщика есть определенная цена, с которой он готов работать и выставляться в магазине. У кого-то цена может быть выше, у кого-то ниже из-за большого оборота этих товаров и запасов на складе.
И недобросовестные магазины хотят убрать из выдачи более доступные предложения, чтобы самим попасть в выдачу. Поэтому они стараются сделать фиктивные заказы. Получается, что товары уезжают и катаются в логистике несколько месяцев, выбивая средства из оборота у конкурента. Таких недобросовестных партнеров мы, естественно, отлавливаем и блокируем.
Пункты самовывоза. Они зарабатывают на том, что получают комиссию с обработанных заказов. Некоторые из них расположены в отдаленных и непопулярных локациях. Некоторые такие точки грешат тем, что делают фиктивные заказы, чтобы получить свою минимальную комиссию за обработку заказа, который к ним на склад приехал. Это как резервирует стоки у наших партнеров, так и несет нагрузку на логистику, а фактически эти заказы никто никогда не выкупит.
Кардеры — более криминальное направление. Тут используются ворованные данные и платежные реквизиты клиентов банков. Здесь есть как репутационные риски, так и финансовые при отмене платежей банками, а также различные штрафы от платежных систем, которые происходят, если количество фрода становится достаточно большим из всех платежей.
Как ведут себя фродеры по этим трем направлениям? Практически все они ведут себя примерно схоже и пытаются спрятаться одинаково, за исключением реселлеров. Но реселлеры в нашем конкретном кейсе используют эмуляторы Android и вторые пространства Android, чтобы получить больше бонусов. Это скорее наш внутренний кейс. Чтобы получить бонус, надо скачать наше приложение. Фактически все остальные направления у всех видов фродеров одинаковые — они пытаются регистрировать очень много новых аккаунтов, представляясь разными лицами; использовать VPN, режим инкогнито, вымышленные имена и адреса доставки.
Часто они используют пункты самовывоза в районах рядом с тем местом, где проживают, чтобы скрыть свою личность и не получать заказы к себе домой. Испуользуют пункты, где есть боксы и можно, нажав пару кнопок, получить товар, не предоставляя свои паспортные данные.
Также они часто используют площадки для покупки временных телефонных номеров, чтобы получить смс-подтверждение, звонок и так далее. Либо просто пытаются перебрать все доступные им телефонные номера, делают генераторы случайных номеров, указывают недействительные или просто протягивают столбец в Excel.
Что мы делаем, чтобы противоборствовать фродерам?
Мы используем скоринг пользователей. В процессе скоринга мы собираем все данные об активности и те, которые нам доступны на момент создания аккаунта, проведения авторизации и всего остального. Склеиваем все эти данные и объединяем их в кластеры.
Работая с кластером аккаунтов, связанных по достоверным данным, мы проводим расчет скоринга и оценку заказа. Тем самым мы не только оцениваем историю по данному конкретному аккаунту и текущему заказу, а проводим анализ на основе данных по всему кластеру склейки, исторического спроса на товары в корзине и текущих всплесков спроса с учетом маркетинговых акций.
Дальше, если мы видим, что кластер аккаунтов нарушает правила, становится подозрительным или обнаружено, что там совершается злонамеренная активность, ему присваивается внутренний набор маркеров, в связке с которыми применяются ограничения.
Как это выглядит на схеме:
Мы смотрим на то, какие есть скидки, бонусы, адреса доставки, информация о платеже. Происходит оценка всего этого, склейка, обработка и выявление мошеннических действий.
Параллельно определяются маркеры по данному кластеру, которые используются не только внутри антифрод-системы, но и в системах смежных команд — лояльности, маркетинга. К этому кластеру аккаунтов в случае необходимости применяются ограничения.
Если это злонамеренные действия и мы определили фрод, возможно применение мер противодействия, таких как блокировка аккаунта и отмена заказов, которые созданы с нарушением правил сервиса и в будущем повлекут убытки для наших партнеров либо для маркетплейса.
Если мы определяем заказ или набор заказов как подозрительный, то применяем меры по уменьшению возможных убытков. Это может быть включение предоплаты, дополнительные проверки, такие как звонок и так далее. Подобных мер дополнительных шагов проверок может быть несколько — в зависимости от того, насколько заказ подозрителен. Когда обнаружены подозрительные платежи с аккаунта или из кластера аккаунтов либо используется набор повторяющихся реквизитов, то платежи блокируются на сервисе.
В своем развитии антифрод может не только выступать как ограничитель, но и улучшить пользовательский опыт доверенным пользователям. Новые и не доверенные пользователи у нас совершают покупки с 3-D Secure, а те, кто уже совершал покупки, становятся доверенными, и мы для их заказов с известными историческими данными можем предоставлять больше инструментов лояльности. Например, давать возможность провести оплату без 3-D Secure для больших сумм. При этом мы не несем рисков при приходе кардеров.
Несколько советов для тех, кто будет строить похожую систему с нуля. На что смотреть в правилах при оценке скоринг-поведения пользователей?
Смотрите на близость групп заказов. Очень часто перекупщики и люди, которые пытаются зарезервировать стоки своих конкурентов, делают очень похожие заказы в короткие промежутки времени. И очень часто это группы товаров, которые не пользуются такой популярностью. В связке с командой маркетинга, которая проводит акции, вы будете понимать, что акции на эту товарную категорию сейчас нет и можно автоматически сформулировать правило, при каких всплесках передавать такие заказы в подозрительные и запускать по ним дополнительные проверки.
Близость телефонных номеров и почтовых адресов. Фродеры часто используют одни и те же адреса, потому что эти ПВЗ для них удобны, они делают много заказов на один адрес либо на очень близкие. А так как товарные категории тоже будут близки, это можно достаточно просто обнаружить.
Как я уже сказал в предыдущем пункте, смотрите на всплески по редким товарам.
Отдельные блоки советов: смотрите на логи, получайте данные от ваших приложений о том, эмуляторы это или виртуалки. Это позволит вам в будущем получать более широкую картину о том, не пытается ли злоумышленник сломать вашу систему, получить выгоду или нанести ущерб вашей компании.
Синхронизируйтесь с отделом маркетинга при проведении акции. Это позволит вам не сделать плохо бизнесу, потому что маркетинг и часть компании, которая занимается лояльностью клиентов, может сделать классные акции, а вы подумаете, что это фродовый всплеск, и начнете блокировать такого рода активности. Относитесь к этому внимательно и старайтесь работать вместе с командой маркетинга в единой связке.
Помогайте коллегам из бизнеса формулировать безопасность стратегии развития. Когда они придумывают новые способы привлечения клиентов, то часто приходят к тому, что все покупатели классные, всем можно доверять. К сожалению, в наших реалиях часто происходит не так. Поэтому накапливайте в себе опыт борьбы с такого рода фродом и приходите к бизнесу с идеями. Рассказывайте им при формулировании новых задач о том, как сделать историю более красивой, чтобы больше пользователей получили позитивный опыт от взаимодействия с вашим сервисом и чтобы минимизировать фрод и убытки — как у вас, так и у ваших партнеров.
И самое последнее — следите за точностью. Не углубляйтесь в полноту данных, потому что это может пагубно сказаться на бизнесе. Вы можете испортить экспириенс ваших покупателей, начав их слишком сильно ограничивать или блокировать.
Это всё. Спасибо, что прочитали или прослушали мой доклад.