Все, что вы хотели знать о фроде: что это, как его распознать, как защититься

Введение

Все компании в той или иной степени потенциально уязвимы для разного рода мошеннических действий, или фрода (англ. fraud). Сюда можно отнести как растраты и злоупотребления, так и совершение ненадлежащих платёжных операций, отмывание финансовых средств, финансирование терроризма.

Любое мошенничество — это проблема, которая влечёт за собой далеко идущие последствия и непосредственно в финансовой сфере, и для жизни общества в целом. Факты мошенничества могут снизить доверие как к конкретным организациям, так и в целом к отрасли, дестабилизировать экономику и повлиять на повседневные расходы людей.

В течение 2020 года имело место беспрецедентное количество масштабных утечек персональных данных из российских банков, что впоследствии вылилось в целый ряд успешных атак с использованием методов социальной инженерии. Этому способствовали как высокая сложность доказательства самого факта совершения мошеннической операции, так и весьма высокий уровень организации: объединение злоумышленников в группы с разделением ответственности, координация действий из единого центра, обмен опытом, взаимопомощь.

В прошлом компаниям приходилось применять в значительной степени фрагментированный подход к обнаружению и предотвращению мошеннических действий. Для традиционных каналов обслуживания клиентов (например, карточные транзакции, интернет-банк и т. п.) применялись свои специализированные и не взаимодействующие между собой решения. При этом использовались бизнес-правила и элементарная аналитика для поиска аномалий и создания предупреждений на базе полученных через разные каналы и не связанных между собой наборов данных. Многие каналы утечки оставались совершенно бесконтрольными в силу отсутствия необходимых технических возможностей, например по обнаружению фактов фотографирования экрана, чтения вслух информации с ограниченным доступом, физического отсутствия пользователя на рабочем месте и др.

Взаимозависимости между различными фрагментами данных фактически не могли быть установлены вследствие отсутствия эффективных средств автоматизации. В свою очередь, лица проводившие расследование инцидентов были лишены возможности отслеживать транзакции в режиме реального времени и реагировать приходилось исключительно постфактум.

Для борьбы с мошенничеством в современных условиях потребовались принципиально новые технологии, позволяющие предотвращать возможности реализации классических шаблонов атак злоумышленников и обнаруживать новые схемы мошеннических действий. Это подразумевает использование более совершенных технологий, чем в состоянии предоставить традиционная аналитика. В частности, очевидна потребность в методах прогнозной и адаптивной аналитики (включая машинное обучение), реализации динамических самообучаемых моделей оценки риска и т. д.

Компания «Фаззи Лоджик Лабс» — российская компания, основанная в 2016 году, которая занимается разработкой продуктов в области противодействия фроду, начиная от разработки математических моделей и до внедрения продукта у заказчика с последующей комплексной поддержкой системы обнаружения и предотвращения мошенничества во всех каналах обслуживания клиентов.

Система Smart Fraud Detection, разработанная компанией «Фаззи Лоджик Лабс», представляет собой высокопроизводительную, легко масштабируемую систему обнаружения и выявления мошеннических действий, способную в том числе противостоять выполнению операций по отмыванию денег. В отличие от большинства универсальных решений западного производства Smart Fraud Detection функционирует в режиме реального времени, который обеспечивает обработку пиковых потоков данных за миллисекунды.

В системе сочетаются методы детектирования аномалий как на основе правил, так и с использованием технологий машинного обучения. Наборы правил фактически являются отражением политик организации по маркированию подозрительной активности или известных шаблонов атак на базе анализа параметров конкретной транзакции и / или анализа динамически рассчитываемых объектов (if … else rule). С помощью методов машинного обучения система автоматически создаёт профили клиентов, отражающие их типичную активность, и позволяет выявлять отклонения от этого поведения, которые могут быть индикаторами либо уже известных типов фрода, либо новых, ранее не фиксировавшихся типов атак.

Далее будут детально описаны функциональные возможности и сценарий использования системы Smart Fraud Detection.

Что предпринимает партнерская сеть против некачественного трафика и фродера

Раньше фродили все, кому не лень, так как рекламодатели не знали, как отсеять обманщиков. Но со временем решение нашлось. Вот что делают партнерки: 

Устанавливают тестовое количество лидов: при сливе на гемблинг, свипстейки и другие схожие вертикали рекламодатель не оплачивает лиды, пока их не наберется достаточно для анализа. 

Пример: вы льете на БК. Условие оффера – депозит в 10 евро, выплата – 40 евро. Легко посчитать, что можно вложить свои 10, чтобы получить 30 чистыми. Или заплатить 10 сверху человеку, чтобы он выполнил условие, и получить себе 20. Но если из 100 приведенных вами игроков 50 будут лишь выполнять условие оффера без продолжения игры, рекламодатель сразу поймет, что имеет дело с фродером. В таком случае он не оплатит даже тот трафик, который окупился. 

Устанавливают большой холд (задержка проверки). Обычно на каждый лид задержка составляет 30 дней. Если выясняется, что вебмастер налил хороший трафик, холд для него снижается вплоть до 7 дней. 

Некоторые товарные партнерки устанавливают холд до момента, когда покупатель оплатит заказ на почте, чтобы избежать невыкупа посылок. 

Антифрод под капотом

Начнем с самых простых примеров. Антифрод — это совокупность двух машин. Первая работает по каким-то правилам, которые вы знаете и которые вам понятны. Вторая — черный ящик, в котором творится магия, постичь которую не помогут даже канистра энергетика и томик Ницше.

То есть в первой машине у нас лежит набор правил, написанный человеком. Правила выглядят довольно просто и всего-навсего отражают определенный набор действий, который должен триггерить систему на распознание фрода. Например, если с такой-то карты внезапно понеслось по 10 платежей в минуту, это неслабый такой повод насторожиться. Или если транзакция по карте прошла в Питере, а 5 минут назад хозяин по ней снимал деньги в Москве — тут тоже что-то странное.

Я повторюсь, я сейчас сильно образно, потому что такое поведение может быть и в нормальной ситуации. Например, Амазон любит снимать деньги не за весь ваш заказ из 15 позиций, а за каждую позицию по отдельности. Причем в разное время, это нормально. А в случае с географической разницей — хозяин карты может быть в Москве, а в Питере что-то на эту же карту в Apple Pay покупает его мама. Да, на картах пишут, что их не стоит передавать третьим лицам и вот это всё, но жизнь обычно немного сложнее.

Про вторую коробку. Там лежит большой кусок machine learning, и тут конкретно показать на пальцах в простой структуре, как там чего с чем соотносится для выводов, уже не так просто.

И вот из этого базиса можно вывести критерии хорошего антифрода.

Данные – новая валюта

Самые чувствительные типы атак – это утечка персональных данных клиентов компании.

В случае, если личные данные клиентов попадают в руки мошенников, последние могут воспользоваться ситуацией и подать заявку на получение кредита под чужим именем или зарегистрировать аккаунт в социальной сети.

В среднем, исходя из нашего опыта, риск во время атак, связанных с масштабной утечкой персональных данных, повышается в несколько раз.

Как бороться? 

Один из способов борьбы с последствиями таких происшествий – это более широкое использование в системе принятия решений альтернативных данных пользователей, которые, с одной стороны, во многих случаях обладают достаточной информативностью, а с другой, в случае их потери или компрометации, не нанесут серьезного ущерба: такие данные мошенники просто не смогут использовать для получения значимой выгоды.

К альтернативным данным относятся данные, полученные из нетрадиционных источников. Например, наличие признаков попытки подделать цифровой отпечаток устройства или маркеры рискованного поведения уже говорят о высоком риске заявителя, во многих случаях делая избыточным его проверку через источники персональных данных и верификацию.

Три кита

Во-первых, это интерфейс написания правил. Удобный, красивый и понятный. Об этом будет чуть ниже.

Во-вторых, специальный язык написания этих правил.

В-третьих, быстрая обработка этих написанных правил.

Почему быстро — потому что скорость тут реально важна. Антифрод как сущность ставится в разрыв платежной системы. И тут есть два подхода подобной реализации.

1) Bypass

Здесь в приоритете именно скорость проведения платежей. Бизнес обычно в такой ситуации принимает решения, что приоритет по скорости терять не стоит, поэтому если вдруг антифрод будет что-то долго обдумывать, анализировать и в целом немного тормозить процесс — пофиг, пляшем, игнорируем показания антифрода и просто проводим платеж.

2) Минимизация рисков

В этой ситуации бизнес понимает, что антифрод, в общем-то, не просто так поставили в систему, и прислушивается к его показаниям. Если есть подозрение на фрод, то бизнес тормозится, разбираются в ситуации, и только потом платеж проводится. Или не проводится.

Поэтому антифрод должен быть быстрым, максимально быстрым, и при этом адекватно конфигурироваться.

Внутри самого антифрода, на самом деле, довольно несложные колоночные вещи, там уйма задач на агрегацию данных. Вот смотрите, что собирается в системе:

• ip
• fingerprint
• БИН банка
• ID мерчанта
• токен карты

И есть задача вида схлопнуть в окне движущееся сейчас количество платежей с конкретным значением. Например, посмотреть прямо сейчас, что проводится с определенного фингерпринта. Или уточнить проходящие платежи по конкретной карте. Это очень помогает работе.

Да, кстати, важно понимать, что антифрод — это не вещь в себе. Он не может быть плохим или хорошим, это инструмент, требующий настройки

И если антифрод работает хреново, это не потому, что антифрод хреновый — это его хреново настроили, вписали не те правила или не учли еще кучу важных штук.

А настраивать его правильно важно для бизнеса. Не только потому, что из банка, где антифрод хреновый, все клиенты разбегутся, а потому, что отрасль тут сильно зарегулирована

Если в банк приходит слишком много фродового чарджбека, это повод для штрафов и дополнительных проверок. Ну а если совсем все грустно, то отключат нафиг от платежной системы.

И это правильно. Если ты оперируешь чужими деньгами, люди тебе их доверяют, а ты не в состоянии их защитить — на кой ты вообще на рынке? Открой шиномонтаж, например.

Поэтому у тебя или хорошо настроенный антифрод, или никакого вообще, ибо тебя выкинули с рынка и он тебе больше не нужен.

Анти-фрод системы

Теоретически отсеивать фрод можно вручную, но на практике делать это не целесообразно. Особенно, если вам не хватает ресурсов на постоянную аналитику. Хотя 100% панацеи от мошенничества не существует, были разработаны анти-фрод системы. Они отлавливают ботов и фильтруют трафик.

Принцип работы

Алгоритм пропускает через себя данные. Программа фиксирует аномалии, а также сравнивает ID и IP с уже имеющимися в базе. Если атипичные действия повторяются или ID/IP есть в блеклисте, то трафик признается фродовым.

Примеры анти-фрод систем

Существуют полностью автоматизированные инструменты, а также те, которые позволяют кастомизировать настройки. К слову, во многие трекеры уже встроена защита от фрода. Об этом мы писали здесь. Среди наиболее известных самостоятельных мобильных анти-фрод систем хочется выделить:

• Kraken;
• Forensiq;
• Fraudlogix;
• Kount;
• FraudScore (Clearflow);
• FraudShield.

Ждите подробный обзор в нашей следующей статье.

Запрещенные виды трафика

Что такое запрещенные виды трафика?

Часто рекламодатель вводит ограничения на продвижение через тот или иной тип трафика. Например, запрещает брендовый контекст или мотивированный трафик. Однако площадка может давать продвижение, не соответствующее заказу рекламодателя, и надеятся, что о её методах не узнают.

Чем опасны запрещенные виды трафика?

Брендовые риски (трафик идет из нелегальных или полулегальных каналов), растрата рекламного бюджета.

Недобросовестные партнеры могут продвигать вас через misleads (рекламу, вводящую пользователей в заблуждение) или Adult-рекламу (с использованием материалов 18+). Оба этих метода, как правило, не помогают с приростом качественной аудитории, но могут привести к плохим отзывам о приложении и негативному отношению к бренду в целом.

Как определить?

Определить этот фрод с трекером очень просто: достаточно посмотреть, откуда поступают пользователи. Если это тот же канал, который вы могли бы успешно обрабатывать сами, значит, вы просто переплачиваете за услуги партнера.

«Ливанская петля»

Еще один из видов мошенничества. Злоумышленники повреждают картоприемник банкомата при помощи фотопленки, лески и прочих устройств, тем самым препятствую банкомату в возврате карты владельцу, но с возможностью ее вытянуть этой же леской или пленкой. Вы не можете получить карту назад, и, конечно же, находитесь в растерянности: что делать? Тут появляется добрый «помощник», предлагающий вам решить вашу проблему. Усиленно начинает нажимать на все кнопки, в конечном итоге просит вас при нем ввести ПИН-код, запоминает его. Затем разводит руками: дескать, ничего не получается. Вы уходите. Злоумышленник спокойно вытаскивает при помощи «ливанской петли» вашу карту и опустошает ее. Если в процессе «бурной» деятельности ПИН-код с вас вытянуть не удалось, то идет в ближайший магазин и тратит все ваши деньги.

Помните: не все банкоматы оборудованы устройствами, обеспечивающими захват карты, которые в случаях сбоя работы банкомата удерживает ее до инкассации. Поэтому ваши действия в случаях захвата карты:

• внимательно осмотрите щель картоприемника на предмет повреждений и наличия посторонних предметов, попробуйте их удалить, возможно, перед вами «ливанская петля»;
• не при каких обстоятельствах не сообщайте ПИН-код добровольным «помощникам» и не набирайте его в их присутствии;
• прежде, чем уйти от банкомата, позвоните в банк, сообщите о проблеме и заблокируйте карту, вы всегда сможете ее восстановить.

Технические требования Group-IB Fraud Hunting Platform

Варианты интеграции Group-IB Fraud Hunting Platform в инфраструктуру клиента

Развёртывание Group-IB Fraud Hunting Platform предусматривает три варианта:

• облачное решение — гибкая и быстрая интеграция с облачной инфраструктурой клиента (SaaS);
• автономное решение в инфраструктуре клиента (on-premise) с предоставлением услуги по мониторингу (SecaaS);
• гибридное решение — смешанная реализация в соответствии с индивидуальными требованиями клиента. Например, модуль Preventive Proxy разворачивается в периметре у клиента, а Processing Hub — в облаке Group-IB.

Для защиты от ботов понадобится интегрировать модуль Web Snippet (для веб-портала) или Mobile SDK (для мобильного приложения) системы Group-IB Fraud Hunting Platform.

Preventive Proxy можно внедрить в инфраструктуру приложения или в облако Group-IB. При этом обработка трафика возможна посредством проксирования запросов через Preventive Proxy или разметки с помощью auth-request в NGINX.

Preventive Proxy также можно интегрировать в инфраструктуру приложения в виде «петли» на балансировщике запросов. В этом случае Preventive Proxy будет получать от балансировщика пользовательские запросы полностью (заголовки и тело) и в ответ передавать вердикт обратно балансировщику.

Ещё один способ интеграции — «в разрыв» между балансировщиком запросов и серверной частью (бэкендом) приложения. Тогда вердикт Preventive Proxy будет обрабатываться на бэкенде. Для запросов на статический контент можно настроить фильтрацию и перенаправление на бэкенд приложения.

API Group-IB Fraud Hunting Platform даёт возможность получать как отдельные события, так и проанализированную совокупность этих событий, включая информацию о степени их опасности. Доступна готовая интеграция с рядом антифрод-систем: Intellinx, GBG, RSA, «Фродекс FRAUDWALL», JET Detective, ЦФТ FRAMOS, «Фактура».

Group-IB Fraud Hunting Platform обогащается данными системы Group-IB Threat Intelligence (информацией о хакерах, вредоносных программах, IP-адресах злоумышленников и скомпрометированных данных).

Антифрод-аналитика и реагирование на инциденты обеспечиваются командой экспертов-криминалистов Group-IB. Предоставляются аналитическая поддержка в режиме 24x7x365, тренинги для персонала и экспресс-криминалистика.

Системные требования

В большинстве случаев Group-IB Fraud Hunting Platform развёртывается как облачное решение или в гибридном варианте. В последнем случае Preventive Proxy устанавливается в инфраструктуре заказчика.

При нагрузке в 20–30 тыс. запросов в секунду (исключая статический контент) для Preventive Proxy характерны следующие минимальные ресурсы сервера:

• ЦП — 4 ядра, 2 потока на каждое ядро;
• ОЗУ — 8 ГБ.

Модель лицензирования Group-IB Fraud Hunting Platform

Модель лицензирования Group-IB Fraud Hunting Platform реализована следующим образом:

• Защита порталов (мобильные и веб-каналы) лицензируется по количеству уникальных пользователей в год.
• P2P и 3DS лицензируются по количеству транзакций.
• Preventive Proxy лицензируется по количеству сессий в месяц.

Виды фрода

Мошенники придумали множество способов обмана. Рассмотрим популярные.

Подозрительный трафик

Кроме живых, в интернете живут машины — боты, которые выполняют различные постоянные задачи. Некоторые безвредны — например, роботы «Яндекса» и Google сканируют сайты. Трафик от таких ботов (General Invalid Traffic) прослеживается в системах аналитики, потому что их создателям нечего прятать.

Есть боты, которые сознательно скрывают свои намерения и генерируют сложно определяемый и запутанный трафик (Sophisticated Invalid Traffic). «Хозяева» таких роботов научили их кликать по ссылкам и притворяться реальными людьми, например, реагировать на рекламные баннеры. Нет, при переходе на сайт они не станут ничего покупать, но рекламодатель заплатит владельцу площадки за клик. Часто злоумышленники работают с целыми сетями компьютеров (так называемыми ботнетами), чтобы получать фейковый трафик с разных IP-адресов. Владелец взломанного ПК или планшета может не догадываться, что его машина скликивает чужую рекламу.

Есть и другие способы искусственной накрутки трафика: принудительный переход на другие площадки, прокси-устройства, вирусы и скрытые объявления. Последние работают так: вы смотрите фильм в пиратском онлайн-кинотеатре, а в скрытом окне запускается реклама. Рекламодатель оплачивает просмотры, которых на самом деле нет.

Мотивированный трафик

Способ похож на предыдущий, но уже с использованием человеческого труда. Есть компании, которые платят тысячам пользователей за посещение определенных сайтов. Такая организация работы называется «клик-ферма». В основном на таких фермах трудятся жители стран с низким уровнем жизни (Южная и Юго-Восточная Азия). Схему используют, когда нужно обойти сложную антифрод-систему, например, капчу или заполнить определенную форму.

Также исполнителей для таких заданий можно найти на крупнейших биржах фриланса, где люди готовы кликать, писать, звонить за вознаграждения.

Манипуляции с органическим трафиком

Также есть рабочие схемы, когда естественный трафик преподносится как привлеченный коммерческий. Так работает Cookie Stuffing — инструмент подмены cookies. Партнерский куки «приклеивается» к пользователю и сигнализирует, что тот пришел из партнерской сети. Из-за этого вознаграждение выплачивается даже за посетителей, которые пришли из поисковых систем. По данным TrackAd, это самый популярный способ обмана — 60% фрода приходятся на подмену cookies.

Еще одна схема, о которой стоит упомянуть, — контекстная реклама по брендовым запросам. Да, так делают многие компании, но в конечном счете они теряют деньги на ровном месте. Пользователь и так, скорее всего, перейдет на сайт из первой строчки органической выдачи.

Трюки с рекламными объявлениями

Чтобы накрутить клики с помощью подмены рекламных объявлений, мошенники запускают вирусы и другое вредоносное программное обеспечение. Самый популярный способ — AdStacking (или группировки). Программа накладывает несколько рекламных баннеров один на другой. Когда пользователь кликает на верхнее объявление, деньги списываются за всю «стопку» рекламы. При этом несколько рекламодателей платят за один клик.

С помощью программ злоумышленники могут размещать код на площадках, которые не связаны с рекламой — так, пользователь внезапно может увидеть рекламу на сайте Википедии.

Как обходят антифрод

К примеру, если поднять на тоннеле firewall или настроить его на dedicate-сервере, система не будет видеть, какие порты открыты. Если в цепочку перед dedicate-сервером или туннелем добавить Tor, то двусторонний пинг не выдаст, что IP принадлежит хостинг-провайдеру из «черного списка», туннелю, VPN или SOCKS.  Если предварительно просмотреть десяток-другой сайтов из выдачи Google, пообщаться в Facebook и открыть 100500 фото «ВКонтакте», история браузера и открытые вкладки не вызовут подозрений.

Мошенники звонят и представляются сотрудниками банка, чтобы узнать ответы на вопросы из стандартного списка. Часто пользователи всё им рассказывают, ничего не подозревая.

Наконец, те, кто обходят антифрод, имитируют поведение типичных покупателей. Если найти магазин через поиск, посмотреть там пару десятков товаров, что-то добавить в корзину, затем что-то убрать, пообщаться с консультантом и т.п., антифрод будет лояльнее.

Архитектура Group-IB Fraud Hunting Platform

Архитектура Group-IB Fraud Hunting Platform включает в себя несколько функциональных блоков:

• Processing Hub (серверная часть Group-IB Fraud Hunting Platform);
• антибот-модуль Preventive Proxy;
• клиентский модуль (Web Snippet и Mobile SDK).

Рисунок 1. Архитектура Group-IB Fraud Hunting Platform

Processing Hub обеспечивает анализ и корреляцию данных из клиентского модуля, а также выявление мошенничества. Processing Hub может использоваться как SaaS или полностью размещаться в инфраструктуре клиента.

Клиентский модуль встраивается в мобильное и веб-приложение для сбора параметров устройства, индикаторов компрометации и поведения пользователя:

• для веб-приложений — Web Snippet (JavaScript-модуль);
• для мобильных приложений — Mobile SDK (Android и iOS).

Web Snippet или Mobile SDK с момента загрузки веб-ресурса или запуска мобильного приложения собирают и передают в Processing Hub поведенческие характеристики пользователя и окружения, в котором исполняется мобильное или веб-приложение.

Preventive Proxy — антибот-модуль в составе системы Group-IB Fraud Hunting Platform. Preventive Proxy анализирует и применяет политики реагирования на бот-активность: выявляет автоматизированные средства для сбора данных и совершения действий на защищаемом ресурсе.

Архитектура антифрод-системы

Web Antifraud, как уже было сказано, является сессионной (браузерной) антифрод-системой, которая рассчитана главным образом на следующие категории заказчиков:

• банки (системы дистанционного банковского обслуживания, онлайн-банкинг);
• микрофинансовые и микрокредитные организации (МФО / МКО);
• страховые компании;
• онлайн-сервисы для обмена электронных валют;
• криптобиржи;
• CRM-агентства, организаторы рекламных промоакций;
• сервисы бонусных программ.

Также данный продукт подойдёт и для других платформ, в которых аккаунты клиентов представляют ценность для мошенников.

Web Antifraud сочетает в себе несколько ключевых функций: анализ устройства, анализ поведения, выявление вредоносных программ, проверку возможной связи между аккаунтами пользователей.

Анализ устройств заключается в сборе более чем 100 технических характеристик устройства пользователя; на основе 60 различных проверок рассчитывается вероятность совершения мошеннических действий на сайте. Также выявляются попытки эмулировать устройства других пользователей или избежать проверок.

Второй ключевой особенностью этого продукта является анализ поведения, позволяющий выявлять аномалии в поведении пользователя. Не секрет, что каждый человек отличается индивидуальностью; соответственно, и с сайтом он также взаимодействует уникальным образом — совершает присущие только ему движения мышью, с определённой скоростью набирает текст на клавиатуре, заходит на сайт из определённых геолокаций, по своим правилам перемещается по сайту и т. д. Подобное поведение состоит изо множества привычек, которые принадлежат только этому человеку. Если были замечены существенные изменения в поведении пользователя, то, скорее всего, аккаунтом пользуется другой человек, и это — сигнал для проведения дополнительной проверки. У мошенников тоже есть свои шаблоны поведения, которые также выявляются и служат поводом для повышенного внимания к пользователям.

Рисунок 3. Карта в Web Antifraud с отмеченной геолокацией пользователей

Ещё одной существенной функцией Web Antifraud является защита от вредоносных программ, в том числе троянов. Работа данного механизма заключается в определении попыток повлиять на функциональность и работоспособность сайта. Чаще всего такие попытки связаны с инъекцией вредоносного JavaScript-кода, который запускается на компьютере пользователя. Web Antifraud выявляет подобные атаки и собирает всю доступную информацию по ним для дополнительного анализа.

Web Antifraud также позволяет обнаруживать неявные связи между аккаунтами, которые используют общие устройства и IP-адреса, а также по некоторым другим факторам. Это позволяет выявлять группы аккаунтов, которые могут использоваться в мошеннических действиях.

В дополнение к вышеперечисленному Web Antifraud обладает функцией проверки целостности и актуальности пользовательских сессий. В результате работы механизма детектируются попытки перехвата или подмены сеанса. Антифрод обладает защитой от повторения предыдущих запросов (replay-атак). Web Antifraud способен определять включённый режим инкогнито в браузерах и модификации стандартных интернет-обозревателей (антидетекты), а также оценивать доверенность среды (устройства, IP-адреса и другие признаки), из которой заходит пользователь.

Для повышения уровня безопасности антифрод-система дополнительно предлагает функцию 2FA (двухфакторной аутентификации). В случае подозрения на неправомерность доступа к аккаунту Web Antifraud может запросить дополнительный способ подтверждения с помощью тех инструментов, которыми владеет пользователь (например, посредством получения кода на электронный адрес, SMS-сообщения на мобильный телефон, использования аппаратного токена, отпечатка пальца и другой биометрии).

Для того чтобы можно было удобно и оперативно управлять аналитикой, в антифроде применяется веб-приложение «Web Antifraud Аналитика». Данный инструмент позволяет получать в режиме реального времени отчёты о работе системы, об инцидентах и активности пользователей, осуществлять поиск, получать по каждой учётной записи подробную аналитику с визуальными геометками на карте и найденными связанными аккаунтами.

Рисунок 4. Консоль управления аналитикой в Web Antifraud

ComScore

Anti-fraud или фильтрация невалидного трафика (IVT) как сервис у ComScore входит в продукт vCE (validated Campaign Essentials) — это валидация и верификация рекламных кампаний в digital. Подробнее об этом продукте можно почитать на сайте сервиса. Есть три варианта валидации digital-РК в vCE:

• Audience Validation (TRP, demos — охват и соцдем, behaviors — поведенческие сегменты) — для измерения необходима интеграция промерочного пикселя;
• Ad Validation Only (viewability, NHT, brand safety, engagement) — для измерения необходима интеграция JavaScript кода в креатив (на уровне Ad Сервера);
• Ad Validation + Audience Validation — для измерения необходима интеграция JavaScript кода в креатив (на уровне Ad Сервера).

Соответственно, для валидации трафика на предмет фрода нам достаточно будет воспользоваться пакетом Ad Validation Only, так как сюда входит замер NHT — non-human traffic. Одними из своих преимуществ коллеги из ComScore считают обнаружение невалидного трафика многих типов:

ComScore гордится и другой разработкой по выявлению роботного трафика — Triple Detection. Triple Detection Technology использует 3 основных источника данных ComScore — ad tags, census page tags и панель людей, что позволяет измерять IVT лучше, чем более простые технологии.

За последнее время нам не доводилось проводить какие-либо измерения качества трафика с помощью ComScore. А делиться с читателями старыми знаниями мы считаем неправильным;-)

Фишинг

Хотя все финансовые структуры и борются с подобным видом фрода, вы со своей стороны так же должны быть бдительны. Никогда не сообщайте свои данные по телефону, даже если вам позвонили от имени банка, не пересылайте СМС или письмами пароли и логины. Если вы сомневаетесь, лучше позвоните сами в банк в службу поддержки и вас соединят с нужными людьми. Не ставьте одинаковые пароли во все системы (социальные сети, почтовый ящик, платежные системы и т.д.).

Фрод при помощи фишинговых сайтов

• некоторая небрежность в дизайне сайта (ошибки, смазанная графика и т.п.)
• использование уязвимости браузера. В нормальном режиме строка пути на сайт должна отображаться как вверху, так и внизу при наведении курсора;
• отсутствие https в адресной строке браузера, что свидетельствует о том, что у сайта нет шифра передаваемой информации, возможен ее перехват при передаче;
• запрос ПИН-кода при оплате на сайте незаконен, лучше покиньте его навсегда – это мошенники.

Развитие и первые результаты

Как мы совершенствуем алгоритмы, то есть снижаем ошибки?

• Невыявленные случаи фрода. Здесь нам помогают кураторы и менеджеры городов. Бывает, что они самостоятельно «ловят» фродовые поездки и водителей, которые пропустили наши скрипты. Мы выясняем причину и дорабатываем код;
• Ложные обвинения. Таких ошибок гораздо больше, плюс их мы можем посчитать. Здесь помогают комментарии менеджеров к поездкам, которые они признали честными.

В начале нашего пути ошибка по самому масштабному паттерну (воровство комиссии) в среднем составляла около 35%. Сейчас — меньше 25%. В то же время, по другому паттерну — доплатам — удалось не только свести ошибку к нулю, но и в десятки раз уменьшить количество таких случаев. Выдвинем гипотезу: водители поняли, что теперь за подобное наказывают, и решили, что риск не стоит свеч. И придумали другие схемы.

За первые месяцы работы удалось достичь следующих результатов:

• 15 тысяч поездок признаны фродом;
• 6800 водителей понесли наказание;
• более 500 тысяч рублей вернулись в компанию только по воровству комиссий.

Но самый главный успех — это постепенное снижение самих случаев подозрения во многих городах. Ведь, в идеале, мы не хотим ловить больше, мы хотим, чтобы ловить было нечего.

Анализ риска внутреннего фрода

Внутреннему фроду подвержены все организации, в которых можно чем-то «поживиться»: банки, государственные органы, транспортные предприятия, нефтегазовые компании и т.п. Другая проблема — сложность отрасли. Часто сотрудникам, особенно новичкам, требуется немало времени для освоения сложных программ; при этом операции выполняются с нарушением строгих норм, а любое нарушение есть лазейка для мошенничества. В свою очередь, четкая прозрачная структура с хорошим внутренним контролем оставляет мошенникам очень мало возможностей для афер.

Помимо внутреннего контроля обязателен также регулярный внешний аудит — как техники, так и финансовых операций, что позволит выявить неправильную настройку серверов и компьютеров, сомнительные переводы денег. Уже сама возможность раскрытия мошеннических схем заставит многих отказаться от своих планов.

Необходимо анализировать показатели эффективности отдельных сотрудников и целых подразделений. Порой их резкий рост является не следствием улучшения работы, а мошенническим завышением ради получения больших премий.

Наконец, огромное значение имеет общая корпоративная культура. При ее отсутствии, при низкой трудовой дисциплине всё нередко начинается с небольших злоупотреблений, на которые закрывают глаза. Безнаказанность подталкивает человека искать (и находить) более масштабные схемы, при которых компания и клиенты теряют уже миллионы.

Для противодействия внутреннему фроду используются DLP-системы, средства профилирования сотрудников, поведенческий анализ (UBA / UEBA).

Выводы

Мошенничество с трафиком — прямой путь к блокировке в CPA-сетях, будь то любой из видов фрода или клоакинг. 

Фрод — это любое мошенничество и попытка выдать некачественный трафик за качественный. Подобные попытки строго запрещены, какими бы способами он ни осуществлялся. Карается баном в сети, отсутствием выплат и в редких случаях судебными разбирательствами. 

Клоакинг — подмена одной страницы на другую с целью обмана модераторов или проверяющих ботов. Клоакинг также запрещен в большинстве CPA-сетей, поэтому карается баном.

Лейте трафик честно, читайте правила сети и изучайте офферы рекламодателей внимательно.

Тематика: Блог, Обучение рекламе и продвижению

Заключение

Миллионы рекламодателей по всему миру подвержены проблеме скликивания. На данном этапе, к сожалению, нет никаких сервисов или знаний, который на 100% смогут уберечь каждого от потери средств и потенциальной прибыли.

Тем не менее отчаиваться никто не намерен. Столь же активно развиваются и средства защиты от склика и механизмы возмещения ущерба за мошенничество такого рода. Поисковики и сторонние сервисы весьма эффективно защищают рекламодателей, да и закон не остается в стороне.

Так что если у вас есть достаточно оснований и доказательств в пользу того, что на вашу рекламу был заказан кликфрод, смело обращайтесь к рекламным площадкам и, если они откажутся возвращать убытки, обращайтесь в суд!

В борьбе со фродом одна из важнейших вещей – вовремя заметить, что вашу рекламу скликивают, прежде чем ситуация станет уже критической. Следить за кампаниями ежедневно, чтобы заметить малейшие отклонения, сложно, поэтому эффективно будет отдать эту проблему специалистам.

Похожие записи:

Посуточная аренда на airbnb Личный кабинет учи.ру Сбп (система быстрых платежей) Как проверить статистику посещаемости своего или чужого сайта Сокращенная программа обучения: сколько лет учиться в вузе после колледжа Как «накачать» свой мозг