Всем привет! Я Александр Фадеев, руководитель проектов по безопасности мобильного оператора из центра экосистемной безопасности. В серии статей расскажу о том, как мы запустили платформу, защищающую клиентов Тинькофф Банка и Мобайла. В этой статье обзорно познакомлю с инструментами, которые отвечают за безопасность наших пользователей.

Как все начиналось

Мы всегда создавали много разных и полезных фич, которые образовали экосистему. Часто бывает, что на стыке технологий появляется новый продукт, а иногда, наоборот, мы объединяем то, что есть, чтобы получить профит для клиентов.

По мере развития телефонного мошенничества мы осознали, что пользователям нужна комплексная защита против атак на разные наши продукты. Тогда мы стали смотреть в сторону экосистемной интеграции.

Тинькофф Банк и Тинькофф Мобайл всегда отдельно защищали клиента. Мы решили объединить две платформы, чтобы клиенты чувствовали себя еще более защищенными, когда пользуются нашими услугами. В итоге получили одну из лучших защит на рынке по итогам исследования Telecom Daily.

Это первый опыт, когда защитные инструменты банка и мобильного оператора соединили в одной платформе. Передовой стала технология «Нейрощит», которая во время звонка выявляет и пресекает попытку мошенничества.

Такой уровень защиты удалось получить благодаря скорости обмена данными между банком и оператором. Например, маркировка перевода как рискованного, если он совершается клиентом на номер телефона вне звонкового профиля абонента Мобайла. Проверка 98,5% операций проходит без дополнительного вовлечения клиента.

Инструменты защиты клиентов

Главная технология Мобайла для защиты абонентов в режиме реального времени. Нейрощит анализирует и сопоставляет технические характеристики входящего звонка и может обнаружить мошенника с помощью анализа технической информации в звуковой волне. Во время разговора звук преобразуется в набор данных. В режиме реального времени данные обрабатываются и сравниваются с накопленными «эталонными» наборами мошеннических звонков. Если количество совпадений превышает допустимый порог, искусственный интеллект маркирует разговор как потенциально опасный и разрывает его.

Технология работает на базе искусственного интеллекта, который обучается на всех входящих данных. ИИ анализирует разные характеристики входящего номера: историю звонков, объемы и характер трафика, частотность и уникальность. Анализ технической информации помогает вычислить мошеннический звонок почти со стопроцентной вероятностью.

Если номер размечен как подозрительный, определитель номера Тинькофф маркирует входящий звонок как мошеннический, но абонент поднимает трубку, а ассистент Олег предупреждает абонента о возможном мошенническом звонке в начале разговора. Пользователь самостоятельно принимает решение о продолжении разговора.

Если номера нет в черном списке, искусственный интеллект анализирует входящий звонок в режиме реального времени по ряду технических показателей. Если появляются признаки мошенничества — звонок автоматически прерывается. Виртуальный ассистент Олег перезванивает абоненту, сообщает о причинах сброса звонка и запрашивает обратную связь.

Когда клиент проводит банковскую операцию, система анализирует, есть ли сейчас активный звонок или переадресация. Это исключает риск того, что клиент получает инструкции от якобы службы безопасности банка, которой часто представляются мошенники. Еще проверяется переход по ссылкам из СМС на подозрительные сайты. Такую информацию мы собираем сами — анализируем интернет-пространство, изучаем случаи фрода, которые до нас дошли, и внешние партнеры передают нам такую информацию. Если человек переходит на подозрительный ресурс — это сигнал к блокировке операции.

Система анализирует номер входящего вызова и проверяет, используется ли номер мошенниками или участвует в спам-звонках. Если да, оператор по таким вызовам передает специальный признак в банк для дополнительного мониторинга банковских операций. У нас есть система принятия решений, которая может анализировать онлайн весь трафик, проходящий у оператора (Мобайл). На его основе мы строим различные агрегаты, помогающие отделить нормальные звонки от потенциально мошеннических или спамовых.

По звонковому профилю абонента формируется список контактов, с которыми он обычно взаимодействует. Крупный перевод денег или несколько небольших подозрительных платежей на счет лица не из дерева контактов маркируются системой фрод-мониторинга и могут быть приостановлены. Анализ историй и звонков помогает из всего потока операций отфильтровывать мошеннические или сомнительные и защитить клиента. Вся система работает в моменте, за доли секунд проводится анализ огромного потока информации. А если клиент переводит деньги в течение месяца на определенные реквизиты, они маркируются хорошими и дальнейшие переводы считаются безопасными.

Если оператор фиксирует массовую рассылку с какого-то номера, этот номер будет заблокирован. Абоненты Тинькофф Мобайла не получат спам-сообщения. Бывают случаи, когда информацию о спам-рассылке удается получить из открытых источников и она уже есть в базе. Если рассылка новая, то для анализа нужно, чтобы какое-то количество СМС все же ушло. У нас есть промышленное антиспам-решение. Это черный ящик, через который пропускаются все СМС. Черный ящик — закрытая автоматизированная система, к ней нет доступа у человека, там не хранятся тексты, а работает логика выявления спама. Анализируется количество СМС и проводится лингвистический анализ, а на выходе СМС получает признак — спам или нет.

Для защиты клиентов от звонков с якобы наших банковских номеров мы разработали алгоритм детектирования подмены. Все звонки отслеживаются и блокируются, чтобы у мошенников не было шанса дозвониться. Такая защита работает с помощью валидации телефонии банка и мобильного оператора, которому приходят эти звонки. Система сравнивает два звонка и понимает, звонит наш банк клиенту сейчас или это мошенники. Получается, клиент даже не узнает, что мы защитили его, потому что все происходит под капотом.

Мы используем тысячи факторов, чтобы выявить рисковые случаи. К подозрительным операциям мы относим нетипичные для клиента операции, например перевод на сомнительные реквизиты, на которые уже поступали жалобы, или новые реквизиты, а также многое другое. Если клиент проводит нехарактерные для него операции или делает их с нового устройства, система попросит подтвердить действие с помощью селфи, звонка, видеозвонка, СМС или контрольного вопроса. Формат проверки зависит от степени риска.

Селфи и видеозвонки работают на методах машинного обучения. Остальные операции — на традиционных методах идентификации абонента. Все вместе такие методы обеспечивают точную идентификацию клиента и его операции.

К ней относят доступ к геопозиции, вход по лицу или отпечатку, уведомления, лимит по карте и обучение финансовой безопасности. Клиенты могут самостоятельно подключить инструменты, защищающие от мошенничества:

— Доступ к приложению с помощью Face ID или отпечатка. Эти данные, в отличие от кода, нельзя подсмотреть, подобрать или скопировать.

— СМС и пуш-уведомления помогают клиенту контролировать операции и вовремя заблокировать карту, если он их не совершал.

— Лимит по карте ограничивает возможные мошеннические списания, особенно если карта часто используется для онлайн-покупок или подписок и ее реквизитами могут завладеть в связи с утечкой из базы данных продавца.

Еще мы проводим обучение, чтобы повышать уровень защищенности клиентов. С одной стороны, мы реализуем регулярные обучающие кампании, где рассказываем о ключевых схемах мошенничества и даем советы, как от них защититься.

С другой стороны — мы делаем триггерное обучение в момент совершения мошенничества. Для обоих направлений используются различные каналы: пуш-уведомления и истории в мобильном банке, сообщение в почте, звонки роботов, образовательные курсы, полезные статьи и видеоролики.

Все эти элементы созданы для того, чтобы пользователь мог обезопасить себя самостоятельно. В вопросах защиты очень важно, чтобы клиент тоже участвовал.

Сервис бесплатно определяет телефонные номера, помечает потенциально мошеннический звонок, предупреждает абонента и автоматически передает эту информацию системе фрод-мониторинга. Собираем базу определителя. По трафику мобильного оператора можем смотреть и выявлять фродовые спам-звонки.

Нам в этом помогает Нейрощит и его маркировка звонков. Задействовано мобильное приложение с доработками, чтобы в момент звонка показать клиенту, кто звонит. Мы собираем из открытых источников много информации, чтобы разметить те или иные номера и было понятно, опасный номер или нет.

Олег умеет защищать клиентов от звонков спамеров и мошенников. Защитника можно подключить к любому номеру сотовой связи, но для абонентов Тинькофф Мобайла доступны расширенные функции с возможностью кастомизации помощника. Олег — это обученная на нейронных сетях модель, которая умеет синтезировать голосовые сообщения. Умеет распознавать, что говорит клиент в моменте, и выдавать соответствующие фразе предложения. Если звонок попадает Олегу и этот номер спамовский, включаются определенные сценарии Защитника. Он начинает по-другому общаться и иначе строить фразы.

Автоматически проверяет смартфон на вирусы, вредоносные приложения и программы удаленного доступа во время запуска мобильного приложения. Антивирус подает сигнал системе фрод-мониторинга, если обнаруживает подобные программы.

Селфи — это первичный вход в приложение и подтверждение операций с помощью онлайн-снимка лица на фронтальную камеру. Селфи запрашивается для подтверждения рискованных операций по карте: система запрашивает снимок вместо контрольного вопроса. Такой способ удобнее и надежнее, потому что мы сами прорабатываем возможные сценарии атак и совершенствуем защиту.

Селфи основано на технологиях liveness и matching, которые анализируют совпадение лица с базой данных и мимику, чтобы не дать злоумышленникам сфотографировать человека силой. Оно не пропустит старое фото, маску или манекен. Селфи работает быстро — от предложения сделать снимок до подтверждения проходит не более 15 секунд. Функция уже доступна для всех клиентов.

Machine Learning & AI, нехарактерное поведение, платежные привычки, цифровой отпечаток, контроль клонирования и перевыпуска сим-карт. Система фрод-мониторинга оценивает риски и защищает клиентов с помощью набора алгоритмов, усиленных машинным обучением и технологиями искусственного интеллекта. Система работает с различными наборами правил: лимиты, характерность операций, параметры на стороне банка, по которым мы можем понять, переводит клиент деньги по нормальному сценарию или нет. Подозрительные сценарии маркируются и попадают к сотрудникам команды безопасности, проверяющим такие аномалии. У нас есть специальная команда, которая в режиме 24/7 занимается защитой клиентов. Операторы по телефону подтверждают с клиентом эту операцию или, наоборот, блокируют ее.

Вместо заключения

Все перечисленные инструменты помогают быстрее определять подозрительные транзакции, предсказывать шаги мошенников и лучше защищать наших пользователей.  Подробнее о каждом инструменте читайте в следующем выпуске!