А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

24 августа, 2016«BIS Journal» № 3(22)/2016

Горбачев Евгений

начальник управления ИБ (ОАО "Банк Москвы")

Мишинев Александр

эксперт управления ИБ (ОАО "Банк Москвы")


Два антифрода: импортный и отечественный

Сравнение на практике двух систем борьбы с мошенничеством в каналах ДБО

С ЧЕМ БОРЕМСЯ?

Давайте вспомним всем хорошо известную статистику, которую представлял Аналитический центр компании «Техносерв» (http://banks.cnews.ru/reviews/index.shtml?2013/02/05/517975). Согласно данной статистике, а также статистике по группе банков, участвующих в информационном обмене, за период с 2012 по 2015 гг. наблюдался ежегодный непрерывный рост числа попыток мошеннических операций в системах дистанционного банковского обслуживания (СДБО).

Начиная с 2014 г. мы наблюдаем иные тенденции – то спад, то периодический рост. Но в целом среднестатистические показатели говорят о повышении количества попыток атак через каналы СДБО. Системы дистанционного банковского обслуживания активно развиваются и превратились из дополнительного в основной инструмент предоставления банковских услуг. Вопросы безопасности при работе с СДБО на сегодняшний день продолжают оставаться одними из самых главных.

Мошенничество в СДБО уже давно является отдельной сферой криминального бизнеса, в котором каждый участник занимает свое место (организаторы, разработчики вредоносного кода, заливщики, обнальщики, и др.). В связи с тем, что СДБО используются во всех крупных банках, злоумышленники активно развивают черный рынок вредоносного программного обеспечения, направленного на несанкционированные операции. В первую очередь для этого используются вредоносные программы, ориентированные на хищение средств с банковских счетов с использованием СДБО. Данная проблема охватывает всю банковскую систему, и с развитием дистанционных каналов продаж, по нашему мнению, будет только расти.

КАК «ТАМ» ОРГАНИЗОВАНО
  • Мошеннические действия производятся организованными группами, распределёнными по регионам и ролям.
  • Хищения тщательно подготавливаются технически: создаются средства для кражи данных, фишинговые сайты, bot-сети, программы для организации DDoS-атак.
  • Меняется «инструментарий» злоумышленников, растет доля технически сложных способов взлома, таких, как перехват управления.
  • Вывод средств производится, как правило, сразу после хищения.
  • Для вывода похищенных средств используются банковские карты, системы «электронных денег», системы расчётов через Интернет, фиктивные компании с «зарплатными схемами» и т.п.
  • После хищения «заметаются следы» - выводится из строя компьютер и т.п.
  • Хищения происходят чаще всего в регионах (где вопросам безопасности уделяется меньше внимания), вывод средств – в Москве. 
ОСНОВНЫЕ МЕХАНИЗМЫ ЗАЩИТЫ
 
Все это заставляет банки все больше внимания уделять методам снижения рисков несанкционированных списаний денежных средств со счетов клиентов. Для небольших банков это может быть организовано своими силами, так сказать, использовать «домашний» фрод-мониторинг, для крупных финансовых организаций все большую популярность приобретают промышленные системы фрод-анализа. А в чем собственно разница и есть ли она?
 
В целом принципы работы систем фрод-мониторинга очень похожи и основаны на анализе и контроле различных параметров действий клиента, в том числе при проведении платежных операций. Система проводит анализ с целью выявления мошеннических и подозрительных операций в режиме реального времени на основании установленных правил.
 
ЧТО ТАКОЕ «ДОМАШНИЙ» ФРОД-МОНИТОРИНГ
 
Используя ряд известных параметров клиента можно с вероятностью в 80-90% выявлять подозрительные операции. Например:
  • контролировать IP-адреса и изменения параметров компьютеров клиента;
  • контролировать списки по номерам счетов корреспондентов;
  • контролировать пороговые значения сумм платежа;
  • контролировать значимые параметры платежей (ИНН, КПП, назначение, сумму и т.д.);
  • контролировать «новизну» параметров платежа. 
  • Но при этом есть свои недостатки:
  • при большом количестве платежей очень велико число платежей, попадающих под дополнительный «ручной» контроль;
  • велика доля «человеческого фактора» (ошибки) при ручном исполнении большого объема контрольных функций;
  • при полуручной обработке невозможно быстро и эффективно применять «тонкую» аналитику по контролю параметров клиента;
  • в ручном режиме сложно проводить корреляционные оценки в он-лайн режимах контроля. 
Отсюда появляется желание посмотреть в сторону промышленных систем фрод-анализа. Но какую систему выбрать, для многих остается вопросом. Нам, работая в Банке Москвы, удалось на реальных данных посмотреть достоинства и недостатки двух систем фрод-мониторинга – отечественной и зарубежной. Но прежде чем перейти к сравнению введем следующие термины:
  • AFR - Импортная система
  • AFB - Отечественная система 
Данные термины мы используем исключительно в целях обезличивания сравниваемых систем.
 
ВНЕДРЕНИЕ СИСТЕМ ФРОД-МОНИТОРИНГА
 
Не секрет, что в 2014 г. Банк Москвы успешно внедрил систему борьбы с мошенничеством в СДБО (AFR). Основной целью внедрения системы фрод-мониторинга было повышение защищенности СДБО от совершения мошеннических действий. А учитывая большое количество платежей, поступающих на ручную обработку, дополнительной целью внедрения стало снижение нагрузки на операционные подразделения, осуществляющие процедуры контроля совершаемых операций.

Итоги внедрения системы AFR превзошли все ожидания. За период эксплуатации система AFR выявила 100% мошеннических платежей, а число контрольных звонков было существенно снижено.
 
Внедрение систем фрод-мониторинга изначально было рассчитано на два этапа. Первый этап был успешно завершен внедрением системы AFR, а в рамках реализации второго этапа в Банке осенью 2015 г. был запущен пилотный проект AFB.
 
Задачи, которые были поставлены на период пилотного проекта AFB:
  • тестирование производительности системы;
  • тестирование имеющихся правил анализа;
  • корректировка правил анализа;
  • выявление особенностей эксплуатации системы под большой нагрузкой;
  • недопущение мошеннических платежей. 

Таким образом, с конца 2015 по начало 2016 года в Банке параллельно работали две системы: импортная система AFR и отечественная система AFB.
 
ИСХОДНЫЕ ДАННЫЕ ДЛЯ СРАВНЕНИЯ AFR и AFB
 
Прежде чем показать результаты сравнения необходимо описать исходные данные, на основании которых производилось сравнение.

1. Интервал сравнения – с 03.12.2015 (00:00:00) по 29.02.2016 (23:59:59).

2. Источники информации:

2.1. Выборка из лог-файлов адаптера СДБО для системы фрод-мониторинга (34 593 004 записей), содержащая информацию о различных событиях:
  • дата и время события;
  • наименование системы (AFR или AFB);
  • тип события;
  • IP-адрес клиента;
  • вид события;
  • др.
2.2. Выборка из таблицы в СДБО (1 285 407 записей), содержащая информацию о платежных поручениях, по которым было успешно принято решение обеими системами:
  • дата и время события;
  • идентификатор документа;
  • идентификатор клиента;
  • рассчитанный риск (скоринг) для обеих систем;
  • код принятого решения для обеих систем;
  • наименовании правила, которое повлияло на принятие решения. 
3. Инструментальные средства – Microsoft Access 2007, Microsoft Excel 2007.
 
СТАТИСТИКА, КОТОРУЮ МЫ НАБЛЮДАЛИ
 
1. Количество событий. За указанный интервал времени на вход обеих систем поступило 30 772 345 событий. Из них AFR получил 20 106 857 события, а AFB – 10 665 488 события. Каждая из систем успешно обработала: AFR – 19 814 871 событие, AFB – 10 491 631 событие. Всего успешно сформировано обеими системами – 30 306 502 ответа. Т.е. AFR обработал почти в два раза больше событий, чем AFB. 


 
2. Распределение событий по видам. На вход каждой из систем передаются: в AFR 7 видов событий, в AFB – 3 вида. Количество видов событий в конечном итоге влияет на качество и эффективность модели для расчета скоринга. 


 
3. Распределение событий по датам. В среднем за сутки в рабочий день AFR обрабатывает от 350 до 450 тыс. событий. В то же время AFB в среднем обрабатывает от 180 до 240 тыс. событий. Пик обработки был достигнут 28 декабря 2015г.: 478 568 событий отправлено в AFR и 252 694 событий отправлено в AFB.
В нерабочие дни данные показатели уменьшаются примерно в 100 раз. 


4. Распределение событий по времени для AFR. Усредненная картина дня. На диаграмме хорошо видно, что в течение суток поступление событий можно аппроксимировать нормальным законом распределения с двумя пиками – в районе 12 и 15 часов. Провал можно объяснить распорядком дня. На диаграмме отражено среднее количество событий за 1 минуту. 

 
5. Распределение событий по времени для AFB. Аналогичная картина просматривается и для AFB. На диаграмме отражено среднее количество событий за 1 минуту. 



6. Пиковые значения. Пиковая нагрузка на системы по всем событиям и только по платежам. Т.к. видов обрабатываемых событий в AFR больше, чем в AFB, то нагрузка на AFR также больше, чем на AFB. 

 
Все, статистика закончилась. Переходим к самому интересному.
 
СРАВНЕНИЕ СКОРИНГА
 
При сравнении скоринга применялись следующие ограничения и допущения:
  1. В сравнении участвовали только события с типом «Платежное поручение».
  2. В сравнении участвовали только такие платежные поручения, для которых скоринг был успешно (без ошибок) рассчитан обеими системами (всего 1 854 371 ПП).
  3. Алгоритм расчета скоринга априори неизвестен для обеих систем. Иными словами каждая система представляет собою «черный ящик». По этой причине сравнение величины скоринга для одного и того же платежа не производилось. Сравнивались только принятые решения REVIEW или ALLOW для отобранных ПП.
Результаты сравнения:
  • Количество REVIEW: AFR – 90 236 (4,87%), AFB – 18 625 (1,00%). Т.е. AFR срабатывал в 4,87 раз чаще, чем AFB.
  • Только по 6 821 ПП или 0,37% от общего количества ПП (7,56% от REVIEW AFR; 36,62% от REVIEW AFB) обе системы сформировали одинаковые REVIEW. Это говорит о том, что содержимое «черных ящиков» каждой системы отличается очень существенно!
  • Результаты сравнения представлены в виде облачной диаграммы.

 
В интервале сравнения обеих систем были 2 случая попыток мошеннического списания, в которых участвовали 4 платежа – один случай с тремя платежами в декабре 2015 г. и один случай с одним платежом в январе.

В обоих случаях обе системы приняли одинаковое решение - дополнительное подтверждение (REVIEW).

Попытаемся заглянуть внутрь «черных ящиков».

РАСПРЕДЕЛЕНИЕ КОЛИЧЕСТВА ПЛАТЕЖНЫХ ПОРУЧЕНИЙ ОТ ВЕЛИЧИНЫ СКОРИНГА ДЛЯ AFR

Диаграмма демонстрирует распределение количества платежных поручений за весь период сравнения в зависимости от величины скоринга со сформированными решениями и правилами, которые повлияли на выбор решения.

Распределение носит равномерный характер со «ступенями» в различных диапазонах.

Количество платежных поручений представлено в логарифмическом масштабе.

  
РАСПРЕДЕЛЕНИЕ КОЛИЧЕСТВА ПЛАТЕЖНЫХ ПОРУЧЕНИЙ ОТ ВЕЛИЧИНЫ СКОРИНГА ДЛЯ AFB

Диаграмма демонстрирует распределение количества платежных поручений за весь период сравнения в зависимости от величины скоринга со сформированными решениями и, к сожалению, без правил (тестовый режим).

Распределение более дискретно, чем у AFR. Т.е. математическая модель содержит меньшее количество слагаемых и/или их значений, из которых получается величина скоринга.


 
Как видно, картина совершенно иная!
 
ЧТО НЕ СРАВНИВАЛОСЬ
 
1. Сравнение можно было бы провести, однако по различным причинам не проводилось:
  • аппаратно-программная платформа;
  • возможности по настройке, администрированию, мониторингу и обслуживанию;
  • эргономические требования и удобство работы оператора при взаимодействии с системой;
  • время обработки события;
  • количество ошибок обработки событий и причины их возникновения. 
2. Сравнение невозможно (явные отличия):
  • динамические модели поведения клиентов построены на различных статистических моделях, из-за чего сравнение величины скоринга произвести невозможно (отмечены случаи, когда по одному и тому же платежному поручению AFR выдал скоринг более «заданного значения» – верхняя граница для REVIEW, а AFB показал 0, или наоборот – AFB выдал скоринг более «заданного значения», а AFR показал менее нижней границы для REVIEW);
  • в период сравнения отсутствовала необходимая интеграция системы AFB с ИБК и АБС;
  • на сегодняшний день архитектура AFB не предусматривает использование статических правил (списки), хотя со слов разработчика это возможно. 
ИТОГИ ТЕСТОВОЙ ЭКСПЛУАТАЦИИ СИСТЕМЫ AFB

Результаты эксплуатации:
  1. В процессе эксплуатации в тестовом режиме было выявлено небольшое количество проверок, негативно влиявших на производительность при больших нагрузках. Проверки были исправлены в ходе тестирования системы.
  2. В конце периода эксплуатации в тестовом режиме проблем с производительностью под большими нагрузками не возникало. Среднее время обработки одного платежа составило около 50 мс. Максимальное время обработки при пиковых нагрузках составило 1 с.
  3. Предустановленные правила анализа на больших объемах платежей показали хорошие результаты по показателям ложных срабатываний. Были выявлены возможности тонкой настройки правил. К окончанию периода эксплуатации в тестовом режиме процент ложных срабатываний удалось снизить до 0.82%. Мошеннических платежей при этом пропущено не было.
  4. Учтены пожелания по доработкам системы, связанным с эксплуатацией под высокими нагрузками и анализом большого количества документов.
Заключение:

По итогам эксплуатации системы в тестовом режиме были получены хорошие результаты по основным характеристикам. Был выявлен ряд особенностей, связанных с эксплуатацией под большой нагрузкой и внесены корректировки для их учета.

 
ВЫВОДЫ ПО РЕЗУЛЬТАТАМ СРАВНЕНИЯ

1. Обе системы (AFR и AFB) доказали свою эффективность.

2. Говорить о полной аналогии систем друг другу невозможно. Причина – количество принимаемых решений REVIEW отличается более чем в 4,5 раза, при этом количество одновременных решений REVIEW очень мало. Теоретически, даже не смотря на различные статистические модели, аналитическим и экспериментальными методами можно было бы добиться максимального подобия. Однако практически это сделать будет крайне трудно, м.б. даже и невозможно, т.к. алгоритмы AFR полностью закрыты для анализа.

3. Компания-разработчик AFB является отечественной, что дает данной системе определенные преимущества при выборе, внедрении и поддержке. С другой стороны, AFB гораздо «моложе» AFR, опыта промышленной эксплуатации у этой системы явно недостаточно, что может привести к выбору не в её пользу.

4. AFB имеет преимущество перед AFR в скорости внедрения и обучения модели. Если для AFR требуется от 3 до 6 мес. для выхода на «промышленный» режим работы, то для AFB этот показатель в 3-4 раза ниже.

ВЫБИРАЙТЕ С УМОМ


Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30