Антифрод-система — защита от мошенничества в банках и МФО

Что такое антифрод-система и как она работает

Антифрод-система — это программный комплекс, который анализирует финансовые и нефинансовые операции и оценивает их на предмет мошенничества. Само слово происходит от английского anti-fraud — «борьба с мошенничеством». В русскоязычных источниках также встречаются варианты написания «антифрауд» и «анти-фрод», но все они обозначают одно и то же.

Часто рядом с термином «антифрод» используется понятие фрод-мониторинг. Разница простая: фрод-мониторинг — это процесс наблюдения и контроля подозрительных операций, а антифрод — комплекс мер по их предотвращению. На практике эти два понятия неразрывны и подразумевают одну и ту же систему защиты.

Антифрод оценивает не только переводы и платежи по картам. Под его проверку попадают любые финансовые операции: действия в дистанционном банковском обслуживании, операции с бонусами и баллами лояльности, страховые случаи и выплаты. Например, попытка обналичить накопленные мили или вывести бонусы на чужой счёт тоже фиксируется антифрод-системой.

В основе работы любого антифрода — наборы правил, фильтров и списков, по которым проверяется каждая операция. Главная цель системы — максимально быстро и с высокой вероятностью распознать мошенника, не мешая при этом легитимным действиям обычного клиента.

Кому нужна антифрод-система

Антифрод-система нужна всем организациям, которые работают с деньгами и персональными данными клиентов. К ним относятся:

  • банки и микрофинансовые организации;

  • платёжные системы и сервисы интернет-эквайринга;

  • интернет-магазины и маркетплейсы;

  • страховые компании;

  • рекламные платформы и программы лояльности.

Для банковской сферы антифрод критичен особенно. Банки и платёжные системы работают с деньгами клиентов и являются главной целью мошенников. Любой доступ к чужому аккаунту в онлайн-банке — это фактически доступ к чужим деньгам. Поэтому именно здесь система защиты должна быть максимально эффективной.

В России антифрод-система для банка — не рекомендация, а обязательное требование. Банк России последовательно ужесточает нормативные требования к защите платёжных систем, поэтому использование антифрод-комплексов стало для финансовых организаций обязательным. Антифрод также применяется в национальной платёжной системе для обеспечения общей кибербезопасности и защиты персональных данных пользователей.

Виды антифрод-систем

Антифрод-системы делятся на три основных вида по типу анализируемых данных: транзакционные, сессионные и поведенческие. Каждый тип закрывает свой слой угроз, и в банках обычно используются все три одновременно — это и есть многоуровневая защита от мошеннических действий.

Транзакционный антифрод

Транзакционный антифрод анализирует сами финансовые операции — переводы, платежи, снятие наличных. Это самый базовый и распространённый тип системы. Он работает с данными о банковских транзакциях, которые хранятся и обрабатываются банком, страховой компанией или интернет-площадкой.

При проверке транзакционный антифрод оценивает множество параметров одной операции:

  • сумма и валюта перевода;

  • получатель и его история;

  • время и периодичность операций клиента;

  • страна выпуска карты и IP-адрес плательщика;

  • соответствие операции типичному поведению клиента.

Транзакционный антифрод работает в двух режимах: в реальном времени — оценивая каждую операцию на лету, и постфактум — анализируя историю в поиске сложных мошеннических схем. Например, при попытке перевода крупной суммы на новый счёт в нетипичное время система остановит операцию для дополнительной проверки. Ключевое ограничение этого типа — он видит только саму операцию, но не то, как мошенник её подготовил.

Сессионный антифрод

Сессионный антифрод анализирует пользовательский сеанс — вход в личный кабинет банка и поведение в приложении до начала операции. Он отвечает на вопрос: тот ли человек сидит за устройством, кем себя называет.

Сессионный антифрод собирает цифровой отпечаток устройства (fingerprint): модель, операционную систему, разрешение экрана, шрифты, характеристики браузера. К этим данным добавляются параметры подключения — IP-адрес, провайдер, геолокация. Например, вход в онлайн-банк с нового устройства из другой страны — повод для дополнительной аутентификации.

Главное отличие сессионного антифрода — он срабатывает до совершения операции. Это позволяет вычислить захват аккаунта или подозрительную сессию ещё на этапе входа в дистанционное банковское обслуживание, а не когда мошенник уже инициирует перевод.

Поведенческий антифрод

Поведенческий антифрод анализирует, как именно пользователь взаимодействует с интерфейсом банка. В его основе — поведенческая биометрия: уникальный «почерк» каждого человека в работе с устройством. Сюда входят скорость набора текста, траектория движения мыши, ритм свайпов и нажатий на мобильном устройстве.

Система строит модель типичного поведения для каждого клиента. Отклонения от модели считаются аномалией. Подозрение могут вызвать:

  • автоматическое заполнение полей (характерно для ботов);

  • мгновенный скролл страницы;

  • переход в нетипичные для клиента разделы — например, в настройки лимитов операций;

  • признаки того, что клиент действует под диктовку (длинные паузы, нехарактерные паттерны).

Поведенческий антифрод особенно эффективен против социальной инженерии — когда жертва сама диктует мошеннику данные или вводит их под давлением злоумышленника по телефону.

Как работает антифрод-система

Антифрод-система работает в три этапа: сбор данных, анализ и расчёт риск-скора, принятие решения. Весь процесс занимает миллисекунды и проходит до того, как клиент увидит результат своей операции.

На этапе сбора система получает данные о платеже (сумма, получатель, валюта), о сессии и устройстве (IP, фингерпринт, геолокация), историю операций клиента и информацию из внешних источников. К внешним источникам относятся база данных Банка России о мошеннических операциях, антифрод-системы других банков, информация от операторов связи о подозрительной телефонной активности.

На этапе анализа применяются сигнатурные правила, скоринговые модели и алгоритмы машинного обучения. Каждой операции присваивается риск-скор — числовая оценка вероятности мошенничества. По результатам анализа операция получает одну из трёх меток:

Метка

Что означает

Действие банка

Зелёная

Операция чистая, клиент узнан

Автоматическое одобрение без 3D-Secure

Жёлтая

Пограничный риск, нужна проверка

Запрос дополнительной аутентификации

Красная

Высокий риск мошенничества

Блокировка или ручная проверка аналитиком

На этапе принятия решения система пропускает операцию, запрашивает дополнительную аутентификацию (3D-Secure, push-уведомление, звонок аналитика) или блокирует её. Финальное решение в банковских платежах принимает банк-эмитент карты на основе данных, которые предоставляет антифрод. В сложных случаях операция передаётся аналитику центра противодействия мошенничеству для ручной оценки.

Технологии антифрода: правила, скоринг и машинное обучение

В основе работы антифрод-системы лежат три уровня технологий: сигнатурные правила, скоринговые модели и машинное обучение. Они работают в связке и закрывают разные классы угроз.

Сигнатурные правила — это готовые наборы условий «если…то…». Например: если перевод превышает заданный лимит и устройство новое, то операция помечается как подозрительная. Современные антифрод-системы содержат сотни таких правил, основанных на заранее определённой логике. Правила хорошо работают против известных схем мошенничества, но требуют постоянного обновления, поскольку фродстеры быстро находят способы их обойти.

Скоринговая модель присваивает каждой операции числовую оценку риска и учитывает десятки и даже сотни параметров одновременно. Скоринг агрегирует все известные индикаторы — от истории клиента до чистоты IP-адреса — в одну величину, по которой удобно принимать автоматическое решение.

Машинное обучение — самый современный уровень защиты. ML-модели обучаются на обучающих выборках: реальных мошеннических и легитимных операциях из прошлого. Алгоритмы находят скрытые закономерности, которые невозможно описать готовыми правилами вручную. Например, у Сбербанка работают модели с более чем 200 итоговыми признаками, построенными из 50 базовых критериев. Машинное обучение позволяет антифрод-системе автоматически адаптироваться к новым схемам мошенничества — без перенастройки правил инженерами. Искусственный интеллект и ML постепенно становятся стандартом отрасли.

От каких видов мошенничества может защитить антифрод

Антифрод-система рассчитана на обнаружение конкретных схем фрода — у каждой свой сценарий и набор признаков. Основные виды мошенничества в банковской сфере и реакция на них:

  • Кража данных карты (CNP-фрод) — оплата украденными данными в интернете без физической карты. Антифрод сверяет страну выпуска карты с IP-адресом покупателя, проверяет историю покупок, может потребовать подтверждение через 3D-Secure.

  • Скимминг — компрометация карты в банкомате или платёжном терминале. Антифрод фиксирует подозрительную географию и серии операций сразу после посещения подозрительного устройства.

  • Захват аккаунта (Account Takeover) — мошенник получает доступ к личному кабинету клиента. Сессионный и поведенческий антифрод видят вход с нового устройства и резкую смену поведенческого паттерна.

  • Фишинг — выманивание логинов, паролей и кодов через поддельные сайты, письма и сообщения в мессенджерах. Антифрод реагирует на нехарактерные операции, которые часто следуют за фишинговой атакой.

  • Социальная инженерия — мошенник под видом сотрудника банка или госоргана убеждает клиента самостоятельно перевести деньги. Это самый сложный случай: технически операция выглядит легитимной. Здесь срабатывает поведенческая биометрия и анализ звонков перед переводом.

  • Дропы и дропперы — посредники, на счета которых выводят похищенные деньги. Антифрод сверяет получателя с базами скомпрометированных счетов и блокирует переводы на известных дропперов.

Признаки подозрительных операций: 161-ФЗ

Работа банковских антифрод-систем в России регулируется федеральным законом 161-ФЗ «О национальной платёжной системе». Это основной нормативный акт, который обязывает банки выявлять и приостанавливать подозрительные переводы. Закон 369-ФЗ дополняет 161-ФЗ и описывает действия банков при выявлении операций, совершённых без согласия клиента.

Банк России последовательно расширяет перечень признаков мошеннических операций. С 1 января 2026 года действует 12 признаков (приказ Банка России от 05.11.2025 № ОД-2506) вместо прежних шести. При выявлении хотя бы одного признака банк обязан приостановить перевод на 48 часов — это так называемый «период охлаждения».

Актуальные 12 признаков подозрительных операций включают:

  1. Реквизиты получателя есть в базе данных Банка России о мошеннических операциях;

  2. Перевод с устройства, ранее использовавшегося злоумышленниками;

  3. Получатель в собственной базе банка о подозрительных переводах;

  4. Нетипичная для клиента операция по сумме, периодичности или времени;

  5. В отношении получателя возбуждено уголовное дело за мошенничество;

  6. Информация от операторов связи о риске мошенничества;

  7. Подозрительные звонки и SMS за 6 часов до перевода;

  8. Смена номера телефона на «Госуслугах» за 2 суток до операции;

  9. Признаки взлома устройства клиента (вирусы, смена ПО);

  10. Бесконтактная NFC-операция в банкомате с превышением нормы времени обмена;

  11. Сигнал от Национальной системы платёжных карт о риске мошенничества;

  12. Цепочка переводов через СБП: сначала самому себе свыше 200 тыс. ₽, затем третьему лицу в течение 24 часов.

База данных Банка России содержит реквизиты лиц, связанных с мошеннической или нелегальной финансовой деятельностью. Попадание в эту базу возможно тремя путями: по жалобам пострадавших, по информации от МВД и по инициативе банка-отправителя на основе его антифрод-системы. Если реквизиты клиента оказались в базе, его карты и доступ в онлайн-банк блокируются до исключения из списка.

Для исключения из базы данных ЦБ нужно подать заявление через банк или напрямую в ЦБ. При отказе решение можно обжаловать в судебном порядке. Важное следствие 161-ФЗ для клиентов: если банк не заблокировал перевод на счёт из базы ЦБ, он обязан вернуть клиенту похищенные деньги в течение 30 дней (60 дней для трансграничных переводов).

Как клиент банка может усилить защиту

Антифрод-система — это половина защиты от мошенников, вторая половина зависит от самого клиента. Никакая технология не спасёт, если человек сам сообщил коды из SMS постороннему по телефону или перевёл деньги под давлением.

Базовые правила цифровой безопасности для клиента банка:

  • использовать сложные уникальные пароли и регулярно их менять;

  • подключить двухфакторную аутентификацию в онлайн-банке и приложении;

  • никому не сообщать коды из SMS, PIN-код и CVV/CVC карты;

  • не переходить по подозрительным ссылкам в письмах, мессенджерах и социальных сетях;

  • своевременно обновлять банковские приложения и операционную систему смартфона;

  • включить push-уведомления обо всех операциях по счёту;

  • регулярно проверять историю операций в личном кабинете;

  • не отвечать на звонки и сообщения от незнакомцев, представляющихся сотрудниками банка, полиции, ЦБ или госорганов;

  • немедленно сообщать в банк о любой подозрительной активности по счёту.

ЕвроКредит.руФинансовый словарьАнтифрод