Arkady es una startup exitosa. Leyó todos los libros sobre efectividad personal, abre nuevos negocios prometedores cada mes y está satisfecho consigo mismo, pero cada vez que algo sale mal.
Primero, los escolares enojados se topan con él para entregarle zapatos de élite, luego, desde algún lugar, toman críticas deslumbrantes sobre su tienda de iPhone con antenas de TV, luego abre un casino en línea, pero la gente no tiene prisa por traer dinero allí y se limitan a un depósito gratuito.
Robé esta ilustración de los diseñadores cuando se alejaron.
Al final, alguien cancela 364 puntos acumulados durante el año pasado en kéfir y bayas de goji de la tarjeta de bonificación en Pyaterochka, y Arkady hierve. Él entra en línea con una pregunta sobre lo que hacen los demás en tales situaciones.
Esta publicación trata sobre la máquina antifraude Yandex.Kassa. Debajo del corte, hay algunos escenarios en los que ella defiende, y una historia sobre una nueva API para tiendas, lo que complicará en gran medida el trabajo de los estafadores.
Advertencia
Todos los ejemplos de la publicación son tema de la ficción colectiva de los autores y pueden sucederle a todos, el género y los nombres de las personas se eligen al azar, todas las referencias a la cultura pop se hacen intencionalmente, y sí, las captó correctamente.
Y no incurran en fraude, por eso están castigados bajo el Código Penal de la Federación Rusa.
¿Cómo funciona el antifraude?
Ya teníamos un artículo sobre antifraude , allí contamos cómo funciona todo. Desde hace un año, la búsqueda automática de anomalías se ha habilitado de forma predeterminada para todas las transacciones a través de Yandex.Cash.
Ahora lanzamos el antifraude como servicio, una API personalizada que nuestros socios se conectan a sitios y aplicaciones. Si se necesita autenticación adicional, la API la simplifica para un usuario legítimo y hace que sea casi imposible para un estafador.
Los estafadores se cortan en tres niveles:
- Primero, se activan las reglas de una evaluación aproximada: sí / no, sí / no, filtros de lista negra o lista blanca. Todo lo que se corta en esta etapa se transfiere al componente ML para saturar el repositorio de datos históricos y modelos de autoaprendizaje;
- Filtra por las reglas: hay muchas, son diferentes y definitivamente no puedo escribir sobre ellas en este artículo;
- Cuando la máquina de fraude duda de qué decisión tomar, el evento se envía al tercer nivel, donde se lanzan modelos de aprendizaje automático que complementan los filtros de acuerdo con las reglas. Algunos tipos de eventos siempre se ejecutan en modelos ML para derivar reglas adicionales del segundo nivel.
El esquema es complejo, pero la idea es simple. El comerciante envía a la API un conjunto de datos sobre la transacción, la autorización del usuario o el retiro del mercado, todos lo torcemos en la máquina antifraude y emitimos un veredicto: ¿hay estafadores o no? Lo que debe hacer a continuación es a discreción de la tienda. Otra ventaja: es más fácil para un usuario "bueno" comprar y dejar que los atacantes y los estafadores sufran.
Cómo comprar sin antifraude:
- Elige un producto, ponlo en una canasta;
- Ingrese la contraseña para ingresar a la billetera;
- Ingrese la contraseña de pago para confirmar el pago;
- Si paga con tarjeta, ingrese una contraseña única para 3D Secure.
Total: tres contraseñas en un par de minutos. Esto es mucho Y a veces es malo con Internet o los sms no llegan de inmediato. Con la protección antifraude activada, solo necesita iniciar sesión en su billetera y pagar sin ingresar un montón de contraseñas si el sistema "se entera".
La línea verde en el gráfico es cuando la máquina antifraude decidió que todo está en orden y no puede enviar ningún SMS para confirmar. Según el cronograma, esto es aproximadamente el 30% de los casos: se obtienen ahorros significativos en SMS.
Sin embargo, es posible que no se reconozca: depende de cuánto estén dispuestos a correr riesgos los propietarios de las tiendas. Cualquier sistema de seguridad tiene dos extremos: las reglas más "retorcidas" y la eliminación completa del fraude, o la eliminación completa de las medidas de seguridad. En el primer caso, muchos clientes normales sufren, y en el segundo, el negocio está abierto a ataques. Los chicos de Yandex.Kassi buscan un equilibrio entre seguridad y conversión: analizan las operaciones, completan las reglas y tienen en cuenta los deseos del cliente recibidos a través del gerente.
Volvamos a Arkady y veamos cómo podemos ayudar a los comerciantes, en torno a los cuales giran muchos estafadores. Estas son tiendas clásicas en línea con todo tipo de cosas, servicios de juegos: ruleta, casinos en línea y eso es todo, y también un segmento de viajes.
Fábrica de impresoras
Arkady es amigo del director de la fábrica de impresoras, quien a veces cuenta historias mientras toma un café. La fábrica no es codiciosa y vende impresoras por nada si les compra papel y tóner cada mes. La gente de la oficina quiere una impresora casi gratuita, pero no quieren pagar por adelantado.
Aquí, el antifraude puede ayudar a determinar si alguien Sergey, que necesita urgentemente una impresora para imprimir el escritorio, es solvente. Sergei generalmente paga en Internet con una tarjeta, es más conveniente para él. Si los sistemas internos Yandex.Cash en el perímetro de PCI DSS una vez cumplieron con esta tarjeta, su titular es solo Sergei, que regularmente compra algo, entonces todo está bien: la API devolverá un buen veredicto y la fábrica enviará la impresora a Sergey.
Si no sabemos nada acerca de esta tarjeta, demasiado antigua o, por el contrario, recién lanzada, podemos ofrecerle a la fábrica de impresoras que tome un anticipo por el primer año de papel y tóner. Si otros disparadores de máquinas antifraude muestran que el usuario no tiene dinero, el comerciante toma la decisión por sí mismo, dependiendo de los procesos comerciales y las relaciones con este usuario. Por ejemplo, realiza una verificación adicional o solicita un prepago para el año.
Los propios comerciantes deciden en qué etapa verificar al usuario. Si puede causar daños a la empresa cuando aparece por primera vez en el servicio (por ejemplo, obtener un viaje en taxi gratuito después del registro), la evaluación se lleva a cabo cuando crea una cuenta o abre la aplicación.
Louboutin en Kupchino
Después del colapso del negocio de vender máscaras negras en Instagram, Arkady abrió la entrega de Louboutins. El negocio es rentable, los zapatos están a la venta, y aquí viene la orden de entrega al sector privado en Kupchino. El cliente no quiere hacer un pago por adelantado, se comunica con quienes cancelan la suscripción y, en general, de alguna manera es incomprensible. Surge la pregunta: ¿vale la pena llevar algo allí y quién tiene suerte? Hoy hay 15 órdenes normales más, y el servicio de mensajería se necesita vivo.
En tales situaciones, le decimos al comerciante si un usuario en particular paga, cuáles son las posibilidades de que esto no sea un estafador y mucho más. Al mismo tiempo, no interferimos en los procesos comerciales del socio: transfiere datos que ya están almacenados en la base de datos o recopilados durante la operación. Nuestros analistas ayudan a descubrir qué es útil para identificar a los estafadores y qué datos no se necesitan.
Después de todas las discusiones y configuraciones, el socio recibirá un identificador de API, que está configurado tanto como sea posible para él. Es decir, puede conectar el antifraude al sitio, la aplicación móvil y cualquier otra cosa donde pueda enviar una solicitud HTTP. Por razones obvias, no podemos mostrar cómo se ven las solicitudes: conviértase en socio y allí mostraremos todo.
Siéntate, pyaterochka
Si en algún lugar hay una cuenta desprotegida con dinero, será pirateada. Por lo tanto, hay muchos lugares donde en Internet venden tarjetas de bonificación de grandes cadenas minoristas con un saldo de varios miles de rublos por una cantidad de tres a cuatro veces menos. Estas son cuentas reales en programas de fidelización que los propietarios han pasado por alto. Arkady también fue atrapado, y ahora alguien más gastará sus bonos ganados con honestidad.
Aquí la API antifraude ayuda con el análisis del usuario en el momento de la autenticación. Como regla general, una persona visita sitios web y paga servicios desde un conjunto específico de dispositivos: una computadora, tableta o teléfono inteligente. Si entendemos que Arkady generalmente revisa las bonificaciones de la computadora portátil Lenovo Windows o el teléfono inteligente LG Android de la región de Moscú, y ahora intenta ingresar a través de VPN desde Uruguay desde un macbook, lo más probable es que algo haya salido mal.
En Yandex.Money, puede hablar sobre los próximos viajes para que la máquina antifraude no sospeche de usted.
Como mínimo, si un usuario se ha ido a Uruguay, es poco probable que le interese el equilibrio en el programa de lealtad Pyaterochka.
Comentarios falsos
Una vez que Arkady abrió una tienda de iPhone con una antena de televisión en el quinto Android, la conectó a Yandex.Market, pero rápidamente recibió críticas negativas. Arkady acusa a los competidores, dicen, terminaron disgustos y lanzaron "unidades". Por supuesto, Arkady, el ejército de bots tiene la culpa, y los iPhones chinos no tienen nada que ver con eso. De una forma u otra, el ejército llega, pone mil "cinco" en la tienda y desaparece.
O así: el equipo favorito de Arkady perdió en la final de la Liga de Campeones, y decidió escribir un comentario devastador sobre los árbitros, las repeticiones de video y los terribles futbolistas. Fue a un sitio deportivo y no pudo escribir nada. En ese momento, el sitio había estado sufriendo comentarios de spam astutamente elaborados durante un mes, en el que se estaban aprovechando las ventajas. Por lo tanto, los comentarios se cerraron, y la ira de nuestro héroe permaneció tácita.
Kassi Antifraud puede analizar automáticamente las revisiones y comprender que están escritas desde un dispositivo, desde la misma red y por una sola persona. Funciona así: el usuario hace clic en el botón "Enviar comentarios", el que se guarda en la base de datos y los datos del usuario se envían a la API para su análisis. Si no hay signos de fraude, la revisión se publica, si se sospecha de moderación manual y si el antifraude da un veredicto negativo, la revisión se rechaza.
Así es como puedes vender un trolebús, pero ¿por qué?
En algún momento de su exitosa juventud empresarial, Arkady vendió juguetes para niños de tiendas en línea chinas a precios exorbitantes. Los datos sobre los pedidos entraron inmediatamente en el paquete, y todos estaban bien. Exactamente hasta el momento en que esta juguetería mencionó a Maxim, un video blogger de tres años, en su video, ordenó un excelente trolebús allí y quería compartir su felicidad con todos.
Los niños pequeños hicieron clic en el enlace en la descripción y dejaron miles de pedidos con el nombre de "pago por uso" o números aleatorios en lugar del teléfono, en general, un desastre. Naturalmente, el departamento de picking no estaba listo para procesar tal flujo de "pedidos". Unos días más tarde, la ola pasa, pero la tienda logra perder un par de grandes pedidos para el suministro de trolebuses de las agencias gubernamentales.
En tales casos, el antifraude también ayudará: puede enviar un flujo de pedidos a la API para que el sistema ML filtre automáticamente los falsos o marque pedidos dudosos para la entrega a Tver de un usuario de Vladivostok. Qué hacer a continuación: el comerciante decide, por ejemplo, volver a llamar y aclarar si todo está como se indica.
Si el pedido está en orden y el socio nos proporciona los datos en el momento del pago, podemos ver que una tarjeta bancaria comprometida está participando en uno de los pedidos; por ejemplo, se produjo un contracargo o se notó una actividad anormal. Si intentan pagar con nuestros otros socios en dicha tarjeta, el antifraude también advertirá que no ocurren situaciones estúpidas.
Coche en línea dio
Arkady es una persona exitosa e invierte todo el dinero en negocios. Por lo tanto, tiene que ver programas de televisión en Internet en sitios gratuitos. Un día, viendo el próximo episodio de The Big Bang Theory, descubrió que se puede ganar dinero en Internet casi sin inversiones, y decidió abrir su propio casino en línea.
Apenas dicho que hecho. Para atraer a los usuarios, Arkady decidió dar al principio una hermosa cantidad de 666 rublos, y también compró anuncios de un blogger popular. La vida estuvo bien, pero Arkady no tuvo en cuenta un momento: los usuarios se registran, gastan dinero gratis y luego comienzan una nueva cuenta, y todo se repite. Nadie trae dinero.
Si Arkady conectó la API antifraude, sabría que también puede crear perfiles. Si las cuentas se abren desde el mismo dispositivo con correos similares (alex_darkstalker1, alexdarkstalker2 ... alexdarkstalker98) o si varios parámetros coinciden, le damos una señal al comerciante de que debe prestar atención a la cuenta. Por ejemplo, limite la emisión de bonos o no los distribuya en absoluto.
Nuestro héroe también tiene una compañera de clase, Petya, que está tan inspirada por la idea de ganar dinero en un casino que gastó todo su dinero y vendió el sofá. Después de un divorcio forzado con su esposa, Petya lo pensó mejor: le escribió a Arkady y se pidió que lo bloquearan temporalmente para no jugar. Petya es progresiva, se comunica con otros jugadores de Europa y sabe que esto es posible. Esto se llama un "jugador autoexcluido".
En términos de efectividad, es como tratar de dejar de fumar encerrando los cigarrillos en un armario con platos. Entonces, después de un tiempo, Petya encontró formas de sortear la prohibición: comenzó un nuevo correo y encontró amigos con documentos que no estaban en contra de crear una cuenta a su nombre. Pero la computadora seguía siendo la misma, por lo tanto, en este momento el antifraude podía hacer sonar una alarma e informar al servicio de soporte que algo no estaba limpio aquí.
#lechuvtayland
Arkady siempre había querido ir a Tailandia: ahorró dinero, compró boletos y, para celebrarlo, publicó una foto en Instagram con el hashtag #lechuvtayland. Allí, los estafadores encontraron la foto, miraron el código del boleto y lo llevaron a un servicio que otorga bonos por esto. Y en el camino, volvió a registrar Arkady en un vuelo a Surgut.
El antifraude también funciona bien en tales casos: tenemos un motor para analizar la legitimidad de los datos. Si Vasily trabaja en una agencia que organiza viajes de negocios a delegaciones extranjeras, puede obtener información sobre sus vuelos, comprando boletos para todos o simplemente mirando los datos en la base de datos. Y si la delegación de Colombia voló a Moscú para la Copa del Mundo, entonces habrá muchos kilómetros para sus vuelos. Vasily puede usarlos para comprar algo, mejorar su clase de servicio o hacer mucho más.
Conclusiones
- Vigile a los niños en línea;
- Establecer contraseñas complejas;
- No publique fotos de boletos;
- Y básicamente datos personales;
- Si ya acepta pagos a través de Yandex.Cash y está cansado de los estafadores, use antifraude personalizado .
Pero Arkady lo está haciendo bien. Realiza capacitaciones empresariales motivadoras y habla sobre su difícil camino para aquellos que solo enfrentan todos estos errores.
Eso es todo Haga preguntas en los comentarios: estamos aquí y listos para responder.