Как «Тинькофф» помешал грабителям вывести деньги со счета: история с похищенным франчайзи «Додо пиццы»
Недавно в СМИ попала история похищения крупнейшего партнера-франчайзи сети ресторанов «Додо Пицца». Грабители похитили его и несколько дней держали в загородном доме в Латвии, вынуждая переводить деньги на их счета. Несмотря на то что клиент подтвердил платежи голосом, антифрод-система и сотрудники отдела платежных рисков распознали мошенников. Так они остановили переводы и сохранили большую часть денег на счете в Тинькофф.
Рассказываем, как это было и почему у Тинькофф получилось спасти большую часть денег клиента. Конечно, это лишь некоторые детали, основную часть антифрод-алгоритмов мы раскрыть не можем в целях безопасности наших клиентов.
Что случилось
Почти год назад франчайзи сети ресторанов «Додо Пицца» Владимир Горецкий стал жертвой похитителей.
Он приехал для встречи с якобы инвестором, но когда оказался на вилле в Юрмале, ему в лицо брызнули перцовым баллончиком, связали и удерживали пять дней. Все это время его заставляли переводить деньги со своих счетов на счета злоумышленников. Когда стало понятно, что больше вывести не удастся, его отпустили. Владимир смог снять с головы мешок и добраться до дома в России.
Широкой аудитории о происшествии стало известно только недавно, после того как органы задержали одного из преступников. Владимир рассказал свою историю, а мы показываем, как все происходило со стороны Тинькофф.
26 сентября, 10:18. Клиент в нетипичной локации
Что случилось. Предприниматель расплатился картой в российском аэропорту и через время вошел в приложение Тинькофф из Латвии.
Что мы сделали. Для клиента это нетипичная локация, поэтому сработало предупреждение антифрод-системы: обратить внимание на остальные траты по счету.
Как это работает. Антифрод-система — это набор алгоритмов, который мы усилили машинным обучением. Система собирает всю информацию о действиях клиента, его платежных привычках. Например, что он покупает, когда, у кого, каким способом — по карте или онлайн, как заходит в приложение — по отпечатку пальца или ПИН-коду, с какого устройства, кому обычно переводит и многое другое.
Но и это не все: нейросеть может то, чего не может человек. Она анализирует гигантские объемы информации, отдельные действия одного клиента и сравнивает их с действиями других клиентов. Например, если в одном магазине растет количество платежей из-за распродажи, для человека это выглядит подозрительно. Но система учитывает исторические колебания, самостоятельно определяет степень риска и тревогу поднимать не будет.
26 сентября, 16:00. Выводит деньги с брокерского счета
Что случилось. Клиент вывел деньги с брокерского счета на свой счет в Тинькофф.
Что мы сделали. Зафиксировали как подозрительную операцию.
Как это работает. Вроде бы операция обычная: если какие-то бумаги выросли в цене, возможно, есть смысл их продать. Но система уже нашла одну аномалию, поэтому вывод денег выглядел подозрительно. При еще одном подозрительном действии система может приостановить переводы до проверки.
26 сентября, 19:00. Переводит деньги на чужую карту
Что случилось. Предприниматель перевел деньги на карту другого банка, причем раньше эта карта не участвовала в операциях по счету.
Что мы сделали. Зафиксировали как подозрительную операцию.
Как это работает. Сам по себе перевод не вызывает вопросов, но вместе с остальными факторами все выглядит подозрительно: вылет в Латвию, вывод денег с брокерского счета, перевод на новый для себя счет в другом банке, как следствие — предупреждение от антифрод-системы.
26 сентября, 19:26. Клиент подтверждает, что это он проводит платежи и все в порядке
Что случилось. Клиенту позвонил сотрудник Тинькофф и стал задавать вопросы, чтобы убедиться, что деньги переводит именно он и делает это осознанно.
Что мы сделали. На все вопросы предприниматель ответил спокойно, без ошибок и попросил провести переводы. Поэтому мы разблокировали операции.
Как это работает. Для проверки есть опросник: там стандартные вопросы, например серия и номер паспорта, адрес регистрации, — ответы должен знать только клиент. Есть вопросы, созданные специально под клиента или возможную нестандартную ситуацию. Не во всех банках есть нетиповые вопросы, поэтому мошенникам проще пройти проверку — достаточно назвать кодовое слово.
Мы проверяем, совпадает ли голос в трубке с голосом клиента.
Еще мы проверяем, совпадает ли голос в трубке с голосом клиента, который мы записали ранее. Такая запись не учитывает конкретные формулировки и слова, а характеризует голос в целом. Если голоса не совпадают, мы начинаем более глубокую проверку.
Внезапная блокировка и вопросы менеджера иногда раздражают клиентов, но это необходимая защита — именно так мы подтверждаем, что платежи проводит наш клиент и делает это осознанно. 70% успешного мошенничества с картами и счетами — это результат социальной инженерии: когда злоумышленник обманом получает данные карты или убеждает клиента перевести деньги.
У мошенников есть хитрость. Они знают, что банк может перезвонить и задать вопросы клиенту. Поэтому они так и говорят: «Вот я из банка, а вам будут звонить мошенники. Не слушайте их». И когда действительно звонят из банка, клиенты могут отказаться вести диалог или говорят неправду. Мол, я ни с кем не общался, сам решил перевести деньги.
Мы знаем, что такие ситуации бывают, поэтому система отмечает сам факт проверки. И если будут еще подозрительные операции, система может еще раз заблокировать переводы.
Фрагмент памятки для сотрудников отдела рисков
Часть памятки для сотрудников, которые обзванивают клиентов при подозрительных платежах
26 сентября, 21:22—02:51. Клиент часто заходит в приложение и нестандартным способом
Что случилось. Клиент 12 раз зашел в приложение.
Что мы сделали. Продолжаем фиксировать подозрительную работу со счетом. Само по себе количество входов в приложение ничего не значит, но система обратила внимание и на другие факторы, например, что клиент изменил формат использования мобильного банка. Все вместе выглядит подозрительно.
Как это работает. Система оценивает поведение клиента по тысячам критериев. И если один выбивается, это ничего не значит. Поэтому она всегда анализирует совокупность факторов.
Один из критериев оценки — это местоположение. У нас есть несколько способов его определить. Например, по геометкам, если клиент дал доступ приложению Тинькофф к геоданным своего устройства. Они помогают понять, что деньги переводит не клиент или, наоборот, это наш клиент, все в порядке и не надо беспокоить его звонком. Еще один способ — по коду операций, так мы можем узнать, например, была ли покупка в Китае или Латвии.
Дополнительный критерий оценки — как клиент работает с банком. Система отслеживает все аномалии: например, клиент использовал приложение одним способом, а теперь поменял привычки. Мы видим нетипичное поведение и отмечаем его.
Доступ к геометкам для антифрод-системы Тинькофф дается одной кнопкой, таким образом вы помогаете сотрудникам банка обезопасить ваши деньги
27 сентября, 03:01—03:41. Много и часто переводит на чужую карту
Что случилось. В три утра клиент начал переводить деньги: небольшими суммами, но часто — от 8000 до 100 000 ₽. Все переводы — на чужую карту, хотя раньше этому человеку он не платил.
Что мы сделали. Система подтянула данные за день и увидела, что уже накопилось слишком много подозрительных факторов, поэтому приостановила переводы. Они остановились на этапе подтверждения на время, пока сотрудник банка не свяжется с клиентом и не подтвердит платеж.
Как это работает. Система знает, что такие частые переводы — один из признаков мошенничества. Так обычно тестируют лимиты и работу безопасности банка: если пропускает, следующий платеж можно сделать в несколько раз больше. Например, не 50 000 ₽, а 300 000 ₽ за раз.
27 сентября, 03:42. Клиент отказывается от видеозвонка
Что случилось. Система дала сигнал, что с операциями неладное. Специалист отдела рисков получил его, просмотрел историю запросов и операций и решил позвонить клиенту, чтобы разобраться в ситуации.
Что мы сделали. Во время звонка специалист сначала задавал вопросы голосом, но заметил паузы: клиент будто бы задумывается, отключает микрофон и только потом отвечает.
Паузы были на секунду, но специалист знал, что в таких случаях клиенты отвечают быстро. На фоне он слышал подсказки.
Паузы были на секунду, но по опыту специалист знал, что клиенты в таких случаях отвечают быстро. На фоне он слышал подсказки.
Ответы формально были правильными, и факты звучали убедительно, но менеджер решил проверить еще раз. Тогда он попросил клиента принять видеозвонок и пообщаться так. После заминки клиент отказался: сначала под предлогом, что сейчас темно и все равно ничего не видно, а потом просто наотрез.
Специалист отдела рисков тут же отправил запрос на внутреннее расследование и сохранил блокировку: возможно, клиент переводил деньги под давлением.
Как это работает. У каждого специалиста есть инструкции на случай таких переговоров, но при этом от них можно отступать и импровизировать, чтобы аккуратно узнавать у клиента нужную информацию о нем самом и его операциях.
Со стороны специалиста это просто беседа, он общается без нажима, спокойным тоном, просто задает вопросы. При этом его задача — слушать не только сами слова, но еще интонацию и происходящее на фоне.
Специалист по рискам может запросить видеозвонок: он отправляет клиенту ссылку — в чат, по СМС или на почту, тот ее открывает и видит черный экран. Это делается, чтобы злоумышленники не вычислили сотрудников Тинькофф.
Во время видеозвонка специалист может задать вопросы, попросить показать помещение, руки, что за спиной.
Как пойдет разговор, определяет специалист по рискам. Он может задать пару вопросов, попросить показать остальное помещение, руки, что находится за спиной или в стороне. Вопросы могут быть о чем угодно.
Для такой работы менеджеры специально тренируются, и у них есть чек-лист, на что обращать внимание.
Клиент сохранил деньги на счете Тинькофф
Клиент при последних переводах почти потерял 273 000 ₽, но сотрудники отдела рисков Тинькофф вовремя приостановили платежи. Так они спасли клиенту 273 000 ₽ и остальные деньги на счете. После нашего звонка злоумышленники еще 22 раза заходили в приложение.
Для защиты клиентов мы используем разные технологии, например:
- Алгоритмы машинного обучения отслеживают нетипичные для клиента транзакции. Нейросеть постоянно обучается и видит связи, которые может не увидеть человек. Например, в один из анализов добавили факт смены ПИН-кода. Мы бы сами не стали включать такой критерий, потому что в том кейсе это очень редкий случай: у сценариев нет прямой зависимости, потому что это онлайн-покупки. Но нейросеть заметила связь и теперь на 5% четче отслеживает опасность.
- Технология цифрового отпечатка устройства — фингерпринт — идентифицирует устройство, с которым работает клиент, и определяет, часто ли он его использует или это в первый раз.
- Кросс-канальный событийный мониторинг учитывает активность клиентов во всех каналах: в мобильном приложении, чате, при оплате пластиковыми картами или при обращениях в колл-центр.
- Видеозвонки для проверки, нестандартные вопросы и умение слушать клиента помогают убедиться, что клиент по своей воле переводит деньги или что-то оплачивает.
Случай Владимира не типичный, потому что разбой с «мешком на голове» — это хлопотное дело для преступников. Гораздо чаще для финансового преступления этого и не требуется.
В 70% случаев успешного мошенничества злоумышленники используют социальную инженерию и психологические уловки. А в итоге клиенты сами переводят им деньги, передают данные карт, коды подтверждения или контрольные вопросы. И даже снимают наличные в банкоматах и кладут в «секретные ячейки».
Каждый год число таких случаев увеличивается. Только за первое полугодие 2020 количество звонков от мошенников выросло почти в 3 раза по сравнению с прошлым годом.
Мошенники становятся умнее, нахальнее, технологичнее, при этом наша антифрод-система постоянно развивается. Мы используем собственные разработки, натаскиваем сотрудников буквально чувствовать мошенничество и рассказываем клиентам, как его распознать. Благодаря этому количество атак, которые мы смогли остановить, растет.
Но когда клиент сам отдает злоумышленникам данные карты или подтверждает мошеннические платежи — это все равно что отдать ворам ключи от сейфа. Такие поступки приводят к финансовым потерям.
Сайт Тинькофф о безопасности: серия роликов на несколько минут, где рассказываем, как разводят современные мошенники и как не поддаваться на их уловки, чтобы не потерять деньги.
А на самом деле было чуточку иначе: система увидела, что клиент начал переводить деньги небольшими платежами и заблокировала его по п. 11 ст. 7.2 115-ФЗ. Удалось ли клиенту разблокировать счёт после после или же вывести деньги под процент после в связи с его закрытием - история умалчивает. :)
На VC таких историй от первого лица больше и им веришь больше, чем тому, что рассказывает банк. И вообще банк не должен звонить клиенту и спрашивать его о персональных данных (я бы на фиг послал сразу, даже с официального номера (мне так из Райфа звонили, но на деле это были не они)). При необходимости клиент сам позвонит, увидев плашку в приложении о том, что операции по счёту заблокированы на основании 115-ФЗ, как подозрительные.
Какие-то бурные фантазии)
115-ФЗ тут ни при чем, и проценты/комиссию за вывод мы не берем. Клиенту удалось сохранить свои деньги и продолжить быть клиентом банка, который ему помог = нашим клиентом. Свет, занавес, аплодисменты.
Советую ссылку перечитать. Именно это может быть основанием для блокировки платежей. Вы на это прямо намекаете в статье:
В три утра клиент начал переводить деньги: небольшими суммами, но часто — от 8000 до 100 000 ₽. Все переводы — на чужую карту, хотя раньше этому человеку он не платил.У банка-отправителя есть триггер на такие операции, равно как и у банка-реципиента. Оба банка обращаются к своим клиентам за обоснованием финансовой значимости данных переводов. Было такое, плавали.
Ну а вообще ничего нового, по сути. Финмон отработал антифрод. Вот только звонить не надо. Уведомляйте людей. Пусть связываются с вами через приложение.
Эта история о том, что:
а) Звонить как раз надо. А иногда не просто звонить, а даже связываться по видео или как минимум предлагать такой вариант.
б) 115ФЗ здесь не при чем. Подозрительная активность была с точки зрения возможных мошеннических действий с деньгами клиентов.
а) блокировать и точка. Если это не мошенник, то клиент с вами свяжется самостоятельно для разблокировки проведения перевода. Звонить можно из приложение. Более того, что в приложении часто используется отпечаток пальца (почти на всех современных телефонах), а значит и ещё одно доказательство того, что клиент тот, за кого себя выдаёт.
Если уж дошло до мешка на голове - отпечаток вовсе НЕ доказывает что это клиент добровольно приложил палец. Это доказывает что палец рядом есть и возможно есть живой клиент. Но и все.
Честно говоря, я задолбался отвечать ) Какова вероятность, что человек в заложниках? Вот в процентном соотношении посчитайте? 0,000000001% где-то.
https://vc.ru/tinkoff/156298-kak-tinkoff-pomeshal-grabitelyam-vyvesti-dengi-so-scheta-istoriya-s-pohishchennym-franchayzi-dodo-piccy?comment=2055549
Честно говоря ты несёшь муть. В статье расписали про целый набор верефикаций которые в итоге спасли от потери денег, а ты все со своим отпечатком. Раз уж на то пошло - отпечаток самая фиговая защита. Не обязательно очнуться в Латвии с мешком на голове чтоб это понять. Достаточно светануть счётом в баре и дойти до первой тёмной подворотни/ уснуть в такси или с первой встречной мадам / оказаться в любой рандомной ситуации где всего лишь по опечатку можно получить доспуп к счетам и вывести деньги на условного бомжа сифона которому за пузырь открыли 10 дебетовок. С последнего спроса никакого даже если найти, а деньги будут сняты в первые 10 минут в ближайшем банкомате малоопознаваемыми лицами в кепках на носу.
Код к приложению хотя-бы взламывать надо, чем никто из выше описанных примеров заниматься не станет.