фрод

Опасное трио. Актуальные примеры и способы предотвращения мошеннических атак

18 Mar 2019 I 6 min read

Мы много времени уделяли рассказам о ценности альтернативных данных и о рисках, связанных с использованием традиционных видов информации о заемщиках. Сегодня мы наглядно продемонстрируем как использование персональных данных может не только обернуться риском и ущербом для процесса работы финансового института, но и поставить под угрозу весь бизнес. Помогут нам в этом несколько кейсов из нашей практики.

На повестке дня: Сезонные обострения, “Fraudulent brute force” атаки, а также «Черный лебедь». О том, что из себя представляют эти угрозы, и как пытаться защититься, попробуем разобраться вместе.

Сезонные атаки

Новый год — время исполнения желаний! И чтобы они исполнялись подросшим мечтателям нужно хорошо работать весь год. А если хочется немного большего — всегда можно прибегнуть к помощи кредитной организации. И кредит, конечно, одобрят. Ведь в декабре, в это волшебное время, все становятся добрее, а кредит, как подарки под ёлкой, раздают всем желающим!

Если говорить немного серьезнее, то существует миф, переросший в потребительское убеждение — под большие праздники, когда всем нужны «лишние» деньги, кредитные организации рады выдать кредит каждому попросившему. Спойлер: это не так, и время года, выходные и праздничные дни никак (как правило) не сказываются на уровнях одобрения и строгости риск-политики.

Но спрос на услуги действительно возрастает и количество заявок на кредит существенно увеличивается. В результате туда, куда обычно обращаются 10 клиентов, в «горячий» сезон приходит 100 заявок. А если предположить, что каждая десятая заявка оказывается мошеннической, то их будет в 10 раз больше. Для кредитной организации такой поток будет чрезвычайным, но понятным и привычным. И из-за этой привычности, внимание не будет концентрироваться на повышенной угрозе.

Неприятность сезонных атак, тем не менее, заключается в том, что возрастает не только поток, но и доля «черных овец». Уже несколько лет мы наблюдаем активизацию именно в конце декабря, когда уровень заявочного мошенничества подскакивает зачастую в несколько раз.

Графики уровня риска входящего потока заявок одной кредитной организации в декабре 2017 и 2018 годов. В двадцатых числах декабря существенно растет поток заявок с признаками высокого риска. В этот момент организация уязвима для большего количества заявочных мошенников.

Как видно на графиках, конец декабря вышел насыщенным как в 2017, так и в 2018 году не только по количеству заявок, но и по количеству рискованных запросов. Что же делать в данном случае кредитной организации?

Чтобы нейтрализовать такие сезонные атаки, когда на волне повышенного спроса возрастает и активность мошенников, мы рекомендуем более консервативно взглянуть на риск-политику. «Сезонные» злоумышленники обычно не отличаются особенной подготовкой, поэтому в итоге большую часть угрожающих заявок удастся отсечь, уберегая бизнес от лишних потерь.

По сути наиболее эффективным способом борьбы с таким видом мошенничества является установка более строгих уровней cut-off по используемым моделям. Да, вместе с рискованными клиентами, скорее всего получат отказ и те, кто мог бы быть одобрен, но по шкале «осторожность — жадность» лучше выбрать первое. А компенсировать упущенные прибыли можно, например, предложив кредит с повышенным лимитом для уже знакомой и благонадежной части портфеля.

“Fraudulent brute force” атаки

Давайте вспомним DDoS-атаку, с которой, вероятно, знаком каждый игрок онлайн-кредитования.

Злоумышленник в течение короткого времени перегружает входящий канал огромным количеством заявок, пока система не отказывает или пока не срабатывает защита, отсекая источник угрозы по одному или нескольким IP-адресам. В этом случае мы с вами представляем один или несколько компьютеров-вредителей, являющийся источником атаки, и армию устройств-зомби, послушно пытающихся «уничтожить» свою цель.

Когда речь заходит о “Fraudulent brute force” атаке, все становится не так просто. Такая атака проводится не с одного, а с большого количества устройств уже не являющихся «зомби» — каждое имеет свой уникальный IP и набор дополнительных данных, не дающих отрубить злоумышленника в одну операцию классическими средствами защиты.

А целью такой атаки по-прежнему остается поиск слабых мест в системе проверки заявок. Такими слабыми местами оказываются запросы к источникам данных, на основе которых держится вся система — бюро кредитных историей, телеком-операторы и иные поставщики данных, информация из которых представляет ценность для конвейера и используется для принятия решений. У каждого поставщика есть свой лимит обрабатываемых запросов от клиента (кредитной организации). Когда в ходе атаки лимит (как правило, самый низкий) превышается, источник «задерживается» или вовсе выпадает из процесса обработки. В системе появляется брешь, куда устремляется весь поток однозначно рискованных заявок. Принимая решение вслепую, этот поток либо признается «хорошим», что приносит прямые потери, или признается нейтральным, отправляется на ручное рассмотрение, что в итоге приводит к снижению скорости и сокращению количества выданных кредитов, а значит, недополученной прибыли.

Графики среднего входящего потока заявок по клиентам (синие) и двух кредитных организаций из Юго-восточной Азии (оранжевые), пострадавших от Fraudulent brute force атаки в феврале 2019. Наблюдение зафиксировало рост рискованных заявок в 3-4 раза, что выглядит аномально не только по сравнению со средним показателем, но и несоразмерно обычному входящему потоку (в начале месяца).

Как же бороться с таким злом? Наиболее эффективным будет мониторинг уровня риска потока, например, по fraud-скорингу, выявление и блокировка наиболее подозрительных и активных устройств, анализ частотных характеристик по количеству заявок с IP-адреса и подсети. Но подобный способ борьбы подразумевает постоянный контроль входящего потока риск-менеджерами.

«Черный лебедь»

«Хранение и использование персональных данных опасно» — мы повторяли это неоднократно. И сегодня, пользуясь спецификой нашей статьи, мы хотим продемонстрировать на сколько. Давайте на минуту представим с вами самое страшное.

Предположим, что произошла «очередная» утечка данных и они попали на черный рынок. Вот только на этот раз мы поместим туда не паспортные данные «иванова». Из хранилища увели все персональные данные, всю чувствительную информацию, все сведения об изменениях прописки, паспортов, СНИЛСов, ИННов за несколько лет. И не по одному несчастному, а по целой сотне сотрудников одной невезучей организации уездного города N.

Разумеется, вымысел здесь — только уездный город. Угроза реальна. Оказавшись в распоряжении мошенников, такой комплект данных — настоящий Троянский конь, спасения от которого в рамках классической системы оценки и работы с данными — нет.

Графики показывают несколько случаев встречи с «Черным лебедем». На графиках отражены средние показатели по клиентам (синие), против клиентов, подвергающимся атаке (оранжевые). Аномалия выражалась в превышении средних показателей риска в 4 раза.

Хотя последствия от подобных атак крайне тяжелые, такие ситуации случаются достаточно редко. Подготовиться к ним можно, взяв в свой инструментарий дополнительные средства анализа данных и заявок, а также используя трудновоспроизводимые альтернативные данные в кредитном конвейере.

Так, например, может помочь выявление повторных устройств, с которых идет массированный поток заявок, в сочетании с кросс-проверками данных, которые используются в различных заявках с одного и того же устройства.

Мы надеемся, что продемонстрированные нами кейсы укрепят клиентское желание использовать альтернативные данные и дополнительные инструменты как для одобрения, так и для защиты. Но следует помнить, что «работа» ведется и со стороны злоумышленников, а значит мы должны быть готовы.

Наш сервис в сегодняшних реалиях — инструмент для борьбы с мошенничеством, который поможет значительно снизить последствия описанных атак. Однако успех использования подобного лекарства по-прежнему остается в руках человека — риск-менеджера, который разбирается в современных средствах защиты, грамотно использует данные и понимает поступающие сигналы, оперативно реагирует на поступающие угрозы и помогает бизнесу успешно развиваться.

Берегите себя!

Ваши Juicy Team