Ваш перевод заблокировали. Как банки России вычисляют подозрительные операции

Ксения Шестакова avatar | 29
FavoriteLoading В закладки
Ваш перевод заблокировали. Как банки России вычисляют подозрительные операции

Антифрод – это технологии и сервисы, которые помогают бороться с мошенничеством при совершении оплаты. Разбираемся, где их используют и как они работают.

Что такое фрод

Фрод – это действия, с помощью которых злоумышленники хотят обманным путем завладеть чужими деньгами. Чаще всего воруют с банковских карт: снимают в банкоматах, заказывают подарочные сертификаты или товары в интернет-магазинах.

Могут позариться и на аккаунты электронных платёжных систем. PayPal, Webmoney, Яндекс.Деньги, Qiwi, счета на биржах – вариантов великое множество.

Антифрод – проверка на вшивость

Антифрод-система оценивает транзакции – преимущественно те, что были сделаны через интернет. Она выясняет, насколько подозрительной была транзакция, как высока вероятность того, что её выполнили мошенники.

В каждом антифрод-сервисе есть набор правил, списков и фильтров. Все они задействуются для расчёта рейтинга транзакции. Кроме того, система может предлагать рекомендации по дальнейшей обработке транзакции.

Антифрод-системы разрабатывают в основном банковские департаменты, которые отвечают за безопасность. Visa, MasterCard, PayPal и другие платёжные гиганты также имеют свои антифрод-сервисы.

Собственный антифрод есть у российского Управления К. Его используют, чтобы предупредить мошенничество в сфере информационных технологий.

Как вычисляют подозрительные транзакции

Представьте себе ситуацию: вы зашли в интернет-магазин, выбрали товар, положили в корзину. Следующий шаг – оплата. Вы вводите данные, подтверждаете оплату, и в этом месте активируется антифрод-система.

Обычно антифрод оценивает всё, что может получить:

  • Данные карты – номер, дату окончания действия, ФИО владельца и др.;
  • IP-адрес, с которого совершается платёж.
  • Данные об операционной системе;
  • Информация о браузере и cookies;
  • Сведения о местоположении;
  • Платёжная информация.

Отдельные системы могут запрашивать и другие данные и учитывать в анализе разные факторы: к примеру, с какой попытки был введён пароль, использовался ли отпечаток пальца или другие форматы биометрической аутентификации, платил ли пользователь ранее с этой карты в данном магазине и др.

Если степень риска фрода достаточно высока, транзакции отправляют на ручную проверку или дополнительную идентификацию. Здесь возможны три варианта:

  • Ложная тревога. Проверка подтверждает, что транзакция корректная и безопасная, она проводится.
  • Подозрительная транзакция. Оператор связывается с владельцем карты/аккаунта и проверяет, отправлял ли он деньги. Чаще всего пользователю звонят, спрашивают секретный вопрос и ответ на него (к примеру, девичью фамилию матери), какие действия он совершал недавно, уточняют дополнительные данные вроде номера налогоплательщика и т.п. Если ответы верны, то транзакция проходит. Если нет, отменяется.
  • Мошенническая транзакция. Выявлен фрод, транзакция отменяется, карта / счет / аккаунт блокируется. Пользователь может отменить блокировку, если подтвердит свою личность.
  • «Под капотом» антифрода: как работает система

    Сначала транзакции проходят самую грубую и поверхностную проверку с помощью стоп-листов. Система ищет номер карты, ФИО плательщика, IP-адрес и другие данные в своей базе.

    Если информация есть в «черном списке», транзакция не пройдёт. К примеру, сразу заблокируют транзакции с украденных карт, подозрительных IP-адресов, мошеннических магазинов.

    Эксперты признают: антифрод не лишен расизма.

    Например, системы многих американских магазинов не пропускают платежи из Китая, Латинской Америки, африканских стран. Да и покупателей из стран СНГ в США и Европе не любят.  Мошенников там очень много, поэтому магазину проще работать только на тех рынках, где вероятность обмана куда ниже.

    Второй этап – проверка дополнительных сведений о держателе карты. Это данные карты, история расчётов, сведения о похожих операциях. Здесь транзакция получает основные баллы и рейтинг: от «красного» (практически наверняка фрод) до «зелёного» (скорее всего, не фрод).

    Дальше в ход идут правила. Обычно в антифрод-системе установлены лимиты:

    • количество покупок за определенное время или определенным клиентом;
    • сумма покупок по одной карте;
    • сумма покупок одним клиентом;
    • количество карт, которые использует клиент за определенный период;
    • количество пользователей, которые расплачивались одной и той же картой;
    • история операций определенного клиента в конкретном магазине.

    Рейтинг транзакции «заминусуют», если:

    • с одной и той же карты платят пользователи с разных IP;
    • с одного и того же IP платят различные пользователи с разных карт;
    • пользователь несколько раз неудачно пытался оплатить заказ;
    • оплачивают в одном магазине с одной и той же карты, но с разных аккаунтов;
    • IP покупателя, банка и магазина, который выпустил карту, из разных стран;
    • ФИО владельца карты и аккаунта в магазине отличается;
    • у пользователя открыт подозрительный набор портов (к примеру, 22, 80, 443, 3389), которые часто используют для прокси, dedicate-серверов, SOCKS;
    • у пользователя отключен Flash (хотя после массового отказа от него это не так актуально);
    • подозрительные вкладки открыты в данный момент (да, антифрод видит и это);
    • «отпечатки пальцев» системы не соответствуют ожидаемым: к примеру, когда вы используете Windows и тоннели, пакеты отправляет Linux, их отпечаток не совпадает с отпечатком Windows.

    Подчеркнём: если хотя бы одно правило нарушается, транзакцию не обязательно отменят. Но чем больше факторов, тем выше вероятность, что её «завернут».

    Как обходят антифрод

    Кардеры, которые используют данные краденных кредитных карт для обнала или заказов в зарубежных интернет-магазинах, способны обойти даже самую надёжную систему – к примеру, антифрод eBay, Amazon, Visa, MasterCard и т.п. На каждую гайку найдётся свой болт с левой резьбой, и это позволит сымитировать легальную транзакцию.

    К примеру, если поднять на тоннеле firewall или настроить его на dedicate-сервере, система не будет видеть, какие порты открыты. Если в цепочку перед dedicate-сервером или туннелем добавить Tor, то двусторонний пинг не выдаст, что IP принадлежит хостинг-провайдеру из «черного списка».  Если предварительно просмотреть десяток-другой сайтов из выдачи Google, пообщаться в Facebook и открыть 100500 фото «ВКонтакте», история браузера и открытые вкладки не вызовут подозрений.

    Сами карты «раскачивают» мелкими транзакциями – они вызывают меньше подозрений и формируют добротный рейтинг. Крупные суммы с украденных карт «сливают» на пенсионные и зарплатные карты небольшими порциями.

    Мошенники звонят и представляются сотрудниками банка, чтобы узнать ответы на вопросы из стандартного списка. Часто пользователи всё им рассказывают, ничего не подозревая.

    Наконец, те, кто обходят антифрод, имитируют поведение типичных покупателей. Если найти магазин через поиск, посмотреть там пару десятков товаров, что-то добавить в корзину, затем что-то убрать, пообщаться с консультантом и т.п., антифрод будет лояльнее.

    Выводы

    Антифрод – системы, которые не дают мошенникам украсть ваши деньги, в основном при оплате картой в интернете. Например, купить iPhone на eBay с кредитки, украденной в США.

    Обход антифрода – ст. 159.3 «Мошенничество с использованием платежных карт». Наказание — до 120 тыс. рублей, до 4 месяцев тюрьмы или до 2 лет условно, до 2 лет принудительных или исправительных работ. Многовато будет.

    1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (2 голосов, общий рейтинг: 4.50 из 5)
    undefined
    iPhones.ru
    Сбербанк внезапно отказал вам в переводе? Вот что произошло на самом деле.
    Прокомментировать

    🙈 Комментарии 29

    1. Майор avatar
      Майор13 июня 2018
      3

      Ура, полезная статья.

      В россии правда не совсем актуально в виду того, что во первых установлены жесткие лимиты, а во вторых, проплаты идут через виртуальные карты.

      Ктогда будет статья по 115-Ф3 и как снять десяток миллионов не попав под мониторинг?? шутка

      пс. Верните Ирину Чернову)

      Power & Control avatar
      Power & Control13 июня 2018
      0

      @Майор, никак. Меня уже Сбер блокировал и даже после месячного рассмотрения доков, отправленных им на указанный ими адрес электронки, отказали в разблокировке. ???

      Майор avatar
      Майор13 июня 2018
      2

      @Power & Control, ?ненавижу сбер.

      C0nfy avatar
      C0nfy14 июня 2018
      1

      @Майор, сбер вообще дно

      ALEXeen avatar
      ALEXeen13 июня 2018
      0

      @Power & Control, а за какие операции заблочили, если не секрет?
      Пришлось счет закрывать, или деньги заморозили и не отдают?

      Майор avatar
      Майор13 июня 2018
      0

      @ALEXeen, По 115-Ф3 блокируют всегда за одно и то же. И чем больше деятельность связана со всякими услугами, которые сложно подтвердить(например грузоперевозки самые любимые сами знаете почему и конторки консалтинговые) тем больше риск попасть при выводе больших сумм на блокировку.

      Power & Control avatar
      Power & Control13 июня 2018
      2

      @ALEXeen, мне не объясняли за что. Я банкам не особо доверяю, поэтому предпочитаю там не хранить средства, систематически обналичивая их. У меня скопилась там сумма, потому что не было времени обналичивать ее. И как появилось время, я захотел забрать часть) Тут и начались проблемы. Хотя выводил я все в пределах лимитов всегда по карте, ну то есть не пытался сверх норм забрать (например, заранее заказать в кассе, потому что знаю, что в кассе они тоже так просто не отдали бы всё). Просто думал, что за несколько дней выведу большую часть, но не все, оставив естественно на разные покупки и прочее. Ну и собственно обналичивал… И на одно утро прилетает смска, то ли по этим причинам, то ли потому что вечером предыдущего дня перевел средства фирме (юр. лицу) за помощь в оформлении бумаг в Росреестре (может, им эта фирма подозрительной показалась – типа фирмой-однодневкой), что мои счета и банк онлайн заблокированы и мне надо предоставить документы о происхождении денежных средств и об экономическом смысле проводимых операций (на что тратил). В общем, до конца я ничего не понял. Зашел в банк онлайн, оказалось, что он еще работает… и работал еще 2,5 часа после смски, которых мне хватило, чтобы вывести остатки на другой счет. И уже с него обналичить. Доки все отправил, ждал месяц с небольшим, чтобы получить отказ в разблокировке в итоге, с полной блокировкой всех счетов и карт. Там в смске с решением было указано, что чтобы получить свои средства – обратитесь в отделение. Но у меня там ничего и не было уже, счет просто закрыл и все. Теперь разными банками пользуюсь, чтобы суммы были поменьше и никаких вопросов не возникало… Если это все же из-за снятий частых произошло. В банке мне говорили, что не могут сказать в чем причина – просто мол доки отправьте, которые требуют и все… а конкретных документов и не было же, не было перечня. Мне сказали, шлите все, что есть и считаете нужным. Пришлось слать все, что есть. Но им по-ходу и не нужно это все было, они наверное заранее знали, что все равно откажут… так как всем и отказывают и просят закрыть счет. Просто становишься для них сомнительным клиентом, проще тебя сбагрить, боятся отзыва лицензии. А нет “сомнительных клиентов”, нет проблем. Тем более, им от меня все равно никакой особой пользы… Вот как бы я хранил там у них все средства, то другой вопрос, они могли бы ими пользоваться, а так – нафиг я им нужен)

      bearveles avatar
      bearveles13 июня 2018
      1

      @Power & Control, ты обналичиваешь постоянно деньги. Чего ты еще ожидал?

      Power & Control avatar
      Power & Control13 июня 2018
      3

      @bearveles, ну потому что – это мои деньги, что хочу, то и делаю. Почему я не могу этого делать? Хочу в банке храню, хочу дома под подушкой или в сейфе. Ну и потом, я же не до 0. А если бы мне однажды понадобилась бы вся сумма, они бы ее все равно бы не отдали, требуя доки, на что я хочу потратить и справки на ее происхождение, а там времени могло бы уже много пройти и доки потеряться. Вам вообще не кажется абсурдной вся ситуация? Я как бы не заключал с ними договор на хранение какой-то суммы определенной, или что все, что поступает, что я должен это хранить у них. Все мои операции по моим счетам производились в рамках в рамках оказываемых услуг по тарифам банка. А теперь я вдвойне не хочу нигде ничего держать из-за такого.

      walkman00 avatar
      walkman0014 июня 2018
      0

      @bearveles, это его деньги. Ты вот сам попробуй снять все деньги со счета, особенно находясь за границей. Придется доказывать, что не верблюд, причем личным посещением банка. И все это на фоне того, что всякие чинуши миллионы в Кипр переводят без вопросов.

      walkman00 avatar
      walkman0014 июня 2018
      0

      @Power & Control, надо в ЦБ жаловаться

    2. dmitryermakov avatar
      dmitryermakov13 июня 2018
      0

      Статья что называется на злобу дня.
      Как раз вчера вечером собирался перевести деньги на карту мошенникам и к счастью Сбербанк заблокировал эту транзакцию.

      Майор avatar
      Майор13 июня 2018
      0

      @dmitryermakov, Их очень просто проверить. Они не платят ндфл и налог для самозанятых и тем самым входят в ступор при общении на эту тему и выплевывают такой же поток сознания как и местные тролли в виду безграмотности.

    3. nebulus72 avatar
      nebulus7213 июня 2018
      0

      Лучше бы реализовали систему отмены транзакции по заявлению того, кто перевод сделал. Сколько случаев не получения товара/услуги и заявление есть и деньги висят 3 дня, но банк все равно перевод делает. Потом это все передается в отделение К и можно хоронить надежду на возврат денег

      pLoskutov avatar
      pLoskutov13 июня 2018
      1

      @nebulus72, давайте дождемся введения этой услуги, я куплю у вас айфон или услугу, и в тот же вечер отзову деньги сказав что айфон дохлый или вы вообще мне его не давали.
      Удачи.

      nebulus72 avatar
      nebulus7213 июня 2018
      0

      @pLoskutov, вы читали, что я написал? Речь не о моментальных зачислениях платежей, а когда 3 дня висит у банка откуда перевод сделали.

      C0nfy avatar
      C0nfy14 июня 2018
      0

      @pLoskutov, давно уже есть нормальная проверенная система, типа как у Alibaba. Человек платит, сервис резервирует эти средства, продавец отправляет товар, покупатель получает товар, подтверждает получение, деньги выдаются из резерва продавцу. Если решили обмануть и типа товар не получили, есть трекинг и статус получения-вручения товара, продавец предъявляет это сервису, сервис шлет найух недобросовестного покупателя и выдает заслуженные средства продавцу. я молчу уж про системы на основе блокчейна, там так обмануть не выйдет систему и людей

      pLoskutov avatar
      pLoskutov15 июня 2018
      0

      @C0nfy, такая схема есть у многих (юла или авито в частности – безопасная сделка).
      Но народ у нас любит экономить и не особо ее жалует.

      pLoskutov avatar
      pLoskutov15 июня 2018
      0

      @C0nfy, но в статье речь идет о другом. Или вы в каждый банковский платеж предлагаете засунуть посредника? – спасибо за бизнес идею

    4. Дмитрий avatar
      Дмитрий13 июня 2018
      0

      Полезно и интересно было почитать.

    5. YouNeverKnow avatar
      YouNeverKnow13 июня 2018
      2

      ТС, это копипаста или собственная статья? Если собственная, то поясните пожалуйста КАК антифрод может увидеть вашу хистори браузера и тем более открытые вкладки?
      Так-же непонятна попытка скрыть сервер закрытием на нем всех портов. После этого он сервером с адресным пространством хостинга, а не оператора связи) быть не перестанет. Наличие тора в цепочке тоже зачем?

      CIA_agent avatar
      CIA_agent13 июня 2018
      1

      @YouNeverKnow, присоединяюсь. Какой-то бред написан, что якобы банк может смотреть историю браузинга и открытые вкладки. Это вам рептилоиды-конспирологи с Нибиру рассказали?

    6. grafviktor avatar
      grafviktor13 июня 2018
      1

      1. у пользователя открыт подозрительный набор портов (к примеру, 22, 80, 443, 3389)
      2. в истории браузера за последнее время много подозрительных страниц
      3. подозрительные вкладки открыты в данный момент (да, антифрод видит и это)
      4. «отпечатки пальцев» системы не соответствуют ожидаемым: к примеру, когда вы используете Windows и тоннели, пакеты отправляет Linux, их отпечаток не совпадает с отпечатком Windows.

      1 – Вы никогда не узнаете какие порты открыты у пользователя, если у вас нет полного контроля за системой пользователя.
      2 – У Вас нет доступа к истории пользователя, если у вас нет полного контроля за системой пользователя.
      3 – Вы никогда не увидите какие вкладки открыты у пользователя, если у вас нет полного контроля за системой пользователя.
      4 – Вы можете лишь косвенно предположить какая используется ОС, анализируя длину, TTL, а также некоторые флаги сетевых пакетов. А вот если Вы заходите на сайт браузером, тогда – Да, Ваш браузер Вас сдаст с потрохами, но сетевые пакеты не имеют к этому никакого отношения!

      @oschest, откуда Вы взяли этот текст? Я не разбираюсь в других перечисленных пунктах, но я надеюсь они более реальные.

      pLoskutov avatar
      pLoskutov13 июня 2018
      0

      @grafviktor, порты прозваниваются когда известен белый не натовский айпишник.
      Историю браузера многие API видят в браузере. Может не историю а рефссылку – откуда пришел на их сайт. Ос так же видна в браузере

      P.S. речь идёт о том когда вы зашли на сайт магазина с браузера компа а не с телефона в приложении.

      grafviktor avatar
      grafviktor13 июня 2018
      1

      @pLoskutov, Вы не разбираетесь в предметном вопросе. Вот Вам следующая задача:
      Определите, является ли хост обращающийся к вашему серверу инициатором запроса или данный хост является NAT’ирующим сервером.

      А теперь вытекающая задача – у Вас 99999 клиентов, 99% из них сидит за NAT’ирующим сервером, который одновременно является также сервером SSH(22 порт) и HTTP сервером(80, 443) порт. Так кого будем банить?

      pLoskutov avatar
      pLoskutov13 июня 2018
      0

      @grafviktor, вот как раз по открытым портам и понимается, конечный это хост, нат или еще что то.
      Это косвенные признаки а не повод для блокировки в стиле ркн

      grafviktor avatar
      grafviktor13 июня 2018
      1

      > вот как раз по открытым портам и понимается, конечный это хост, нат или еще что то.

      @pLoskutov, то что Вы пишете – ну просто совсем не годится, это работает не так.

    7. Sergey39 avatar
      Sergey3913 июня 2018
      0

      У управления К свой антифрод) поржал. С википедии взяли?

    8. walkman00 avatar
      walkman0015 июня 2018
      1

      С 1 июля банки начинают сливать все транзакции в налоговую, которая может попросить объяснить происхождение поступивших средств. Если не понравится объяснение, то штраф 20% плюс НДФЛ.
      Исключение: подарки от близких и возврат долга. Так что так и пишите: возврат долга. Правда, все равно могут быть вопросы при переводе в другой город.

    Вы должны авторизоваться или зарегистрироваться для комментирования.

    Нашли орфографическую ошибку в новости?

    Выделите ее мышью и нажмите Ctrl+Enter.

    Как установить аватар в комментариях?

    Ответ вот здесь