Arkady est une organisation prospère. Il lit tous les livres sur l'efficacité personnelle, ouvre chaque mois de nouvelles entreprises prometteuses et est content de lui, mais à chaque fois que quelque chose se passe mal.
D'abord, des écoliers en colère le rencontrent pour livrer des chaussures d'élite, puis quelque part ils prennent des critiques écrasantes sur sa boutique iPhone avec des antennes TV, puis il ouvre un casino en ligne, mais les gens ne sont pas pressés d'y apporter de l'argent et se limitent à un dépôt gratuit.
J'ai volé cette illustration aux créateurs lorsqu'ils se sont détournés.
En fin de compte, quelqu'un annule 364 points accumulés au cours de la dernière année sur les baies de kéfir et de goji de la carte bonus de Pyaterochka, et Arkady bout. Il va en ligne avec une question sur ce que font les autres gars dans de telles situations.
Cet article concerne la machine antifraude Yandex.Kassa. Sous la coupe, il y a quelques scénarios dans lesquels elle se défend, et une histoire sur une nouvelle API pour les magasins, ce qui compliquera considérablement le travail des escrocs.
Avertissement
Tous les exemples de la publication font l'objet de la fiction collective des auteurs et peuvent arriver à tout le monde, le sexe et les noms des personnes sont choisis au hasard, toutes les références à la culture pop sont faites intentionnellement, et oui, vous les avez correctement capturées.
Et ne commettez pas de fraude, pour cela, ils sont punis en vertu du Code pénal de la Fédération de Russie.
Comment fonctionne l'antifraude?
Nous avions déjà un article sur la lutte antifraude - nous y avons expliqué comment tout fonctionnait. Depuis un an, la recherche automatique des anomalies est activée par défaut pour toutes les transactions via Yandex.Cash.
Nous avons maintenant déployé l'antifraud-as-service - une API personnalisée que nos partenaires connectent aux sites et aux applications. Si une authentification supplémentaire est nécessaire, l'API la simplifie pour un utilisateur légitime et la rend presque impossible pour un fraudeur.
Les fraudeurs sont coupés à trois niveaux:
- Tout d'abord, les règles d'une évaluation approximative sont déclenchées: oui / non, oui / non, filtres de liste noire ou de liste blanche. Tout ce qui est coupé à ce stade est transféré à la composante ML pour saturer le référentiel de données historiques et les modèles d'auto-étude;
- Filtrer selon les règles - il y en a beaucoup, elles sont différentes, et je ne peux certainement pas écrire à leur sujet dans cet article;
- Lorsque la machine frauduleuse doute de la décision à prendre, l'événement est envoyé au troisième niveau, où sont lancés des modèles d'apprentissage automatique qui complètent les filtres selon les règles. Certains types d'événements sont toujours exécutés sur des modèles ML pour dériver des règles supplémentaires du deuxième niveau.
Le schéma est complexe, mais l'idée est simple. Le commerçant envoie à l'API un ensemble de données sur la transaction, l'autorisation de l'utilisateur ou le rappel restant, nous le tournons tous délicatement dans la machine anti-fraude et émettons un verdict - y a-t-il des fraudeurs ou non? Que faire ensuite est à la discrétion du magasin. Un autre avantage: il devient plus facile pour un «bon» utilisateur d'acheter, et laisse les attaquants et les escrocs souffrir.
Comment acheter sans antifraude:
- Choisissez un produit, mettez-le dans un panier;
- Entrez le mot de passe pour entrer dans le portefeuille;
- Entrez le mot de passe de paiement pour confirmer le paiement;
- Si paiement par carte - entrez un mot de passe unique pour 3D Secure.
Total - trois mots de passe en quelques minutes. C’est beaucoup. Et parfois, cela ne va pas avec Internet ou les SMS ne parviennent pas immédiatement. Avec la protection anti-fraude activée, il vous suffit de vous connecter à votre portefeuille et de payer sans entrer un tas de mots de passe si le système le "découvre".
La ligne verte sur le graphique indique que la machine antifraude a décidé que tout était en ordre et que vous ne pouviez pas envoyer de SMS pour confirmer. Selon le calendrier, cela représente environ 30% des cas - des économies importantes sont réalisées sur les SMS.
Il peut cependant ne pas être reconnu - cela dépend de la mesure dans laquelle les propriétaires de magasins sont prêts à prendre des risques. Tout système de sécurité a deux extrêmes - les règles les plus «tordues» et l'élimination complète de la fraude, ou l'élimination complète des mesures de sécurité. Dans le premier cas, de nombreux clients normaux souffrent et dans le second, l'entreprise est ouverte aux attaques. Les gars de Yandex.Kassi recherchent un équilibre entre sécurité et conversion: ils analysent les opérations, complètent les règles et prennent en compte les souhaits du client reçus via le manager.
Revenons à Arkady et voyons comment nous pouvons aider les marchands, autour desquels tournent de nombreux escrocs. Ce sont des magasins en ligne classiques avec toutes sortes de choses, des services de jeux - roulette, casinos en ligne et c'est tout, et aussi un segment de voyage.
Usine d'imprimantes
Arkady est ami avec le directeur de l'imprimerie, qui raconte parfois des histoires autour d'un café. L'usine n'est pas gourmande et vend des imprimantes pour rien si vous leur achetez du papier et du toner chaque mois. Les employés de bureau veulent une imprimante presque gratuite, mais ils ne veulent pas payer à l'avance.
Ici, l'antifraude peut aider à déterminer si quelqu'un Sergey, qui a un besoin urgent d'une imprimante pour imprimer le bureau, est solvable. Sergei paie généralement sur Internet avec une carte - c'est plus pratique pour lui. Si les systèmes internes Yandex.Cash dans le périmètre de PCI DSS ont une fois rencontré cette carte, son titulaire est juste Sergei, qui achète régulièrement quelque chose, alors tout va bien - l'API rendra un bon verdict, et l'usine expédiera l'imprimante à Sergey.
Si nous ne savons rien de cette carte - trop ancienne ou, au contraire, juste publiée - nous pouvons proposer à l’usine de l’imprimeur de prélever un acompte pour la première année de papier et de toner. Si d'autres déclencheurs de machine anti-fraude montrent que l'utilisateur n'a pas d'argent, le commerçant prend lui-même la décision, en fonction des processus commerciaux et des relations avec cet utilisateur. Par exemple, effectue une vérification supplémentaire ou demande un paiement anticipé pour l'année.
Les commerçants eux-mêmes décident à quel stade vérifier l'utilisateur. Si cela peut causer des dommages à l'entreprise lors de sa première apparition dans le service (par exemple, obtenir un taxi gratuit après l'enregistrement), l'évaluation est effectuée lorsqu'il crée un compte ou ouvre l'application.
Louboutin à Kupchino
Après l'effondrement de l'entreprise de vente de masques noirs sur Instagram, Arkady a ouvert la livraison de Louboutins. L'entreprise est rentable, les chaussures sont à vendre - et voici la commande pour la livraison au secteur privé à Kupchino. Le client ne souhaite pas effectuer d'acompte, communique avec les désabonnements et est en général incompréhensible d'une manière ou d'une autre. La question se pose - cela vaut-il la peine d'y apporter quelque chose, et qui a de la chance? Aujourd'hui, il y a 15 autres ordres normaux, et le courrier est nécessaire vivant.
Dans de telles situations, nous indiquons au commerçant si un utilisateur particulier paie, quelles sont les chances que ce ne soit pas un escroc, et bien plus encore. Dans le même temps, nous n'intervenons pas dans les processus commerciaux du partenaire - il transfère des données qui sont déjà stockées dans la base de données ou collectées pendant le fonctionnement. Nos analystes aident à déterminer ce qui est utile pour identifier les fraudeurs et quelles données ne sont pas nécessaires.
Après toutes les discussions et les paramètres, le partenaire recevra un descripteur d'API, qui est configuré autant que possible pour lui. Autrement dit, vous pouvez connecter l'antifraude au site, à l'application mobile et à tout autre élément où vous pouvez envoyer une demande HTTP. Pour des raisons évidentes, nous ne pouvons pas montrer à quoi ressemblent les demandes - devenir partenaires, et là, nous allons tout montrer.
Asseyez-vous, pyaterochka
Si quelque part il y a un compte non protégé avec de l'argent, il sera piraté. Par conséquent, il existe de nombreux endroits où sur Internet, ils vendent des cartes bonus de grandes chaînes de vente au détail avec un solde de plusieurs milliers de roubles pour un montant de trois à quatre fois moins. Ce sont de vrais comptes dans les programmes de fidélité que les propriétaires ont négligés. Arkady s'est également fait prendre, et maintenant quelqu'un d'autre va dépenser ses bonus honnêtement gagnés.
Ici, l'API anti-fraude aide à l'analyse de l'utilisateur au moment de l'authentification. En règle générale, une personne visite des sites Web et paie des services à partir d'un ensemble spécifique d'appareils - un ordinateur, une tablette ou un smartphone. Si nous comprenons qu'Arkady vérifie généralement les bonus d'un ordinateur portable Lenovo Windows ou d'un smartphone LG Android de la région de Moscou, et essaie maintenant d'entrer via VPN depuis l'Uruguay à partir d'un macbook, alors très probablement, quelque chose s'est mal passé.
Dans Yandex.Money, vous pouvez parler des voyages à venir afin que la machine antifraude ne vous soupçonne pas.
Au minimum, si un utilisateur est parti pour l'Uruguay, il est peu susceptible d'être intéressé par l'équilibre dans le programme de fidélité Pyaterochka.
Faux avis
Une fois qu'Arkady a ouvert une boutique iPhone avec une antenne de télévision sur le cinquième Android, il l'a connectée à Yandex.Market, mais a rapidement attiré des critiques négatives. Arkady accuse ses concurrents - disent-ils, ils ont fini par détester et ont jeté des «unités». Bien sûr, Arkady, l'armée des bots est à blâmer, et les iPhones chinois n'y sont pour rien. D'une manière ou d'une autre, l'armée arrive, met mille "cinq" dans le magasin et disparaît.
Ou comme ça - l'équipe préférée d'Arkady a perdu en finale de la Ligue des champions, et il a décidé d'écrire un commentaire dévastateur sur les arbitres, les rediffusions vidéo et les terribles footballeurs. Il est allé sur un site sportif et n'a rien pu écrire. À ce moment-là, le site souffrait depuis un mois de commentaires de spam astucieusement conçus, sur lesquels les avantages étaient blessés. Par conséquent, les commentaires ont été fermés et la colère de notre héros est restée muette.
Kassi Antifraud peut analyser automatiquement les avis et comprendre qu'ils sont écrits à partir d'un seul appareil, du même réseau et par une seule personne. Cela fonctionne comme ceci: l'utilisateur clique sur le bouton «Envoyer des commentaires», celui-ci est enregistré dans la base de données et les données utilisateur sont envoyées à l'API pour analyse. S'il n'y a aucun signe de fraude, la revue est publiée, si des soupçons sont mis sur la modération manuelle, et si antifraude donne un verdict négatif, la revue est rejetée.
Voilà comment vendre un trolleybus, mais pourquoi?
À un moment donné de sa jeunesse prospère, Arkady a vendu des jouets pour enfants dans des magasins en ligne chinois à des prix exorbitants. Les données sur les commandes sont immédiatement entrées dans le colis, et tout le monde allait bien. Exactement jusqu'au moment où ce magasin de jouets mentionnait Maxim, un blogueur vidéo de trois ans, dans sa vidéo, il y a commandé un excellent trolleybus et a voulu partager son bonheur avec tout le monde.
Les jeunes enfants ont cliqué sur le lien dans la description et ont laissé des milliers de commandes avec le nom «pay as you go» ou des nombres aléatoires au lieu du téléphone, en général - une catastrophe. Naturellement, le service de préparation des commandes n'était pas prêt à traiter un tel flux de «commandes». Quelques jours plus tard, la vague passe, mais le magasin parvient à perdre quelques grosses commandes pour l'approvisionnement en trolleybus des agences gouvernementales.
Dans de tels cas, l'antifraude vous aidera également - vous pouvez envoyer un flux de commandes à l'API afin que le système ML filtre automatiquement les fausses ou marque les commandes douteuses à livrer à Tver par un utilisateur de Vladivostok. Que faire ensuite - le commerçant décide, par exemple, de rappeler et de préciser si tout est comme indiqué.
Si la commande est en règle et que le partenaire nous donne les données au moment du paiement, nous pouvons voir qu'une carte bancaire compromise participe à l'une des commandes - par exemple, une rétrofacturation est intervenue ou une activité anormale a été constatée. S'ils essaient de payer avec nos autres partenaires sur une telle carte, antifraud avertira également que des situations stupides ne se produisent pas.
Voiture en ligne a donné
Arkady est une personne réussie, et il investit tout son argent dans les affaires. Par conséquent, il doit regarder des émissions de télévision sur Internet sur des sites gratuits. Un jour, en regardant le prochain épisode de The Big Bang Theory, il a découvert que vous pouvez gagner de l'argent sur Internet presque sans investissements, et a décidé d'ouvrir son propre casino en ligne.
Aussitôt dit, aussitôt fait. Pour attirer les utilisateurs, Arkady a décidé de donner au départ une belle quantité de 666 roubles, et a également acheté des publicités auprès d'un blogueur populaire. La vie allait bien, mais Arkady n'a pas pris en compte un instant - les utilisateurs s'enregistrent, dépensent de l'argent gratuit, puis ouvrent un nouveau compte, et tout se répète. Personne n'apporte d'argent.
Si Arkady connectait l'API antifraude, il saurait qu'il peut également effectuer un profilage. Si des comptes sont ouverts à partir du même appareil avec des e-mails similaires (alex_darkstalker1, alexdarkstalker2 ... alexdarkstalker98) ou qu'un certain nombre de paramètres coïncident, nous signalons au commerçant que vous devez faire attention au compte. Par exemple, limitez l'émission de bonus ou ne les distribuez pas du tout.
Notre héros a également un camarade de classe Petya qui est tellement inspiré par l'idée de gagner de l'argent dans un casino qu'il a dépensé tout son argent et vendu le canapé. Après un divorce forcé avec sa femme, Petya a mieux réfléchi - il a écrit à Arkady et s'est demandé d'être temporairement bloqué, afin de ne pas jouer. Petya est progressiste, communique avec d'autres joueurs européens et sait que c'est possible. C'est ce qu'on appelle un "joueur auto-exclu".
En termes d'efficacité, c'est comme essayer d'arrêter de fumer en enfermant des cigarettes dans un placard avec de la vaisselle. Ainsi, après un certain temps, Petya a trouvé des moyens de contourner l'interdiction: il a commencé un nouveau courrier et a trouvé des amis avec des documents qui n'étaient pas contre la création d'un compte en son nom. Mais l'ordinateur est resté le même - par conséquent, en ce moment, l'antifraude pourrait sonner l'alarme et informer le service d'assistance que quelque chose est impur ici.
#lechuvtayland
Arkady voulait depuis longtemps aller en Thaïlande - il a économisé de l'argent, acheté des billets et, pour célébrer, a publié une photo sur Instagram avec le hashtag #lechuvtayland. Là, les escrocs ont trouvé la photo, regardé le code du billet et l'ont conduit dans un service qui donne des bonus pour cela. Et en cours de route, Arkady s'est réenregistré sur un vol pour Surgut.
Antifraud fonctionne également bien dans de tels cas - nous avons un moteur pour analyser la légitimité des données. Si Vasily travaille dans une agence qui organise des voyages d'affaires dans des délégations étrangères, il peut obtenir des informations sur leurs vols - en achetant des billets pour tout le monde ou simplement en consultant les données de la base de données. Et si la délégation de la Colombie s'est envolée pour Moscou pour la Coupe du monde, alors il y aura beaucoup de kilomètres pour leurs vols. Vasily peut les utiliser pour acheter quelque chose, améliorer sa classe de service ou faire beaucoup plus.
Conclusions
- Gardez un œil sur les enfants en ligne;
- Définissez des mots de passe complexes;
- Ne postez pas de photos de billets;
- Et essentiellement des données personnelles;
- Si vous acceptez déjà les paiements via Yandex.Cash et que vous en avez assez des fraudeurs, utilisez un anti-fraude personnalisé .
Mais Arkady se porte bien. Il organise des formations commerciales motivantes et parle de son chemin difficile vers ceux qui sont confrontés à toutes ces erreurs.
C’est tout. Posez des questions dans les commentaires - nous sommes ici et prêts à répondre.