Представьте: вы видите много интересных предложений в Интернете и пытаетесь срочно этим воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта была заблокирована банком без предупреждения.
Или вы внезапно получаете смс об удалении большой суммы: о ужас! карта используется неизвестными злодеями, которые украли ваши данные …
Я объясню вам, как банки и предприятия используют системы обнаружения мошенничества (анти-мошенничество) и защищают наши деньги (иногда от самих себя).
Фрод в общем смысле, это мошенничество, действия с целью завладеть чужим имуществом (товарами или деньгами) через обман.
В это понятие входят поступки от взятия кредита по поддельным документам до злоупотребления условиями возврата товаров в магазине.
Фактически, фродом можно назвать действия, представляющие финансовый риск для отдельного человека или организации, и при этом не включающие открытый грабеж с применением агрессивных методов.
По статистике, большинство случаев мошенничества приходится на карточный фрод.
Обзор слабых звеньев в цепочке онлайн-покупок
Чтобы понять особенности системы противодействия мошенничеству, сначала схематично рассмотрим цепочку событий, из которых складывается любая покупка в Интернете.
- Покупатель в этой схеме реальный владелец карты или мошенник, ставший обладателем его данных.
- Торговое предприятие (ТП, в терминах электронных платежей: мерчант) например, онлайн-магазин.
- Электронная платежная система (например, Яндекс.Деньги, WebMoney) сервис, принимающий оплату через Интернет
- Банк-эквайер банк, предоставляющий магазину услуги по обработке карточных платежей
- Платежная система (например, Visa, Master Card, МИР) отвечает за расчеты между банками
- Банк-эмитент банк выпустивший карту, которой покупатель пытается оплатить товар.
Мошенничество становится возможным благодаря добросовестному использованию данных клиентов мошенниками в результате их кражи посредством фишинга, скимминга, прямой утечки данных.
Для покупателя онлайн-покупка представляется единственной операцией с выставлением счетов в режиме реального времени, но выставление счетов между организациями, расположенными ниже по цепочке, происходит в течение нескольких дней. Если мошенничество не будет обнаружено сразу, расследование будет затруднено.
Кто страдает от такого типа мошенничества?
Как бы мы ни сочувствовали гражданам, чьи данные были украдены, всегда стоит учитывать возникающие трудности других участников сделки. Если магазин, банк или платежная система не успели отреагировать, вы как потерпевшая сторона можете попросить банк вернуть списанную сумму без вашего ведома. Обычно банк пытается встретить вас на полпути и инициировать так называемый возвратный платеж.
Но магазин, который разрешил оплату с использованием украденных данных, будет вынужден вернуть покупную цену из собственного кармана.
Если среди всех транзакций магазина окажется, что 1% или более от общей суммы являются мошенническими, международные платежные системы могут наложить штраф на банк-эквайер и магазин. Это наносит ущерб портфелю и репутации продавца и банка, ухудшая возможность их будущего сотрудничества с другими организациями.
Для устранения этих осложнений в банке, платежной системе или интернет-магазине задействованы системы защиты от мошенничества.
Антифрод
В современном понимании антифрод это аналитическая система и набор мер, используемых для оценки финансовых транзакций (в том числе онлайн) с точки зрения вероятности мошенничества.
Системы защиты от мошенничества пытаются обнаруживать мошеннические действия на основе характеристик транзакции и клиента.
Выявляя необычное поведение и применяя встроенные фильтры, решение по борьбе с мошенничеством оценивает риск транзакции и применяет специальные меры, запрещающие или разрешающие ее выполнение, или рекомендации по дальнейшей обработке события сотрудниками банка (аналитики мошенничества).
На рынке представлено множество подобных решений с собственной архитектурой и функционалом, но принципы работы у них схожи.
Принцип работы антифрод
Делая покупки в интернет-магазине, добавьте товары в корзину, разместите заказ и перейдите на страницу оформления заказа. Минимальные данные, которые вы также должны предоставить, это номер карты, имя владельца и код CVC.
Однако фактически передаваемых данных гораздо больше: это информация о среде выполнения (браузер, операционная система и устройство), IP-адрес, файлы cookie, включая идентификатор сеанса http и т. д.
При совершении покупки пользователь выполняет действие в браузере или мобильном приложении, транзакция отправляется (без указания деталей) на внутренний сервер банка, а затем во внутренние информационные системы банка для проведения расчетов.
Внутренний сервер банка передает информацию о транзакции в систему защиты от мошенничества и ожидает разрешения «провести» платеж и зафиксировать его в автоматизированных банковских системах.
Система по борьбе с мошенничеством (а иногда и аналитик по мошенничеству) анализирует информацию, чтобы принять решение о законности этой транзакции.
Система защиты от мошенничества обрабатывает входящие события (платежи), оценивает ваш риск, при необходимости запускает другие службы (например, дополнительную аутентификацию клиента) и отправляет решение обратно.
В результате платеж пользователя подтверждается или отклоняется.
Внутренний сервер банка передает информацию о транзакции в систему защиты от мошенничества и ожидает разрешения «провести» платеж и зафиксировать его в автоматизированных банковских системах.
Система по борьбе с мошенничеством (а иногда и аналитик по мошенничеству) анализирует информацию, чтобы принять решение о законности этой транзакции.
Система защиты от мошенничества обрабатывает входящие события (платежи), оценивает ваш риск, при необходимости запускает другие службы (например, дополнительную аутентификацию клиента) и отправляет решение обратно.
В результате платеж пользователя подтверждается или отклоняется.
Первый этап контроля: Стоп-листы
Это «жесткие» фильтры: если характеристики транзакции содержит сведения, относящиеся к стоп-списку, любые дальнейшие проверки прекращаются и транзакция отклоняется. Обычно проверяется номер карты, IP-адрес, торговая точка, страна.
Антифрод-система проверит, нет ли номер карты в списке номеров, использованных преступниками или «слитых» на черном рынке, не отмечен ли магазин как подозрительный.
Зачастую крупные онлайн-магазины не принимают карты, выпущенные в определенных странах Азии, Латинской Америки и Африки, так как международная статистика свидетельствует о большом количестве мошеннических операций с банковскими картами из этих регионов.
Оценка риска
Если транзакция не заблокирована сразу на основе стоп-листов, то антифрод-система применяет ряд правил для оценки степени риска.
В первую очередь информация о транзакции дополняется сведениями о клиенте, его карте, истории расчетов, «подтянутыми» из многочисленных систем банка и других источников (например, скорость передвижения пользователя может быть оценена по геолокационным данным с его мобильного устройства).
Транзакции присваивается определенный балл: от «безопасного» (зеленый) до «требующего дополнительной проверки» (желтый) или же «крайне подозрительного» (красный).
Как антифрод-система опознает подозрительные операции?
Правила антифрод-системы устанавливают ограничения (лимиты) на транзакции исходя из таких факторов, как:
• количества покупок одним клиентом или по одной карте за определенный отрезок времени
• сумму одной покупки по карте (или одним клиентом) за отрезок времени
• количество карт, которыми за определенный промежуток времени пользуется один клиент
• количество пользователей, совершающих покупки по одной и той же карте
• история операций данного клиента магазина / держателя карты (особенно покупок и снятия средств)
• профиль среднего покупателя магазина, в котором совершается онлайн-покупка
Основной триггер (сигнал), по которому событие маркируется как подозрительное, - неоднородность данных или событие, не характерное для этого клиента или профиля (группы) клиентов, к которым он относится.
Антифрод-системы хранят и обрабатывают большие объемы данных с использованием сложных математических методов и могут выявлять связи, неочевидные даже для внимательному сотрудника и новые необычные паттерны, еще не описанные существующими в системе сценариями.
Однако можно привести примеры ситуаций, которые антифрод-система с большой вероятностью оценит как несущие высокий риск.
К типичным подозрительным операциям при онлайн-покупке относятся:
• Оплата по одной карте с разных устройств, имеющих разные IP адреса
• Оплата с одинакового устройства и IP адреса с использованием различных карт
• Повторные неудачные попытки подтверждения транзакции
• Использование одной и той же карты для оплаты заказов разных учетных записей в одном и том же онлайн-магазине
• Различия в имени учетной записи покупателя онлайн-магазина и владельца карты, с которой оплачен заказ
• Разные страны покупателя, магазина и банка-эмитента карты
Решение антифрод-системы
Условные баллы, обозначающие степень риска транзакции (скоринг) определяют, будет ли она признана безвредной и одобрена, требующей дополнительного подтверждения личности клиента (аутентификации) и/или рассмотрения аналитика или же сразу отнесена к мошенническим и отклонена.
Как система распознает и подтверждает (аутентифицирует) пользователя?
Если антифрод-система присвоила транзакции уровень риска, требующий дополнительной аутентификации, то после ввода данных вашей карты вы можете получить email с просьбой подтвердить совершение покупки, СМС с кодовым словом, push-уведомление в мобильном приложении.
Кроме того, банк может заблокировать небольшую сумму на вашей карте и затем попросить вас ввести ее точное значение, чтобы убедиться, что карта действительно принадлежит вам. При крупных суммах транзакции вам может позвонить сотрудник банка для подтверждения платежа.
После благополучной аутентификации антифрод-система дает «зеленый свет»: транзакция может быть успешно совершена.
Работа фрод-аналитика
При ручном контроле фрод-аналитик рассматривает событие («инцидент»), относя его к категориям от «точно мошеннических» до «точно легитимных». Окончательный статус легитимности транзакции может зависеть не от решения отдельного сотрудника, а от совокупной оценки нескольких аналитиков, работающих независимо друг от друга.
Пример работы антифрод-системы
Давайте из клиентов банка на несколько минут превратимся в антифрод-аналитиков и пройдем шаг анализа операции на примере одной из самых известных антифрод-систем SAS AML (SAS AntiMoney Laundering - «Антиотмывание денег» - название говорит само за себя).
Система подобного рода состоит из следующих функциональных частей:
- Хранение данных
2. Триггеры и оповещения («алерты»)
3. Расследование
4. Встроенная аналитика
5. Администрирование антифрод-системы
- Хранение данных
Не углубляясь в технические детали, отметим, что в распоряжении антифрод-системы имеется: информация о клиентах и их транзакциях, техническая информация о структуре данных, настраиваемые правила и стоп-листы, история всех оповещений о подозрительных операциях, сгенерированных системой, а также история всех принятых по этим уведомлениях решений сотрудников антифрод-подразделения банка.
2. Уведомления и сценарии
Эта часть системы, также как и хранение данных, скрыта от глаз обычного пользователя, но устроена довольно интересно.
Под сценарием понимается некая типовая ситуация, на которую система должна отреагировать определенным образом.
Помимо библиотеки типовых сценариев, уже имеющихся в системе, сотрудники банка могут создавать свои.
Система позволяет реагировать на события и транзакции на основе различных правил:
• отдельных событий (например единоразового изменение адреса местоположения клиента банка),
• исторической цепочки событий (например, ряда покупок, сделанных с небольшим временным интервалом в различных локациях),
• поведенческих сценариев (то есть сочетания различных действий клиента в течение определенного времени например, изменения привязанного к карте номера мобильного, за которым следует снятие крупной суммы наличных в банкомате).
Система позволяет настраивать правила, на основе которых меняется внутренний скоринг-балл клиента (условно, это цифра, указывающая на степень его «подозрительности»), постоянно дорабатывая точность реагирования. Настраивать также можно исключения (события, на которые системе реагировать не следует) и правила распределения случаев («инцидентов») по сотрудникам банка для дальнейшего внимательного «ручного» контроля.
3. Расследование
Операции, отмеченные системой как подозрительные, вовсе не всегда автоматически блокируются.
Есть еще один слой контроля ручное расследование, проводимое сотрудниками банка.
Обычно события, автоматически отмеченные как подозрительные, система отправляет на рассмотрение определенным сотрудникам или группам (например, в банке может существовать специальный отдел, отвечающий за мониторинг трансграничных операций юрлиц).
При подробном рассмотрении сотрудники отдела увидят примерно такой экран:
Просмотр информации об отдельном клиенте банка: вверху оповещения об отдельных транзакциях, внизу сведения о всех транзакциях.
Нажав на отдельное уведомление, фрод-аналитик увидит информацию о конкретном кейсе мошенничества.
Просмотр отдельного кейса (группы событий)
На экране представлено текстовое описание ситуации (ряд преступников, замеченных в торговле запрещенными препаратами, имели счета в одном и том же банке), информация о категории сценария (операции с наличными), и т.д.
Если уведомление сработало зря, то сотрудник может отметить срабатывание как ложное, что будет зафиксировано логикой системы.
В дальнейшем эта сохраненная информация будет использоваться для уточнения правил срабатывания сценариев.
Система перестраивает логику срабатывания сценариев, фильтров и правил, сохраняя информацию о ложных оповещениях и о решениях, принятыми сотрудниками банка.
Скорее всего, общий мониторинг событий осуществляется неким «дежурным» аналитиком, в чьи обязанности входит назначение сложных случаев для рассмотрения коллегам, специализирующимся на том или ином виде операций.
Поэтому следующий шаг в расследовании будет заключаться в выборе сотрудника, кому будут поручены случаи, представленные на экране.
В списке справа внизу имена пользователей-сотрудников, которым можно назначить данный случай для рассмотрения.
При маршрутизации инцидента может быть задействовано много подразделений и сотрудников например, часть случаев может направляться в техническую службу. Если технический сбой не подтвердился, то далее он направляется в службу безопасности.
4) Встроенная аналитика
Это одновременно «мозг» и «душа» антифрод-системы, скрытые от обычного пользователя, но весьма важные для работы.
Движки на основе Big data могут выявить схемы мошенничества, не описанные ни одним существующим на данный момент фиксированным сценарием. В антифрод-системах используются не только численные методы, но и анализ естественного языка.
Решения для визуализации данных позволяют наглядно отобразить общую картину.
SAS Anti Money Laundering. График наглядно показывает объем транзакций и связи между различными клиентами
Антифрод. Что это такое ? и как это работает?
Представьте: вы видите отличное предложение в Интернете и пытаетесь срочно им воспользоваться, оплатив покупку картой, но вдруг обнаруживаете, что ваша карта без предупреждения заблокирована банком.
Или вы внезапно получаете смс о списании значительной суммы: о ужас! картой пользуются неизвестные негодяи, укравшие ваши данные…
Я расскажу, как банки и компании используют системы обнаружения мошенничества (антифрод) и защищают наши деньги (иногда от нас самих).
Что такое фрод?
Фрод в общем смысле, это мошенничество, действия с целью завладеть чужим имуществом (товарами или деньгами) через обман.
В это понятие входят поступки от взятия кредита по поддельным документам до злоупотребления условиями возврата товаров в магазине.
Фактически, фродом можно назвать действия, представляющие финансовый риск для отдельного человека или организации, и при этом не включающие открытый грабеж с применением агрессивных методов.
По статистике, большинство случаев мошенничества приходится на карточный фрод.
Где прячутся риски? Слабые звенья в цепочке онлайн-покупок
Чтобы понять особенности работы антифрод-системы, сначала схематически рассмотрим цепочку событий, из которых состоит любая покупка в интернете.
Каждая стрелка означает взаимодействие, требующее передачи данных. Если первым звеном цепи станет мошенник, то все следующие звенья так или иначе пострадают:
• Покупатель в этой схеме реальный владелец карты или мошенник, ставший обладателем его данных.
• Торговое предприятие (ТП, в терминах электронных платежей: мерчант) например, онлайн-магазин.
• Электронная платежная система (например, Яндекс.Деньги, WebMoney)сервис, принимающий оплату через Интернет
• Банк-эквайер банк, предоставляющий магазину услуги по обработке карточных платежей
• Платежная система (например, Visa, Master Card, МИР) отвечает за расчеты между банками
• Банк-эмитент банк выпустивший карту, которой покупатель пытается оплатить товар.
Фрод становится возможен из-за использования данных добросовестного клиента мошенниками, вследствие их хищения через фишинг, скимминг, прямую утечку данных.
Для покупателя онлайн-покупка кажется единой операцией с расчетами в реальном времени, но расчеты между стоящими далее по цепочке организациями проходят в течение нескольких дней. Если мошенничество вскрылось не сразу, то расследовать его будет сложно.
Кто больше страдает от фрода?
Как бы мы ни сочувствовали гражданам, чьи данные украдены, все же стоит учесть и возникающие сложности других сторон транзакции. Если магазин, банк или платежная система не успели среагировать, то вы как пострадавшая сторона можете попросить банк о возврате списанной без вашего ведома суммы. Банк, как правило, будет стараться пойти вам навстречу и инициирует так называемый chargeback.
А вот магазин, допустивший оплату с помощью ворованных данных, будет вынужден возместить стоимость покупки фактически из своего кармана.
Если среди всех транзакций магазина мошеннических окажется 1% и более от общего количества, то международные платежные системы могут выставить штраф и банку-эквайеру и магазину. Это вредит кошельку и репутации торговой точки и банка, ухудшает возможности их дальнейшего сотрудничества с другими организациями.
Чтобы исключить подобные сложности, в игру вступают антифрод-системы, работающие на стороне банка, платежной системы или онлайн-магазина.
Что такое антифрод?
В современном понимании антифродом называется аналитическая система и комплекс мер для оценки финансовых транзакций (в том числе в Интернете) на предмет вероятности мошенничества.
Системы антифрода пытаются выявить мошеннические действия по характеристикам транзакции и клиента.
Распознавая необычное поведение и применяя встроенные фильтры, антифрод-решение оценивает риск транзакции и применяет определенные меры, запрещая или разрешая её проведение либо рекомендации по дальнейшей обработке события уже силами сотрудников банка (фрод-аналитиками).
На рынке представлено много подобных решений со своими особенностями архитектуры и функционала, но их принципы работы схожи.
Как работает антифрод система?
Совершая покупку в онлайн-магазине, вы добавляете товары в корзину, оформляете заказ и переходите на страницу оплаты. Минимальные данные, которые вы далее сообщаете это номер карты, имя ее владельца, CVC код.
Но фактически передаваемых данных намного больше: это сведения о среде выполнения (браузере, ОС и устройстве), IP-адрес, куки, включающие идентификатор http-сессии, и т.д.
Пользователь, делая покупку, совершает действие в браузере или мобильном приложении, транзакция направляется (опустим детали) на backend-сервер банка и далее во внутренних банковских информационных системах для проведения расчетов.
Рассмотрим общие принципы работы антифрод-системы на стороне банка.
Backend-сервер банка передает сведения о транзакции в антифрод-систему и ждет разрешения на «проведение» платежа и его фиксацию в автоматизированных банковских системах.
Антифрод-система (и иногда фрод-аналитик) анализируют сведения, чтобы принять решение о легитимности этой транзакции.
Антифрод-система обрабатывает пришедшие события (платежи), оценивает их риск, если требуется - инициирует другие сервисы (такие как дополнительная аутентификация клиента) и передает обратно решение.
В результате оплата пользователя оказывается подтвержденной или отклоненной.
Что именно происходит внутри антифрод-системы?
Первый этап контроля: Стоп-листы
Это «жесткие» фильтры: если характеристики транзакции содержит сведения, относящиеся к стоп-списку, любые дальнейшие проверки прекращаются и транзакция отклоняется. Обычно проверяется номер карты, IP-адрес, торговая точка, страна.
Антифрод-система проверит, нет ли номер карты в списке номеров, использованных преступниками или «слитых» на черном рынке, не отмечен ли магазин как подозрительный.
Зачастую крупные онлайн-магазины не принимают карты, выпущенные в определенных странах Азии, Латинской Америки и Африки, так как международная статистика свидетельствует о большом количестве мошеннических операций с банковскими картами из этих регионов.
Оценка риска
Если транзакция не заблокирована сразу на основе стоп-листов, то антифрод-система применяет ряд правил для оценки степени риска.
В первую очередь информация о транзакции дополняется сведениями о клиенте, его карте, истории расчетов, «подтянутыми» из многочисленных систем банка и других источников (например, скорость передвижения пользователя может быть оценена по геолокационным данным с его мобильного устройства).
Транзакции присваивается определенный балл: от «безопасного» (зеленый) до «требующего дополнительной проверки» (желтый) или же «крайне подозрительного» (красный).
Как антифрод-система опознает подозрительные операции?
Правила антифрод-системы устанавливают ограничения (лимиты) на транзакции исходя из таких факторов, как:
• количества покупок одним клиентом или по одной карте за определенный отрезок времени
• сумму одной покупки по карте (или одним клиентом) за отрезок времени
• количество карт, которыми за определенный промежуток времени пользуется один клиент
• количество пользователей, совершающих покупки по одной и той же карте
• история операций данного клиента магазина / держателя карты (особенно покупок и снятия средств)
• профиль среднего покупателя магазина, в котором совершается онлайн-покупка
Основной триггер (сигнал), по которому событие маркируется как подозрительное, - неоднородность данных или событие, не характерное для этого клиента или профиля (группы) клиентов, к которым он относится.
Антифрод-системы хранят и обрабатывают большие объемы данных с использованием сложных математических методов и могут выявлять связи, неочевидные даже для внимательному сотрудника и новые необычные паттерны, еще не описанные существующими в системе сценариями.
Однако можно привести примеры ситуаций, которые антифрод-система с большой вероятностью оценит как несущие высокий риск.
К типичным подозрительным операциям при онлайн-покупке относятся:
• Оплата по одной карте с разных устройств, имеющих разные IP адреса
• Оплата с одинакового устройства и IP адреса с использованием различных карт
• Повторные неудачные попытки подтверждения транзакции
• Использование одной и той же карты для оплаты заказов разных учетных записей в одном и том же онлайн-магазине
• Различия в имени учетной записи покупателя онлайн-магазина и владельца карты, с которой оплачен заказ
• Разные страны покупателя, магазина и банка-эмитента карты
Решение антифрод-системы
Условные баллы, обозначающие степень риска транзакции (скоринг) определяют, будет ли она признана безвредной и одобрена, требующей дополнительного подтверждения личности клиента (аутентификации) и/или рассмотрения аналитика или же сразу отнесена к мошенническим и отклонена.
Как система распознает и подтверждает (аутентифицирует) пользователя?
Если антифрод-система присвоила транзакции уровень риска, требующий дополнительной аутентификации, то после ввода данных вашей карты вы можете получить email с просьбой подтвердить совершение покупки, СМС с кодовым словом, push-уведомление в мобильном приложении.
Кроме того, банк может заблокировать небольшую сумму на вашей карте и затем попросить вас ввести ее точное значение, чтобы убедиться, что карта действительно принадлежит вам. При крупных суммах транзакции вам может позвонить сотрудник банка для подтверждения платежа.
После благополучной аутентификации антифрод-система дает «зеленый свет»: транзакция может быть успешно совершена.
Работа фрод-аналитика
При ручном контроле фрод-аналитик рассматривает событие («инцидент»), относя его к категориям от «точно мошеннических» до «точно легитимных». Окончательный статус легитимности транзакции может зависеть не от решения отдельного сотрудника, а от совокупной оценки нескольких аналитиков, работающих независимо друг от друга.
Пример работы антифрод-системы
Давайте из клиентов банка на несколько минут превратимся в антифрод-аналитиков и пройдем шаг анализа операции на примере одной из самых известных антифрод-систем SAS AML (SAS AntiMoney Laundering - «Антиотмывание денег» - название говорит само за себя).
Система подобного рода состоит из следующих функциональных частей:
- Хранение данных
2. Триггеры и оповещения («алерты»)
3. Расследование
4. Встроенная аналитика
5. Администрирование антифрод-системы
- Хранение данных
Не углубляясь в технические детали, отметим, что в распоряжении антифрод-системы имеется: информация о клиентах и их транзакциях, техническая информация о структуре данных, настраиваемые правила и стоп-листы, история всех оповещений о подозрительных операциях, сгенерированных системой, а также история всех принятых по этим уведомлениях решений сотрудников антифрод-подразделения банка.
2. Уведомления и сценарии
Эта часть системы, также как и хранение данных, скрыта от глаз обычного пользователя, но устроена довольно интересно.
Под сценарием понимается некая типовая ситуация, на которую система должна отреагировать определенным образом.
Помимо библиотеки типовых сценариев, уже имеющихся в системе, сотрудники банка могут создавать свои.
Система позволяет реагировать на события и транзакции на основе различных правил:
• отдельных событий (например единоразового изменение адреса местоположения клиента банка),
• исторической цепочки событий (например, ряда покупок, сделанных с небольшим временным интервалом в различных локациях),
• поведенческих сценариев (то есть сочетания различных действий клиента в течение определенного времени например,
изменения привязанного к карте номера мобильного, за которым следует снятие крупной суммы наличных в банкомате).
Система позволяет настраивать правила, на основе которых меняется внутренний скоринг-балл клиента (условно, это цифра, указывающая на степень его «подозрительности»), постоянно дорабатывая точность реагирования. Настраивать также можно исключения (события, на которые системе реагировать не следует) и правила распределения случаев («инцидентов») по сотрудникам банка для дальнейшего внимательного «ручного» контроля.
3. Расследование
Операции, отмеченные системой как подозрительные, вовсе не всегда автоматически блокируются.
Есть еще один слой контроля ручное расследование, проводимое сотрудниками банка.
Обычно события, автоматически отмеченные как подозрительные, система отправляет на рассмотрение определенным сотрудникам или группам (например, в банке может существовать специальный отдел, отвечающий за мониторинг трансграничных операций юрлиц).
При подробном рассмотрении сотрудники отдела увидят примерно такой экран:
Просмотр информации об отдельном клиенте банка: вверху оповещения об отдельных транзакциях, внизу - сведения о всех транзакциях.
Нажав на отдельное уведомление, фрод-аналитик увидит информацию о конкретном кейсе мошенничества.