8 способов защитить свои деньги в банке

В последнее время на vc.ru участились описания случаев мошенничества, когда у клиентов банков уводят деньги, и почти всегда это связано с дистанционным обслуживанием. Еще 5 лет назад мы сделали сервис, который мог быть решить эту проблему хотя бы частично, поэтому пришлось вникнуть в тему и получилось извлечь определенные уроки. Расскажу эту историю и напишу рекомендации, как снизить риск потери своих денег.

Если не хотите читать длинную историю, можете сразу перейти к 8 способам из заголовка.

В 2017 году меня пригласили поучаствовать в проекте, который был нацелен на снижение банковского мошенничества, в роли сооснователя и руководителя маркетинга. Тогда, да и сейчас, банки полагались на мобильный номер клиента как идентификатор. Проблема в том, что мошенники могут делать с банковским счетом (почти) что угодно, если получат доступ к мобильному номеру и/или устройству клиента.

У нас была гипотеза, что можно снизить объемы мошенничества, если отслеживать различного рода «странности» («аномалии» по-дата-сайентистки), происходящие с SIM-картой и устройством пользователя.

Чуть ниже покажу, что это за странности, но сначала о том, как воруют деньги со счетов.

Общее место большого количества случаев — подмена личности, то есть когда мошенники выдают себя за клиента банка, от имени клиента совершают переводы, подтверждают операции и т.д.

Еще есть масса случаев, когда клиенты сами переводят деньги мошенникам, но это отдельная история — не буду ее сейчас касаться.

Подменить личность можно разными способами, но сейчас мы говорим о дистанционном обслуживании, и такая подмена становится возможной, когда:

Простыми словами, банк видит не вас — он видит ваш номер телефона (определяемый SIM-картой) и ваше устройство (телефон). По ним банк определяет, вы это или не вы; коммуникация с вами ведется по этим каналам, операции подтверждаются по ним же.

Таким образом, задача банка (в теории) — понять, действительно ли вы совершаете банковскую операцию или это делает мошенник, получивший доступ к вашим средствам идентификации, аутентификации и авторизации, которыми выступают логин/пароль, номер телефона, одноразовые коды из SMS и так далее.

Важная ремарка. Все мы знаем о случаях, которые стали известны общественности, но ничего не знаем о том, когда мошенничество было предотвращено. Так что не стоит думать, что в банках работают лентяи или те, кто не думает о защите ваших денег — еще как думают. По нашему опыту общения с ними, это идейные, крутые и умные ребята, которым приходится искать баланс между степенью защиты, удобством для клиентов и требованиями регулятора.

Но вернемся к фроду. Ниже привожу ситуации, связанные с финансовым мошенничеством и которые можно отлавливать. Если есть такое желание, конечно.

Все эти случаи мы и научились ловить с помощью сделанного нами сервиса. И не только их — всего анализируемых параметров более 100. Но лучше один раз увидеть, чем сто раз услышать, поэтому покажу видео, которое мы использовали в далеком 2017 для демонстрации работы сервиса потенциальным клиентам. Ролик наглядно показывает, какие ситуации представляют риск для клиентов банков и как их можно определить, чтобы уменьшить объемы мошенничества.

Нельзя сказать, что оценка указанных в ролике параметров нечто невообразимое — все они доступны банкам из собственных систем, от сотовых операторов и других поставщиков данных.

Особенность разработанного нами сервиса была в том, что в нем данные анализируются в совокупности, то есть на оценку риска мошенничества влияет не один параметр или их группа, а комбинация. Кроме того, модуль машинного обучения на основе обучающих выборок самостоятельно увеличивал точность работы модели.

Простыми словами, на старте участвует человек, который задает условия срабатывания «красных флагов», но по мере накопления данных сервис корректирует правила сам, постоянно повышая точность оценки риска мошенничества.

У нас не получилось сотрудничества с банками и поэтому мне сложно сказать, как именно они сейчас защищают клиентов от мошенничества при дистанционном обслуживании, но, судя по периодическим статьям даже здесь, на vc.ru, не все гладко.

Понятно, что используют антифрод системы, отслеживающие аномалии, но почему-то мы все равно часто слышим о случаях мошенничества, которые можно было предотвратить техническими средствами, позволяющими удостовериться:

Кроме банков, это можно использовать и в других отраслях, в частности, в электронной коммерции во всех ее проявлениях и в различного рода веб-сервисах, чтобы:

Я считаю, что мобильный номер — удобный идентификатор, но ужасно небезопасный. Если его продолжают использовать для идентификации и подтверждения операций, внимание к защите стоит повысить, причем как бизнесам, так и людям.

Спасение утопающих — дело рук самих утопающих. Если банки не всегда могут нас защитить, придется это делать самим.

Помним, что наша основная задача — защитить средства удаленного доступа к банковскому аккаунту. Это логины/пароли и все, что связано с номером телефона и самим телефоном. Про логины/пароли сказано уже миллион раз, и про это не буду повторяться, поговорим о телефоне.

От всех возможных ситуаций защититься не получится, но, сделав указанное выше, вы серьезно снизите риски потерять деньги. Если рекомендации вам кажутся очевидными, отлично, но проверьте родителей — сделано ли у них.

Ирония в том, что у меня у самого увели 150 000 рублей, перевыпустив сим-карту «по доверенности». Банк имел все возможности предотвратить тот случай, хотя бы обратив внимание на то, что я чудесным образом за секунды переместился из Санкт-Петербурга в Москву, при том, что одновременно сменились сим-карта и телефон. Банку это подозрительным не показалось, а деньги вернуть я не смог, ведь операция была подтверждена через код из SMS. Теперь защищаюсь сам.

Пожалуйста, дополняйте рекомендации в комментариях.

Ну и пара ссылок:

Signals — текущая версия описанного сервиса.

Канал в Телеграме (куда без него) — о практическом маркетинге и собственном предпринимательском опыте без новостей и рекламы.