С чего начинается фрод: четыре схемы, которые не ловят правила
Защита правилами («более N операций в час → блок») работает против грубых атак. Но мошенники давно ушли дальше. Вот четыре схемы, под которые правила не написаны:
- Кард-тестинг. Украденные данные карты прогоняются мелкими платежами на разных сервисах — правила не реагируют, потому что операции мелкие и редкие. ИИ видит аномалию: новое устройство, нетипичное гео, цепочка проверок на разных сайтах.
- Возвратный фрод. Клиент покупает, получает товар, затем оспаривает платёж («не получил», «не я»). Правила не отличат честного от мошенника. ИИ видит паттерн: повторяющиеся оспаривания, поведение при покупке, история устройства.
- Синтетические аккаунты. Мошенник собирает профили из реальных утечек, прогревает их месяцами (мелкие операции, отзывы), затем бьёт на крупную сумму. Правила видят «добропорядочный аккаунт». ИИ видит связи: одно устройство на десяток «разных» людей.
- Скоординированные атаки. Десятки аккаунтов одновременно бьют по одной акции или бонусной программе. По одному аккаунту всё нормально; в сумме — миллионный ущерб. Только граф связей вскрывает сеть.
Почему правила и ИИ не заменяют друг друга
Зрелый antifraud — это не «правила или ИИ», а слои:
- Правила — для известных атак, где важна скорость и прозрачность («операция из страны из санкционного списка → блок»). Дешёвые, мгновенные, объяснимые.
- ML-модель — для сложных паттернов, которые не описать правилами. Учитывает десятки признаков одновременно.
- Граф связей — для сетевых атак. Связи между картами, устройствами, телефонами, IP: мошенники переиспользуют атрибуты, и это их выдаёт.
- Детектор аномалий — для новых схем, которых ещё не было в разметке. «Ведёт себя не как обычно» — уже повод для дополнительной проверки.
Что происходит за миллисекунды
Транзакция приходит. За время, пока пользователь не увидел «оплата не прошла», система успевает:
- построить 60+ признаков (сумма, частота, устройство и его история, гео и отклонение от типичного, скорость операций, связи в графе);
- прогнать через ансамбль (бустинг + граф + аномалии), получить оценку риска;
- принять решение по порогам: пропустить / потребовать доп. проверку (3-D Secure, СБП-подтверждение) / заблокировать;
- записать в лог для разбора и дообучения.
Всё — на российских серверах, в пределах периметра компании.
Кейс: платёжный финтех
Платёжный сервис с растущим потоком операций сталкивался с атаками: украденные карты, возвратный фрод, схемы через посредников. Правила ловили грубые случаи, пропускали новые, а часть честных клиентов страдала от ложных блокировок.
Что сделали:
- 60+ признаков на операцию + граф связей устройств/карт/IP;
- ансамбль: бустинг + граф + детектор аномалий;
- скоринг в реальном времени, решение по порогам;
- дообучение по подтверждённым случаям.
Результат через 2 месяца:
- предотвращённый фрод — +45% к схеме на одних правилах;
- доля ложных блокировок честных клиентов — менее 0,5%;
- выявлена и заблокирована преступная сеть из ~30 связанных аккаунтов (через граф);
- средний ущерб на случай снижен.
Кейс под NDA, цифры обезличены. Главный эффект — меньше фрода при росте лояльности честных клиентов.
Цена, безопасность и закон
Это одна из самых сложных и дорогих задач в серии — от 1 500 000 ₽. Сложность в сочетании требований: реальное время (миллисекунды), высокий ущерб при ошибке, жёсткие требования к безопасности, графовые вычисления на больших объёмах.
В сумму входят: аудит транзакций и истории фрода, пайплайн признаков и граф связей, ансамбль моделей, скоринг в реальном времени, интеграция с системой блокировок, контур дообучения и аналитика. Срок — 7–10 недель.
Транзакции и поведение — персональные данные: строго по 152-ФЗ, согласие, хранение и обработка в РФ, доступ по ролям, обезличивание признаков где возможно. Часть проектов — под NDA.
По теме
- Предотвращение оттока клиентов — ложные блокировки как причина оттока; модели связаны.
- Компьютерное зрение — верификация документов, детекция дипфейков.
- Аудит бизнес-процессов для ИИ — где ещё ИИ снизит риски.
- Концепция внедрения ИИ (PoC) — проверить antifraud на одном типе операций.
Комментарии · 0