Cybertonica PlatformМониторинг мошенничеств

и адаптивная аутентификации пользователей

• Бизнес и риски• Технологии• Регулирование

1,5 млрд рублей хищений с карт в год в РФ

Проблемы

Cybertonica ltd. Конфиденциально.

• Рост мошенничеств Снижение рисков за счет скорости реагирования

• Влияние политик безопасности на бизнесРиски или деньги?

• Регулирование и compliancePSD2, Open banking, 3DS 2.0, GDPR, VISA и MC программы рисков

• Риски при запуске новых сервисов и продуктов в онлайнАдаптивная аутентификация пользователей, Скорость запуска нового канала, оптимизация конверсии

• Недовольство текущими инструментами (недостаточная цифровизация)Единое кросс-канальное решение для разных типов рискаCAPEX и OPEX экономия на ресурсах , автоматизация процессовЭкономия времени (месяцев) на внедрение новых инструментов и технологий

1,5 млрд рублей хищений с карт в год в РФ

Проблемы

Cybertonica ltd. Конфиденциально.

1. Снижение рисков, операционных издержек и повышение удобства ДБО.2. Сбор, хранение и сопоставление между собой потоков данных по разным каналам

дистанционного банковского обслуживания, построение профилей.В том числе собственная технология мониторинга клиентских устройств web, Android, iOS, рабочих мест под управление Windows / Linux и Threat Intelligence.

3. Транзакционный мониторинг совершаемых операций и их адаптивная аутентификациядля повышения удобства использования ДБО.Использование технологий обнаружения аномалий и машинного обучения позволяет быстрее реагировать на угрозы и снижает нагрузку на фрод-офицеров.

4. Фоновый мониторинг операций, счетов, устройств, учетных записей и генерация уведомлений.Позволяет обнаруживать скомпроментированные устройства, эмуляторы, фишинг и identity theft.

5. Управление политикой безопасности и проведение расследований, автоматизация работы фрод-офицеров.Быстрое добавление новый признаков и правил.

Cybertonica ltd. Конфиденциально.

Задачи

Пример - защита Интернет-эквайринга при пополнении телефонов.

Частота 3DS снизилась с 70% до 35%, конверсия выросла, включен прием иностранных карт, количество chargebackснизилось в 2 раза, 20М транзакций, 7М аккаунтов, 25к карт и 14к телефонов оказались в чёрном списке.

ОПГ

Законные пользователи

Карты

Кардер

Счеттелефона

Электронный кошелек

Ботнет-мастер

Организатор

Дропперы

Cybertonica ltd. Конфиденциально.

Схема мошенничества Пример выявленной сети по выводу средств с карт на телефоны.

Платформа для организации процесса фрод-мониторинга

• Инструменты оценки платежа• Оценка устройств (web/mobile)• Оценка поведений пользователей• Машинное обучение• Аналитика, расследования и отчетность• Организация процесса• Настройка

Решение - Cybertonica Anomalytics

Cybertonica ltd. Конфиденциально.

Cybertonica ltd. Конфиденциально.

Набор передаваемых данных соответствует требованиям ФЗ 152 «О персональных данных», закона о банковской тайне и GDPR. Платформа Cybertonica имеет сертификат PCI DSS Level 1.

Производительность:• До 50 платежей в секунду в стандартной

конфигурации с возможностью масштабирования до 300 оп/с.

• Средняя задержка скоринга 250мс, максимальная 1 сек.

• Хранение данных 12 месяцев

Системные требования и развертывание:На стороне банка размещается только модуль токенизации/детокенизации данных (2 сервера в режиме failover), обработка больших данных на стороне облака Cybertonica.

Cybertonica Anomalytics

8Cybertonica ltd. Конфиденциально.

Принцип работы:Встраиваемый модуль сбора информации для Android, iOS, Windows,Linux отправляет в режиме реального времени данные об устройстве иповедении пользователя. Данные анализируются в режиме реальноговремени и генерируются индикаторы компрометации на основесигнатурного анализа и машинного обучения.

Решение позволяет бороться с угрозами:• Кража персональных, учетных и платежных данных• Боты и автозалив• Friendly fraud• Фишинг• Удаленные подключения• Отмывание денежных средств• Внутренний фрод

Анализ информации с устройств - Cybertonica ScreenWizeTM

Пример визуализации действий пользователя в Интернет банке.

Данные могут использоваться для кредитного скоринга и маркетинга.

Внешняя информация, профили и threat intelligence

Cybertonica ltd. Конфиденциально.

• Онлайн профили пользователей:• Cybertonica использует данные с рынка онлайн рекламы, но для решения задач

кибербезопасности.• В момент входа пользователя в Интернет-банк происходит его разметка и

синхронизация с источниками данных. Происходит закупка профиля.• Профиль включает в себя соц.дем, интересы пользователя (туризм, авто, игры,

косметика, финансовые услуги, электроника и прочее).• >100 млн профилей для Рунета, >600 млн для Европы !• К профилям добавляется:

• статистическая информация о платежном поведении (время, география, взаимосвязи междупользователями).

• Характер поведения пользователя в фронтальных системах (например, как работает мышью, как держиттелефон).

• Данные о репутации IP адресов, email, chargebacks, travel fraud, KYC.Провайдеры: TAXII/STIX (AlienVault, HailTaxii, ThreatConnect), Telesign, Emailage, Ethoca,MaxMind и другие.

10Cybertonica ltd. Confidential.

1. Для каждой операции на основе внутренней и внешней информации формируется контекст принятия решения. Признаки разбиты на группы:

1. кто и кому? – счета, карты и KYC отправителя и получателя.

2. что? – типа и сумма операция, корзина (для e-com)3. когда? – день, время, типичность, периодичность,

корреляции с другими операциями4. Как, чем и где? – анализ устройства, поведения

пользователя.2. Он поступает на вход заранее обученных (обучение

происходит 1-24 раза в сутки) unsupervised и supervised моделей. В качестве моделей используются градиентный бустинг деревьев и нейронные сети.Для обучения моделей используются инциденты, статусы операции и разметка от фрод-офицеров/call-центра.

3. Результат скоринга вместе с остальными данными передается в модуль бизнес-правил. Формируется рекомендация.

«Стратегический» уровень:Анализ субпроцессоров, мерчантов, BIN, MCC,

мониторинг соблюдения уровней Visa/MC, анализ риска портфеля (VaR)

«Тактический» уровень:Анализ счетов, карт, пользователей, устройств, адресов

«Транзакционный» уровень:Скоринг на уровне отдельных операций

Работает несколько моделей на разных уровнях. При этом,уровни обмениваются информацией между собой: скоринготдельной транзакции зависит от общего объема риска, общийобъем вычисляется на основе риска каждой из траназкции.

Скоринг, признаки, машинное обучение

Платформа включает в себя интерфейс аналитика, который позволяет:1. Работать с очередями срабатываний и уведомелений2. Проводить расследования, включая анализ связей и другие способы

визуализации.3. Управлять черными, серыми и белыми списками4. Управлять политиками безопасности5. Работать с метриками и отчетами6. Искать операции7. Имеет разграничение доступа.Политики безопасности являются не просто набором линейных провил, амощным средством автоматизации за счет использования языка Lua.В зависимости от результатов скоринга или статуса операции можнодинамически создавать очереди, уведомлять внешние системы (например,CRM), отправлять письма, обновлять серые/черные списки. Срок внедрениянового правила – несколько часов.В результате работы с очередями и списками формируется разметка,которая учитывается подсистемой машинного обучения и системаподстраивается под фрод-офицера.

Cybertonica ltd. Конфиденциально.

Рабочее место аналитика и автоматизация

Cybertonica ltd. Конфиденциально.

МТС-Банк2017-н.в.

Платежный шлюз крупного российского агрегаторатакси2018-н.в.

Система денежных переводов Paysend2017-н.в.

Мальтийский банк-эквайер2018-н.в.

Кросс-канальная защита Интернет, мобильного банка и терминалов самообслуживания.Обеспечили защиту ДБО, централизовали функцию фрод-мониторинга в банке.Платформа Cybertonica выполняет функцию риск-хабадля работы с данными, подключены другие подразделения банка и компании Группы.

Защита карточных платежей.Позволили централизовать функцию фрод-мониторинга, обеспечили защиту на время Чемпионата мира по футболу.Снижен ущерб от chargebacks.Автоматизирована работа фрод-офицеров.Оперативно подключаются другие сервисы e-commerce.

Защита денежных card-to-card переводов.Позволили автоматизировать фрод-мониторинг и повысили эффективность для зарубежных рынков за счет поведенческой аналитики и Threat intelligence.

Предотвращение карточного мошенничества для нескольких тысяч мерчантов.Помогли выявить около 100 случаев партнерского фрода.

Помогли выйти из програм high risk Visa / MasterCard.

Cybertonica в партнерстве с EPAM Systems является аттестованным поставщиком антифрод-решений в ПАО Сбербанк.

Примеры бизнес-кейсов

Цель: Один из топ-50 российских (более 1 млн клиентов) банков искал специализированное кросс-канальное решение для предотвращения мошенничества взамен встроенных решений, в интернет-банк и процессинговые платформы.Решаемые проблемы:• Одноканальные устаревшие

системы работали недостаточно хорошо.

• Ограниченная численность персонала - необходимость автоматизации.

• Банк оказывает финансовые и платежные услуги нескольким компаниям группы компаний.

• Нет единого источника данных для мониторинга мошенничества. Нет единой политики предотвращения мошенничества.

Cybertonica ltd. Confidentially.

История проекта:

• Середина 2017 года: Cybertonica выиграла тендер (4 кандидата, в том числе SAS)

• Мы разработали ИТ-архитектуру и написали интеграционный слой с IBM WebSphere, развернули локальный модуль токенизации. Предоставили iOS и Android библиотеки для устройства отпечатков пальцев и анализа поведения.

• Используя исторические платежные данные, мы настроили модели машинного обучения и бизнес-правила.

Результат:• CAPEX: облачная платформа сэкономила банку 120 тыс.$ OPEX: 220k $ годовая экономия

• Мониторинг мошенничества унифицирован в нескольких каналах, в том числе для 4000 кассовых терминалов и для 1000 филиалов.

• Банк начал предлагать услуги по предотвращению мошенничества другим компаниям группы. Это помогло банку стать центром активностей по процессингу транзакций для компаний группы.

• Реализуем PoC проект в области кредитного скоринга на базе поведенческой аналитики. Несколько подразделений в банке используют аналитическую платформу Cybertonica BIDTM.

• Cybertronica OmniReactTMстала важной частью платформы данных банка: Cybertronicaпокупает сторонние данные от имени банка.

Кейс 1: кросс-канальный фрод-мониторинг

Цель: Обеспечить полный цикл мониторингамошенничества для ведущего российскогоагрегатора такси во время Чемпионата мира пофутболу в России

Решаемые проблемы :• Множество банков-эквайеров с

разнообразными правилами для мониторинга мошенничества, низкая автоматизация.Платформа стала единой точкой входа для всех. На стороне клиента фрод-мониторинг осуществляет только 2 сотрудника full-time.

• Повышенные риски карточного мошенничества во время Чемпионата мира по футболу 2018 года в Москве. Клиенту требовалось экспертиза в транзакционном фрод-мониторинге, в том числе и международная.

• Сжатые сроки проекта.После RFP в 2017, контракт был подписан в феврале 2018. Интеграция была необходима к 1 мая. Промышленная эксплуатация с 1 июня.

Cybertonica ltd. Confidentially.

История проекта:

• Мы адаптировал нашу платформу под заказы такси за 3 недели. SLA -до 200 платежей в секунду.

• Мы предоставили библиотеки iOS и Android для мобильных приложений пользователей, которые собирают информацию об его устройстве и поведении. Это позволяет обнаружить эмуляторы, зараженные устройства, аномалии, боты-фермы.

• Мы применили нашу технологию Anomalytics™ для обнаружения подозрительных ячеек и IP-адресов. Это позволило быстро выявлять рискованные транзакции с иностранных карт. Также нами была обнаружена попытка применения подмены категории bin.

• Используя исторические платежные данные, мы настроили модели машинного обучения и бизнес-правила.

• С продолжающимися спринтами каждые 2 недели мы настраивали модели и реализовывали недостающие функции.

Кейс 2: оптимизация карточных платежей

Цель: борьба с мошенничеством и отмыванием денег с использованием методов социальной инженерии и зараженных мобильных устройств с установленным приложением мобильного банка.

Решаемые проблемы :

• 35 млн пользователей мобильного банка.

• Большие объемы данных - более 10 млн транзакций в день.

• Ограниченные ресурсы колл-центра для проверки платежей.

• Нет системы машинного обучения для предотвращения мошенничества.

Внедрение:

• Проект занял 6 месяцев.

• Были предоставлены данные за 6 месяцев, в которых содержались более 110 млн платежей для тестовой группы клиентов. Проведены 3 итерации между сотрудниками банковского фрод-мониторинга и команды анализа данных Cybertonica.

• Были предоставлены рекомендации и модели для обнаружения мошенничества на уровне транзакций и счетов.

Cybertonica ltd. Confidentially.

Результаты:• Мы улучшили точность звонков в колл-центр на 7%.• Реализовали модель генерации серых списков для

существующей системы предотвращения мошенничества транзакций.

• Обнаружено +100 подозрительных групп транзитных денежных счетов связанных между собой.

• Показатели были стабильно лучше, чем в контрольной группе.

Пример обнаруженной сети денежных переводов

Кейс 3: Защита мобильного банка

Цель: сократить транзакционное мошенничество у мерчантов в онлайн эквайринге.Решаемые проблемы :• Платежные шлюзы

используют разные API для интеграции (нет информации об устройстве).

• Мошенничества связанные с заменой MCC

• Программы по рискам в Visaи МС .

• Несколько устаревших систем процессинга.

• Низкая автоматизация процесса мониторинга мошенничества.

Cybertonica ltd. Confidentially.

Внедрение:1. Интеграция проведена за 2 месяца. 2. Исторический анализ данных за 8

месяцев проводился параллельно с интеграцией. Построены и обучены специальные модели ML для обнаружения подозрительных торговцев.

3. Внедрены правила для предотвращения мошенничества и построения отчетности на основе рекомендаций Visa/MC.

Промежуточные результаты:1. Улучшена дисциплина торговцев и PSPs.2. Оптимизация бизнес-процессов.3. Мониторинг мошенничества

автоматизирован - есть возможность просматривать в 2 раза больше инцидентов, чем раньше.

4. Уровень chargebacks снизился на 40%

Customer’s acquiring platform

Cybertonicacloud

Fraud officers

Cybertonica fraud prevention team

consultingand support

PSPs

Cybertonica data science team

>4000 merchants

Кейс 4: Эквайринг

Cybertonica ltd. Конфиденциально.

Cybertonica SAS Jet Detective Feedzay IBM Fraudex bpc Sift GroupIb JuicyScore

Транзакционный фрод-мониторинг + + + + + + + + - -Анализ устройст/браузеров + - - - + + - + + +Поведенческая аналитика + - - - - - - - + +Threat Intellegence + - - - - - - - + -Гибкие правила и схемы данных + - + + - + - + - +Машинное обучение + + + + + + - + + +Внедрение

недели месяцы месяцы недели месяцы недели месяцы недели недели недели Затраты на внедрение и использование + - - + - + + - + +

Конкуренты

• 2015 – 2ой приз в конкурсе ИБ стартапов PosiveHackDays, выпустились из акселератора of Startupbootcamp FinTech London 2015.

• 2016 – прошли сертификацию PCI DSS, аккредитованы как поставщик систем кросс-канального антифрода Сбербанка. Победители Skolkovo Cybersecurity Day. Резиденты Сколково.

• 2017 – резиденты CISCO IDEALab, London. Члены nVidia Inception program.Выиграли Emerging Payment Association Award за Best Back office Innovation (London).

• 2018 – крупные клиенты в РФ и Европе. Выиграли MPE best data analytics award (Berlin), FinTech EU 2018.

Основана выходцами из Сбербанк DigitalVentures, МГТУ им. Н. Э. Баумана и платежного бизнеса в 2015 году.Офисы в Лондоне, Москве.30 человек в штате.

Контакты:

Сергей Вельцsvelts@cybertonica.com, тел: +79264225894CTO & Co-Founder

Евгений Шадринeshadrin@сybertonica.com, тел: +79104802297COO CEE/CIS

Олег Кузнецовokuznetsov@cybertonica.com, тел: +79269743795head of sales

О нас

Платформа мониторинга мошенничеств в платежах для снижения рисков

Евгений ШадринCOO Cybertonicaeshadrin@cybertonica.com

Cybertonica ltd. Конфиденциально.