Подписаться
Читать в телеграм
Как технологии ML и Big Data помогают выявлять телефонный спам?
Какие антифрод-сервисы предоставляют заказчикам телеком-операторы?
1 декабря в Москве прошел XIII Национальный форум AntiFraud Russia, организованный Академией Информационных Систем. Представители профильных ведомств, регуляторов и бизнеса подвели итоги года, обсудили актуальные тренды и планы на будущее. В этом году, когда крупные утечки происходят почти каждую неделю, а российские компании стали главными целями хакеров и мошенников, темы мероприятия актуальны как никогда.
«Громкие утечки этого года привлекли колоссальное внимание к теме безопасности персональных данных со стороны как общества, так и государства, — прокомментировал программный директор форума Юрий Малинин. — Законодательство в сфере ПДН и ответственности за утечки меняется, несколько законопроектов обсуждаются прямо сейчас и могут быть приняты уже до конца года. На глазах меняется само восприятие персональных данных. Все это необходимо обсуждать в сообществе и с представителями государственных органов, и AntiFraud Russia — лучшая площадка для такого диалога».
С появлением новых технологий меняются и схемы мошенничества. Теперь, чтобы эффективно противостоять злоумышленникам, нужно применять сложные автоматизированные инструменты. В репортаже JETINFO мы сфокусируемся на панельной дискуссии «Технологии Data Science и Big Data в борьбе с фродом», в которой участвовали представители российских телеком-компаний.
«Механизмы социальной инженерии сегодня необходимо рассматривать в синтезе со схемами сессионного фрода — сочетания классических звонков со звонками по мессенджерам и фишинговыми сайтами, — рассказал Василий Егоров, руководитель направления AntiFraud Big Data Tele2. — Простые схемы противодействия фроду уже достигли пика своей эффективности, поэтому фокус разработки механизмов выявления сместился в сторону технологий Big Data и Data Science».
Антифрод как сервис
Дискуссию открыл модератор Алексей Сизов, руководитель департамента по противодействию мошенничеству компании «Инфосистемы Джет». Он предложил участникам рассказать, как телеком-компании видят функцию антифрода сегодня.
«Антифрод традиционно был для телекома поддерживающей функцией. Он не приносил денег, а помогал их не потерять. Теперь концепция меняется — направление начинает приносить операторам прибыль. Эта трансформация началась давно: первый проект из серии “антифрод как сервис” мы реализовали еще в 2018 г. В 2021-м мы запустили услугу “Голосовой антифрод для банков”: в реальном времени оповещаем партнеров, что их клиентам поступают подозрительные звонки. При этом мы гибко настраиваем сервис с учетом требований заказчиков: одни получают информацию по всем кейсам, которые кажутся нам подозрительными, другие — только об очевидном мошенничестве. Сервисом уже пользуются Сбер, Тинькофф, ВТБ и другие крупные игроки. К примеру, одному из банков мы еженедельно отправляем порядка 30–40 млн уведомлений, — рассказал Сергей Хренов, директор департамента по предотвращению мошенничества и потерь доходов ПАО “МегаФон”. — Другой интересный пример монетизации антифрода — наш проект для Яндекс по развитию мобильных прокси. Партнерам важно было понимать, обращается ли клиент к ним с легального номера или зачем-то маскируется».
По словам спикера, у антифрода достаточно потенциала для монетизации. Например, для борьбы с фишинговыми сайтами операторы вешают на них заглушки, предупреждающие клиентов, что данный ресурс опасен. Эти страницы можно использовать для размещения рекламы и предлагать пользователям редирект на аналогичные, но безопасные ресурсы рекламодателей.
«Антифрод-решения от телеком-операторов — это инновационные продукты, которые интересно делать и еще интереснее развивать. При этом, помимо коммерческой составляющей, нельзя упускать морально-этическую сторону вопроса. Мы защищаем людей от мошенничества, и это важно», — добавил Василий Егоров, руководитель направления AntiFraud Big Data Tele2.
Далее модератор предложил участникам дискуссии рассказать о технологиях, которые операторы используют для борьбы с мошенниками.
«За пару недель мы фиксируем порядка 3 млрд. звонков, которые поступают примерно со 133 млн номеров. Фокусируясь на теме антифрода, мы выделяем в этом множестве три больших сегмента — непосредственно фрод, спам и обычные P2P-звонки. При этом в первом сегменте 2% номеров генерят около 5% звонков. Это как раз те кейсы, которые в первую очередь интересуют наших заказчиков — социальная инженерия и все, что с ней связано, — прокомментировал Василий Егоров. — Мы задались вопросом, сколько номеров нужно классифицировать по сегментам, чтобы эффективно бороться с мошенничеством и спамом. Оказалось, 26 млн. Решить эту задачу руками сложно, потому что номера постоянно мигрируют между сегментами. Здесь и нужны современные инструменты Data Science и Big Data. Причем стандартных алгоритмов анализа уже недостаточно: нужно применять сложные статистические методы и “жестокий матан”».
Сенатор Артём Шейкин рассказал участникам форума о новых и уже принятых законопроектах в области борьбы с мошенничеством. В том числе об инициативе, которая внесет изменения в ФЗ «О связи». Главная задача документа — борьба с «подменой номеров». Телеком-компаниям необходимо будет предоставлять в Минцифры сведения, которые позволят отслеживать всю цепочку операторов связи, участвующих в соединении, в том числе оператора, непосредственного подтвердившего номер.
Математика против спама
Григорий Кузнецов, руководитель по развитию продукта «Антиспам» ПАО «ВымпелКом», поделился статистикой спама, который фиксирует оператор. По словам спикера, если сравнивать 2021 и 2022 гг., клиентам «Билайн» ежемесячно стало поступать на 20–30% больше спам-звонков. Весной активность злоумышленников немного снизилась, но уже с июня снова начался резкий рост. При этом больше всего звонков (от 10 на человека) получают абоненты из Астрахани, Калининграда, Норильска, Якутска и Комсомольска-на-Амуре. Также Григорий отметил, что объем спама продолжает расти, но средняя длительность звонков остается достаточно низкой — порядка 3,5 секунд.
Рассказ об опыте «Билайн» продолжила Наталия Багрова, руководитель по анализу данных ПАО «ВымпелКом». Наталья отметила, что у мошенников и спамеров разный профиль использования трафика. Это разные категории фрода, и для их выявления нужны отдельные алгоритмы и математические модели.
«Существует несколько подходов, с помощью которых можно выявлять спам-звонки. Первый — использовать экспертные правила, построенные на нашем понимании того, как себя ведут спамеры. Этот подход неплохо себя зарекомендовал, но технологии не стоят на месте. С помощью современных ML-решений и аналитических инструментов можно быстрее и точнее реагировать на угрозы, — отметила Наталия. — Чтобы эти алгоритмы работали и выявляли неочевидные зависимости, которые может упустить человек, нужно несколько составляющих. Во-первых, разметка: примеры спама и легитимных звонков, которые система должна автоматически отличать друг от друга. Во-вторых, набор признаков — числовые характеристики, которые помогут модели определить разницу между спамом и настоящим звонком. На основе разметки и выделенных признаков составляется обучающая выборка для алгоритма. Соответственно, от их точности, качества и полноты зависит эффективность работы всего решения».
Для оценки качества работы моделей выявления спама эксперты «ВымпелКом» выделяют три метрики. Первая — точность алгоритма: доля номеров, звонки с которых модель классифицировала как спам, и они действительно оказались спамом. Вторая — охват, третья — скорость реагирования. По словам спикеров, оператор старается держать первую метрику на уровне свыше 95% — в этом случае модель считается эффективной.
По словам Сергея Голованова, главного эксперта «Лаборатории Касперского», после 24 февраля количество телефонного фрода в России настолько снизилось, что многие аналитики боялись остаться без работы. Мошенники, зачастую работавшие из-за рубежа, столкнулись с техническими сложностями и были вынуждены перестраивать схемы вывода украденных средств. Тем не менее уже к концу весны они возобновили свою работу, а к июлю их активность достигла исторического пика.
Как определить спам
Также участники дискуссии обсудили вопрос: «Какие звонки считать спамом?». Спикеры отметили: собирая обратную связь от абонентов, они часто сталкиваются с тем, что разные люди вкладывают в понятие «спам» разный смысл. Так, многие классифицируют как спам вполне легитимные звонки от банков или МЧС. При этом другие абоненты не считают спамом классические холодные звонки от медучреждений с предложением пройти обследование.
Кроме того, иногда компании (например, фитнес-центры) используют один и тот же номер и для холодных обзвонов, и для общения с действующими клиентами. Как в данном случае определить, считать номер спамом, или нет? По словам Наталии Багровой, здесь «ВымпелКом» ориентируется на статистику. Оператор загружает в модель информацию из открытых источников. Если на номер поступает много жалоб, звонки длятся несколько секунд и не несут пользы абонентам, он автоматически заносится в спам.
«Иногда организации, например, МФЦ или “Мосэнерго”, статистически ведут себя как спамеры. У них много звонков на уникальные номера, небольшая длительность разговоров и т.д. В этом заключается одна из главных трудностей моделирования — как отделить легитимные звонки от спама. Чтобы решить эту задачу, нам хотелось бы иметь постоянно обновляемую базу от подобных организаций. Так мы сможем своевременно вносить их номера в список исключений для модели», — добавила Наталия Багрова.
«Много лет назад, когда мы с директором АИС Юрием Малининым затевали AntiFraud Russia, мы думали: “Вот победим мошенников и заживем спокойной жизнью”. Так вот, работы у нас ещё много — технический прогресс идет вперед. К сожалению, он не только создает для всех удобства в плане использования технологий, но и предоставляет возможность преступному миру совершенствовать свои навыки», — отметил Борис Мирошников, вице-президент ГК «Цитадель», председатель оргкомитета AntiFraud Russia.
«Сегодня мошенники зачастую паразитируют на стыке банковских и телеком-технологий. Как показало последнее десятилетие, усилия только одной стороны не могут дать высоких результатов по противодействию мошенничеству. Защитные технологии на стороне операторов и банков должны работать вместе, согласованно, предоставляя необходимые данные для получения наилучшего результата. Не менее важна и согласованность процессов: от скорости коммуникации и принятия решений зависит объем потенциальных потерь конечных клиентов», — подытожил дискуссию Алексей Сизов.
