Привет, Хабр!

Задумывались ли вы о том, почему вдруг пропали скамеры со своими «Авито 2.0»? Нет? А мы всё равно расскажем!

Мы начинаем новую серию статей, посвящённую работе современного антифрода. Расскажем о принципах работы антифрод-систем и разберёмся, как и где они используются в реальных сервисах.

Эта статья - вводная. Разберемся здесь, что такое антифрод в современных реалиях и с чем его едят ему приходится бороться.
Начнём!

Что такое антифрод?

Итак, мы с вами все знаем, что фрод - это плохо. Но что именно такое «антифрод», и чем он занимается?

Говоря умными словами,
Антифрод - это комплекс мер, технологий и процессов, направленных на предотвращение, выявление и минимизацию ущерба от мошеннических действий.

А простыми словами - это система, которая борется со всякими абузерами, мошенниками и прочими негодяями, из-за которых бизнес несёт потери.

Главная цель антифрода в защите бизнеса и его клиентов от обмана, сохраняя при этом удобство использования сервисов.

Говоря проще, хороший антифрод должен создавать такую систему взаимодействия с сервисом, при которой абуз становится максимально невыгодным (или рискованным) для мошенника.

А с чем именно борются антифрод-системы?

Фрод бывает разный, и антифрод-системы, соответственно, имеют свои специализации.

Наиболее часто-встречаемые сейчас методы фрода, для отражения которых создаётся антифрод, это, конечно:

1. Банковский/платёжный фрод. Одна из самых наболевших тем. Под ним подразумевается воровство данных банковских карт (любыми способами) и дальнейшее списание средств с них через платежные сервисы, либо использование их для проведения платежей, связанных с незаконной деятельностью (процессингом). Для последнего также карты нередко покупают дроповоды.

2. Бонусный/Промо-фрод. Подразумевает злоупотребление акциями, скидками, программами лояльности. Создание множества фейковых аккаунтов для получения бонусов, промокодов или бесплатных услуг (например, покупки огромного количества товара на маркетплейсе за очень низкую цену, несмотря на ограничение в 1 аккаунт).

3. Мошенничество с личностью. Использование чужих или вымышленных персональных данных для регистрации аккаунта (который в дальнейшем будет использоваться для мошенничества), получения кредитов, оформления услуг. Часто пересекается с платежным фродом.

4. Злоупотребление сервисами (абуз). От использования багов до создания бот-сетей для накрутки трафика, скачивания контента или обхода ограничений (пересекается с фродом на промо-акциях).

5. Рефанды. Когда покупатель получает товар/услугу, но потом инициирует возврат средств (рефанд), ложно утверждая, что не совершал покупку или не получил товар.

Стоит также отдельно выделить аккаунтный фрод (захват чужих учеток через обработку данных стилеров/фишинг/etc). В дальнейшем эти аккаунты спокойно перепродают на теневых площадках и используют для того, что описано выше.

Кстати про то, откуда у мошенников появляются ваши данные для фрода с личностью, можете прочитать в нашей статье «Как ваши паспорта попадают в интернет и продаются за копейки?»

Да и без антифрода можно обойтись

Ну да. Вот только в одном только банковском секторе, по официальной статистике ЦБ РФ за 2024 год у клиентов украли порядка 27.5 млрд рублей, что на 74% (74, Карл, почти в два раза!) больше, чем в 2023, несмотря на существенное разивитие банковских антифрод-систем. А с развитием нейросетей количество обманутых будет лишь дальше расти.

Короче говоря, вы поняли. Компаниям необходим антифрод, иначе без него бизнес в случае активизации фродеров будет в разы части нести потери как материальные, так и репутационные.
Перейдём к разбору базовых механизмов антифрод-систем.

Основные методики антифрода

Теперь, когда мы разобрались с тем, что такое антифрод и с какими угрозами он борется, давайте поговорим о том, как именно работают современные антифрод-системы. Основные методики можно разделить на три направления: скоринг, фингерпринтинг и интеграции с внешними сервисами.

Скоринг

Скоринг - это математическая модель оценки риска, которая присваивает каждому пользователю, транзакции или событию числовой балл. Система анализирует множество параметров одновременно и выставляет итоговую оценку вероятности мошеннических действий.

Принцип работы довольно простой: каждому фактору риска присваивается определённый вес, а затем все веса суммируются в итоговый балл. Например, новый пользователь, совершающий крупную покупку ночью с подозрительного IP-адреса, получает высокий скор. Постоянный клиент, покупающий привычный товар в обычное время, - низкий.

В зависимости от итогового балла система принимает решение:

• Пропустить операцию

• Заблокировать её

• Отправить на дополнительную проверку

Современные скоринговые модели используют статистические методы и алгоритмы машинного обучения для выявления закономерностей в поведении мошенников.

Простой пример работы скоринга выглядит примерно так:
(представим, что имеем дело с финансовым сервисом)

Скор = (Новый пользователь × 10) + (Подозрительный IP × 15) + (Необычное время × 5) + (Большая сумма × 20)

Если скор > 50 - блокировка
Если скор 20-50 - дополнительная проверка
Если скор < 20 - пропуск

И, конечно, вес каждого пункта может зависить от внутренних факторов, типа внутреннего скоринга оператора, на номер которого зарегистрирован аккаунт.

Фингерпринтинг

Фингерпринтинг - это технология создания уникального цифрового отпечатка устройства или браузера пользователя. Система собирает множество технических характеристик устройства и создаёт на их основе уникальный идентификатор.

Фингерпринтинг учитывает разрешение экрана, установленные шрифты, версию браузера, плагины, временную зону, язык системы. Все эти характеристики в совокупности создают отпечаток. Даже если пользователь сменит IP-адрес и создаст новый аккаунт, его устройство может быть распознано.

Существует несколько много типов фингерпринтинга, разберем эти три для примера:

1. Device fingerprinting собирает технические характеристики устройства и браузера.

2. Behavioral fingerprinting анализирует поведенческие паттерны - как пользователь двигает мышью, с какой скоростью печатает, сколько времени проводит на страницах. Если данные сильно отличаются от нормальных, то это может указывать на то, что пользователь - не человек.

3. Network fingerprinting анализирует характеристики интернет-соединения (типа Jitter'а и пинга), и сетевые особенности. Например, тип провайдера (мобильный или домашний), скорость интернета, WebRTC поддержку. В том числе можно замерять разницу в пинге пользователя с другими юзерами, которые имеют того же самого оператора и находятся в одном городе.

Благодаря этим факторам фингерпринтинг позволяет связывать разные аккаунты с одним устройством, выявлять попытки обхода блокировок и создавать списки доверенных устройств.

Интеграции с внешними сервисами

Ну и конечно, антифрод-системы активно используют внешние источники данных для повышения точности детекции мошенничества. Они обращаются к различных сервисам и баз данных для получения дополнительной информации о пользователе, зашедшем на сайт или транзакции.

• Спам/блэклисты содержат списки IP-адресов, с которых велся спам, известных мошеннических email-адресов и телефонов, реестры украденных банковских карт.

• Геолокационные сервисы определяют реальное местоположение пользователя по IP-адресу и выявляют использование VPN или прокси. Система может обнаружить «невозможные путешествия», когда один аккаунт за короткое время появляется в разных континентах.

• Сервисы проверки личности верифицируют паспортные данные через государственные реестры, проверяют номера телефонов и email-адреса. Они также предоставляют информацию о статусе банковских карт, кредитной истории и заблокированных счетах. Чаще всего таким сервисом выступает НБКИ (Национальное бюро кредитных историй) в случае, если сервис является финансовым.

• Агрегаторы утечек и OSINT-сервисы помогают проверить условный «цифровой след» пользователя. Отсутствие какой-либо активности в интернете/отсутствие данных в любых слитых источниках может указывать на поддельную личность.

Каждый из перечисленных методов не используется обособленно, а комбинируются с остальными, чтобы обеспечить итоговую точность результатов.
Получается такая многослойная система защиты: скоринг даёт количественную оценку риска, фингерпринтинг связывает действия с конкретными устройствами, а внешние интеграции предоставляют актуальную информацию о конкретном пользователе.
Не стоит также преуменьшать роль машинного обучения в работе антифрода. Каждая вычисленная метрика отправляется на сервер, где она обрабатывается и анализируется. В результате чего, антифрод со временем становится более точным и эффективным.

Риск-менеджмент в антифроде

Риск. Кто не рискует - тот не пьёт. И в антифроде это тоже работает. Многие думают, что цель антифрода - полностью искоренить мошенничество. Но это неправильный подход, и вот почему.

Идеальная защита убьёт ваш бизнес

Представьте банк, который требует от каждого клиента приносить справку о доходах, три поручительства и сдавать отпечатки пальцев для покупки кофе. Мошенников там точно не будет, правда клиентов тоже. ¯\(ツ)/¯

Задача антифрода не в том, чтобы создать идеальную защиту, а в том, чтобы сделать мошенничество экономически невыгодным. Если фродер тратит на обход защиты больше денег и времени, чем может получить, он просто уйдёт к конкурентам с более слабой защитой.

False Positive vs False Negative

В антифроде системе, как и в ИБшных SIEMах, есть две основные ошибки:

1. False Positive (ложное срабатывание) - когда система блокирует честного пользователя, приняв его за мошенника. Клиент не может купить то, что хочет, злится и уходит к конкурентам.

2. False Negative (пропуск мошенника) - когда система пропускает реального фродера. Компания теряет деньги.

Но в отличии от ИБ, здесь идеальный баланс найти сложнее, поэтому приходится выбирать - лучше заблокировать лишнего честного пользователя или пропустить мошенника? Ответ зависит от бизнеса.
Ну, например, банк может себе позволить лишний раз попросить подтверждение платежа, а игровой сервис рискует потерять импульсивного зумера-покупателя.

Градация мер

Хорошая антифрод-система не работает по принципу «заблокировать или пропустить». Она использует градацию мер в зависимости от уровня риска:

1. Низкий риск
Пользователь проходит без препятствий. 
Максимум что может быть - дополнительное логирование для статистики.

2. Средний риск
Мягкие меры. 
Капча, SMS-подтверждение, дополнительная авторизация. 

3. Высокий риск
Жёсткие меры. 
Временная блокировка, ручная проверка модератором.

4. Критический риск
Полная блокировка, разблокировка через службу поддержки.

При этом антифрод умеет адаптироваться под поведение пользователей. Если человек всегда покупает что-то с рабочего компьютера в офисе с 9 до 18, а потом внезапно делает покупку в 3 ночи с телефона в другом городе - это повод насторожиться. Но система не должна сразу блокировать его. Может, человек в командировке или просто не спит. Это, скорее, средний риск и лучше попросить дополнительное подтверждение - SMS или пуш-уведомление в приложении.

Экономика фрода

В итоге всё сводится к экономике. У мошенника есть бюджет времени и денег. Задача антифрода - сделать так, чтобы этого бюджета не хватало на прибыльную деятельность.

Если для создания одного рабочего аккаунта фродеру нужно потратить час времени, купить сим-карту за 100 рублей и пройти верификацию, а заработать он может максимум 50 рублей - бизнес становится убыточным.

При этом честные пользователи не должны страдать. Здесь помогает машинное обучение и суммаризация скорингов от поставщиков - система учится отличать нормальное поведение от подозрительного и применяет строгие меры только к реально подозрительным случаям.

Вызовы и выводы

Напоследок, поговорим об актуальных атаках, с которыми сталкивается антифрод сейчас.

ИИ в руках мошенников

Если раньше создание качественных поддельных документов или фото требовало серьёзных навыков, то теперь ChatGPT напишет убедительную историю для службы поддержки, а Midjourney нарисует селфи с паспортом. За пару минут и практически бесплатно.

Стоит ли говорить о том, что мошенники уже создали далеко не один сервис, специализирующийся на создании и отрисовке поддельных документов?

С Deepfake-технологиями в этом плане посложнее, ведь там мест, в которых нейросеть оставляет артефакты, гораздо больше.

Поведенческий анализ? ИИ уже начинает имитировать поведенческие паттерны. Нейросеть может научиться двигать мышью «как человек», печатать с естественными паузами и даже имитировать уникальный стиль взаимодействия с интерфейсом.

Атаки на ML-модели («прогрев» аккаунтов)

Мошенники изучают, как работают скоринговые модели, и целенаправленно их атакуют. Adversarial attacks - это когда в данные вносятся незаметные изменения, которые заставляют модель принимать неправильные решения.

Например, фродер может специально «прогревать» свой аккаунт несколько недель, совершая мелкие честные покупки, чтобы снизить свой скор перед крупной мошеннической операцией.

Кошки-мышки

В итоге получается классическая гонка вооружений. Мошенники используют ИИ для атак - защитники используют ИИ для защиты. Фродеры создают более изощрённые схемы - антифрод становится умнее и быстрее.

Но есть одно важное отличие: у честных компаний больше ресурсов и данных для обучения моделей.
Главное - не забывать, что в центре всего этого технологического противостояния остаются реальные люди. И задача хорошего антифрода по-прежнему в том, чтобы защитить их, не усложняя жизнь.

Заключение

Хороший антифрод должен минимизировать риски для пользователей в условиях постоянной угрозы мошенничества, при этом не ухудшая их опыт использования.

В следующих статьях разберём конкретные примеры антифрод-систем и посмотрим, как все эти принципы работают на практике. Stay Tuned!

Подписывайтесь на наш Telegram, кстати, мы там всякие новости про мошенничество постим: https://t.me/femidasearch