Как «Тинькофф» помешал грабителям вывести деньги со счета: история с похищенным франчайзи «Додо пиццы»
Недавно в СМИ попала история похищения крупнейшего партнера-франчайзи сети ресторанов «Додо Пицца». Грабители похитили его и несколько дней держали в загородном доме в Латвии, вынуждая переводить деньги на их счета. Несмотря на то что клиент подтвердил платежи голосом, антифрод-система и сотрудники отдела платежных рисков распознали мошенников. Так они остановили переводы и сохранили большую часть денег на счете в Тинькофф.
Рассказываем, как это было и почему у Тинькофф получилось спасти большую часть денег клиента. Конечно, это лишь некоторые детали, основную часть антифрод-алгоритмов мы раскрыть не можем в целях безопасности наших клиентов.
Что случилось
Почти год назад франчайзи сети ресторанов «Додо Пицца» Владимир Горецкий стал жертвой похитителей.
Он приехал для встречи с якобы инвестором, но когда оказался на вилле в Юрмале, ему в лицо брызнули перцовым баллончиком, связали и удерживали пять дней. Все это время его заставляли переводить деньги со своих счетов на счета злоумышленников. Когда стало понятно, что больше вывести не удастся, его отпустили. Владимир смог снять с головы мешок и добраться до дома в России.
Широкой аудитории о происшествии стало известно только недавно, после того как органы задержали одного из преступников. Владимир рассказал свою историю, а мы показываем, как все происходило со стороны Тинькофф.
26 сентября, 10:18. Клиент в нетипичной локации
Что случилось. Предприниматель расплатился картой в российском аэропорту и через время вошел в приложение Тинькофф из Латвии.
Что мы сделали. Для клиента это нетипичная локация, поэтому сработало предупреждение антифрод-системы: обратить внимание на остальные траты по счету.
Как это работает. Антифрод-система — это набор алгоритмов, который мы усилили машинным обучением. Система собирает всю информацию о действиях клиента, его платежных привычках. Например, что он покупает, когда, у кого, каким способом — по карте или онлайн, как заходит в приложение — по отпечатку пальца или ПИН-коду, с какого устройства, кому обычно переводит и многое другое.
Но и это не все: нейросеть может то, чего не может человек. Она анализирует гигантские объемы информации, отдельные действия одного клиента и сравнивает их с действиями других клиентов. Например, если в одном магазине растет количество платежей из-за распродажи, для человека это выглядит подозрительно. Но система учитывает исторические колебания, самостоятельно определяет степень риска и тревогу поднимать не будет.
26 сентября, 16:00. Выводит деньги с брокерского счета
Что случилось. Клиент вывел деньги с брокерского счета на свой счет в Тинькофф.
Что мы сделали. Зафиксировали как подозрительную операцию.
Как это работает. Вроде бы операция обычная: если какие-то бумаги выросли в цене, возможно, есть смысл их продать. Но система уже нашла одну аномалию, поэтому вывод денег выглядел подозрительно. При еще одном подозрительном действии система может приостановить переводы до проверки.
26 сентября, 19:00. Переводит деньги на чужую карту
Что случилось. Предприниматель перевел деньги на карту другого банка, причем раньше эта карта не участвовала в операциях по счету.
Что мы сделали. Зафиксировали как подозрительную операцию.
Как это работает. Сам по себе перевод не вызывает вопросов, но вместе с остальными факторами все выглядит подозрительно: вылет в Латвию, вывод денег с брокерского счета, перевод на новый для себя счет в другом банке, как следствие — предупреждение от антифрод-системы.
26 сентября, 19:26. Клиент подтверждает, что это он проводит платежи и все в порядке
Что случилось. Клиенту позвонил сотрудник Тинькофф и стал задавать вопросы, чтобы убедиться, что деньги переводит именно он и делает это осознанно.
Что мы сделали. На все вопросы предприниматель ответил спокойно, без ошибок и попросил провести переводы. Поэтому мы разблокировали операции.
Как это работает. Для проверки есть опросник: там стандартные вопросы, например серия и номер паспорта, адрес регистрации, — ответы должен знать только клиент. Есть вопросы, созданные специально под клиента или возможную нестандартную ситуацию. Не во всех банках есть нетиповые вопросы, поэтому мошенникам проще пройти проверку — достаточно назвать кодовое слово.
Мы проверяем, совпадает ли голос в трубке с голосом клиента.
Еще мы проверяем, совпадает ли голос в трубке с голосом клиента, который мы записали ранее. Такая запись не учитывает конкретные формулировки и слова, а характеризует голос в целом. Если голоса не совпадают, мы начинаем более глубокую проверку.
Внезапная блокировка и вопросы менеджера иногда раздражают клиентов, но это необходимая защита — именно так мы подтверждаем, что платежи проводит наш клиент и делает это осознанно. 70% успешного мошенничества с картами и счетами — это результат социальной инженерии: когда злоумышленник обманом получает данные карты или убеждает клиента перевести деньги.
У мошенников есть хитрость. Они знают, что банк может перезвонить и задать вопросы клиенту. Поэтому они так и говорят: «Вот я из банка, а вам будут звонить мошенники. Не слушайте их». И когда действительно звонят из банка, клиенты могут отказаться вести диалог или говорят неправду. Мол, я ни с кем не общался, сам решил перевести деньги.
Мы знаем, что такие ситуации бывают, поэтому система отмечает сам факт проверки. И если будут еще подозрительные операции, система может еще раз заблокировать переводы.
Фрагмент памятки для сотрудников отдела рисков
Часть памятки для сотрудников, которые обзванивают клиентов при подозрительных платежах
26 сентября, 21:22—02:51. Клиент часто заходит в приложение и нестандартным способом
Что случилось. Клиент 12 раз зашел в приложение.
Что мы сделали. Продолжаем фиксировать подозрительную работу со счетом. Само по себе количество входов в приложение ничего не значит, но система обратила внимание и на другие факторы, например, что клиент изменил формат использования мобильного банка. Все вместе выглядит подозрительно.
Как это работает. Система оценивает поведение клиента по тысячам критериев. И если один выбивается, это ничего не значит. Поэтому она всегда анализирует совокупность факторов.
Один из критериев оценки — это местоположение. У нас есть несколько способов его определить. Например, по геометкам, если клиент дал доступ приложению Тинькофф к геоданным своего устройства. Они помогают понять, что деньги переводит не клиент или, наоборот, это наш клиент, все в порядке и не надо беспокоить его звонком. Еще один способ — по коду операций, так мы можем узнать, например, была ли покупка в Китае или Латвии.
Дополнительный критерий оценки — как клиент работает с банком. Система отслеживает все аномалии: например, клиент использовал приложение одним способом, а теперь поменял привычки. Мы видим нетипичное поведение и отмечаем его.
Доступ к геометкам для антифрод-системы Тинькофф дается одной кнопкой, таким образом вы помогаете сотрудникам банка обезопасить ваши деньги
27 сентября, 03:01—03:41. Много и часто переводит на чужую карту
Что случилось. В три утра клиент начал переводить деньги: небольшими суммами, но часто — от 8000 до 100 000 ₽. Все переводы — на чужую карту, хотя раньше этому человеку он не платил.
Что мы сделали. Система подтянула данные за день и увидела, что уже накопилось слишком много подозрительных факторов, поэтому приостановила переводы. Они остановились на этапе подтверждения на время, пока сотрудник банка не свяжется с клиентом и не подтвердит платеж.
Как это работает. Система знает, что такие частые переводы — один из признаков мошенничества. Так обычно тестируют лимиты и работу безопасности банка: если пропускает, следующий платеж можно сделать в несколько раз больше. Например, не 50 000 ₽, а 300 000 ₽ за раз.
27 сентября, 03:42. Клиент отказывается от видеозвонка
Что случилось. Система дала сигнал, что с операциями неладное. Специалист отдела рисков получил его, просмотрел историю запросов и операций и решил позвонить клиенту, чтобы разобраться в ситуации.
Что мы сделали. Во время звонка специалист сначала задавал вопросы голосом, но заметил паузы: клиент будто бы задумывается, отключает микрофон и только потом отвечает.
Паузы были на секунду, но специалист знал, что в таких случаях клиенты отвечают быстро. На фоне он слышал подсказки.
Паузы были на секунду, но по опыту специалист знал, что клиенты в таких случаях отвечают быстро. На фоне он слышал подсказки.
Ответы формально были правильными, и факты звучали убедительно, но менеджер решил проверить еще раз. Тогда он попросил клиента принять видеозвонок и пообщаться так. После заминки клиент отказался: сначала под предлогом, что сейчас темно и все равно ничего не видно, а потом просто наотрез.
Специалист отдела рисков тут же отправил запрос на внутреннее расследование и сохранил блокировку: возможно, клиент переводил деньги под давлением.
Как это работает. У каждого специалиста есть инструкции на случай таких переговоров, но при этом от них можно отступать и импровизировать, чтобы аккуратно узнавать у клиента нужную информацию о нем самом и его операциях.
Со стороны специалиста это просто беседа, он общается без нажима, спокойным тоном, просто задает вопросы. При этом его задача — слушать не только сами слова, но еще интонацию и происходящее на фоне.
Специалист по рискам может запросить видеозвонок: он отправляет клиенту ссылку — в чат, по СМС или на почту, тот ее открывает и видит черный экран. Это делается, чтобы злоумышленники не вычислили сотрудников Тинькофф.
Во время видеозвонка специалист может задать вопросы, попросить показать помещение, руки, что за спиной.
Как пойдет разговор, определяет специалист по рискам. Он может задать пару вопросов, попросить показать остальное помещение, руки, что находится за спиной или в стороне. Вопросы могут быть о чем угодно.
Для такой работы менеджеры специально тренируются, и у них есть чек-лист, на что обращать внимание.
Клиент сохранил деньги на счете Тинькофф
Клиент при последних переводах почти потерял 273 000 ₽, но сотрудники отдела рисков Тинькофф вовремя приостановили платежи. Так они спасли клиенту 273 000 ₽ и остальные деньги на счете. После нашего звонка злоумышленники еще 22 раза заходили в приложение.
Для защиты клиентов мы используем разные технологии, например:
- Алгоритмы машинного обучения отслеживают нетипичные для клиента транзакции. Нейросеть постоянно обучается и видит связи, которые может не увидеть человек. Например, в один из анализов добавили факт смены ПИН-кода. Мы бы сами не стали включать такой критерий, потому что в том кейсе это очень редкий случай: у сценариев нет прямой зависимости, потому что это онлайн-покупки. Но нейросеть заметила связь и теперь на 5% четче отслеживает опасность.
- Технология цифрового отпечатка устройства — фингерпринт — идентифицирует устройство, с которым работает клиент, и определяет, часто ли он его использует или это в первый раз.
- Кросс-канальный событийный мониторинг учитывает активность клиентов во всех каналах: в мобильном приложении, чате, при оплате пластиковыми картами или при обращениях в колл-центр.
- Видеозвонки для проверки, нестандартные вопросы и умение слушать клиента помогают убедиться, что клиент по своей воле переводит деньги или что-то оплачивает.
Случай Владимира не типичный, потому что разбой с «мешком на голове» — это хлопотное дело для преступников. Гораздо чаще для финансового преступления этого и не требуется.
В 70% случаев успешного мошенничества злоумышленники используют социальную инженерию и психологические уловки. А в итоге клиенты сами переводят им деньги, передают данные карт, коды подтверждения или контрольные вопросы. И даже снимают наличные в банкоматах и кладут в «секретные ячейки».
Каждый год число таких случаев увеличивается. Только за первое полугодие 2020 количество звонков от мошенников выросло почти в 3 раза по сравнению с прошлым годом.
Мошенники становятся умнее, нахальнее, технологичнее, при этом наша антифрод-система постоянно развивается. Мы используем собственные разработки, натаскиваем сотрудников буквально чувствовать мошенничество и рассказываем клиентам, как его распознать. Благодаря этому количество атак, которые мы смогли остановить, растет.
Но когда клиент сам отдает злоумышленникам данные карты или подтверждает мошеннические платежи — это все равно что отдать ворам ключи от сейфа. Такие поступки приводят к финансовым потерям.
Сайт Тинькофф о безопасности: серия роликов на несколько минут, где рассказываем, как разводят современные мошенники и как не поддаваться на их уловки, чтобы не потерять деньги.
Было бы супер круто , если бы клиент "Отказываюсь на отрез от видео. Тут темно" , а сотрудник Тинькофф банка такой, "хорошо , тогда я вам позвоню по связи чтобы вы меня видели" , звонит , ему отвечают без видео, и он такой :
- значит смотрите сюда , ваша геопозиция в латвии мне известна , выблядки , наш клиент у вас. И местная полиция уже 7 минут в пути, а я с вами тут общаюсь чтобы вы точно не с!@#$%сь, но у вас еще есть время открыть счет в Тинькофф инвестиции и немного заработать денег перед тем , как правосудие вас настигнет"
Блин , тут можно было бы кино снимать :)))
Молодцы, Тинькофф!
красавчик))))))
Почему бы не ввести в список вопросов вопрос, на который можно ответить словом, которое будет означать, что человек в опасности? Хотя бы для крупных клиентов?
Стоп-слово?)))
Это может быть одним вариантов условного "кодового слова", но лишь одним уже не обойтись. Об этом, собственно, мы и говорим статье. Поэтому мы постоянно развиваем нашу антифрод-систему для всех клиентов, чтобы стараться всегда быть на шаг впереди.
уважаемый клиент вас грабят? хрюкните 2.5 раза
- пошел нахер
- все понял, карту блокирую
Преступники будут знать о наличии таких слов, ровно как и о наличии кодовых слов.