Как мы защищаем абонентов от телефонных мошенников и спама
Всем привет! Я Александр Фадеев, руководитель проектов по безопасности мобильного оператора «Тинькофф Мобайл». Наверняка вы периодически получаете звонки от мошенников, которые прикидываются специалистами банка. Или надоедливые звонки и СМС с предложениями сменить интернет-провайдера, стать клиентом стоматологии или купить квартиру. Телефонные операторы постоянно ищут способы защитить абонентов от злоумышленников, которые пытаются украсть деньги, и спамеров, и сегодня я расскажу, как это делаем мы.
Это вторая статья из цикла об инструментах для защиты клиентов Тинькофф от злоумышленников. О том, какие это инструменты, вы можете узнать из вводной статьи.
Защита во время активного звонка
Чаще всего клиенты банков теряют деньги именно из-за телефонного мошенничества с применением методов социнженерии. Проанализировав ситуацию, мы поняли, что многие жертвы злоумышленников переводят им деньги прямо во время телефонного разговора.
Это неудивительно: мошенники умеют удерживать внимание, манипулировать и запугивать людей. Они просят перевести деньги на «безопасный» счет якобы для спасения средств, сказать код от карты, сходить к банкомату, взять кредит и так далее. И разумеется, все это якобы нужно сделать срочно.
Когда клиент совершает любую операцию, банк ее анализирует. Некоторые операции система определяет как нехарактерные — и приостанавливает, чтобы защитить клиента. Например, операция может считаться подозрительной, если человек переводит большую сумму кому-то, с кем раньше не взаимодействовал. А если клиент во время совершения подозрительной операции еще и говорит с кем-то по телефону, наши подозрения усиливаются.
Тинькофф Банк и мобильный оператор «Тинькофф Мобайл» связаны единой экосистемой, внутри которой работает множество инструментов для защиты клиентов. Когда речь идет о телефонном мошенничестве, эти инструменты действуют в связке.
На стороне банка есть комплекс систем выявления мошенничества, у Мобайла — тоже. Банк анализирует информацию о том, какую сумму переводит клиент, кому, в какое время суток и так далее. Мобайл — техническую информацию о звонках и сообщениях. Все это нужно, чтобы и банк, и оператор в любой момент могли защитить клиента и решить его вопрос, имея все необходимые данные.
Для этого мы используем IRIS — антифрод-платформу, которая анализирует информацию и в онлайн-режиме принимает решение по поводу операции. Она может запросить информацию еще в одной системе — FUSION. Это элемент биллинга, который смотрит на то, есть ли у клиента средства на счете, какой у него пакет услуг, сколько минут осталось и так далее. Он принимает решение, может ли клиент начать звонок. Именно FUSION знает, разговаривает ли сейчас абонент по телефону и если да, то с кем.
Если операция кажется банку подозрительной, а FUSION в довесок к этому сообщает, что клиент с кем-то говорит, банк может заблокировать или приостановить операцию. А в крайних случаях еще и прервать звонок, если клиент подключил такую опцию. Все это происходит за миллисекунды.
После этого сотрудник банка звонит клиенту и говорит, что операцию посчитали подозрительной. Клиент осознает, что говорил с мошенниками, и деньги остаются в безопасности.
На стороне банка есть технические решения, позволяющие защищать клиентов, которые пользуются услугами других мобильных операторов. Но защищать тех, кто пользуется Тинькофф Мобайлом, мы можем эффективнее: у нас попросту больше данных о наших абонентах. Кроме того, мы следим за тенденциями и можем гибко и быстро доработать наши инструменты защиты, когда мошенники придумывают что-то новое.
Защита от спама в СМС
У нас есть трафик СМС и техническая информация о сообщениях: кто их прислал, по какому каналу. Каждое СМС проходит через десятки фильтров в IRIS — система может строить различные агрегаты в режиме реального времени. Простой пример: если мы видим, что с какого-то номера идет множество СМС разным получателям, помечаем это как спам.
Еще внутри IRIS есть программно-аппаратный модуль с самообучающимся искусственным интеллектом, который проводит анализ и вычисляет сообщения, содержащие признаки спама. Признаки СМС-спама автоматически генерируются внутри искусственного интеллекта на базе сообщений, ранее размеченных как спам.
Если система распознала спам в СМС, сообщение просто не дойдет до абонента. Это нужно в первую очередь для того, чтобы защитить наших клиентов от ненужных сообщений. Но если абонент Тинькофф Мобайла сам рассылает спам, его мы тоже заблокируем.
С рассылками от бизнеса все несколько сложнее. На уровне законодательства есть правило: если бизнес хочет провести рекламную рассылку, это нужно делать через отдельный платный канал с помощью специального агрегатора. Нельзя просто накупить сим-карт и рассылать с них сообщения.
Но некоторые бизнесы пытаются обойти эти правила, чтобы сэкономить. В платном канале есть три группы СМС:
Рекламные. Пример: «С 1 марта проводим акцию, скидка 50% на все товары».
Транзакционные. Пример: «Вы совершили покупку на 100 ₽, из них 10% внесли бонусами, осталось 200 бонусов».
Сервисные. Пример: «Ваш код для регистрации на сайте — 1234, никому его не сообщайте».
Как оператор мы зарабатываем только на рекламных СМС. Некоторые бизнесы пытаются сэкономить и превратить сервисные СМС в рекламные. Например, рассылают такие сообщения: «Спасибо за покупку, остаток на бонусной карте — 1500 баллов. У нас проходит акция…». В этом случае мы должны решать, блокировать ли такие СМС. Но в таком случае клиент не получит сообщение, которого ждет. Зачастую мы все-таки доставляем СМС, теряя на этом деньги, но если спама слишком много — блокируем его.
Интересный случай: один крупный производитель техники ради экономии закупает множество симок и рассылает с них множество рекламных сообщений клиентам. Ирония в том, что из-за технических особенностей такие объемы рассылок через сим-карты невозможно сделать хорошо. В результате сообщения попросту не доходят до получателей. А клиенты думают, что это мы блокируем СМС, и жалуются в нашу поддержку. Конечно же, лучше не делать как эта компания — хотя бы из уважения к своим покупателям.
Защита от спам-звонков
Есть два типа вредного голосового трафика:
DDoS-звонки. Клиенту начинает поступать большое количество бесполезных звонков.
Реклама. Клиентам звонят с навязчивыми предложениями воспользоваться услугами стоматологии, купить квартиру и так далее. Такой трафик мы тоже отслеживаем и блокируем. Также существуют дозвоны: это когда человеку звонят и сбрасывают, чтобы он перезвонил и услышал рекламу. Такие компании пытаются рекламировать себя за счет своих же потенциальных клиентов. Это жутко раздражает, и мы боремся с подобным трафиком. Во-первых, отслеживаем номера, с которых поступают такие звонки, и блокируем их. Во-вторых, ловим спамеров через Нейрощит — нашу технологию для защиты абонентов. В сутки мы отлавливаем около миллиона звонков.
Я уже рассказал, что бизнес может легально рассылать СМС с рекламой по платным каналам, если абонент дал на это согласие. Со звонками все работает иначе: никаких специальных каналов для них нет, это обычный трафик. Поэтому мы сами определяем, как осуществлять пропуск звонков. Мы ориентируемся на разные признаки. Например, мы знаем официальные номера банков и понимаем, что такие звонки важны для наших клиентов, они проходят свободно.
Кроме того, если мы видим, что номер городской, мы относимся к нему лояльнее: скорее всего, это компания, которая обзванивает клиентов. Также мы обращаем внимание на жалобы: если кто-то уже жаловался на номер, мы с большей вероятностью применим фильтрацию и сообщим об этом абоненту, а тот уже сам решит, что делать дальше. Даже если это номер компании, а не физлица. У нас есть определитель номера, и мы используем обратную связь оттуда, чтобы качественно помогать нашим абонентам и понимать, рекламный трафик с этого номера или нет, нужен он абоненту или нет.
Детектирование подмены номера
Подмена номеров — серьезная проблема для операторов и абонентов. Есть три основных сценария ее использования:
Мошенник подставляет номер абонента и звонит в банк якобы как клиент этого банка. Если у него помимо номера есть паспортные данные человека, а в банке не слишком строгая процедура идентификации, мошенник может ее обойти. Но это не про Тинькофф :)
Мошенники меняют свой номер на номер банка и звонят людям, представляясь банковскими сотрудниками. Знакомый номер усыпляет бдительность абонента, и он может раскрыть важную информацию злоумышленникам.
Мошенники используют номер обычного человека, чтобы звонить другим людям и разными способами пытаться украсть деньги.
Мобильный оператор не может детектировать подмену номера на уровне сети: это технически невозможно. Оператор почти всегда видит этот звонок так же, как его получатель. Но мы уже научились определять подмену номеров Тинькофф. Если нашему клиенту звонят мошенники, которые прикинулись сотрудниками Тинькофф с помощью подмены номера, мы оперативно узнаем об этом с помощью экосистемной технологии проверки подмены номеров Тинькофф. Если видна подмена, мы не пропускаем звонок клиенту.
Это работает и когда абонент звонит в банк. Мы проверяем, правда ли он это делает, или кто-то пытается подставить номер нашего клиента и пройти идентификацию.
В скором времени это начнет работать и с другими мобильными операторами. Мы начнем сверяться с операторами из «большой четверки» и быстро узнавать, действительно ли их абоненты звонят нашим, или кто-то подменил номер.
Почему спамеров и мошенников до сих пор не победили на 100%
Почему же абонентам все равно звонят и пишут спамеры? Есть две причины.
Во-первых, чтобы блокировать номер спамеров или сообщения и звонки от них, нам нужен повод. Только после того как спам уже достиг части абонентов и на номер пожаловались, мы определяем его как спамерский. Во-вторых, спамеры и мошенники довольно хитры. Они знают, что операторы борются с ними, и постоянно ищут новые способы обойти правила. Иногда они обгоняют нас, иногда мы их. Мы не сдаемся и постоянно улучшаем наши методы и системы, внедряем новые технологии борьбы с мошенничеством и стараемся, чтобы наши клиенты всегда были в безопасности и как можно реже сталкивались со спамом и мошенниками.
Это была вторая статья из серии о защите абонентов Тинькофф Мобайла. А в следующей поговорим о том, как мы защищаем от мошенников при помощи сверки голоса и фрод-мониторинга.
