Информационная система определения мошенничества по платежным картам в режиме реального времени
Белянина Н.В., к.т.н., доцент, Кожин Е. В., аспирант,
Современная гуманитарная академия, г. Москва
Рассматривается проблема мошенничества в сфере пластиковых карт. В связи с постоянным ростом мошенничества платежные системы озадачены проблемой обнаружения и предотвращения нелегальных операций по картам. Поставленную задачу необходимо решать при помощи современных информационных систем. Такие системы должны быть гибко настраиваемыми, современными и интегрируемыми с другими системами по обработке операций по пластиковым картам (процессинговые системы, претензионные системы, системы безопасности, системы оповещения). Вариант решения – это разработка комплексной системы по обнаружению мошенничества. В части механизмов обнаружения предложены два взаимно дополняющих метода – метод контрольного анализа и метод статистического анализа. Данные методы позволяют по определенному набору правил и статистическим данным выявлять мошеннические транзакции в режиме реального времени.
Ключевые слова: платежные карты, процессинговый центр, информационная система.
История мошенничества с пластиковыми картами
Пластиковые карты появились в середине XX в. и дали возможность рядовым потребителем распоряжаться электронными деньгами. Вместе с теми преимуществами, которые они несли в себе (мобильность, легкость в обращении, контроль за расходами, простота обслуживания, удобство транспортировки) карты дали большое поле деятельности для всякого вида мошенничества и обмана.
История мошенничества с картами берет свое начало в 70-х годах. Первыми примитивными методами мошенничества были следующие методы подделки карт [И5]:
-
«сбрить и наклеить» — заключался в том, что со старой карты срезался эмбоссируемый номер и наклеивался новый с другой карты. -
«белый пластик» — на чистом белом пластике выбивались номера реальных карт. -
«копирование» карт — фактически изготавливалась точная копия карты, а также наносилась печать при помощи шелкографии.
Как только масштабы воровства приобрели массовый характер, появился новый механизм защиты — магнитная полоса.
Магнитная полоса принесла несколько степеней защиты, такие как CVC/CVC2 — card veriпication value — средство проверки подлинности карты, PVV — pin verification value — средство проверки подлинности секретного PIN-кода.
Кроме электронных средств защиты, были внесены коррективы в дизайн и оформление самого пластика, была добавлена голограмма и специальный «непечатаемый» символ.
К тому же платежи в большей своей мере стали проходить в режиме «online». Появились первые информационные системы (ИС) по обработке транзакций по пластиковым картам — процессинговые системы (центры). Операции по картам приходили по средствам электронного обмена в процессинговые центры по линиям связи, которые осуществляли соответствующие проверки валидности карты и могли запретить или одобрить операции по карте в режиме реального времени.
Однако мошенники и тут придумали новые механизмы для своей нелегальной деятельности. Кроме физической подделки карт, существует ряд механизмов [И3] мошенничества (рис. 1).
Рис. 1. Виды мошенничества с платежными картами
1. Мошенничество с использованием потерянных или украденных карт [И1, И2, И4]. Когда у держателя карты крадут карту или он ее теряет, то для вора существует возможность совершать неавторизованные покупки по карте, пока карта не будет заблокирована. Фирмы, которые принимают кредитные карты, обязаны сверять идентификационные данные держателя карты и карты, но на самом деле такое случается редко. Потенциально вор может потратить на покупки товаров и услуг тысячи долларов до того, как держатель карты или банк поймут, что карта находится не в тех руках.
2. Мошенничества с использованием заказов по почте по кредитным картам [И1, И2, И4]. Используя номер ворованной платежной карты или номер, который генерируется компьютером, вор заказывает товары на web-сайте на фальшивый или передвижной адрес. Далее вор забирает товары и исчезает. Когда настоящий держатель карты узнает о покупке, которую он не делал, то звонит в банк-эмитент и запрашивает назад свои деньги. Таким образом, торговая организация теряет деньги, полученные в результате транзакции в дополнение к товару, который вернуть уже не получится.
3. Мошенничество, основанное на перехвате замены для карты [И1, И2, И4] имеет место, когда вор перехватывает замену для карты, которая посылается законному пользователю и использует ее. Однако все больше банков рассылают неактивные карты, которые не могут использоваться до тех пор, пока законный пользователь не подтвердит банку свою личность, используя номер паспорта, домашний адрес, девичью фамилию матери (кодовое слово), номер карты и информацию о том, где карта была получена.
4. Мошенничество с использованием претензии (chargeback fraud) имеет место, когда законный владелец карты оплачивает товар или услугу, но затем заявляет, что транзакция была отклонена или что товар или услуга не были получены. Это также называется мошенничеством от первого лица.
5. Мошенничество с использованием фальсификации или сканирования [И1, И2, И4]. Фальшивая, клонированная или сканированная карта – это карта, которая была напечатана, выпущена или закодирована без разрешения законного эмитента или та, которая была выпущена законно, но после этого изменена или перекодирована. Наиболее часто такие карты получается в результате процесса сканирования. Сканирование – это кража информации о кредитной карте нечестным сотрудником законной торговой организации за счет ручного копирования номера или использования скрытого считывающего устройства для платежных карт. Наиболее частые случаи сканирования возникают в ресторанах и барах, когда сканирующий имеет доступ к платежной карте жертвы и находится вне пределов зоны видимости последнего. Сканирующий может использовать небольшую клавиатуру для сохранения трех или четырехзначного кода Card Verification Value 2 (CVV2), который не записывается на магнитную полосу, а записан напрямую на карте. Обычно этого набора данных достаточно для использования счета платежной карты жертвы для мошеннических целей в транзакциях без присутствия карты, а именно по телефону или через Интернет.
6. Кардинг (carding) [И1, И2, И4] – это термин, который используется мошенниками для обозначения процесса, который они используют для проверки того, что набор краденных данных о платежных картах до сих пор действует. Мошенник вводит каждый набор на включенный web-сайт, который поддерживает обработку транзакций в реальном времени, делая при этом покупки на очень малую сумму, не затрагивая, таким образом, кредитный лимит и, соответственно, не привлекая внимания операторских проверок к транзакции.
На сегодняшний день кардинг наиболее часто используется для проверки данных платежных карт, которые получены прямиком от жертв за счет сканирования (skimming) или фишинга (phishing) [1, И1], т.е. незаконных действий, которые используют социальные техники (к примеру, попытка при. твориться торговой организацией электронной коммерции). Набор деталей платежных карт, которые были проверены таким образом, в мошеннических кругах называется фиш (phish). Кардер обычно продает файлы с данными о фишах другим лицам, которые и совершают мошенничество. Рыночная цена фиша варьируется от 1 до 50 долларов США [1] в зависимости от типа платежной карты, а также ее свежести и финансовой обеспеченности.
7. Мошенничество с использованием отсутствия карты при покупке (card-not-present fraud, CNP fraud) [1, И1, И2, И4] включает в себя транзакции, проводимые через Интернет, по телефону, факсу или при почтовом заказе. Они совершаются, когда мошенники получают информацию о карте за счет копирования во время проведения транзакции или с выброшенных квитанций.
Это один из наиболее распространенных типов мошенничества. Проблема борьбы с данным типом мошенничества заключается в том, что ни карта, ни держатель карты не присутствует на месте покупки в магазине. Это означает следующее:
-
торговые организации, использующие CNP, не могут проверить физические атрибуты защиты платежной карты для определения ее подлинности; -
без подписи и PIN-кода тяжело проверить личность держателя карты; -
эмитент карты не может гарантировать, что информация, предоставленная через CNP-среду, была дана истинным держателем карты.
8. Кража подлинности платежной карты (identity theft on cards) [И1, И2, И4] имеет место, когда мошенник использует незаконно полученную персональную информацию для открытия или доступа к счету от имени другого лица. Существует два типа такого мошенничества. Мошенничество с наложением (Application fraud) подразумевает открытие счета под чужим именем, используя фальшивые или украденные документы. Мошенники крадут такие документы как счета и банковские выписки для получения необходимой информации. С другой стороны они могут использовать и фальшивые документы для целей проверки личности.
9. Перехват счета (account take-over) подразумевает, что мошенники могут перехватить чужой счет за счет получения ключевой персональной информации. Прикидываясь другим лицом, мошенники стараются ввести в заблуждение банк-эмитент и организуют платежи с этого счета. Мошенники могут также заставить банк изменить различные детали счета (например, адрес) и настоять на выпуске новых карт или чековых книг.
Существуют статистические данные по разным видам мошенничества (рис. 2). В мире существует ассоциация APACS [1, 2, И2, И3] которая следит за текущими состоянием в сфере оборота платежей и мошенничества с использованием карт ( данные периодически публикуются на сайте https://www.cardwatch.org.uk/publications.asp?sectionid=all&Title;=All_Publications [И2] )
К сожалению статистики по России нет, но можно посмотреть статистику убытков связанных с мошенничеством на табл. 1 в Великобритании за последние годы [И2].
Таблица 1
Убытки финансовых организаций в млн. фунтов стерлингов в Великобритании
|
Тип мошенничества |
1997 |
1998 |
1999 |
2000 |
2001 |
2002 |
2003 |
2004 |
2005 |
2006 |
2007 |
|
"Без карты" |
10.0 |
13.6 |
29.3 |
72.9 |
95.7 |
110.1 |
122.1 |
150.8 |
183.2 |
212.7 |
290.5 |
|
"Подделка" |
20.3 |
26.8 |
50.3 |
107.1 |
160.4 |
148.5 |
110.6 |
129.7 |
96.8 |
98.6 |
114.3 |
|
"Кража/Потеря карты" |
66.2 |
65.8 |
79.7 |
101.9 |
114.0 |
108.3 |
112.4 |
114.5 |
89.0 |
68.5 |
56.2 |
|
"Кража персональной информации" |
13.1 |
16.8 |
14.4 |
17.4 |
14.6 |
20.6 |
30.2 |
36.9 |
30.5 |
31.9 |
34.1 |
|
"Перехват" |
12.5 |
12.0 |
14.6 |
17.7 |
26.8 |
37.1 |
45.1 |
72.9 |
40.0 |
15.4 |
10.2 |
|
Всего ( миллины фунтов ) |
122.0 |
135.0 |
188.4 |
317.0 |
411.5 |
424.6 |
420.4 |
504.8 |
439.4 |
427.0 |
535.2 |
Из таблицы видно, что объемы потерь колоссальны. 
Рис. 2. Диаграмма распределения видов мошенничества
Информационные технологии, способные помочь в решении данной проблемы
Использование чиповых карт
Новые средства защиты от карт подделки – использование чиповых карт (EMV – карты [И6] ). Основаны на встраивании в карту электронного чипа с некоторым объемом памяти и поддерживающего ряд криптографических функций. Смысл защиты состоит в том, что карта становится интеллектуальной: на основании некоторых данных и «зашитых» в нее ключей и функций может генерировать криптограмму (причем каждый раз новую), которую проверяет процессинговый центр и возвращает на карту ответную криптограмму, которую в свою очередь проверяет карта. Еще один из способов защиты такой карты это возможность проверки PIN-а клиента в самой карте т.е. для тех случаев когда транзакция производится в offline режиме т.е. без соединения с процессинговым центром. В дополнение технология производства чипов не позволяет их «копировать» благодаря технологиям ее производства и защиты информации на чипе.
Использование EMV-карт закрывает несколько лазеек для мошенников. Остальные проблемы необходимо решать организационно, а также технически в алгоритмах выявления мошеннических транзакций на стороне процессингового центра, причем в режиме реального времени.
Реализация информационной системы определения мошенничества в режиме реального времени
В настоящее время существует множество процессинговых решений от различных российских и зарубежных фирм. Изначально они разрабатывались для осуществления процессирования операций по картам, но с развитием направления пластиковых карт и соответствующим развитием мошенничества по ним встала проблема модернизации систем для выявления и противостояния мошенничества по картам.
Требования к информационной системе (ИС) по выявлению мошеннических операций [4]
-
Динамическое определение подозрительных транзакций на основании правил. Построение модели и ее параметров для выявления подозрительных операций. Работа на основании статических проверок параметров транзакции и на основании истории авторизаций по карте. Принятие решение об отклонении операции и/или занесении карты в стоп лист. А также настройка дополнительных правил на основе анализа статистических данных. -
Возможность управления (блокировка) подозрительными точками обслуживания (банкоматы, терминалы, точки продаж, торговцы). -
Управление стоп-листами по картам, вовлеченным в мошенничество. -
Статистический анализ истории операций. Выявление фактов и центров компрометации карт. Выявление карт, которые были обслужены в подозрительных точках. Определение стран, в которых происходит наибольшая мошенническая активность. Выявление характерных и нехарактерных методов поведения держателя карты. -
Отчеты для оценки фродовой активности в банке и принятия мер по ее уменьшению. -
Оповещение операторов системы о фактах мошенничества для принятия соответствующих мер (SMS-информирование, E-mail-информирование, генерация оповещений).
Из указанных требований (они основаны на реальных требованиях банков эмитентов) видно, что система должна быть комплексной и решать целый ряд основных и вспомогательных задач, в т.ч. интеграции с текущими ИС банков.
В целом комплексная схема системы показана на рис. 3.
Рис. 3. Принципиальная схема информационной системы определения
мошенничества по платежным картам
Описание и назначение отдельных модулей системы:
-
модуль динамической оценки – основной модуль, который производит оценку подозрительности транзакции на основании правил и принимает решение – является ли операция мошеннической, либо является допустимой; -
модуль работы со стоп-листами по картам – подсистема, которая управляет списком карт, которые признаны мошенническими или украденными; -
модуль работы с лимитами предназначен для ограничения активности по картам и терминалам для избегания крупных финансовых потерь в ситуациях, когда транзакции не попали в ряд подозрительных; -
модуль анализа необходим для анализа статистики проведенных операций для выявления точек компрометации, корректировке правил, выявления карт, которые использовались в подозрительных точках и которые возможно скомпрометированы. Другая задача — сопоставление реальных случаев мошенничества и действий системы для оценки правильности ее функционирования, т.е. интеграция с претензионной системой банка; -
модуль формирования отчетов необходим для формирования отчетов по функционированию и действиям модуля; -
модули информирования – SMS, Email, Алерты – необходимы для оперативного контроля за операциями операторами, службами безопасности банков, а также контроля операций со стороны клиента.
На рис. 4 представлена схема обработки транзакций в ИС.
Рис. 4. Стадии обработки операций в ИС
Наибольший интерес представляет модуль динамической оценки, т.к. фактически он является центром системы и принимает решения на основании правил о том мошенническая транзакция или нет.
Модуль динамической оценки
Принципы функционирования модуля [3] основаны на двух подмодулях – контрольном и статистическом. Контрольный модуль представляет собой настройку, с помощью которой можно различным образом оценивать результаты работы статистического модуля. Статистический модуль представляет собой способный обучаться анализатор, позволяющий делать вероятностную оценку на основе аппарата сетей Байеса [3].
Контрольный модуль
Принципы построения контрольного модуля представляют собой использование задаваемых пользователем правил проверки транзакций. Основным требованием к проверкам является то, что они должны затрагивать как параметры текущей финансовой операции, так и параметры предыдущих операций по указанной карте или, возможно, терминалу. Для реализации такого рода проверок используется исчисление предикатов (predicate) первого порядка. Финансовая операция представляется некоторым ограниченным числом своих параметров. Для большинства транзакций по платежным картам можно считать, что они представимы в виде совокупности параметров, определяемых стандартом ISO8583 [И7] для транзакций с использованием платежных карт. Нужно считать один из параметров базовым, т.е. таким, по которому можно будет вести историю операций. Данный параметр должен быть уникальным, например, номер карты или идентификатор держателя карты.
Простейшее сравнение значений между собой или с константой представляется предикатом, который выглядит следующим образом
,
где P — предикатная буква, предикат определяет тип проводимой проверки;
hist — функциональная буква, определяет получение значение атрибута «a» из истории транзакций для базового атрибута;
— термы, определяют атрибуты транзакции согласно ISO8583, которые используются для транзакции, сюда же может входить результат работы статистического модуля;
— термы, определяют номера транзакций в истории транзакций, построенной по базовому параметру;
c — константа.
Таким образом, простейшая проверка представляется в виде предиката, который соответственно может вернуть значение «истина» {1}или «ложь» {0} в зависимости от трактовки. Обычно одной проверки недостаточно для корректной обработки транзакции, поэтому требуется сделать несколько проверок по разным атрибутам и для различных значений из истории. Для этого целесообразно воспользоваться формулами, которые определяются в исчислении предикатов. Согласно определению, P(…) представляет собой элементарную формулу. В этом случае, если имеется два предиката P(…) и Q(…), тогда 
, тоже будет формулой. Здесь 
логическое отношение. Каждая формула возвращает значение истинности, которое удобно обрабатывать.
В правилах предусмотрены следующие типы проверок:
-
проверки, в которых участвуют атрибуты транзакции из истории транзакций; -
проверки, осуществляемые на базе таблиц вероятностей; -
проверки, осуществляемые на базе прецедентов.
В процессе программной реализации проверки представляются в виде предиката [4]. При программной реализации каждому предикату ставится в соответствие обыкновенная проверка, а каждой формуле — правило, т.е. совокупная оценка выполнения проверок. Результат оценки статистики также является параметром операции и может оцениваться.
Статистический модуль
Работа со статистическим модулем включает в себя несколько этапов. Если рассматривать их в отношении держателей платежных карт, то это выглядит следующим образом:
-
группировка держателей карт по поведению; -
обучение системы на основании данных по каждой группе для сохранения характерного поведения; -
обучение системы на основании данных по каждой группе для сохранения нехарактерного поведения; -
для каждой конкретной операции производится совокупный анализ характерности и не характерности поведения держателя карты (анализ производится дважды и возвращает две вероятностные оценки).
Группировка в данном случае подразумевает собой выявление общих черт в поведении держателей, например, использование карты пенсионером, студентами, отдыхающими. В результате данной группировке каждый держатель карты попадает в определенные группы, по которым идет анализ последующих операций.
Обучение производится при помощи алгоритмов Байеса. Сети распространения доверия Байеса основаны на доверии. Доверие лица к предложению A — это вероятность, с которой это лицо верит, что A имеет определенное значение. Доверие можно выразить вектором доверия. Например, если A имеет n возможных значений, тогда вектор доверия состоит из n различных значений, каждое из которых выражает вероятность того, что A имеет определенное (соответствующее) значение.
Сеть Байеса для оценки транзакции представляет собой ориентированный граф (aligned interaction graph), в котором вершины являются атрибутами транзакции (один из которых можно назвать характерностью поведения), а дуги представляют собой вероятностные зависимости между значениями атрибутов операций. Дуги определяют условную вероятность появления одних значений атрибутов в зависимости от других значений. Обучение сети Байеса представляет собой задание в рамках определенной структуры сети (которая определяется заранее на основании набора параметров операции) таблиц условных вероятностей появления в операции значения атрибута связанного с одной вершиной от значений всех других атрибутов, для которых вершина этого атрибута является зависимой (стоит на конце связующей дуги).
Анализ данных в рамках алгоритма происходит на основании т.н. распространения доверия по сети Байеса. Доверие здесь, по сути, — вероятность появления определенного значения.
Примеры использования системы
Система позволяет выявить различные методы и приемы мошенников. Примеры:
-
подбор суммы на терминале; -
контроль временной разницы между странами; -
отслеживание торговцев с высокими рисками; -
запрет различного вида операций в рисковых странах; -
определение транзакций, нехарактерных для держателя карты; -
выявление параметров, нехарактерных для региона, например, снятие рублей в Африке.
Заключение
В результате разработка комплексной информационной системы по борьбе с мошенничеством позволяет снизить риски и убытки финансовых организаций (банков). Достоинством системы является то, что принятие решения происходит в режиме реального времени и позволяет вовремя отреагировать на мошеннические ситуации, а также производить оценку и прогнозирование ситуации на будущее.
Прототип системы проходит опытную эксплуатацию в ряде российских банков, и показал свою пригодность и работоспособность на практике.
В ходе опытной эксплуатации экспериментально было получено снижение уровня успешных мошеннических операций на 70%. Ведутся работы по разработке новых правил для работы модуля, а также оптимизация текущих методов и алгоритмов работы.
Литература
1. Spot & Stop Card Fraud. London: APACS Ltd., 2005. 81 p.
2. Spot & Stop Card-not-present fraud. London: APACS Ltd., 2004. 108 p.
3. Tuyls K., Maes S., Vanschoenwinkel B. Machine Learning Techniques for Fraud Detection. Вrussel: Vrije Universiteit Brussel, Department of Computer Science, 2002. 219 p.
4. Paliouras G. Scalability of machine learning algorithms. Manchester: University of Manchester, Department of Computer Science, 1993. 165 p.
Электронные источники.
И1. Credit card fraud[Электронный ресурс]/Wikipedia, the free encyclopedia. 2007. Режим доступа: https://en.wikipedia.org/wiki/Credit_card_fraud, свободный. Загл. с экрана.
И2. Card Watch Glossary Page[Электронный ресурс]/Card Watch – Card fraud prevention. 2007. Режим доступа: http://www.cardwatch.org.uk/default.asp?sectionid=5&pageid=84&Title=GlossaryOfTerms,
свободный. Загл. с экрана.
И3. Types of card fraud. [Электронный ресурс]/Card Watch – Card fraud prevention. 2007. Режим доступа: http://www.cardwatch.org.uk/default.asp?sectionid=5&pageid=124&Title=TypesOfCardFraud,
свободный. Загл. с экрана.
И4. Computer and information science papers SiteSeer publications [Электронный ресурс]/CiteSeer.IST scientific literature digital library. 2007. Режим доступа: https://citeseer.ist.psu.edu/cs , свободный. Загл. с экрана.
И5. Проблемы безопасности в области использования пластиковых карточек
[Электронный ресурс]/ Центр исследования компьютерной преступности Белоусов А. 2007. Режим доступа: https://www.crime-research.ru/library/Belous22.htm , свободный. Загл. с экрана.
И6. EMV [Электронный ресурс]/Wikipedia, the free encyclopedia. 2007. Режим доступа: https://en.wikipedia.org/wiki/EMV , свободный. Загл. с экрана.
И6. ISO8583 [Электронный ресурс]/Wikipedia, the free encyclopedia. 2007. Режим доступа: https://en.wikipedia.org/wiki/ISO_8583 , свободный. Загл. с экрана.
