De hecho, la regla es la fig. Pero, por supuesto, por qué funciona. Entre los guardias de seguridad, se cree que el antifraude debería ser un artilugio de alto secreto para siete focas con un par de Cerberus hambrientos cerca. Para que nadie pueda ver la brecha y descubrir cómo funciona este antifraude y qué hay dentro. Esto agrega importancia al equipo de seguridad, y el mecanismo antifraude en sí recibe una defensa ilusoria.
El principio de seguridad a través de la oscuridad no funciona. Si buscas en Google las noticias en el contexto de "El cliente del Banco X fue pirateado y robado Y rublos", esas noticias siempre lo serán. Casi todos los días (casi, porque no siempre escriben sobre eso).
Las implementaciones de todos los protocolos de cifrado conocidos están abiertas y disponibles para su estudio. Todos los algoritmos criptográficos y matemáticos también se describen y con gran detalle. Es decir, siéntate, abastecete de café o energía, estudia todo esto y rómpelo lentamente.
Por lo tanto, un sistema que se considera seguro solo porque las personas no saben cómo funciona nunca está protegido en absoluto. Pero cuanto más abierto es un sistema de este tipo, más rápido la comunidad corrosiva señalará todas las jambas en la implementación con su dedo crítico. Eso permitirá eliminar estas jambas.
Trabajo precisamente en el paradigma de apertura de protocolos y sistemas, y en esta publicación quiero hablar sobre el dispositivo de un antifraude estándar, sobre nuestro trabajo en RBK.money, por qué el futuro está con OpenSource y cómo todo esto puede funcionar en un mundo ideal.
Lo que podemos acercar.
Antifraude debajo del capó
Comencemos con los ejemplos más simples. Antifraude es una combinación de dos autos. El primero funciona de acuerdo con algunas reglas que conoces y que entiendes. El segundo es una caja negra en la que se crea magia, que incluso un bote de energía y un volumen de Nietzsche no ayudarán a comprender.
Es decir, en el primer automóvil, tenemos un conjunto de reglas escritas por el hombre. Las reglas parecen bastante simples y solo reflejan un cierto conjunto de acciones que deberían hacer que el sistema reconozca el fraude. Por ejemplo, si 10 pagos por minuto se produjeron repentinamente en una tarjeta de este tipo, esta no es una razón débil para desconfiar. O si la transacción en la tarjeta tuvo lugar en San Petersburgo, y hace 5 minutos el propietario la usó para retirar dinero en Moscú, entonces también hay algo extraño.
Repito, ahora soy muy figurativo, porque ese comportamiento puede estar en una situación normal. Por ejemplo, a Amazon le gusta retirar dinero no para todo su pedido de 15 posiciones, sino para cada posición por separado. Y en diferentes momentos, esto es normal. Y en el caso de una diferencia geográfica, el propietario de la tarjeta puede estar en Moscú, y en San Petersburgo, su madre compra algo en la misma tarjeta en Apple Pay. Sí, escriben en las tarjetas que no deberían pasarse a terceros y eso es todo, pero la vida suele ser un poco más complicada.
Sobre el segundo cuadro. Hay una gran parte del aprendizaje automático, y aquí no es tan simple mostrar con los dedos en una estructura simple cómo se relaciona con las conclusiones.
Y a partir de esta base, podemos derivar los criterios para un buen antifraude.
Tres ballenas
El primero es la interfaz de escritura de reglas. Cómodo, bonito y comprensible. Esto será un poco más bajo.
En segundo lugar, un lenguaje especial para escribir estas reglas.
En tercer lugar, procesamiento rápido de estas reglas escritas.
¿Por qué rápido? Porque la velocidad es realmente importante aquí. El antifraude como entidad se coloca en la brecha del sistema de pago. Y hay dos enfoques para esta implementación.
1) Bypass
Aquí, la prioridad es precisamente la velocidad de los pagos. Una empresa generalmente en una situación así toma decisiones que no vale la pena perder prioridad en velocidad, por lo que si de repente el antifraude piensa durante mucho tiempo, analiza y, en general, ralentiza un poco el proceso, no importa, bailamos, ignoramos el testimonio del antifraude y simplemente hacemos el pago.
2) Minimización de riesgos.
En esta situación, el negocio comprende que el antifraude, en general, no se introdujo simplemente en el sistema y escucha sus indicaciones. Si hay una sospecha de fraude, entonces el negocio se ralentiza, entienden la situación y solo entonces se realiza el pago. O no realizado.
Por lo tanto, el antifraude debe ser rápido, lo más rápido posible y, al mismo tiempo, estar configurado adecuadamente.
Dentro del antifraude, de hecho, en columnas bastante simples, hay muchas tareas para la agregación de datos. Mira lo que está pasando en el sistema:
- ip
- huella digital
- BIN Bank
- ID del comerciante
- ficha de tarjeta
Y hay una tarea del tipo de colapso en la ventana, el número actual de pagos con un valor específico. Por ejemplo, vea ahora qué se está haciendo con una huella digital específica. O aclarar los pagos en curso en una tarjeta específica. Esto ayuda mucho.
Sí, por cierto, es importante comprender que el antifraude no es una cosa en sí mismo. Puede que no sea bueno o malo, es una herramienta que requiere ajuste. Y si el antifraude funciona mal, no es porque el antifraude es malo, está mal ajustado, escribieron las reglas incorrectas o no tuvieron en cuenta un montón de cosas importantes.
Y configurarlo correctamente es importante para el negocio. No solo por el banco, donde el antifraude es malo, todos los clientes huirán, sino porque la industria está muy regulada aquí. Si el banco recibe demasiadas devoluciones de cargo por fraude, esta es una razón para multas y cheques adicionales. Bueno, si todo está completamente triste, desconectarán nafig del sistema de pago.
Y eso es correcto. Si opera con el dinero de otras personas, las personas confían en usted y no puede protegerlas, ¿por qué demonios está en el mercado? Abra una guarnición de neumático, por ejemplo.
Por lo tanto, tiene un antifraude bien ajustado, o ninguno, porque lo expulsaron del mercado y ya no lo necesita.
Camiseta propia
Cuando escribimos nuestro antifraude, vimos todo esto, verificamos el rendimiento y finalmente instalamos ClickHouse.
Funciona asi. Tenemos un sistema de pago que se usa activamente. En consecuencia, se genera una gran cantidad de eventos. Fusionamos todos estos eventos en una sola secuencia en ClickHouse, donde se agregan y procesan con éxito. Y procesado rápidamente.
Hace algún tiempo tuvimos un proveedor antifraude. Es una gran solución, funcionó por suscripción, no causó ningún inconveniente particular. Pero cuando dedujimos por nosotros mismos los criterios para el antifraude correcto, comenzamos a escribir el nuestro. Lo escribimos por un total de dos meses, la cookie externa es descrita por swagger. Cuando terminaron, comenzaron a probar, al principio comenzaron casi todo el tráfico hacia el viejo, y una pequeña parte hacia el nuevo. Bueno, ¿y si surge algo allí?
No lo hice Lo depuramos activamente, lo usamos al principio como una recomendación adicional. Y el otro día, arrastramos completamente todo hacia él, es notablemente más rápido que el anterior, cumple rápidamente todas las reglas, en general: el vuelo es normal. Pero el viejo está mintiendo como un repuesto.
Antifraud es un gran lugar para aprovechar el aprendizaje automático. Después de todo, en la entrada hay una base (pagos propios), hay un cierto conjunto de datos, hay un modelo que se describe fácilmente por los fraudes ya conocidos. Es decir, puede simplemente tomar el modelo y anotar el antiguo flujo de pagos: aquí, compruébelo, hubo fraude, atu, atu. En general, para un entrenamiento completo de una red neuronal, hay de todo, tómalo y úsalo.
Todavía no hemos creado una interfaz cómoda, porque mientras estamos en la etapa de depuración del protocolo y las reglas (tenemos más de 200 de ellas, escribimos nuevas diariamente). El sistema está controlado por peppy curl directamente desde la consola. Y aquí la tarea principal del antifrader ya está (sí, hay una persona tan especialmente capacitada que hace esto): sentarse, mirar cuidadosamente el tráfico, recibir devoluciones de cargo por fraude y ajustar las reglas. Como puede ver, los robots aún no han podido sacar completamente las bolsas de cuero.
En general, el nuevo es bueno ahora. Pero hasta ahora no directamente excelente-excelente. Queremos impulsar la ejecución en seco allí: esto es cuando usted escribió una regla y luego realizó un pago específico a través de ella con la nota "¿Qué pasaría con el pago si esta regla se aplicara a ella?". Esto aumentará significativamente sus capacidades.
Y también quiero construir interfaces de modelado. Bueno, ya sabes, en las películas, cuando valientes ovejas del FBI rastrean a un fugitivo con tarjeta de crédito, sí, mira, aquí repostó una tarjeta de crédito, compró café allí y tomó efectivo en esa ciudad. Y todo esto con referencia al mapa, otros datos, con una hermosa visualización. Cuestión de tiempo
Sistema perfecto
Cuando agreguemos nuestro antifraude, será genial. Pero el ideal, como siempre, no se logra tan fácilmente.
El ideal, para mí, se basa en un OpenSource absoluto. Es decir, el antifraude de código abierto en lenguaje de código abierto y un conveniente intercambio de reglas.
Tomemos un ejemplo sobre un sistema ideal similar de protección contra DDoS.
Imagine que todos los operadores actuales de la madre del Dudoser se pusieron tan duros que se unieron y comenzaron a usar una única base de datos de imbéciles. Si DDoS comienza con el recurso de un pequeño operador, observa rápidamente qué ciervos no pueden dormir y agrega las IP al villano en la lista negra. La actualización de la lista negra difiere en un solo sistema, y todo lo relacionado con este ataque está bloqueado en el nivel de conexión del cliente.
La cadena de bloques decide la cuestión de la confianza y la fiabilidad de dicho sistema.
Puede trabajar con bancos de la misma manera. Existe una lista general de patrones antifraude, que difiere en todos los bancos. Ellos zafrodili, por ejemplo, un banco verde, los especialistas reaccionaron y agregaron un nuevo conjunto de reglas a la lista, la lista se actualizó y eso es todo, un ataque específico a este mecanismo ya no funciona. Ni en el frasco verde, ni en otros colores brillantes.
El sistema está distribuido, pero tenemos una cadena de bloques, no puedes descifrarla. De acuerdo, si imagina que el antifraude en sí fue pirateado en un banco, esto sigue siendo un problema bancario. Porque solo tenemos una lista de reglas en común. Y los motores antifraude tienen sus propios bancos.
De hecho, ahora. Los bancos son estructuras muy conservadoras. Muy Ahora tienen una pequeña lista de correo, una carta llega a ciertos especialistas, dicen, échale un vistazo, y aquí está la tarjeta desplegable, aquí están los parámetros. Pero este es un boletín. En general, puede olvidarse de la eficiencia y el compromiso de inmediato. Pero mejor que nada, sí.
Por lo tanto, es poco probable que los bancos dominen una historia tan ideal. Fintech puede controlarse bastante, es decir, los sistemas de pago y las nuevas empresas.
El aprendizaje automático, junto con OpenSource, es el futuro del antifraude. aquellos que aprendan a trabajar bien con esto podrán ganar un buen premio: la industria es enorme, hay miles de millones. Pero todavía no hay una solución perfecta.
Y como no está allí, es decir, buenas oportunidades para ingresar al mercado.
¿Qué ofrece RBKmoney?
Y le ofrecemos un antifraude listo para usar. Él ya está en el código abierto y completamente gratis. Sin ningún inconveniente, ahora estoy listo para dar todas las fuentes de nuestro antifraude a cualquier persona y ayudarlo con su integración en cualquier sistema de pago.
Una solución común de código abierto le permite intercambiar experiencia y compartir reglas de protección.
Sin mencionar que la comunidad, que en conjunto puede terminar el motor, hace algunas cosas nuevas sobre las que no pensamos o no tuvimos tiempo de hacer.
Esto lleva el nivel de protección a un plano completamente nuevo. Muchos participantes en la industria de pagos ahora están desarrollando sus propias soluciones, y aún más están comprando algunas listas en el mercado.
No comprar Nuestra solución ganará cualquier licitación al menos en costo: es difícil competir con una solución de código abierto.
Hagamos ejercicio juntos. Los repositorios están abiertos, tiene el código fuente ahora. La comunidad siempre es mejor que hacer algo sola.
La introducción de RBKmoney Fraudbusters como un producto independiente, con manuales de montaje e integración será el tema del próximo artículo y lo será pronto.