Одним із найнебезпечніших злочинів проти власності вважається шахрайство. У кримінальному законодавстві є кілька статей, присвячених йому.
Загальний склад зазіхання передбачений у статті 159 КК РФ. У нормі встановлено покарання протиправні дії з фізичними об'єктами чи майновими правами. У 159 статті КК РФ передбачені кваліфіковані та особливо кваліфіковані склади. У ст. 159.6 встановлено покарання дії у сфері комп'ютерної інформації. Тим часом останнім часом набув широкого поширення новий тип шахрайства - фрід. Відповідальність за нього в КК не передбачено.
Визначення
Слово fraud у перекладі з англійської означає "шахрайство". Суть його полягає у несанкціонованих діях, неправомочному використанні послугами та ресурсами у мережах зв'язку. Простіше кажучи, це вид шахрайства в галузі інформаційних технологійй.
Способи скоєння злочину різні. В даний час відомо більше 50 різних прийомів розкрадання мереж зв'язку.
Аналізуючи випадки, що мали місце на практиці, можна сказати, що фрід – це такезлочин, за який притягти до відповідальності дуже складно.
Класифікація
Спробу виділити види фрода було здійснено 1999 р. Ф. Госсетом і М. Хайлендом. Вони змогли позначити 6 основних типів:
- Subscription fraud – контрактне шахрайство. Воно є умисною вказівкою невірних даних під час укладання договору чи невиконання абонентом умов про оплату. У цьому випадку абонент не планує спочатку виконувати свої зобов'язання за контрактом або у певний момент відмовляється від виконання.
- Stolen fraud – використання втраченого або вкраденого телефону.
- Access fraud. Переклад слова access – "доступ". Відповідно, злочин полягає у протиправному використанні послуг за допомогою перепрограмування ідентифікаційних та серійних номерів телефонів.
- Hacking fraud – хакерське шахрайство. Це проникнення в систему безпеки комп'ютерної мережі з метою видалення інструментів захисту або зміни конфігурації системи для несанкціонованого її використання.
- Technical fraud – технічне шахрайство. Воно передбачає протиправне виготовлення платіжних телефонних карток з підробленими ідентифікаторами абонентів, платіжних позначок, номерів. До цього типу відносять внутрішньокорпоративне шахрайство. У цьому випадку зловмисник має можливість користуватись послугами зв'язку за низькою ціною за рахунок отримання незаконного доступу до корпоративної мережі. Вважається, що такий фрід – ценайнебезпечніше діяння, оскільки виявити його досить складно.
- Procedural fraud – процедурне шахрайство. Його суть полягає у протиправному втручанні у бізнес-процеси, наприклад, у білінг, зниження обсягу оплати послуг.
Пізніше цю класифікацію значно спростили; всі методи об'єднали у 4 групи: процедурне, хакерське, контрактне, технічне шахрайство.
Основні типи
Необхідно розуміти, що фрід – це такезлочин, джерело якого може бути де завгодно. У зв'язку з цим особливу актуальність набуває питання Відповідно до цього, виділяють такі три типи шахрайства:
- внутрішнє;
- операторське;
- абонентське.
Розглянемо їх основні ознаки.
Абонентський фрід
Найбільш поширеними діями вважаються:
- Імітації сигналізації з використанням спеціальних приладів, що дозволяють здійснювати міжміські/міжнародні дзвінки, з телефонів у тому числі.
- Фізичне підключення до лінії.
- Створення нелегального пункту зв'язку через зламану АТС.
- Кардинг - емуляція телефонних карток чи протиправні події з картками передоплати (наприклад, поповнення обманним шляхом).
- Умисна відмова від оплати телефонних переговорів. Такий варіант може бути, якщо послуги надаються в кредит. Як правило, жертвами зловмисників стають оператори мобільного зв'язку, які надають послуги роумінгу, коли інформація між операторами передається із затримкою.
- Клонування телефонних трубок, сім-карток. Стільникові шахраїотримують можливість здійснювати дзвінки в будь-яких напрямках безкоштовно, а рахунок прийде власнику клонованої сім-картки.
- Використання телефону як переговорний пункт. Такі дії здійснюються в тих місцях, де є зв'язки: в аеропортах, на вокзалах та ін. Суть шахрайства полягає в наступному: на знайдений/викрадений паспорт купуються сім-картки, тарифи за якими передбачають можливість формування заборгованості. За невелику плату бажаючим пропонується зателефонувати. Це триває до того моменту, поки номер не буде заблокований за борг, що утворився. Погашати його, зрозуміло, ніхто не збирається.
Операторське шахрайство
Найчастіше воно виявляється у організації дуже заплутаних схем, що з обміном трафіком на мережах. Серед найпоширеніших неправомірних дій можна назвати такі:
- Навмисне спотворення інформації. У таких випадках недобросовісний оператор конфігурує комутатор так, щоб можна було збрехати дзвінки через іншого оператора, який нічого не підозрює.
- Багаторазове повернення дзвінків. Як правило, таке "зациклювання" має місце при відмінностях у тарифікації операторів під час передачі викликів між ними. Несумлінний оператор повертає дзвінок у вихідну мережу, але через третю особу. У результаті виклик повертається знову до недобросовісного оператора, який може його знову відправити тим же ланцюжком.
- "Приземлення" трафіку. Цей вид шахрайства також називають "тунелюванням". Він має місце, коли несумлінний оператор передає свій трафік у мережу через VoIP. Для цього використовується шлюз IP-телефонії.
- Виведення трафіку. І тут створюється кілька схем, які передбачають нелегальне надання послуг за зниженими цінами. Наприклад, 2 несумлінних оператора укладають угоду отримання додаткового доходу. При цьому один з них не має ліцензії на надання послуг зв'язку. В умовах угоди сторони зазначають, що суб'єкт, який не має дозволу, використовуватиме мережу партнера як транзитну для пропуску та вливання свого трафіку в мережу третьої особи - оператора-жертви.
Внутрішній фрід
Він передбачає дії співробітників компанії зв'язку, пов'язані з розкраданням трафіку. Співробітник, наприклад, може скористатися службовим становищем для отримання незаконного прибутку. І тут мотивом його дій є користь. Буває й так, що службовець навмисне завдає шкоди компанії, наприклад, внаслідок конфлікту з керівництвом.
Внутрішнє шахрайство може здійснюватися шляхом:
- Приховування частини інформації на комутаційних пристроях. Устаткування може бути налаштоване так, щоб для частини маршрутів відомості про надані послуги реєструватися не буде або вводитиметься в незадіяний порт. Такі дії виявити вкрай проблематично, навіть при проведенні аналізу даних білінгової мережі, оскільки в неї не надходять первинні відомості про сполуки.
- Приховування частини даних на устаткуванні білінгових мереж.
Це досить специфічна схема шахрайства. Вона пов'язана із покупками товарів в Інтернеті.
Клієнти роблять замовлення та оплачують його, як правило, безготівковим розрахунком з картки чи рахунку. Потім вони ініціюють повернення оплати, обґрунтовуючи це тим, що платіжний інструмент чи інформація про рахунок було вкрадено. Внаслідок цього кошти повертаються, а придбаний товар залишається у зловмисника.
Практичні складнощі
Як показує практика, зловмисники використовують одразу кілька способів фроду. Адже, по суті,? Це люди, які добре знаються на інформаційних технологіях.
Щоб не бути спійманими, вони розробляють різні схеми, розплутати які часто-густо майже неможливо. Досягається це якраз шляхом застосування кількох незаконних моделей одночасно. При цьому якийсь спосіб може використовуватися для спрямування правоохоронних органів неправдивим слідом. Найчастіше не допомагає і фрод-моніторинг.
Сьогодні більшість фахівців діють єдиного висновку, що скласти вичерпний перелік усіх типів телекомунікаційного фроду неможливо. Це цілком зрозуміло. Насамперед технології не стоять на місці: йде їх постійний розвиток. По-друге, необхідно враховувати специфіку цього напряму злочинної діяльності. Телекомунікаційне шахрайство тісно пов'язане з реалізацією конкретних послуг певних операторів зв'язку. Відповідно, крім загальних складнощів, у кожної компанії виникатимуть свої, властиві лише їй специфічні проблеми.
Загальні принципи боротьби
Будь-який оператор повинен мати уявлення про існуючі види телекомунікаційного шахрайства. Класифікація допомагає впорядкувати діяльність, спрямовану боротьбу зі злочинами.
Найбільш поширеним вважається поділ фроду за функціональними сферами:
- роумінговий;
- транзитний;
- СМС-фрід;
- VoIP-fraud;
- PRS-fraud.
Водночас класифікація не полегшує оператору вирішення завдання щодо забезпечення захисту від шахрайства. Наприклад, транзитний фрод передбачає реалізацію величезної кількості шахрайських схем. Незважаючи на те, що всі вони тією чи іншою мірою пов'язані з наданням однієї послуги - транзитом трафіку, виявляються вони за допомогою абсолютно різних інструментів та методів.
Альтернативна класифікація
Враховуючи складність проблеми, при плануванні діяльності з фрод-моніторингуоператорам слід використовувати типологізацію шахрайських схем відповідно до методів їх детектування, виявлення. Ця класифікація представлена як обмеженого переліку класів фрода. Будь-яку схему шахрайства, що виникає, у тому числі раніше не враховану, оператор може віднести до будь-якого класу в залежності від методу, що застосовується для її розкриття.
Відправною точкою для такого поділу буде уявлення про будь-яку модель як про поєднання 2-х компонентів.
Першим елементом є "передфродовий стан". Воно передбачає певну ситуацію, поєднання умов, що виникли в налаштуваннях системи, бізнес-процесах, сприятливі для реалізації шахрайської схеми.
Наприклад, існує така модель, як "фантомні абоненти". Ці суб'єкти отримали доступ до послуг, але у білінговій системі не зареєстровані. Це і називається " передфродовим станом " - розсинхронізація даних між елементами мережі та обліковими системами. Це, звичайно, ще не фрід. Але за наявності цієї розсинхронізації він може бути реалізований.
Другим елементом є "фродова подія", тобто дія, для якої організована схема.
Якщо продовжити розглядати "фантомних абонентів", дією вважатиметься СМС, дзвінок, транзит трафіку, передача даних, вчинені одним із таких абонентів. У зв'язку з тим, що у білінговій системі він відсутній, послуги не сплачені.
Фрод та GSM
Технічне телекомунікаційне шахрайство породжує безліч проблем.
Насамперед, замість контрольованого та законного з'єднання розсилки здійснюються з незрозумілого пристрою. Ускладнюється ситуація тим, що зміст повідомлень не можна модерувати (перевіряти).
По-друге, крім збитків від неоплачених розсилок, у оператора збільшуються прямі витрати на розширення мережі через підвищене навантаження на пристрої внаслідок нелегального сигнального трафіку.
Ще одна проблема – складності при взаємозаліках між операторами. Зрозуміло, ніхто не хоче оплачувати піратський трафік.
Ця проблема набула загрозливих масштабів. Для виходу із ситуації Асоціація GSM розробила кілька документів. Вони розкривається поняття смс-фрода, даються рекомендації з основних методів його детектування.
Однією з причин поширення СМС-шахрайства фахівці називають невчасне оновлення ОС телефону. Як показує статистика, велика кількість користувачів не хочуть купувати новий телефон, поки апарат не вийде з ладу. Через це більш ніж на половині пристроїв використовується старе програмне забезпечення, яке, у свою чергу, має проломи. Ними користуються шахраї для реалізації своїх схем. Тим часом, і сучасні версії мають свої вразливості.
Вирішити проблему можна, оновивши систему до останньої версії і запустивши програму, що виявляє вразливість.
Необхідно пам'ятати, що зловмисники не поділяють мобільного та фіксованого зв'язку. Схеми фрода можуть бути реалізовані в будь-якій вразливій мережі. Шахраї вивчають особливості і того, і іншого зв'язку, виявляють схожі проломи і проникають у них. Звісно, абсолютно виключити загрозу не можна. Однак усунути найбільш очевидні вразливості цілком можливо.
Розповів про види мобільного шахрайства та методи боротьби з ними.
Кожен, хто працює з рекламою у додатках, стикається з проблемою фрода. Якщо ви думаєте, що не стикаєтеся, ви стикаєтеся, просто не знаєте про неї. Стаття допоможе навчитися визначати та розрізняти 4 актуальних на сьогоднішній день виду фроду.
До 2020 року 250 мільярдів доларів буде витрачено на рекламу в мобільних додатках.
Обсяг фроду тільки зростає і вже наближається до 16-17 мільярдів доларів, які щороку втрачають рекламодавці. Щоб зрозуміти, як за такого стрімкого зростання уникнути шахрайства, розберемо 4 найбільш актуальні види.
Installs Hijacking
При Installs Hijackingшкідлива програма, яка знаходиться на пристрої користувача, що встановлює програму, визначає завантаження програми і намагається перехопити інсталяцію, яка по праву належить іншому джерелу. Спосіб боротьби з цим видом фрода - відстеження розподілу часу з натискання на установку.
Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer
На початку графіка спостерігаються екстремуми, де за короткий період відбувається величезна кількість установок, що не відповідає людській поведінці. За допомогою такого відстеження оцінюємо та відфільтровуємо подібну поведінку.
Click Flood
Сlick Flood - шкідливе ПЗ "перехоплює" органічні установки шляхом "запружування" трекінгової системи великою кількістю кліків. Програми з хорошим органічним трафіком більшою мірою схильні до цього виду шахрайства.
Щоб розібратися у методі боротьби з Click Flood, звернемо увагу на наступний набір KPI.
- CTIT - дистрибуція часу з натискання на установку.
- Рівень конверсії.
- Залучення.
- Індекс мультиканальності.
Розглянемо кілька джерел трафіку і те, як вони поводяться, виходячи з KPI на таблиці нижче. Є джерело «А» та джерело «Б». Оцінюємо їх за 4-м KPI.
Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer
CTIT. Нормальний розподіл кліка в установку займає десь 40 секунд, близько 70% установок відбувається в першу годину і 95% - в перші 24 години. Відповідно, відстежуємо цей показник.
Рівень конверсії. Очевидно, що при великій кількості кліків конверсія маленька. Аномально низькі значення або ті, які нижче за очікувані, перевіряємо на фрід.
Залучення. При установці з органічного джерела залучення зберігається на рівні органіки. З цього виходить користувач, який добре і класно поводиться: платить, доходить до якихось рівнів і так далі. Рівень визначається індивідуально: настроюється власне розуміння лояльних користувачів.
Індекс мультиканальності- Співвідношення кількості допоміжних кліків першого джерела до кількості останніх кліків. Трекінг-платформи відстежують атрибуції за останнім кліком. Це означає, що якщо установка програми мала кілька кліків по рекламі, то конвертуючим вважається останній – саме йому присвоюється кредит за установку. При Click Flood фродстер відправляє величезну кількість кліків, які забивають вирву конверсії і іноді потрапляють в останні, тому відслідковувати вирву мультиканальної атрибуції дуже важливо.
Подивимося на приклад звіту AppsFlyer з мультиканальної атрибуції:
Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer
Для опису методики взято подію - встановлення. Показуємо 3 попередні кліки, і наскільки вони співвідносяться один з одним. За кожною установкою на це джерело трафіку вирва за мультиканальною атрибуцією забивається одним і тим самим джерелом або конкретним видавцем. Це викликає питання та наштовхує на певні роздуми. У нормальній ситуації не буде чіткого патерну з розподілу допоміжних установок по всій вирві. Якщо є підозри до Click Flood, то різниця між цими установками або однакова, або дуже близька до часу установки, - буквально кілька секунд. Відповідно, це був викид кліків, деякі з яких потрапили в ціль, причому всі знаходяться недалеко один від одного.
Click hijacking
Ще один вид шахрайства для боротьби з яким використовується індекс мультиканальності та мультиканальна атрибуція – Click Hijacking. Механіка схожа з Install Hijacking, але тут шкідливий додаток виявляє реальний клік і посилає звіт про фальшивий клік з конкуруючої мережі, перехоплюючи таким чином клік і саму установку.
Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer
На графіці вище можна побачити, як розподіляється час від передостаннього до останнього кліка. У моделі від Appsflyer є останній клік, який конвертує, і перший contributor - попередній клік у вирві. Відповідно, видно патерн у мультиканальній атрибуції: передостанній клік неприродно близький до останнього. Відразу можна відсікати такий стрибок та працювати з цими даними з підозрою на Click Hijacking.
Installs Fraud
Останній у списку вид шахрайства пов'язаний із установками – Installs Fraud. Моделювання різноманітних дистрибуцій – це класна річ, але завжди необхідно мати декілька рівнів захисту. Для перевірки будь-яких гіпотез необхідно мати інформацію з різних джерел. У AppsFlyer вирішили використати власні дані для того, щоб боротися із цим видом фроду.
Проект тривав близько півроку. Були взяті всі аксесуари з бази даних. На даний момент база Appsflyer об'єднує близько 98% всіх девайсів, які знаходяться в обігу. Метою проекту було зрозуміти, який рахунок у кожного такого ID у системі, з погляду анти-фрод рішення. Скоринг складався на підставі 1,4 трильйона мобільних взаємодій
Використовуючи алгоритми обробки великих даних, кожному мобільному присвоювався певний рейтинг. Шкала оцінки схожа на рейтинг цінних паперів: шахрайські пристрої одержують рейтинг «C», підозрілі «B», реальні – «А», «АА» або «ААА», нові – «N», LAT (Limit Ad Tracking) – «X ».
Після скорингу залишалося питання, що робити з новими девайсами.
Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer
За допомогою агрегованих даних стало видно, що за деякими джерелами трафіку приходить аномально велика кількість нових пристроїв, якими виявилися не останні моделі Samsung або iPhone, а старі девайси 2012-2013 з застарілими версіями ПЗ. Це свідчить про емуляцію девайсів з наступним скиданням рекламного ідентифікатора. В даному випадку фіктивний девайс виконує необхідні дії з рекламного оферу, після чого скидає idfa/gaid і починає нове коло установок. Ефективним методом відлову емульованих девайсів є використання великих баз даних, як у AppsFlyer. Аналізуючи 98% девайсів, що у зверненні, кожен новий девайс - якийсь прапорець, який змушує задуматися, що сітка неспроможна давати 100% нових користувачів. Є стандартний кругообіг нових девайсів у природі - приблизно 5-10%, але абсолютно точно не 100% і навіть не 50%.
Якщо ставити фільтр по кампаніям, видно, що одні компанії пропонують більше нових девайсів, а інші менше.
Презентація Боротьба з мобільним фродом – нові підходи та метрики. Олександр Грач, AppsFlyer
Поставивши розбивку по sub-publishers, видно, що вони однакові. Це означає, що існує один або кілька підозрілих sub-publisher, які намішують фіктивний трафік у різні кампанії, різні джерела трафіку. Таким чином, відстеживши активність, можна відловлювати фродстер.
Фрод – хвороба, але від неї є ліки
Фрод – хвороба реклами мобільних додатків, але від неї вже виведено безліч вакцин. Використовуючи рішення, описані в статті, ви зможете виявити 4 найпопулярніші види мобільного шахрайства. Не заощаджуйте на боротьбі з фродом, вчіться бачити його. Постійно шукайте рішення та звертайтеся до кваліфікованих компаній, які допоможуть у цьому.
Якщо ви знайшли помилку - виділіть її та натисніть Ctrl+Enter! Для зв'язку з нами можна використовувати .
Чому відхиляються платежі? Як інтернет-магазини захищаються від шахраїв? Як визначити, справжньою карткою вам платять чи викраденою? Що забезпечує захист e-commerce від фроду? На ці питання відповідає система електронних платежів PayOnline.
Що таке фрід
Термін «фрод» походить від англійського слова «fraud», що у перекладі російською мовою перекладається як «шахрайство». У широкому значенні фрод — це несанкціоновані дії та неправомірне користування ресурсами у сфері IT. Існує безліч типів фрода, при цьому ошуканими можуть виявитися і користувачі, продавці, і банки. У більшості випадків об'єктом фрода стають дані платіжних інструментів - банківських карток, електронних гаманців, мобільних засобів, хоча фродом можна назвати будь-який витік персональних даних, що веде до збагачення зловмисника.
За даними порталу www.banki.ru, найпопулярніший тип шахрайства з банківськими картами - це так званий "friendly fraud" ("дружній фрод"). Як працює механізм FF? Власник картки здійснює покупку в Інтернеті, а потім вимагає від банку проведення чарджбека (charge-back) - повернення коштів на картку внаслідок ненадання послуги. І якщо магазин не може довести необґрунтованість претензій платника, банк повинен відшкодувати власнику картки необхідну суму. А «кістки» лягають, природно, на інтернет-магазин.
Інтернет-магазини можуть постраждати від хакерів, які незаконно проникають у систему сайту, власних співробітників, які неправомірно використовують бази даних компанії, недобросовісних клієнтів, які вказують невірні платіжні дані з метою неоплати, або ініціюють повернення коштів вже після відвантаження товару або надання послуги.
Як платник може стати жертвою шахрайства
Звичайні ж покупці стикаються з безліччю загроз, які чекають на них як онлайн, так і офлайн. Достатньо трохи втратити пильність, і це може зіграти злий жарт. Чим більше інструментів для зберігання коштів та оплати покупок винаходиться, тим більше з'являється способів їх вкрасти. Якщо ще кілька десятків років тому найстрашнішою пропажею був гаманець з готівкою, то тепер ситуація ускладнюється тим, що практично кожен з нас має кілька носіїв коштів. А зловмисники готові зробити все, щоб отримати їхні дані.
Наприклад, заволодівши мобільним телефоном жертви, шахрай може отримати доступ до рахунку мобільного оператора, банківського додатка, з якого зручно переказати гроші онлайн, реквізитів карток, які можуть зберігатися у вигляді фото або передаватися в повідомленні другу, електронним карткам (NFC, або Near field communication метки перетворюють сам смартфон на банківську карту).
Прив'язавши SIM-картку до банківського рахунку, користувач, з одного боку, захищає себе. Інформація щодо платежів моментально надходить у вигляді SMS оповіщень, а для підтвердження оплати потрібно пройти процедуру 3DS і ввести код, отриманий у SMS (докладно про 3DS читати). Смартфон стає своєрідним додатковим ідентифікатором покупця. Але варто його втратити - і картина змінюється.
Говорити про крадіжку самої карти навіть не доводиться. Сьогодні достатньо номера картки та CVV/CVC коду, щоб перевести гроші з картки на картку. Для отримання даних картки використовуються такі методи як «фішинг» та «скіммінг». Скіммінг - установка на банкомати підробленого зчитувального пристрою та клавіатури, які дозволяють отримати дані з магнітної смуги та ПІН-код, а потім виготовити копію картки та зняти з неї кошти. Фішинг ж різноманітніший у своїх підходах. По суті, зловмисники буквально «вивужують» у користувача реквізити банківських карток за допомогою підроблених сайтів, фейкових платіжних форм, дзвінків «нібито» співробітників банку, СМС-повідомлень та зламаних акаунтів друзів у соціальних мережах. Методів існує маса, і єдиний і найпростіший захист від них - нікому за жодних умов не передавати дані своїх платіжних інструментів.
В інтернеті справи не кращі - у багатьох росіян онлайн шопінг став такою ж звичною справою, як похід у магазин за хлібом. І про те, як діють сучасні шахраї в Рунеті і як із цим боротися, ми розповімо докладніше.
Картковий фрід у мережі
Від карткового фрода може постраждати і інтернет-магазин, і банк, і сам власник картки. У разі витоку даних карток, зловмисники намагаються зняти максимальну суму грошей і не залишити слідів, щоб інтернет-магазини розбиралися з банками, хто ж таки має відшкодувати втрачену суму. За власниками карт встежити неможливо – інтернет-магазин не може знати, хто знаходиться по той бік екрану: зловмисник чи добропорядний клієнт. Ризик є завжди, але щоб наблизити його значення до нуля, існує безліч інструментів перевірки платежів і верифікації платників. Про одну з них, систему моніторингу шахрайських операцій, або «систему антифрод», йтиметься далі.
Що таке антифрод і як він працює
Загальна схема роботи практично будь-якого механізму фрод-моніторингу виглядає так: у момент здійснення оплати за допомогою банківської картки збирається кілька показників (у кожної антифрод системи вони різні) - починаючи від IP адреси комп'ютера та закінчуючи статистикою оплат по цій карті. Кількість фільтрів може перевищувати сотню (наприклад, у системи електронних платежів PayOnline їх понад 120). Система має набір правил, тобто лімітів фільтрів безпеки. Кожен із фільтрів перевіряє користувача - його персональні та карткові дані. Мета системи – переконатися в тому, що користувач є реальним власником картки, що робить покупку на сайті. У разі виявлення підозрілої активності, тобто перевищення значення параметра, фільтр автоматично блокує можливість здійснення платежу по цій карті. Розглянемо процес роботи антифрод системи покроково.
Користувач здійснить оплату на сайті. Інформація про платіж потрапляє до системи fraud-моніторингу. В цей момент антифрод володіє двома інформаційними пакетами: інформацією про цей одиничний платіж і профілем середньостатистичного платника даного інтернет-магазину. Алгоритми роботи системи fraud-моніторингу дозволяють оцінити низку факторів, серед яких основними є:
- Країна, з якої здійснюється платіж.
- Країна банку випустив карту.
- Розмір платежу.
- Кількість платежів з картки.
- Платіжна історія банківської картки.
- Профіль середньостатистичного платника магазину.
Транзакція проходить первинний аналіз на підставі цих та інших факторів. З аналізу їй присвоюється «мітка», яка характеризує спосіб обробки транзакції. Існують три типи міток. "Зелена" відзначає транзакції з низькою ймовірністю виникнення шахрайської операції. «Жовтою» міткою відзначаються транзакції, в яких шанс виникнення шахрайської операції вищий за середній, і для проведення платежу знадобляться додаткової уваги. «Червоною» відзначаються транзакції, які з найбільшою ймовірністю можуть виявитися шахрайськими, і при їх проведенні знадобиться документальне підтвердження автентичності власника картки.
«Доля» кожної мітки індивідуальна. У графічному вигляді ми представили життєвий цикл транзакцій усіх трьох типів на Рисунку 1. Далі на кількох простих прикладах ми розглянемо типові транзакції всіх «квітів» і розповімо, які перевірки визначає транзакції система fraud-моніторингу залежно від рівня ризику виникнення фроду.
Рисунок 1. «Життєвий цикл» транзакцій з різними рівнями ризику виникнення шахрайської операції
З «зеленими» транзакціямивсе максимально просто: наприклад, платник здійснює оплату з Росії, карткою, випущеною російським банком. Сума платежу не перевищує середнього чека магазину.
Система моніторингу надає транзакції «зелену» мітку. Далі транзакція відправляється на авторизацію за допомогою 3D Secure. А якщо картка не підписана на сервіс одноразових паролів або банк-емітент ще не підтримує даний сервіс, запит на авторизацію цієї транзакції буде направлено до процесингового центру банку-платника звичайним способом – безпосередньо.
Середній рівень ризику виникнення fraud-а визначає інший шлях перевірки оплати легітимність. Мітка "жовтого" кольорупривласнюється транзакціям із середнім і вище за середній рівень ризику виникнення шахрайських операцій. Наприклад, у російському інтернет-магазині покупка оплачується банківською карткою, випущеною в Росії, але розмір середнього чека помітно перевищує середній «по лікарні».
Система позначає цю транзакцію «жовтою» міткою, і для її авторизації можуть знадобитися додаткові дії платника. Якщо картку підписано на 3-D Secure, то транзакція (як і у випадку із «зеленою» міткою), буде авторизована з використанням одноразового пароля. Однак якщо платник не може скористатися цим способом авторизації платежу, його банківська картка буде автоматично спрямована на онлайн-валідацію або ручну перевірку.
«Червону» міткусистема фрод-моніторингу автоматично привласнює транзакції з високим рівень ризику здійснення шахрайських операцій. Наприклад, оплата в інтернет-магазині здійснюється карткою, випущеною в США, а платник знаходиться в Іспанії.
Якщо платежі за допомогою даної банківської картки раніше не здійснювалися через PayOnline, система fraud-моніторингу помітить транзакцію «червоною міткою» та переведе її з автоматичного режиму авторизації вручну. Такий платіж буде надіслано на ручну модерацію фахівцям департаменту ризиків. Для аутентифікації власника банківської картки знадобиться документальне підтвердження - відскановане зображення банківської картки та документа, що засвідчує особу власника. Після надання коректних сканів документів операція переводиться з «червоного» в «зелений» колір і спрямовується на авторизацію до центру банку. Сумнівні операції, що не пройшли ручну модерацію, відхиляються, щоб уникнути ризику виникнення шахрайських операцій.
Таким чином аналіз транзакцій автоматично проводиться системою fraud-моніторингу відразу на трьох рівнях: одинична банківська карта; профіль підприємства електронної комерції; загальний потік транзакцій, що обробляються IPSP. Разом з алгоритмами автоматичного збору, обробки та аналізу даних про скоєні платежі, що постійно вдосконалюються, багаторівневий аналіз транзакцій дозволяє системі fraud-моніторингу своєчасно змінюватися, підвищуючи рівень безпеки здійснення оплат на сайтах клієнтів і знижуючи ризики по всіх видах фрода, властивих інтернет-комерції.
На даний момент ризик виникнення шахрайських операцій, що здійснюються через PayOnline, становить лише 0,02%.
Що насторожує систему моніторингу?
Що може викликати підозру антифрод системи? Ось деякі параметри, які швидше за все змусять систему моніторингу шахрайських операцій.
- Оплата по одній картці відбувається з різних пристроїв, ідентифікованих різними адресами IP.
- Зворотна ситуація - з одного і того ж пристрою (IP-адреси) проводяться операції за допомогою великої кількості карт.
- З однієї картки відбувається кілька невдалих спроб оплати (ймовірно, користувач не має змоги пройти процедуру підтвердження).
- Один клієнт реєструється під кількома обліковими записами, використовуючи різні адреси електронної пошти, і платить з однієї картки
- Ім'я платника, зазначене на платіжній формі, відрізняється від імені власника картки.
- Різні країни реєстрації інтернет-магазину, банку-емітента картки та покупця.
Цей перелік спірних ситуацій може дати вам загальне уявлення про логіку роботи системи. Фахівці з ризиків та бізнес-аналітики намагаються врахувати всі нюанси, додаючи нові фільтри, що захищають бізнес інтернет-компаній від зловмисників. Залежно від платіжного сервіс-провайдера логіка роботи системи фрод-моніторингу та її параметри змінюються.
Ручне налаштування: навіщо і кому вона потрібна
Налаштування системи фрод-моніторингу різняться залежно від типів бізнесу. Необхідно враховувати список параметрів:
- середньостатистичний профіль платника,
- розмір середнього чека,
- рівень ризиків у сегменті,
- особливості реалізованих товарів та послуг (цифрові вони чи фізичні).
Іноді бізнес має дуже вузьку специфіку, і без індивідуального налаштування деякі платежі просто не зможуть пройти стандартні налаштування антифроду, хоч і не будуть шахрайськими.
Наприклад, обмеження з географії платежів критичні для сфери онлайн туризму: клієнту може знадобитися придбати квиток на літак, перебуваючи у відрядженні за кордоном, а система заблокує такий платіж, оскільки він відбувається не з тієї країни, де випущено картку платника.
У цьому випадку застосовується тонка настройка фільтрів: можна задати умови, згідно з якими платіж пропускатиметься, навіть якщо не виконується умова, географії платежу. Подібні зміни вносяться до системи лише після аналізу можливих ризиків, під контролем фахівців та після погодження змін із представником інтернет-магазину.
Власноручне втручання у роботу системи може призвести до великих втрат - при схваленні шахрайських операцій інтернет-магазин буде зобов'язаний повернути гроші на картку власника, навіть якщо товар уже був відвантажений уявному покупцю. Більше того, на магазин може бути накладено штраф залежно від обсягів шахрайства, а при повторенні таких ситуацій – особливі санкції від міжнародних платіжних систем (МПС).
Плюси та мінуси системи антифрод
Плюси системи моніторингу шахрайських операцій очевидні – автоматичне відхилення сумнівних транзакцій, захист інтернет-магазину від подальших розглядів із банками, платіжними системами та реальними власниками карток. І, звичайно ж, мінімізація репутаційних та фінансових ризиків. Репутація магазину не постраждає, і користувачі довірятимуть такому ресурсу, а значить, їхня лояльність зростатиме.
Але, як і в будь-якого сервісу, система фрод-моніторингу має свої «витрати виробництва». Відхилення платежів може призвести до втрати клієнтів, отже, прибутку. Без належного налаштування фільтри можуть не пропускати значущі для інтернет-магазину транзакції, що точно не сподобається покупцям.
При виборі платіжного сервіс-провайдера варто звернути увагу на заявлену конверсію в успішні платежі: сервіси, що гарантують «100% успішних оплат», швидше за все або навмисно переоцінюють свій функціонал, або наражають клієнтів на ризик стати жертвою зловмисників. Наприклад, рівень конверсії в успішні платежі після «ручного» налаштування (або стандартних інтернет-магазинів зі стандартною клієнтською аудиторією) системи електронних платежів PayOnline варіюється в рамках 93-96% - і це дуже хороший показник для ринку.
Ще одним неприємним, але важливим моментом, з яким доведеться зіткнутися при розробці системи фрод-моніторингу на стороні інтернет-магазину, стане захист користувачів, як персональних, так і платіжних. Необхідно буде пройти сертифікацію відповідності вимогам стандарту PCI DSS, а також врахувати обмеження на зберігання та обробку даних, регульовані законом. Це стосується швидше тим, хто все-таки береться за самостійну розробку антифроду, тому докладно вдаватися до деталей у цій статті ми не будемо.
Хто надає послуги антифрод і чому лише одиницям варто вкладатися у власні розробки
Моніторинг шахрайських операцій – необхідність у сучасних реаліях електронної комерції. Для банку витрати на підтримку та розвиток антифрод-системи – це більш ніж прийнятна сума, яка багаторазово окупиться у процесі використання.
Для платіжного сервіс-провайдера (такого як PayOnline) система фрод-моніторингу є одним із ключових сервісів, які вона надає компаніям-клієнтам.
Для малого і середнього бізнесу розробка власного антифроду - це непідйомний проект, що не окупається. Вимоги до подібних механізмів зростають з кожним роком, вони вчаться більш тонко обробляти отримувану інформацію з огляду на статистику та поведінкові фактори. Щоб система працювала ефективно та відповідала сучасним вимогам, необхідний штат кваліфікованих спеціалістів та значні технічні потужності. У переважній більшості випадків гравцям електронної комерції "не по кишені" такі постійні витрати - і моніторинг шахрайських операцій делегуються платіжним сервіс-провайдерам, що спеціалізуються на аналізі та обробці платіжних операцій.
Спочатку написав як коментар до відгуку "Незаконне звільнення", тепер вирішив написати як відгук.Зараз у Сбері чергова фішка – боротьба з ФРОДами (фіктивним продажем). Керівництво раптом прозріло. І почалося полювання на відьом, тобто МП і консультантів. Тільки біда в тому, що вчили співробітників фіктивним продажам керівники офісів, керівників навчали регіональні менеджери, регіональних менеджерів навчали керівники офісів. Заступники керівників по роздробу чудово знали і така ситуація їх цілком влаштовувала. Ще б пак, мурашки набивають їхню кишеню. Тепер ці горе-керівники вдають, що були не в курсі. У багатьох тербанках вже змінили до 50% штату менеджерів та консультантів, де-не-де постраждали керівники офісів. Прибрали тих, хто міг потягти у себе керівників. І все! А ті, хто вимагав дедалі більше продажів видавати на гори спокійно сидять на своїх місцях.
Фронт-офіси в Обері вже років зо два, як перетворилися на ФРОД-офіси. І не лише щодо продажу. Фальсифікують і роботу із СУО. Скоротили 2-у лінію, здається вже далі нікуди. Але виявляється, що потенціал до скорочення ще є. У 3 кварталі настає чергова хвиля скорочень. Премія працівників 2 лінії залежить від виконання нормативу по чергах. От і намагаються хто як може. В одному офісі клієнтів тримають біля реєстратора, в іншому до вікон викликають по кілька людей. Інакше офіси так вивалюються у червону тактику в пікові дні, що потім до кінця місяця вийти на норматив не можуть. В результаті премія співробітників, і так невелика, стає ще меншою. Ви думаєте керівництво, а саме заступники керівників по роздробу не знають? Всі чудово знають, у разі розтину і цих ФРОДів руки миють. Це зараз видають команди виконувати норматив із тактики за будь-яку ціну (це реальні усні розпорядження, які операційні керівники групи офісів дають заступникам керівників офісів, мотивуючи тим, що самі отримали такі розпорядження згори), а потім настане амнезія.
Регмени ставлять консультантам завдання продажу мобільних додатків і тут же вчать як фальсифікувати. Типу не морочись скачуванням програми клієнту на телефон, активуй під логіном клієнта на своєму планшеті. Тільки багато не роби, на день не більше 10 шт. За підсумками місяця цифри виходять не кволі, в таких офісах понад 100 підключень на одного консультанта. Ніхто із керівників не бачить? Просто всіх влаштовує таке становище. А винні потім будуть консультанти, у деяких випадках керівники офісів. І начхати горе-керівникам на ризики... Натомість люблять поміркувати за ризик-культуру. А перевірити скільки активовано мобільних програм з ID-адрес планшетів консультантів слабо?
З автоперекладами також суцільні ФРОДи. Прийшов клієнт разовий переклад зробити, йому автопереклад підключили, та ще й пораду дали, типу потім смс-кою скасовувати будете. Підключають усім підряд, навіть не дивляться, що у клієнта карта чужа (мами, тата, чоловіка, дружини тощо). І ці фродники одержують похвали, кубки, не кажучи про премії, приклад їх ставлять іншим. В одному офісі 100 мобільних додатків та 100 автоперекладів на 1 консультанта, а в іншому добре, якщо по 20 шт. Замість того, щоб перевірити "суперефективних" щодо фроду, загноблять чесно працюючих. Ройте пани не там, де мало, а там де багато. Вивантаження по навантаженню прозорі. Вибирайте "суперефективних" та перевіряйте. Роботи буде непочатий край. Тільки звільняти почнуть мурах, а не тих, хто вимагає навантаження вище, ніж ЦА доводить, та вигадує акції, на кшталт "Почни з себе". З чого раптом консультанти стали собі та колегам поголовно автопереклади підключати? Чи не тому, що регмени змушували, та ще й звіт питали. А тепер регмен пам'ять втратили.
ІСУ це просто пісня! Що тільки не творять в офісах, щоб у хронічні відхилення не вивалюватися. Інакше приїде начальник управління продажу та почне не ІСУ відпрацьовувати, а вигалятися над керівником офісу. Але це вже зовсім інша історія...
Починати, пану Грефу слід з верхів...
Внутрішній фрід– шахрайство, яке здійснюється співробітниками завдяки положенню та доступу до телекомунікаційного обладнання. Жертвами такого фрода може стати як сама компанія, в якій працюють неохайні співробітники, так і клієнти.
У англомовних країнах слово "fraud" означає будь-яке шахрайство, у Росії терміном фрод називають вужчу категорію злочинів – шахрайства у сфері інформаційних технологій. У цій сфері течуть сотні та тисячі грошових річок – оплата за переговори, Інтернет-трафік, онлайн-купівлі та замовлення, мобільний банкінг. І у багатьох з'являється бажання шляхом шахрайства направити невеликий струмок у свою особисту кишеню.
Загалом IT-фрод можна розділити на чотири великі категорії:
- Користувальницький, що називається також абонентським фродом. До нього відносять шахрайства з боку користувачів – незаконне підключення та несплата послуг операторів зв'язку, дзвінки за чужий рахунок, підробка банківських карток та операції без присутності картки.
- Операторський фрод – всілякі сумнівні дії вже кампаній щодо клієнтів. До них відносять автоматичне підключення платних послуг, дорога вартість відписки від них, картки з можливістю зменшення балансу мінус і т.п.
- Міжоператорський фрод – спроби операторів обдурити одне одного. До його різновидів відносять всілякі перенаправлення трафіку, уявлення дорогих видів зв'язку як дешеві тощо.
Класифікація та способи внутрішнього фроду
У свою чергу, внутрішній фрід можна поділити на дві великі категорії - крадіжку та зловживання. У першому випадку має місце пряма крадіжка грошей чи інших матеріальних цінностей, у другому витяг матеріальної чи нематеріальної вигоди пов'язані з прямим розкраданням.
Як говорилося, в IT-сфері постійно рухаються величезні гроші – від клієнта до банку чи оператора, між клієнтами, між фірмами. І деякі співробітники знаходять можливість поживитися за рахунок роботодавця або клієнтів.
Наприклад, можливі випадки надання фіктивних послуг, послуг за завищеними цінами чи договори з афілійованими підрядниками. З клієнтами компанії також можливі шахрайські дії. Особливо це стосується мобільних операторів, де певні суми списуються регулярно, часто по кілька разів на день, і якщо співробітник додасть до них невеликий платіж на власний рахунок, клієнт навряд чи помітить. А оскільки клієнтів таких десятки та сотні тисяч, сума у результаті виходить значна.
У плані зловживань інформаційні технології також є широким полем для діяльності. Масштаб тут найширший, від підключення друзів до вигідних внутрішньокорпоративних тарифів і до оформлення мільйонних рахунків за фіктивні, найчастіше інформаційні, тобто. нематеріальні послуги
Види економічних злочинів: основні сфери ризику, на що звернути увагу
Велику проблему й завищення результатів. Безліч фіктивних клієнтів може принести співробітнику чи підрозділу значні реальні премії.
Варто також відзначити зловживання, пов'язані з доступом до обладнання. На відміну від традиційної промисловості, де фінансові афери є долею керівництва та бухгалтерії, в інформаційній галузі технічні фахівці також здатні організувати різні шахрайські схеми завдяки відповідному настроюванню серверів та іншого обладнання. Наприклад, виключати з обліку деякі види трафіку, реєструвати дорогі дзвінки як дешеві, а потім підключати до них окремі номери. Виявити такі злочини дуже складно, ще важче довести, адже неправильне настроювання завжди можна пояснити помилкою.
Нарешті, IT-компанії схильні до всіх тих зловживань, що існували задовго до розквіту інформаційної ери – влаштування на роботу фіктивних співробітників (зазвичай друзів та родичів начальства), виписка завищених премій, списання ще працездатного обладнання з метою подальшого продажу, використання службового транспорту та іншого майна в особистих цілях.
Хто страждає від внутрішнього фроду
Об'єктами впливу шахраїв можуть стати обладнання та програмне забезпечення компанії, паперові та електронні фінансові документи, вище- та нижчестоящі співробітники.
Сервера, маршрутизатори та інше обладнання дуже вразливі через залежність їх роботи від безлічі виконуваних вузьким колом фахівців налаштувань, у яких всі інші, як правило, зовсім не розуміються. Це дає інженерам та програмістам широкі можливості щодо перенаправлення трафіку, спотворення звітів про нього, зараження шкідливим ПЗ.
Особи, які мають доступ до фінансових програм, можуть безпосередньо красти невеликі, а тому непомітні суми з рахунків безлічі клієнтів, так і оформляти фальшиві рахунки, платіжки, розпитування на повернення нібито помилково переведених коштів і т.д.
Варіантами обману співробітників може бути завищення показників для отримання високих преміальних, фальшиві запити на переказ грошей, блокування та розблокування облікових записів, вивідування у колег логінів та паролів вищого рівня доступу.
Джерело загрози
Відповідно до об'єктів впливу можна виділити три основні джерела внутрішнього фроду в IT-сфері.
Люди, які мають кримінальне минуле, легше йдуть на шахрайські дії. Тому будь-яка компанія повинна здійснювати перевірку кандидата до прийому на роботу, моніторинг його діяльності в процесі роботи, підтримувати високу корпоративну культуру та впроваджувати ефективні схеми мотивації, адже гідний та стабільний офіційний заробіток привабливіший за тимчасові, до того ж шахрайські схеми, що загрожують кримінальним переслідуванням.
Потрібно наголосити, що особлива увага має приділятися роботі з людьми. До категорій особливого ризику слід віднести людей з кримінальним минулим, системних адміністраторів та інших співробітників із високим рівнем доступу, осіб, які здійснюють переказ коштів. Окрему категорію складають співробітники, що звільняються, особливо у разі вимушених скорочень або звільнень за порушення в роботі. Рухові образою або компенсацією вони можуть спробувати вкрасти бази даних, внести неправильні налаштування роботу устаткування, заразити комп'ютери шкідливими програмами.
Аналіз ризику внутрішнього фроду
Внутрішньому фроду вразливі всі компанії, в яких можна хоч чимось поживиться, це і банки, державні органи, РЗ, нафтогазова галузь та інші. Інша проблема – складність галузі. Найчастіше співробітникам, особливо новачкам, потрібно чимало часу для освоєння складних програм, операції виконуються з порушенням суворих норм. А будь-яке порушення є лазівка для шахрайства.
Чітка прозора структура з добрим внутрішнім контролем залишає шахраям дуже мало можливостей для афер.
Крім внутрішнього, обов'язковий також регулярний зовнішній аудит, як техніки, так і фінансових операцій, що дозволяє виявити неправильне налаштування серверів і комп'ютерів, сумнівні перекази грошей. Вже сама можливість розкриття шахрайських схем змусить багатьох відмовитись від своїх планів.
Необхідно аналізувати показники ефективності як окремого співробітника, так і цілих підрозділів. Часом їхнє різке зростання є не наслідком поліпшення роботи, а шахрайським завищенням задля отримання великих премій.
Зрештою, велике значення має загальна корпоративна культура. За її відсутності, низька трудова дисципліна все нерідко починається з невеликих зловживань, на які заплющують очі. Безкарність підштовхує людину шукати (і знаходити) більш масштабні схеми, за яких компанія та клієнти втрачають уже мільйони.
У той же час чітка, прозора система, суворий контроль, включаючи зовнішній незалежний аудит, усвідомлення невідворотності покарання змусить більшість забути про шахрайські схеми на користь чесного заробітку. Для протидії внутрішньому фроду використовують DLP-системи, системи профілювання співробітників, поведінковий аналіз UEBA.