6. Обнаружение мошеннических платежей

6.1. Общие принципы обнаружения мошеннических платежей

Для обнаружения мошеннических платежей, система FraudWall анализирует не только содержимое платежного документа, но и весь сетевой трафик работы в системе ДБО, в котором фиксируется каждое действие клиента: что было сделано в сессии перед созданием документа, выполнялись ли операции, не свойственные обычной работе клиента в системе ДБО и т.д.

Система FraudWall не устанавливает какого-либо программного обеспечения на стороне клиента - для анализа используется только те данные, которые получены извне непосредственно на сервер банка. Такой подход исключает какое-либо вмешательство в работу компьютера клиента банка.

По каждому клиенту банка, обнаруженного в реквизитах созданного в ДБО платежного поручения, система FraudWall накапливает статистику - на каких получателей платит этот клиент, на какие суммы и т.д.

В FraudWall реализован интеллектуальный алгоритм распознавания типа получателя, что позволяет более гибко настраивать правила обнаружения мошеннических платежей. Предусмотрено 3 типа получателей:

  • получатель - физическое лицо

  • получатель - юридическое лицо

  • получатель - платежный шлюз

Под платежным шлюзом считается юридическое лицо, которое при поступлении средств на его расчетный счет, осуществляет дальнейшее зачисление на внутренние лицевые счета физических лиц. Например, в качестве платежного шлюза выступают платежные системы Яндекс.Деньги, WebMoney и т.д.

Под получателем - юридическим лицом считаются юридические лица (кроме платежных шлюзов), а также индивидуальные предприниматели (физические лица, зарегистрированные в установленном законом порядке и осуществляющие предпринимательскую деятельность без образования юридического лица).

Помимо статистики «плательщик - получатель», получаемой из реквизитов платежного поручения, система FraudWall также накапливает статистику по компьютеру клиента (с каких IP адресов работает клиент в ДБО и т.д.).

Статистика автоматически формируется с учетом особенностей платежей каждого клиента.

Все параметры, критерии и правила обнаружения мошеннических платежей хранятся в так называемых профилях параметров обнаружения мошеннических платежей.

Профиль может быть применен на уровне филиала банка, на уровне сайта и на уровне клиента (плательщика). Наивысший приоритет имеет профиль на уровне клиента, если он не указан - то на уровне сайта, если профиль не указан на уровне клиента и сайта - то используется профиль на уровне филиала.

Рисунок 58. Последовательность анализа документа системой FraudWall

Последовательность анализа документа системой FraudWall

При обнаружении факта создания документа в ДБО, система FraudWall анализирует накопленную статистику «плательщик - получатель», статистику по компьютеру клиента, а также выполняемые в течение сессии действия, формируя тем самым набор флагов (параметров), свойственных для конкретного документа.

Выставляемые флаги могут быть как логическими (т.е. принимать значения ПРАВДА, ЛОЖЬ НЕИЗВЕСТНО), уровневыми (т.е. НЕЗНАЧИТЕЛЬНЫЙ, НЕБОЛЬШОЙ, СРЕДНИЙ, БОЛЬШОЙ, ОЧЕНЬ БОЛЬШОЙ, НЕЕСТЕСТВЕННЫЙ, НЕИЗВЕСТНО), либо числовыми (обычное число с запятой).

Значение НЕИЗВЕСТНО выставляется в случае, если вычислить значение флага по каким-либо причинам невозможно. Например, если система FraudWall интегрирована с системой ДБО в универсальном режиме (т.е. в качестве источника информации для анализа выступают не дамп трафика, а реквизиты платежного поручения в базе данных), проверить значение User-Agent браузера клиента становится невозможным (а следовательно, соответствующий флаг будет иметь значение НЕИЗВЕСТНО).

После выставления всех возможных флагов (параметров) документа, начинает проверять их по правилам обнаружения мошеннических платежей. Предусмотрено 2 вида правил:

  1. встроенные правила (поставляемые разработчиком системы)

  2. правила, создаваемые вручную через Web-интерфейс

FraudWall последовательно проверяет все правила до тех пор, пока не сработает первое созданное вручную правило вида «считать платеж созданным клиентом» (либо до последнего правила, если таких нет).

При завершении проверки правил, FraudWall проверяет - сработало ли встроенное либо созданное вручную правило вида «считать платеж подозрительным». Если сработало хотя бы одно такое правило (даже если дополнительно сработало правило вида «считать платеж созданным клиентом»), то FraudWall считает платеж подозрительным и выполняет соответствующие действия по информированию сотрудников банка.