Fraud Protection — кросс-канальная система от F.A.C.C.T., разработанная для противодействия онлайн-мошенничеству. Решение защищает от атак и обеспечивает непрерывность работы пользователей во всех цифровых каналах за счёт упрощения процесса проверки безопасности и применения запатентованных технологий, таких как Global ID и Preventive Proxy.
- Введение
- Функциональные возможности Fraud Protection
- Используемые во Fraud Protection технологии
- Применение Fraud Protection
- Выводы
Введение
Fraud Protection — решение для выявления, предупреждения и устранения разных типов онлайн-фрода во всех цифровых каналах: от платёжного мошенничества с использованием социальной инженерии до отмывания доходов. Для эффективной борьбы с финансовым мошенничеством разработчики использовали технологии машинного обучения и другие высокоэффективные алгоритмы. Благодаря этому кросс-канальная система идентифицирует вредоносную активность до факта реализации мошенничества.
Решение создано для защиты данных любой компании, использующей цифровые каналы обслуживания, т. к. именно последние подвержены мошенническим манипуляциям. Поэтому система нашла применение и в крупных банках России и СНГ, и на ведущих маркетплейсах, и в компаниях из других сфер бизнеса.
F.A.C.C.T. Fraud Protection позволяет проверять подозрительные операции в режиме реального времени, не нарушая банковской тайны и не собирая персональных данных.
Функциональные возможности Fraud Protection
Кросс-канальная система от F.A.C.C.T. объединяет в себе ряд функциональных возможностей, направленных на предотвращение мошеннических действий и обеспечение безопасности данных.
Многоуровневая система детектирования мошенничества
Fraud Protection использует многоуровневый подход к детектированию мошенничества, который включает в себя как традиционные методы, так и передовые алгоритмы машинного обучения. Благодаря этому кросс-канальная система выявляет все виды фрода:
- Кражи при помощи социальной инженерии. Для своих целей злоумышленники используют мошеннические письма, звонки, обман через соцсети, фишинговые сайты. Они вводят жертву в заблуждение, представляясь сотрудниками государственных органов или банков и заставляя переводить деньги на счёт дропера или отдавать их третьим лицам.
- Мошенничество с пользовательскими учётными записями. Применяются несанкционированный доступ, множественные регистрации под разными учётными записями, незаконные действия от имени пользователя.
- Финансовые махинации. Часто встречаются кража средств через системы дистанционного банковского обслуживания, мошенничество с банковскими картами, изменение платёжных реквизитов.
- Мошенничество с применением вредоносных программ (веб-инъекции, мобильные троянские программы, несанкционированный удалённый доступ). На данный момент наиболее актуальны вредоносные программы для устройств под управлением Windows и Android. Таким образом хакеры получают удалённый доступ к устройству пользователя, что позволяет им осуществлять кражи логинов и паролей, перехватывать СМС-сообщения, реализовывать автоматизированный вывод средств из банковского приложения.
- Отмывание денег и финансирование терроризма (перевод средств через цепочку взаимосвязанных компаний или через подставных лиц).
- Кредитные аферы (подача множественных заявок, использование украденных персональных данных).
- Вредоносная активность ботов. Мошенники используют специальные программы, выполняющие определённые действия. Такие методы применяются с целью автоматизированной кражи учётных записей, атак на сервис с целью DDoS, подбора логинов и паролей, СМС-бомбинга и так далее.
Антифрод-система анализирует пользовательские действия в настоящем времени, выявляя аномалии, которые могут свидетельствовать о мошеннической активности. Такой подход позволяет значительно снизить количество ложных срабатываний и повысить точность обнаружения угроз.
Предоставление аналитических данных
Fraud Protection оснащён функциональными инструментами аналитики, которые позволяют собирать и анализировать данные о транзакциях и инцидентах мошенничества, выявляя долгосрочные и краткосрочные тенденции. Решение просто использовать: антифрод-аналитик за несколько минут сможет настроить правило для отражения атаки.
Рисунок 1. Конструктор правил Fraud Protection
Благодаря этому клиент получает возможность отслеживать показатели эффективности безопасности, такие как количество предотвращённых попыток мошенничества, уровень ложных срабатываний и динамика угроз.
Рисунок 2. Пример аналитического отчёта Fraud Protection
Полученные аналитические данные позволяют компаниям создавать более эффективные стратегии борьбы с онлайн-мошенничеством в режиме реального времени.
- Принятие обоснованных решений. Аналитика помогает руководству и специалистам по безопасности принимать решения на основе данных, а не предположений. Это снижает риски и повышает эффективность мер по защите.
- Оптимизация процессов безопасности. С помощью статистики можно выявить слабые места в процедурах защиты и оптимизировать их для более эффективного предотвращения угроз.
- Прогнозирование и профилактика будущих угроз. Информация позволяет предсказывать угрозы и разрабатывать превентивные меры. Это особенно важно для динамичной сферы кибербезопасности, где угрозы быстро эволюционируют.
- Упрощение процесса подготовки отчётов для регуляторов. Компании часто обязаны предоставлять отчёты о мерах по обеспечению безопасности как внутренним аудиторам, так и внешним регуляторам. Наличие готовых аналитических инструментов значительно облегчает этот процесс.
- Повышение доверия клиентов. Когда организации могут продемонстрировать, что они активно отслеживают риски и управляют ими, это увеличивает доверие со стороны их клиентов и партнёров.
Исходя из сказанного, можно сделать вывод, что благодаря детализированным отчётам и простым в использовании дашбордам пользователь Fraud Protection получает подробную и действительно практически ценную информацию.
Сокращение расходов
Антифрод-система помогает клиентам значительно сокращать расходы, связанные с последствиями мошенничества и возможными репутационными рисками, за счёт внедрения передовых технологий и эффективного управления рисками. Она позволяет минимизировать расходы на такие дополнительные меры по защите пользователей, как:
- двухфакторная аутентификация пользователей в приложении (при помощи кода из СМС-сообщения или звонка оператора);
- подтверждение операций в приложении (при помощи кода из СМС-сообщения или звонка оператора);
- мониторинг и проверка транзакций операторами и так далее.
Для управления решением достаточно одного антифрод-аналитика, что также положительно сказывается на бюджете компании.
Система снижает финансовые потери от мошеннических действий, оперативно выявляя и блокируя подозрительные транзакции. Благодаря алгоритмам машинного обучения и поведенческому анализу Fraud Protection минимизирует количество ложных срабатываний (на 20 % по сравнению с другими аналогичными сервисами), что позволяет избежать затрат на повторную проверку и обработку полученных данных.
Решение F.A.C.C.T. не только повышает безопасность, но и делает управление рисками более экономичным, помогая компаниям эффективно распределять ресурсы и снижать общие операционные издержки.
Интеграция с системами управления рисками
Fraud Protection — гибкая и масштабируемая кросс-канальная система. Она поддерживает интеграцию с различными системами управления рисками и платформами для анализа данных, отечественными и из СНГ, посредством API.
По словам разработчиков, Fraud Protection можно адаптировать под любые потребности заказчика, настроив систему с учётом особенностей бизнеса. F.A.C.C.T. интегрирует свой продукт с минимальными затратами на разработку и инфраструктуру. Срок интеграции и настройки — до одного дня.
Используемые во Fraud Protection технологии
Fraud Protection от F.A.C.C.T. представляет собой передовую систему, которая использует комплекс современных технологий для обеспечения максимальной защиты от фрода. Архитектура решения представлена несколькими модулями, которые можно интегрировать в инфраструктуру заказчика вместе или по отдельности.
Машинное обучение
Машинное обучение занимает центральное место в архитектуре Fraud Protection. Технология позволяет системе адаптироваться к новым типам угроз, улучшая модели обнаружения на основе поступающих данных.
Рисунок 3. Технологии машинного обучения, используемые Fraud Protection
Поведенческий анализ
При помощи алгоритмов машинного обучения кросс-канальная система анализирует поведение пользователей. Это позволяет ей:
- формировать персонализированный поведенческий профиль каждого пользователя;
- распознавать пользователя по его действиям в ходе сессии;
- проводить анализ схожести действий пользователя с мошенническими схемами;
- определять отклонения в поведении пользователя.
Поведенческая аналитика позволяет системе оперативно реагировать на подозрительные действия, блокируя сомнительные операции или запрашивая дополнительную аутентификацию.
Анализ устройства пользователя
Кросс-канальная система от F.A.C.C.T. анализирует каждое устройство, с которого пользователь открывает защищаемое приложение. Для всех устройств формируются и анализируются индивидуальный профиль и цифровой отпечаток (device fingerprint).
Рисунок 4. Цифровая биометрия и снятие цифрового отпечатка устройства в веб-канале
Рисунок 5. Цифровая биометрия и снятие цифрового отпечатка мобильного устройства
Используемые системой технологии Cloud ID и Call ID обеспечивают отслеживание смены устройств и сим-карт, исключая ложноположительные срабатывания и выявляя онлайн-мошенничество.
На основе полученной информации Fraud Protection делает общий вывод о защищённости устройства. Система обнаруживает нетипичное поведение пользователей и сущностей, выявляет признаки использования эмуляторов, подмену параметров устройства и др.
Рисунок 6 Анализ цифровых отпечатков устройств и цифровая биометрия для мобильных приложений
Неагентское выявление вредоносного кода
Сканирование без агента детектирует вредоносный код на страницах защищаемого ресурса. Обнаруживаются:
- веб-инъекции;
- троянские приложения (сигнатурным и поведенческим способами);
- несанкционированный удалённый доступ на устройстве пользователя.
Технология неагентского выявления не требует установки средств защиты на устройствах пользователей. Клиентский модуль Fraud Protection устанавливается только в защищаемое приложение.
Анализ связей
Fraud Protection анализирует всю полученную информацию и результаты работы всех технологий по выявлению мошенничества, выстраивает графы, которые позволяют визуализировать связи между устройствами и учётными записями пользователей. Это помогает:
- выявлять кросс-канальное и кросс-банковское мошенничество;
- идентифицировать устройства одного пользователя в рамках приложения (технология Cloud ID);
- применять глобальную распределённую идентификацию устройств (технология Global ID).
Рисунок 7. Пример графа визуализации связи между пользователями и устройствами
Выявление и блокирование бот-активности
Встроенная в систему запатентованная технология, реализованная в модуле Preventive Proxy, обеспечивает защиту от всех видов активности ботов: атак на мобильный API, нелегитимного использования API и систем автоматизации, использования украденных данных, DDoS-атак на уровне приложений, кражи cookie-файлов, скрейпинга и брутфорса.
Рисунок 8. Антибот во Fraud Protection
Модуль защищает от бот-активности на протяжении всей сессии работы пользователя. Попытка переиспользовать токены доступа или сессионный идентификационный файл (cookie) не приведёт к желаемому результату.
Preventive Proxy проверяет наличие, корректность и уникальность файлов cookie на устройствах пользователей, исходя из полученных запросов, и на этой основе принимает решение о наличии либо отсутствии бот-активности.
Рисунок 9. Preventive Proxy во Fraud Protection
Технологии Cloud ID и Call ID обеспечивают отслеживание смены устройств и сим-карт, исключая ложноположительные срабатывания и выявляя онлайн-мошенничество.
Интеграция с Threat Intelligence
Threat Intelligence — система для исследования и атрибуции кибератак, охоты на угрозы и защиты сетевой инфраструктуры на основании данных о тактиках, инструментах и активности мошенников. Она предоставляет заказчикам сведения киберразведки F.A.C.C.T. по всем атакующим, нацеленным на их организацию:
- индикаторы вредоносных программ;
- скомпрометированные учётные записи пользователей и платёжные карты;
- данные IP Intelligence (прокси, Tor, хостинги);
- вредоносные и фишинговые домены.
Благодаря Threat Intelligence у заказчика есть возможность создать оповещения, которые будут информировать о случаях компрометации данных компании.
Рисунок 10. Оповещения о случаях компрометации
Интеграция этой системы с Fraud Protection позволяет добиться максимальной эффективности каждого из компонентов экосистемы безопасности.
Применение Fraud Protection
Антифрод-системы актуальны для банков, онлайн-торговли, сервисов онлайн-оплаты и других сфер.
Борьба с социальной инженерией
Для банков основным трендом мошенничества продолжает оставаться социальная инженерия со всеми её производными. Сохраняет актуальность угроза в виде поддельных Android-приложений и вредоносных программ семейства Buhtrap. F.A.C.C.T. Fraud Protection позволяет выявлять различные признаки социальной инженерии на этапе начала атаки, опираясь на глубокий анализ поведения пользователя с применением технологий машинного обучения.
Противодействие фишингу
Для сервисов онлайн-оплаты одной из актуальных схем атак является фишинг. Совокупность технологий F.A.C.C.T. Fraud Protection и глубокая интеграция F.A.C.C.T. TI и F.A.C.C.T. DRP позволяют выявлять подобные атаки до проведения транзакции.
Борьба с ботами
В сфере онлайн-торговли процветают схемы атак с использованием автоматизированного ПО — ботов. Мошенники эксплуатируют особенности бонусных программ, создают клоны магазинов, подделывают или повторно используют сессионные токены. Продукт Preventive Proxy, являющийся расширением Fraud Protection, позволяет выявлять подобные действия на этапе первичного обращения бота к защищаемому сервису.
Другие направления
Fraud Protection могут использовать не только организации из перечисленных отраслей. Антифрод-технология актуальна, например, в видеоиграх (для защиты внутриигровых транзакций) или в сфере рекламы, где важно выявлять и пресекать мошенничество с переходами (клик-фрод). Fraud Protection легко интегрируется и подстраивается под потребности бизнеса в любой сфере. Вот некоторые сценарии её применения.
- Телекоммуникации — для идентификации мошенников, которые используют чужие данные для подключения к услугам связи. Пример: блокирование сим-карты после нескольких неудачных попыток ввода ПИН-кода, чтобы предотвратить кражу аккаунтов.
- Авиационная отрасль — для обнаружения поддельных билетов и мошенничества при онлайн-покупках. Пример: проверка паспортных данных при покупке авиабилета онлайн для предотвращения использования украденных личных данных.
- Медицинская сфера — для предотвращения мошенничества с медицинскими страховками и данными пациентов. Пример: проверка личности пациента при помощи двухэтапной аутентификации.
- Азартные игры онлайн — для борьбы с мошенничеством и предотвращения использования украденных кредитных карт при оплате ставок. Пример: мониторинг активности игрока и его платёжных операций для обнаружения аномалий и блокирования мошеннических аккаунтов.
- Туристическая отрасль — для обнаружения фальшивых бронирований и мошенничества с билетами. Пример: проверка паспортных данных при бронировании отеля или билетов на экскурсии для предотвращения использования поддельных документов.
- Мобильные приложения — для защиты от вредоносных приложений и атак на данные пользователей. Пример: обнаружение подозрительной активности в приложении (попытки взлома аккаунта и др.) и автоматическое его блокирование.
- Страховая отрасль — для выявления мошенничества с выпуском и продажей страховых полисов. Пример: глубокий анализ контекста сессии (как скомпрометированного страхового агента, так и самого мошенника), что в совокупности позволяет предотвращать подобные атаки.
Пользователь Fraud Protection может не беспокоиться о безопасности данных своих клиентов: трафик, данные и все скрипты шифруются для защиты от перехвата посторонними лицами. Система не собирает и не обрабатывает данные, которые позволяли бы идентифицировать пользователей.
Система F.A.C.C.T. в индустрии ставок
Букмекеры сталкиваются с новым видом мошенничества: арендой и покупкой чужих аккаунтов. Злоумышленники используют анонимные учётные записи для обхода ограничений, создавая угрозу финансовым и персональным данным пользователей. Это снижает доверие к платформам и ведёт к финансовым потерям.
Поэтому, например, «Лига Ставок» внедрила в свою инфраструктуру Fraud Protection для анализа поведенческих паттернов пользователей в настоящем времени и выявления аномальной активности. Инструменты машинного обучения позволяют распознавать даже сложные схемы, такие как массовое использование ботов, и блокировать мошеннические операции до их завершения.
В результате F.A.C.C.T. и букмекерская компания «Лига Ставок» в I квартале 2024 г. смогли предотвратить мошенническую активность более чем 3000 мультиаккаунтов. Исследование выявило, что многие купленные аккаунты формировали цепочки взаимосвязанных учётных записей. Это подтверждалось одинаковыми поведенческими паттернами при использовании веб-ресурсов и мобильных приложений. Было установлено, что один злоумышленник мог управлять 5–10 аккаунтами в разных букмекерских компаниях, а суммарный оборот операций достигал 300 000 рублей в месяц.
Система F.A.C.C.T. в борьбе с «серыми» транзакциями
Нелегальные казино и букмекеры используют сложные схемы для обхода финансового контроля. Они применяют P2P- и H2H-переводы, мискодинг, сайты-витрины и боты для маскировки транзакций через счета дропов. Эти схемы создают значительные риски для банков, включая риск отзыва лицензии Банком России. Для борьбы с такими видами мошенничества также можно использовать Fraud Protection.
Например, если говорить о переводах Host-To-Host, то система от F.A.C.C.T. будет обрабатывать транзакции и оценивать отправителя и получателя платежа в синхронном режиме. Для оценки риска транзакции и проверки получателя (KYC) модули Fraud Protection смогут реализовать сбор информации и обмен как кросс-канальными сессионными данными, так и обезличенными персональными, транзакционными сведениями в режиме реального времени.
Выводы
При создании кросс-канальной системы разработчики не копировали решений других игроков рынка ИБ и не использовали их подходов. В основе Fraud Protection лежат собственные технологии, данные киберразведки и многолетний экспертный опыт F.A.C.C.T. Системе Fraud Protection доверяют крупнейшие банки страны и дружественных государств, а также бизнес в сфере розничной торговли и электронной коммерции, страховые компании, букмекеры.
Одной из ключевых особенностей кросс-канальной системы F.A.C.C.T. является её способность учиться и адаптироваться. Мошенники постоянно изменяют свои тактики, поэтому система должна быть способна быстро подстраиваться под них. Для этого разработчики Fraud Protection регулярно обновляют свои модели на основе новых данных о мошенничестве и изменяющихся паттернов поведения.
F.A.C.C.T. интегрирует свой продукт с минимальными затратами на разработку и инфраструктуру с использованием собственного облака в течение одного дня. Решение Fraud Protection может быть интегрировано в любую систему управления рисками, которое использует API, вне зависимости от отрасли и направления бизнеса.