Антифрод: мошенники не пройдут. Но клиенты — тоже?

Игорь Ермак

Международный эксперт

Кибербезопасность, антифрод и непрерывность бизнеса финансовых компаний

Мошенники всегда на шаг впереди: сегодня они маскируются под улыбку на поддельных фото, завтра используют свежесозданные виртуальные карты, послезавтра — массовый взлом различных баз. Каждая новая схема — это вызов для бизнеса, который обязан реагировать быстрее, чем клиент успеет потерять доверие.

Игорь Ермак, признанный эксперт в области кибербезопасности, антифрода и обеспечения непрерывности бизнеса финансовых компаний, уверен: антифрод (защита от мошенничества) — это не только защита от потерь, но и инструмент конкурентного преимущества. Его опыт показывает, что правильно выстроенная система борьбы с мошенничеством может одновременно снижать риски и ускорять обслуживание клиентов, превращая уязвимость в источник роста.

Иными словами, понимая, кто есть точно мошенник (“герой нашего времени”), мы также можем решить иную математическую и практическую задачу — кто точно не мошенник. И если мошенников, как правило, в портфеле даже в худших кейсах не более 1-5%, то точно не мошенников никак не меньше 70-80%. Эти знания позволяют ускорять процесс выдачи, упрощать процедуры проверки, расширять на входе список продуктов и сервисов для тех, кто относится к категории точно не мошенников.

Иной взгляд на проблему

Когда компания сталкивается с мошенничеством, первая реакция почти всегда одинаковая: срочно «заткнуть дыру». Для этого применяются жесткие правила, тотальная проверка клиентов, дополнительные запросы документов. При этом сами клиенты компаний готовы ждать считанные минуты. И если система антифрода слишком подозрительна (увеличенный дискриминирующий коэффициент/ ложно положительное срабатывание), бизнес потеряет добросовестных клиентов, уходящих к менее подозрительным конкурентам.

Мы через это проходили. На первых порах антифрод действительно похож на пожарную команду: ведро, тряпка и задача потушить пожар, сделать хаос сначало управляемым, а затем преобразовать работу в системный порядок с максимальным исключением условий возникновения мошенничества. Но со временем стало ясно: если подходить к фроду только как к угрозе, бизнес всегда будет в обороне.

Со временем автор понял важную вещь: мошенники используют те же процессы, что и обычные клиенты. Они оформляют заявки, пользуются картами, заходят в личный кабинет. А значит, борьба с ними — это не отдельный процесс, а часть самой бизнес-модели. Вопрос не в том, поймаем ли мы злоумышленника, а в том, как отличить мошенника от честного клиента быстро и точно, не разрушая клиентский опыт.

Именно поэтому для нас антифрод перестал быть только системой защиты. Он стал инструментом конкурентного преимущества. Там, где другие видят риск — мы видим возможность: ускорить оформление, убрать лишние барьеры, предложить лучший сервис. И в итоге выиграть не только у мошенников, но и у конкурентов.

На чём строится антифрод: данные и правила

Антифрод невозможно построить на одних только алгоритмах. В основе всегда лежат данные и умение превратить их в правила. Чем больше граней клиента мы видим, тем меньше пространства для маневра остается у мошенника.

Документы и анкета

Паспорт в РФ, CCCD/ CMND во Вьетнаме, Aadhaar в Индии и т.р.— точка входа №1. Здесь мы ловим аномалии, в том числе, довольно абсурдные. Например, ситуация «машины времени»: в кредитной истории у клиента числится паспорт, выданный позже, чем тот, с которым он пришел сейчас. Такая несостыковка — стопроцентный сигнал. Мы проверяем каждую деталь: даты, место выдачи, связи с другими документами. В каждой стране свои особенности и их нужно изучить в первую очередь и далее знания актуализировать.

Телефон и SIM-карта

Номер телефона — это поведенческий паспорт клиента. Мы анализируем срок жизни SIM-карты, расходы на связь, количество устройств, через которые номер проходил. Простое правило: если SIM-карте меньше месяца и при этом на неё не поступали платежи, вероятность мошенничества резко возрастает. А если за короткий срок номер побывал в трёх разных телефонах — это уже почти наверняка схема.

Цифровой след

Мошенники любят прятаться за технологиями: VPN, TOR, удаленные подключения. Но у каждого устройства есть цифровой «отпечаток» — комбинация параметров, которая выдаёт пользователя. Мы анализируем user agent, размеры экранов, настройки браузеров и находим закономерности. В моделях такие данные складываются в кластеры: там, где концентрируются красные точки, концентрируется фрод. Иногда сигналом оказывается даже фото: если клиент сияет голливудской улыбкой, вероятность, что перед нами сгенерированное изображение, очень высока.

Карта и транзакции

Способ получения денег тоже многое говорит о клиенте. Мы проверяем банк-эмитент, число привязанных устройств, попадание в «чёрные списки». Один из кейсов показал, что первые цифры карт могут рассказать о многом. На Филиппинах мы заметили всплеск дефолтов по картам с новыми кодами. Когда связались с банком, оказалось, что речь идёт о свежевыпущенных виртуальных картах.

Биометрия и лайвнес

Что у человека изменить нельзя или крайне дорого — его биометрические характеристики, по научному — факторы. И чем больше при построении стратегии антифрода внедряем факторов не аппикационного характера (не из заявки), тем более мы защищены от мошенников. А правильная расстановка и имплементация технологий в бизнес процесс — это удобный для клиента интерфейс, формирующий лояльность к продукту/ бренду.

В большинстве случаев мы говорим о фотографии, ее проще всего получить в процессе общения с клиентом. И тут важно решить две задачи: обеспечить, чтобы был сфотографирован реальный человек в моменте и настроить эффективный движок сравнения лиц один к одному (верификация) и один ко многим (идентификация). Внедрение технологий снижает потери от фрода в номинальных значениях на 5-10% в начальной стадии решения проблемы для компании с высоким уровнем кредитного риска.

Кредитная история

Кредитное бюро — отдельный источник инсайтов. Мы находим аномальные цепочки: паспорта с «перепрыгивающими» датами, десятки займов на один телефон, последовательности, которые не встречаются у добросовестных клиентов. Это целый кладезь поведенческих паттернов, которые позволяют выявить схему ещё до того, как деньги покинут компанию.

На базе этих источников мы построили десятки простых правил. Они прозрачны, легко объясняются бизнесу и реально снижают фрод на десятки процентов. Но у правил есть предел: их становится слишком много, и под удар начинают попадать честные клиенты. Именно поэтому мы рассматриваем их как фундамент. Дальше — следующий шаг: переход к моделям.

От правил к моделям

Простые правила позволяют быстро навести порядок: мы сами убедились, что благодаря им уровень мошенничества падает на десятки процентов. Но у правил есть серьёзный минус: чем их больше, тем сильнее они начинают душить бизнес.

Мы столкнулись с этим напрямую. Когда в портфеле накопилось больше пятнадцати антифрод-правил, доля отказов по их причине достигла 15–20%. В реальности это означало, что под нож попали и хорошие клиенты. Да, фрод снижался, но вместе с ним росли и потери бизнеса.

Решением стал переход к моделям и сегментации. Мы начали смотреть на весь поток клиентов целиком, а не на отдельные признаки. Модель делит его на три зоны:

• 80% «чистых» клиентов — вероятность мошенничества близка к нулю. Для них мы убрали проверки и сократили время оформления в 5–10 раз.
• 20% «серой зоны» — заявки, где риск есть. Здесь мы оставили проверки и даже усилили их.
• 1–2% «точный фрод» — отсекаются сразу.

Эффект оказался двусторонним. В «зелёной зоне» мы перестали терять добросовестных клиентов и получили +4–6% продаж. В «серой зоне» благодаря более тщательной проверке вернули еще +1–2% клиентов, которых раньше отсеивали зря. В результате модель дала не только снижение мошенничества, но и рост бизнеса: одобрение стало быстрее, клиенты довольнее, продажи выше.

Главное отличие модели в том, что она видит весь массив данных. Там, где правило «рубило с плеча», модель оставляет шанс на уточнение. Мы используем градиентный бустинг: сотни переменных, тысячи наблюдений, итоговый скор для каждой заявки.

Для бизнеса это был переломный момент. Время одобрения для большинства клиентов упало в разы, сервис стал быстрее, а доверие выше. При этом уровень мошенничества остался под контролем. Фактически антифрод превратился из системы защиты в инструмент роста.

Мониторинг и устойчивость

Когда компания делает шаг от правил к моделям, появляется новая ловушка: модель может создать иллюзию стабильности. Она работает, продажи растут, мошенничество снижается, и кажется, что всё под контролем. На деле всё наоборот: модель без постоянного мониторинга — это бомба замедленного действия.

Поведение клиентов меняется, экономика то ускоряется, то тормозит, мошенники пробуют новые схемы. То, что вчера идеально предсказывало риск, сегодня может начать давать сбои: срезать честных клиентов или, наоборот, пропускать подозрительные заявки. Чтобы держать систему в тонусе, мы регулярно проверяем распределение ключевых переменных: ежедневно, еженедельно, ежемесячно. Если вдруг картина резко меняется — например, нарушается баланс полов или возрастная структура портфеля, — это сигнал, что модель и правила теряют актуальность.

Для дополнительного контроля рекомендуется использовать «ручейки» — около 5% заявок, которые проходят без фильтрации. Для бизнеса это боль: на этих клиентах компания теряет деньги. Но именно ручеёк показывает реальное состояние системы. Если в нем слишком много невозвратов, значит, правила и модель действительно нужны и выполняют свою задачу.

Мы также учитываем, что атаки мошенников редко длятся дольше двух недель. В такие моменты мы переводим систему обратно на правила, а модель уходит в фон. Как только атака стихает, возвращаем её в работу. И всегда держим под рукой запасные решения: интерпретируемые модели вроде логистической регрессии. Они менее точные, но зато позволяют управлять результатом, когда умные алгоритмы вроде бустинга начинают вести себя непредсказуемо.

Антифрод как инструмент роста бизнеса

Регулярный мониторинг и готовность быстро менять стратегию позволяют держать систему антифрода в актуальном состоянии. Но самое важное открытие для нас — то, что антифрод может быть не только защитой от потерь, но и инструментом роста.

В начале  компании воспринимают антифрод как срочную заплатку: быстро закрыть пробелы, снизить убытки, не дать системе развалиться. Но когда появилась сегментация и модели, стало ясно: грамотный антифрод способен улучшать клиентский опыт. Для 80% клиентов с минимальным риском мы убрали проверки и ускорили процесс оформления в пять–десять раз. Время, которое раньше уходило на верификацию, теперь сокращается до пары минут.

Для клиента это удобство и доверие. Для нас — рост продаж. На практике сегментация и переход к моделям дали плюс 2–5% к обороту. В «зелёной зоне» мы перестали терять честных клиентов, в «серой» — возвращаем часть тех, кого раньше отсеивали зря. И всё это при сохранении контроля над мошенничеством.

По сути, антифрод перестал быть стоп-краном. Он стал рычагом: инструментом, который одновременно снижает риски и открывает возможности для бизнеса. Это парадокс, который работает на рынке: именно та система, что призвана ограничивать, в итоге помогает продавать больше и быстрее.