Борьба с мошенничеством, как и с любыми другими видами рисков - это бесконечный процесс улучшений и технологического развития, который позволяет давать финансовым институтам дополнительный инструментарий для повышения эффективности их системы принятия решений за счет как выявления новых видов рисков, так и более качественных способов выявления уже известных рисков. Бесконечное многообразие онлайн мира, с одной стороны, позволяет делать удобную среду по получению финансовых продуктов и услуг, а с другой стороны, несет в себе риски и приводит к сложностям, как для получателя услуги или продукта, так и для финансового института.

Всем нравятся красивые и функциональные веб-ресурсы с различными графическими решениями, шрифтами и другими элементами дизайна и визуализации. Многие из таких элементов реализованы через загрузку различных компонентов с внешних ресурсов (доменов). Значительная часть таких доменов относится к надежным и внушающим доверие организациям, а различные элементы, подгружаемые с таких доменов используются большим количеством финансовых институтов, ритейлеров и поставщиков иных продуктов и услуг в режиме онлайн.

Однако среди всего этого многообразия есть небольшая доля случаев (по нашим оценкам от 0.5% до 5%), когда подгружаемые данные и компоненты не только не несут пользу финансовому институту, а являются вредоносными и могут использоваться в недобросовестных целях. Зачастую речь о различных веб-порталах которые не связаны напрямую с банком или МФК, поскольку ведущие игроки обычно внимательно следят за тем, что размещается на их сайтах, а, например, о таких, где пользователь может заполнить заявку на займ, кредит или страховой полис без привязки к конкретному финансовому институту.

Откуда берутся опасные домены?

Логически можно выделить два принципа работы подобных ресурсов:

• в результате целенаправленных действий пользователя - владельца устройства, с которого происходит заполнение и отправка заявки; в этом случае к заявлению на финансовый продукт автоматически прикрепятся ссылки на все домены с того веб-ресурса, где это заявление заполнялось, в том числе и домены, представляющие опасность как для заявителя, так и для финансового института;
• в результате действий третьих лиц, которые скрыто или явно устанавливают скрипты без согласия заявителя и без согласия владельца официального интернет-ресурса.

В чем опасность таких доменов?

В ряде случаев это могут быть манипуляции с параметрами браузера, настройками Интернет-соединения, различными скриптами автоматизированного или автоматического заполнения заявок на кредит. Наличие таких маркеров при заполнении заявки как минимум несет дополнительный риск для финансового института. В наиболее сложных случаях через такие опасные домены у злоумышленников появляется возможность получения удаленного доступа к устройству заявителя, краже логинов, паролей и иной персональной и чувствительной информации пользователя. Все это ведет к риску как для пользователя, чьи данные были скомпрометированы, так и для финансового института, который получает заявление на продукт с подчас заведомо ложными данными.

Как мы выявляем такие случаи?

Мы в JuicyScore разработали методику проактивного выявления такого рода доменов. Это означает, что нет необходимости ждать, пока по заявке произойдет вызревание просрочки и подтверждение недобросовестных действий заявителя.

Опасные домены определяются исходя из следующего алгоритма:

• Определение степени опасности домена - при анализе используется целый ряд метрик и параметров, таких как, например, использование значений JuicyScore для выявления концентрации риска для таких доменов, статистика по частоте появления заявлений с такими доменами, кросс-валидация с другими атрибутами, обрабатываемыми в рамках ПО JuicyScore, информация о регистрации и владельце домена, паттерны поведения, верификация характеристик и функциональности домена и многое другое;
• Выявление доменов, с которых на веб-ресурс финансового института подгружаются скрипты и которые были дополнительно выявлены при заполнении заявки на финансовый продукт - наиболее интересные случаи связаны с теми доменами, которые впервые появились в кредитных заявках;
• Выявление паттернов, связанных с частой сменой доменов низкого уровня (например, n01.vwxyz.com, n02.vwxyz.com), когда один и тот же скрипт подгружается c разных доменов, ассоциированных с одной группой.

Стоит также отметить, что подозрение вызывают и те случаи, когда с заявкой не ассоциируется ни одного домена, характерного для данного сегмента заявок, что также может являться негативной аномалией.

Анализ набора доменов на заявке может служить дополнительным параметром при выявлении групп связанных заявок с высоким уровнем риска мошенничества, поэтому данная функциональность уже доступна в рамках наиболее актуальной версии JuicyScore API v12, - в ответе на запрос передается факт наличия подобных опасных доменов в заявлении на займ, кредит или страховой полис. А значит, это позволит выявлять подобные наиболее опасные случаи и даст возможность нашим партнерам оперативно на них реагировать до вызревания фактического риска и массовых выдач по таким заявкам.

На протяжении последних 4-5 лет мы в JuicyScore развиваем целый ряд идей, такие как, например, снижение оборота персональных и чувствительных данных или баланс приватности и анонимности. Все эти аспекты носят глубоко утилитарный характер, а их применение на практике позволяет снижать риски и получать экономический эффект. Мы постоянно развиваем продукты и технологии, чтобы наши партнеры и клиенты имели возможность быть на шаг впереди злоумышленников, получать высокий уровень окупаемости данных и эффективный баланс снижения уровня риска и стоимости этого снижения.