Математика на службе у антифрода
Информационная безопасность Информационная безопасность

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Главная>Информационная безопасность>Математика на службе у антифрода
Информационная безопасность Тема номера

Математика на службе у антифрода

Дата публикации:
28.08.2014
Посетителей:
252
Просмотров:
339
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы. Именно она позволяет выделять из набора анализируемых сведений те, которые обычно характеризуют противоправные действия. Здесь не обойтись без базовых критериев мошеннических действий (профиля мошенничества – его вида или способа), критериев доверенных действий легитимного клиента/сотрудника (профиля пользователя) или статистических характеристик, определяющих глобальные аномалии текущих учетных операций.

 

 

Немного истории и теории

 

Исторически выявление мошенничества шло по пути контроля заранее определенного вектора атаки. Так, некоторые правила контроля банковских карт основывались на тривиальных действиях злоумышленника: кража карты (зачастую вместе с PIN-кодом, если человек хранил эту информацию вместе с пластиком), проверка баланса и совершение операции на сумму, близкую к остатку, одновременное совершение операций в разных странах и т.д. То есть использовались базовые критерии, основа для них черпалась из тех случаев мошенничества, которые фиксировались при потере карты, ее краже или компрометации. Вполне очевидно, что со временем такие простые правила анализа становились менее эффективными ввиду более изощренных действий мошенников. На смену им пришли вариативные и поведенческие модели, динамические группы – методы, обеспечивающие некоторую степень самокорректировки системы на базе статистических показателей. День сегодняшний – это применение «тяжелых» аналитических алгоритмов, поддерживающих полновесные обучаемые модели: нейронные, байесовы сети и пр.

Здесь можно привести пример из жизни ритейлеров. Так, выявление перекрестных возвратов фактически сводится к контролю трех операций: продажи, возврата и новой продажи этого товара со скидкой. Как показывает практика, при стабильном числе ложных срабатываний в течение 1 года алгоритм анализа меняется: от простого контроля последовательности операций система переходит к сложному статистическому правилу, контролирующему более 10 параметров каждой операции.

 

Одна реализация математической модели

 

Основное, что нужно сделать для выявления мошенничества, например, в программе лояльности, – это создать модель, способную охватить весь бизнес-процесс. Она должна включать известные мошеннические схемы и в то же время уметь классифицировать «поведение» карты и указывать на вероятность того, что совершается противозаконие.

 

Конечно, схема не даст 100%-ной гарантии, что карта является мошеннической, но она может дать достаточно оснований для проведения расследования и передачи дела в службу физической безопасности. Степень сложности выявляемого мошенничества, а также его относительная доля являются основными критериями эффективности схемы. Теперь поговорим о том, что в нее входит.

 

Модуль анализа анкетных данных позволяет в автоматическом режиме выявлять мошеннические карты. Это достаточно эффективный метод, т.к. зачастую сотрудники не слишком перетруждаются и оформляют карту на себя, коллегу, клиента (приходившего утром и оформившего кредит, контракт и т.д.). Под словом «анализ» понимается не простое сравнение ФИО с существующей базой данных, а применение алгоритма нечеткого сравнения строк. Например, алгоритма Jaro–Winkler, который рассчитывает числовую величину схожести между двумя заданными строками, или алгоритма Левенштейна, рассчитывающего редакционное расстояние или дистанцию редактирования между двумя строками (минимальное количество операций вставки одного символа, удаления одного символа и замены на другой, необходимых для превращения одной строки в другую).

 

Транзакционный анализ позволяет выявлять отклонения от типичного поведения клиента в части начислений и списаний по картам. Для его проведения необходимо выбрать основные статистические показатели: количество чеков по каждой карте (рассматривается выборка за месяц), сумма списаний, начислений и т.д. В среднем рабочая модель может опираться на 30 показателей. Каждый клиент уникален, следовательно, и покупки по его карте будут отличаться. При этом 99% мошеннических действий не могут и не будут соответствовать нормальному поведению рядового клиента.

 

В то же время следует отметить, что формирование уникального профиля поведения для каждого клиента иногда является избыточной мерой. В таких случаях можно разбить всех на группы-кластеры и определить их основные различия. Кластеризация – многомерная статистическая процедура, выполняющая сбор данных, выборку объектов, а затем упорядочивающая объекты в сравнительно однородные группы.

 

Рис. 1. Графическое представление распределения карт по активности использования

 

На рис. 1 представлено распределение карт по осям, где х – количество чеков, y – количество посещений (в днях за период), z – частота посещений. Выборка данных рассматривалась по нескольким магазинам одного региона за 5 месяцев.

 

Рис. 2. Графическое представление распределения карт по активности использования после кластеризации типичности поведения клиентов ритейлера

 

На рис. 2 приведены те же результаты, только после проведения кластеризации по 10 основным параметрам с разбивкой на 6 кластеров. Каждый цвет соответствует своему кластеру. Выделяются 4 основных цвета: красный, желтый, салатовый и синий. Синий кластер характеризует обычного клиента, который посещает магазин не более двух раз за месяц. Интерес представляют красный и оранжевый цвета: они с большей долей вероятности отражают мошеннические действия, что требует дополнительной проверки. Так, красный цвет подразумевает, что количество чеков, пробитых с участием той или иной карты в одном магазине, превышает 40%, а анкетный анализ показывает, что часть таких карт имеют общий номер мобильного телефона, оформлены на сотрудников и т.д. Интересна также салатовая точка, которая находится в красной группе: здесь практически все чеки были оформлены в различных магазинах и разными сотрудниками.

 

Транзакционный анализ покупательской корзины – это способ вычислить товары, которые в большинстве случаев продаются вместе. Для выявления мошеннических карт лояльности необходимо интерпретировать этот анализ, т.е. находить покупки, которые отклоняются от обычной статистики. Это не очень эффективно в случае продажи электроники – сложно выделить основную группу коррелирующих товаров. Положительные результаты есть в продуктовых сетях. Например, как показывает анализ, среднее время между приобретениями чистящих средств составляет чуть больше месяца, крупы приобретаются не чаще чем раз в две недели и т.п. Карты, по которым подобные покупки совершались в несколько раз чаще, после дополнительной проверки оказывались мошенническими (их находили у кассиров).

 

Интересные результаты были получены при анализе программы лояльности на автозаправочных станциях (АЗК). Основным товаром здесь является топливо, покупки в призаправочных магазинах составляют малую часть от общего числа транзакций. Профиль среднестатистического покупателя в этом сегменте прорисовывается более четко: это частота покупок, предпочтение определенного вида топлива, посещение АЗК в определенные временные интервалы и т.д. Карты, по которым заправлялись разным топливом (понедельник – 50 л АИ-92, вторник – 150 л дизеля, среда – 3 л АИ-98), в 90% случаях оказывались мошенническими, в остальные 10% попадали клиенты, имеющие несколько автомобилей, или организации.

 

Основные преимущества применения статистических методов выявления мошенничества:

 

  • Внедрение таких алгоритмов дает большую гибкость учета лимитов в сравнении с классическим алгоритмом, тем самым снижается процент ложных срабатываний
  • Статистические метрики дают возможность контролировать сезонные колебания совершения операций
  • Статистические процедуры позволяют обеспечить самокорректирующуюся логику, т.е. формирование потенциальных ограничений на поток операций осуществляется без внесения правок в параметры алгоритма
  • Настройка дополнительных источников информации позволяет выстраивать логику автоматизированного реагирования на любые негативные факторы: сбои в оборудовании и програм­мном обеспечении, массовое мошенничество по принципиально новой схеме, не подконтрольной текущей базовой логике, и пр.

 

В конечном счете все это оказывает положительное влияние на основные параметры работы компании. За счет повышения уровня выявления мошенничества и снижения объема ручной работы возрастает финансовая эффективность. В то же время снижается влияние человеческого фактора при экстренных корректировках схем контроля мошенничества и обработки типовых инцидентов.

Уведомления об обновлении тем – в вашей почте

Что будет после коронавируса?

Как пандемия COVID-19 повлияла на цифровизацию бизнеса? Почему могут исчезнуть офисные здания? Каким ИТ-направлениям нужно уделять особое внимание в ближайшие годы?

Как выбирать и внедрять инновации: советы небольшим ритейлерам

Почему магазин «у дома», работающий на основе машинного зрения, — это утопия? Каким образом инновационная лаборатория Х5 помогает малому и среднему бизнесу? Как самоизоляция повлияла на цифровую трансформацию ритейлеров?

Самые значимые ИТ- и ИБ-проекты 2016 года

Банковское обозрение отметило три проекта, реализованных в финансовой сфере компанией «Инфосистемой Джет» в 2016 году

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Современные Сизифы

Сизиф, царь Коринфа, был великим мошенником. Благодаря своей хитрости он собрал несметные сокровища.

Antifraud Russia 2016: новые угрозы, новая защита

Специалисты по информационной безопасности поделились опытом противодействия фроду в рамках Antifraud Russia 2016

Взломай свою офисную АТС до того, как это сделают другие

Современные компании для организации связи все чаще используют офисные автоматические телефонные станции (УАТС или Private Branch Exchange, PBX), обладающие большим количеством «продвинутых» функций. Одновременно с этим, одним из наиболее распространенных видов мошенничества (фрода) для операторов фиксированной связи остается взлом и использование PBX их клиентов для совершения бесплатных вызовов.

Уже скоро во всех банках страны – новые рекомендации по кибербезопасности

В скором времени ЦБ РФ обяжет отечественные банки усилить контроль над дропами (конечными получателями несанкционированных денежных переводов, совершенных без согласия граждан и компаний — законных владельцев денежных средств).

Несколько слов об эксплуатации e-commerce-платформ

Одна из наиболее востребованных концепций развития у ритейлеров – это omni-channel. Ее главная цель – удовлетворить желание потребителя здесь и сейчас. Поэтому ритейлер должен быть доступен для покупателя в любой момент времени через любой канал коммуникации – как offline, так и online.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня