Сертификат AM Test Lab
Номер сертификата: 336
Дата выдачи: 21.03.2021
Срок действия: 21.03.2026
- Введение
- Системные требования Smart Fraud Detection
- Лицензирование Smart Fraud Detection
- Основной сценарий обработки транзакции в Smart Fraud Detection
- Работа пользователя в Smart Fraud Detection
- Выводы
Введение
Все компании в той или иной степени потенциально уязвимы для разного рода мошеннических действий, или фрода (англ. fraud). Сюда можно отнести как растраты и злоупотребления, так и совершение ненадлежащих платёжных операций, отмывание финансовых средств, финансирование терроризма.
Любое мошенничество — это проблема, которая влечёт за собой далеко идущие последствия и непосредственно в финансовой сфере, и для жизни общества в целом. Факты мошенничества могут снизить доверие как к конкретным организациям, так и в целом к отрасли, дестабилизировать экономику и повлиять на повседневные расходы людей.
В течение 2020 года имело место беспрецедентное количество масштабных утечек персональных данных из российских банков, что впоследствии вылилось в целый ряд успешных атак с использованием методов социальной инженерии. Этому способствовали как высокая сложность доказательства самого факта совершения мошеннической операции, так и весьма высокий уровень организации: объединение злоумышленников в группы с разделением ответственности, координация действий из единого центра, обмен опытом, взаимопомощь.
В прошлом компаниям приходилось применять в значительной степени фрагментированный подход к обнаружению и предотвращению мошеннических действий. Для традиционных каналов обслуживания клиентов (например, карточные транзакции, интернет-банк и т. п.) применялись свои специализированные и не взаимодействующие между собой решения. При этом использовались бизнес-правила и элементарная аналитика для поиска аномалий и создания предупреждений на базе полученных через разные каналы и не связанных между собой наборов данных. Многие каналы утечки оставались совершенно бесконтрольными в силу отсутствия необходимых технических возможностей, например по обнаружению фактов фотографирования экрана, чтения вслух информации с ограниченным доступом, физического отсутствия пользователя на рабочем месте и др.
Взаимозависимости между различными фрагментами данных фактически не могли быть установлены вследствие отсутствия эффективных средств автоматизации. В свою очередь, лица проводившие расследование инцидентов были лишены возможности отслеживать транзакции в режиме реального времени и реагировать приходилось исключительно постфактум.
Для борьбы с мошенничеством в современных условиях потребовались принципиально новые технологии, позволяющие предотвращать возможности реализации классических шаблонов атак злоумышленников и обнаруживать новые схемы мошеннических действий. Это подразумевает использование более совершенных технологий, чем в состоянии предоставить традиционная аналитика. В частности, очевидна потребность в методах прогнозной и адаптивной аналитики (включая машинное обучение), реализации динамических самообучаемых моделей оценки риска и т. д.
Компания «Фаззи Лоджик Лабс» — российская компания, основанная в 2016 году, которая занимается разработкой продуктов в области противодействия фроду, начиная от разработки математических моделей и до внедрения продукта у заказчика с последующей комплексной поддержкой системы обнаружения и предотвращения мошенничества во всех каналах обслуживания клиентов.
Система Smart Fraud Detection, разработанная компанией «Фаззи Лоджик Лабс», представляет собой высокопроизводительную, легко масштабируемую систему обнаружения и выявления мошеннических действий, способную в том числе противостоять выполнению операций по отмыванию денег. В отличие от большинства универсальных решений западного производства Smart Fraud Detection функционирует в режиме реального времени, который обеспечивает обработку пиковых потоков данных за миллисекунды.
В системе сочетаются методы детектирования аномалий как на основе правил, так и с использованием технологий машинного обучения. Наборы правил фактически являются отражением политик организации по маркированию подозрительной активности или известных шаблонов атак на базе анализа параметров конкретной транзакции и / или анализа динамически рассчитываемых объектов (if ... else rule). С помощью методов машинного обучения система автоматически создаёт профили клиентов, отражающие их типичную активность, и позволяет выявлять отклонения от этого поведения, которые могут быть индикаторами либо уже известных типов фрода, либо новых, ранее не фиксировавшихся типов атак.
Далее будут детально описаны функциональные возможности и сценарий использования системы Smart Fraud Detection.
Системные требования Smart Fraud Detection
Для обеспечения корректного функционирования Smart Fraud Detection необходимо организовать программную среду, удовлетворяющую следующим характеристикам:
- сервер приложений с операционной системой Debian, RHEL, CentOS;
- сервер БД с операционной системой Debian, RHEL, CentOS, Solaris, AIX и СУБД Oracle или PostgreSQL.
Требования к аппаратному обеспечению во многом зависят от планируемой нагрузки на систему. В условиях типовой нагрузки для сервера приложений и для сервера СУБД потребуются:
- 8 физических ядер процессора;
- тактовая частота не менее 2 ГГц;
- оперативная память не менее 32 ГБ (для сервера приложений — не менее 128 ГБ);
- жёсткий диск не менее 500 ГБ (для сервера СУБД — не менее 4 ТБ).
Расчёт указанных требований произведён исходя из предположения, что для типовой нагрузки характерны примерно следующие показатели:
- общее количество активных клиентов — до 1 000 000;
- пиковое количество транзакций в секунду — 100;
- общее количество транзакций в день — 500 000;
- время ответа на транзакцию — 200 мс;
- глубина хранения данных — 180 дней.
Лицензирование Smart Fraud Detection
Smart Fraud Detection лицензируется по каналам обслуживания клиентов. В базовом пакете присутствуют следующие каналы:
- мобильный банк;
- интернет-банк, управляемый через веб;
- операции в офисах;
- эмиссия;
- эквайринг;
- интернет-эквайринг;
- интернет-киоск;
- мониторинг персонала;
- SMS-банк;
- контактный центр, IVR;
- операции через мессенджеры / чат-бот;
- мониторинг соответствия требованиям (compliance).
Заказчик может выбрать именно тот набор лицензий, который соответствует его текущим потребностям. Базовая лицензия на канал предусматривает возможность его использования для 1 миллиона активных клиентов. В системе лицензирования активным считается клиент, который в течение полугода выполнял хотя бы одну операцию. Достаточно, например, входа в мобильное приложение. В систему заложена возможность как расширения списка обслуживаемых каналов, так и увеличения числа активных клиентов с шагом в 1 миллион.
Архитектура Smart Fraud Detection
Развёртывание системы Smart Fraud Detection предполагает установку коннекторов на стороне заказчика, которые будут передавать данные об используемых для совершения транзакций устройствах и данные самих транзакций. Здесь стоит ещё раз подчеркнуть, что понятие «транзакция» трактуется в самом широком смысле: это — практически любое действие клиента в канале обслуживания, например перевод денег в интернет-банке или попытка входа (login), попытка изменения учётных данных профиля (пароль, телефон, адрес проживания и т. д.), последовательность посещения страниц портала и проч.
В базовой поставке для мобильных приложений содержатся SDK, для интернет-банка — комплект Java-скриптов, для задач мониторинга персонала — пакет встраиваемых скриптов, веб- или Windows-агент. По желанию заказчика в рамках проекта по внедрению могут быть разработаны дополнительные коннекторы.
Серверная часть Smart Fraud Detection имеет модульную структуру, представленную на рисунке 1.
Рисунок 1. Компонентный состав Smart Fraud Detection
Функциональные возможности Smart Fraud Detection
Функциональные возможности системы Smart Fraud Detection реализуются в рамках трёх обширных направлений: борьба с внутренним мошенничеством, борьба с внешним мошенничеством, compliance-мониторинг.
Система обладает следующими основными функциональными возможностями:
- отслеживание, обнаружение и изучение фактов мошенничества;
- добавление дополнительного уровня безопасности к применяемой системе аутентификации клиентов (реализация схемы адаптивной аутентификации);
- защита от возникающих угроз, таких как «внедрённый посредник» (man-in-the-middle), троянские программы типа «посредник в браузере» (man-in-the-browser), несанкционированное снятие денежных средств по утерянной / похищенной банковской карте;
- обнаружение попыток мошенничества без внесения существенных изменений в привычные для клиентов системы и процедуры;
- обеспечение поддержки требований регуляторов;
- быстрая интеграция системы безопасности в виде развёрнутого локально программного обеспечения с применяемой системой дистанционного обслуживания клиентов.
В части мониторинга персонала в конце 2020 года стала доступна функция, которая контролирует поведение сотрудников и позволяет с помощью камер и микрофонов выявлять нетипичные действия при выполнении операций. При этом обрабатываются фото-, видео- и аудиоданные, выявляются аномалии, создаются инциденты для дальнейшего расследования и новой настройки правил. По фото- и видеоданным система может аутентифицировать сотрудника или клиента, проанализировать его эмоциональное состояние, определить классы объектов в кадре. Например, по аудиоданным система в состоянии определить тип помещения, число говорящих людей, различные аномалии, такие как повышенная эмоциональность или нетипичный для того или иного сотрудника звуковой фон. По паттернам работы с клавиатурой / мышью система может определить характер деятельности сотрудника за компьютером.
В начале 2021 года компания объявила о реализации поддержки протокола 3D Secure 2.0 (здесь стоит отметить, что текущая реализация также поддерживает аналогичный протокол MirAccept 2.0, разработанный НСПК для отечественной платёжной системы «МИР»). Данная функциональность позволяет в режиме реального времени создавать более точные профили объектов в различных каналах, а также связи между ними; обнаруживать регулярные платежи в различных каналах; проверять платежи по реквизитам и устройствам известных мошеннических операций, проведённых в других банковских каналах; ранжировать операции от наименее рискованных до наиболее рискованных путём присвоения оценки риска каждому событию.
Кроме того, решение поддерживает дополнительные оценки рисков на стороне клиентов участников СБП (системы быстрых платежей) — банков плательщиков и банков получателей. Процедура проверки платежей разработана по нормативному документу «Стандарт ОПКЦ СБП. Порядок проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Данная функциональность системы Smart Fraud Detection помогает снизить риски возникающие на стороне клиентов участников СБП, включая риск перевода денежных средств и массовых переводов без согласия клиента, риск раскрытия информации, в том числе персональных данных, а также сведений составляющих банковскую тайну, и репутационные риски, связанные с ущербом деловой репутации.
Шаблоны, схемы и методы, которыми пользуются злоумышленники, пытающиеся обойти связанные с финансовым мониторингом и требованиями регуляторов ограничения, также легко выявляются данным решением. Поэтому система с успехом может применяться (и применяется) для задач compliance-мониторинга.
Основной сценарий обработки транзакции в Smart Fraud Detection
При возникновении транзакции информация о ней вместе со сведениями об устройстве, с которого выполняется транзакция (например, язык системы, часовой пояс, IP-адрес и т. д.), передаётся от источника в модуль обработки транзакций.
Далее выполняется первичная обработка полученной информации. В условиях базовой поставки для передачи данных используются протоколы TCP (ISO 8583) и HTTP / HTTPS (JSON). Так как коннекторы передают не всю информацию, необходимую для анализа, модуль обработки транзакций обогащает её из офлайн-справочников, которые предварительно были загружены в систему (информация по карте, клиенту и т. д.). После этого расширенная информация о транзакции передаётся в модуль оценки риска.
Данные, которые передаются в Smart Fraud Detection в рамках анализа транзакций, сохраняются в системе и формируют профиль клиента, устройства, сотрудника, получателя, терминала онлайн-оплаты и других объектов, т. е. выполняется консолидация параметров. Для построения модели типичного поведения клиентов используются самообучающиеся математические алгоритмы на базе байесовских сетей доверия, набор из нескольких нейросетей и деревьев с градиентным бустингом.
Если в транзакции фигурирует IP-адрес, то модуль оценки риска с использованием базы данных Geo IP определяет местоположение устройства.
Далее событиям присваиваются вычисленные баллы риска. Модуль оценки рисков присваивает событию уникальный балл риска в диапазоне от 0 до 1000. Балл риска вычисляется по значениям реквизитов события при помощи модели типичного поведения клиентов — чем больше у события признаков отличных от модели типичного поведения клиентов, тем выше балл его риска. Если система одновременно будет использоваться для фрод-проверок и для комплаенс-мониторинга (например, для противодействия отмыванию денег — Anti-Money Laundering, или AML-контроль), то оценок риска будет две.
Дальше управление передаётся в следующий модуль — модуль правил, полностью управляемый через интерфейс системы. В результате обработки транзакции в этом модуле ей присваивается одна из следующих отметок: подозрительная транзакция — если событие соответствует хотя бы одному из заданных в системе критериев выявления мошенничества; легитимная (подлинная) транзакция — если событие не соответствует ни одному из них.
Анализ выполняется автоматически в режиме максимально приближенном к режиму реального времени, по мере получения событий о транзакциях клиентов. Анализ осуществляется при помощи следующих механизмов: «чёрные» списки; «белые» списки; статические правила; модель типичного поведения клиентов.
Механизм анализа на базе «чёрных» или «белых» списков присваивает событию отметку подозрительной транзакции, если какие-либо из реквизитов платёжного документа попадают в «чёрный» или «белый» списки, определённые в системе.
Механизм анализа на базе статических правил основан:
- на проверке баллов риска события (например, если у события балл риска больше, чем заданное в правиле пороговое значение, то ему присваивается отметка «подозрительная транзакция»);
- на проверке значений реквизитов события (например, если в событии счёт получателя платежа относится к счетам федерального бюджета, то данной транзакции присваивается отметка «легитимная») и динамически рассчитываемых объектов (например, оборот по счёту за последние сутки);
- на комбинации проверок баллов риска, значений реквизитов события и динамически рассчитываемых объектов (например, если у события балл риска и сумма платежа больше, чем заданные для них в правиле пороговые значения, то ему присваивается отметка «подозрительная транзакция»).
На основании полученной оценки, настроенных правил и списков система определяет схему дальнейшей обработки. Действия могут быть следующими: разрешить (ALLOW) — проверка прошла успешно, разрешено выполнение транзакции; запретить (DENY) — запрещено выполнение транзакции; приостановить (REVIEW) — задержать выполнение транзакции до выяснения обстоятельств.
По срабатыванию правил могут выполняться управляющие воздействия по блокировке (карт, аккаунтов), информированию по SMS и почте, расследованию инцидентов с помощью соответствующего модуля системы и т. д.
Работа пользователя в Smart Fraud Detection
Основные сведения
Пользователями системы являются сотрудники организации, например офицер безопасности, фрод-аналитик, администратор антифрод-решения и т. д. Администрирование системы (управление ролевой моделью, справочниками, правилами и прочими настройками) выполняется через веб-интерфейс.
Управление доступом
Права пользователей Smart Fraud Detection определяются назначенной ролью. Каждая роль представляет собой настраиваемую совокупность полномочий / привилегий.
Рисунок 2. Параметры роли в Smart Fraud Detection
Также возможна более детальная настройка роли в части визуализации и доступа к данным.
Рисунок 3. Настройка визуализации и доступа к данным в Smart Fraud Detection
Каждый параметр при этом может настраиваться точечно. Например, можно ограничить поиск по транзакциям в глубину.
Управление правилами
В модуле управления правилами пользователь может расширить комплект стартовых правил, чтобы адаптировать работу Smart Fraud Detection под потребности организации.
Рисунок 4. Список правил в Smart Fraud Detection
При настройке правил доступны для использования динамически рассчитываемые параметры, возможна установка любых правил обработки транзакций, предоставляются механизмы работы с «чёрными» и «белыми» списками. В поставку решения входит как набор из большого количества готовых правил, так и генератор, позволяющий создавать новые правила по результатам анализа истории транзакций, которые прошли через систему.
В качестве примеров списков можно привести списки «плохих» счетов и карт получателей, список подозрительных ИНН, SIM ID и т. д. В рамках сопровождения компания «Фаззи Лоджик Лабс» периодически обновляет наиболее важные и востребованные среди заказчиков данные, которые используются для построения различных «чёрных» и «белых» списков.
Комплект стартовых списков может быть расширен по результатам работы Smart Fraud Detection. При этом элементы списка могут добавляться бессрочно или на заданный период. Списки могут быть импортированы из файла полностью или частично — при этом импортируются только новые записи.
Генератор правил основан на алгоритме эволюции грамматических структур, описанных в нормальной форме Бэкуса—Наура, и позволяет сформировать новый комплект правил или оптимизировать правила-гипотезы экспертов. При этом эффективность новых или существующих правил может быть проверена на исторических данных.
Рисунок 5. Создание запроса генерации правил в Smart Fraud Detection
Правило может быть составным (до пяти уровней вложенности). Кроме того, поддерживается механизм подправил, реализующий балльную систему маркирования подозрительных действий.
Управление справочниками
В решении используются два типа справочников: для обогащения транзакций и для настройки системы. Некоторые справочники для обогащения транзакций доступны для редактирования с помощью графического пользовательского интерфейса (например, курсы валют, справочник MCC, страны по регионам), остальные могут быть обновлены через API (например, клиенты, карты, терминалы, «мерчанты»).
Рисунок 6. Пример справочника в Smart Fraud Detection
Все типы справочников могут обновляться через планировщик или напрямую в базе данных решения.
Управление инцидентами
События, отмеченные в Smart Fraud Detection как подозрительные или мошеннические, доступны для расследований в модуле управления инцидентами.
Работа с инцидентами может вестись посменно, при этом каждая смена будет иметь доступ только к назначенным на неё инцидентам. Смена Smart Fraud Detection по сути является группой пользователей.
Рисунок 7. Список доступных инцидентов в Smart Fraud Detection
Список инцидентов может обновляться автоматически через заданный интервал времени. В карточке инцидента доступна детальная информация.
Рисунок 8. Детальная информация по инциденту в Smart Fraud Detection
Если инцидент ошибочно назначен пользователю / смене или необходимо дополнительное расследование, можно переназначить инцидент. По результатам расследования выставляется резолюция.
Рисунок 9. Доступные резолюции для инцидентов в Smart Fraud Detection
Также в разделе управления инцидентами пользователям доступно создание отчётов — вручную в интерфейсе с возможностью экспорта в файл либо по расписанию с сохранением в каталог или отправкой по электронной почте.
По умолчанию доступны следующие отчёты: по транзакциям, об обнаруженных случаях подозрительных и критически важных транзакций, о выполнении правил, по работе смены, по инцидентам операторов, по времени обработки транзакций, по выполнению ночных задач.
Рисунок 10. Создание расписания на формирование отчётов в Smart Fraud Detection
Управление заданиями администрирования
Планировщик, ещё один модуль Smart Fraud Detection, предоставляет стандартные инструменты для управления заданиями администрирования, такими как внутрисистемные процедуры или коммуникации с внешними системами: управляющие воздействия, обновление списков и т. д.
Выводы
При растущем уровне изощрённости действий злоумышленников-энтузиастов, профессиональных преступников и пособников терроризма становится всё труднее отследить, выявить или предотвратить совершаемые ими мошеннические операции. Проблема обнаружения мошенничества в современном мире требует использования комплексного подхода к сопоставлению результатов наблюдений и операций, позволяющего выявлять признаки аномальной активности. Тактика и стратегия мошенников постоянно усложняются, вследствие чего критически важно не только быть в курсе меняющихся подходов, но и обладать современным инструментарием антифрода.
Система Smart Fraud Detection обеспечивает выявление мошеннических транзакций, совершаемых с помощью средств дистанционного банковского обслуживания, мобильного и SMS-банкинга, платёжных терминалов, процессинга пластиковых карт. Также система позволяет контролировать поведение сотрудников и операции с бонусными картами, страховыми полисами. Характерной особенностью данной системы является то, что реализуемый с её помощью набор функций постоянно пополняется. Это позволяет эксплуатирующей организации поддерживать актуальный уровень обеспечения информационной безопасности и успешно противостоять новым вызовам.
Например, в октябре 2020 года, то есть в очень проблемный с точки зрения эпидемиологической ситуации период самоизоляции из-за пандемии COVID-19, компания «Фаззи Лоджик Лабс» презентовала функцию для контроля сотрудников на удалённой работе. С её помощью система получила возможность создать профиль каждого сотрудника с указанием подразделения, филиала, часового пояса и рабочего времени. При выявлении аномалии система может централизованно восстановить историю события для любого выбранного сотрудника. В частности, по каждому сотруднику отслеживаются деятельность в рабочее и неурочное время, факт наличия и вид нарушений.
В марте этого года поступило сообщение о том, что компания «Фаззи Лоджик Лабс» расширила возможности системы фродмониторинга функцией анализа данных 3D Secure 2.0. Данные 3D Secure 2.0 используются для дополнительного отслеживания транзакций и оценки риска для проводимых платежей при совершении интернет-покупок.
Одно из существенных отличий Smart Fraud Detection от конкурирующих с ним решений — весьма высокий уровень интеграции с ИТ-архитектурой банка, а также наличие предварительно настроенных функций. Smart Fraud Detection имеет коннекторы для разных внешних систем и настроенный пакет правил для мониторинга любых каналов. Благодаря этому обстоятельству средняя продолжительность внедрения системы составляет от 3 до 7 дней.
Достоинства:
- Комбинация методов машинного обучения и методов на основе правил, динамическая самообучаемая модель оценки риска, наличие генератора правил, обеспечивающего автоматическое формирование правил-гипотез с итеративной оптимизацией.
- Кросс-канальный мониторинг транзакций (интернет-банк, мобильный банк, эмиссия и т.п.).
- Компоненты модели обновляются в процессе работы.
- Минимизация ручного вмешательства, единая модель для разных категорий клиентов.
- Возможность противодействия таким атакам, как фотографирование или переписывание с экрана, принуждение третьими лицами, доступ к незаблокированному устройству, использование нелегитимных документов и др.
- Чёткое прогнозирование нагрузки на службу контроля финансовых операций в зависимости от принимаемого банком уровня риска.
- Производительное ядро системы — более 10 тысяч обрабатываемых транзакций в секунду с детерминированным временем обработки каждой транзакции, не превышающим 0,1 с.
- Хранение информации в оперативной памяти с обращением к базам данных только в процессе синхронизации.
Недостатки:
- Недостаточная гибкость настройки процесса по расследованию инцидентов.
- Отсутствие генератора отчётных форм.
По имеющимся сведениям от производителя, недостающие возможности планируется добавить в течение 2021 года. Среди прочего ожидается добавление функции мониторинга персонала с помощью браслетов, чтобы получать информацию о перемещениях сотрудников в то время, когда они не находятся на рабочих местах.