Антифрод-система "Смсфинанс" выявила группу мошенников, которые взяли в российских МФО более 100 млн рублей

Антифрод-система "Смсфинанс" выя
С января 2019 года организованная группа технически подкованных мошенников обманным путем набрала кредитов в российских микрофинансовых организациях на сумму, которая по оценкам СМСФинанс составляет более 100 млн руб. Первый раз в истории, в состав группы входили специалисты, настолько  знакомые с принципами работы рисковых систем МФО. О том, как компания СМСФинанс смогла обнаружить злоумышленников и защититься от них рассказывает генеральный директор компании Иван Меринов.
 
В январе 2019 года мы зафиксировали несколько попыток онлайн - мошенничества (фрода), которые были выявлены нашей антифрод-системой. Вкупе с проверкой баз недействительных паспортов и черных списоков, антифрод-система является основным рубежом защиты против возможных злоумышленников. Более того, это ключевая ИТ-система для МФО, критичная для ведения бизнеса, создание которой требует глубоких знаний в области рисков, финансов, статистики, ИТ и других.

Она использует множество правил, по которым можно выявить подозрительные заявки. Создание таких правил основано на больших данных и выявлении закономерностей, которые могут свидетельствовать о недобросовестности заявителя. Когда слишком многое указывает на возможное мошенничество, в кредите такому заемщику отказывают. Зафиксированный уровень фрода у нас составляет всего 0,76% – это самый низкий уровень в стране.

Рассмотрев эти кейсы, мы изначально не обнаружили отличий от обычных случаев разового, «дилетантского» фрода, с которым компания регулярно сталкивается. Мы выявили паттерн поведения этих мошенников и оказалось, что из 90 целенаправленных попыток им все же удалось взять 5 займов.

Проанализировав действия мошенников, мы создали специальный антифрод-конструктор, включив в него новые правила для защиты от именно таких атак. Мы определили карты, на которые выводились деньги и выстроили необходимую защиту. Атаки не прекратились, но выдача кредитов по таким заявкам уже не производилась. Однако этим дело не закончилось

В некоторых следующих атаках мы нашли определенное сходство с предыдущими и поняли, что против нас действуют целенаправленно и системно. Мошенники в свою очередь догадались, что мы усовершенствовали свою защиту и изменили схему, начав выводить деньги не на карты, а на электронные кошельки. Часть из них опять была удачной, и по ним были произведены несколько десяток выдач. Несколько месяцев шла борьба – мошенники придумывали новые способы атак, а мы – как защититься от них. Они действовали как через анкету на сайте и мобильное приложение, а также активно применяли виртуальные машины, которые выдавали себя за смартфоны, и другие ухищрения.

Тогда мы окончательно поняли, что против нас действует группа профессиональных мошенников, хорошо знакомых с ИТ-технологиями и особенностями работы МФО. С большой долей вероятности готов предположить, что среди них были разработчики ПО, тестировщики и риск-аналитики.

В итоге мы установили связь между кошельками, которые заводились мошенниками для получения займов, и постепенно большую часть из них. Всего мы обнаружили несколько тысяч зарегистрированных фродстерских кошельков.

Мы вычислили каналы обналичивания денег и даже где и на что их тратили. Мы определили, что это группа из 5-7 человек, находившихся в Лондоне, Москве, Санкт-Петербурге и Новосибирске. Через социальные сети определили круг общения. Оказалось, что один из мошенников уже находится в розыске.

Следующим этапом мошенники начали имитировать поведение обычных клиентов и гасить часть займов. С одной стороны, это было сделано, чтобы отвлечь внимание, с другой – повысить возможную сумму последующего займа. Кстати, похожи образом работают фродстеры на Украине и в Казахстане. Большинство МФО при своевременном погашении займа, в следующий раз предоставляет заемщику возможность взять в долг больше.

Мы стали выяснять, откуда мошенники взяли базу, содержащую сведения необходимые для взятия микрокредитов: ФИО, паспорт, СНИЛС, номер телефона. Наша основная версия – 4-6 тыс реальных записей утекли из какого-то небольшого банка. Хочу отметить, что приобретение персональных данных третьих лиц возможно не только таким образом или в Darknet, но и на некоторых полностью легальных ресурсах.

Затем мошенники передали эту базу другому банку. Какой-то коррумпированный оператор банка внес эти данные в новую базу с новыми номерами телефонов. Причем для этого злоумышленникам не надо физически покупать SIM-карты, достаточно приобрести пул номеров и использовать виртуальную АТС. Таким образом, мошенники получили тысячи аккаунтов для обмана МФО.

Всю эту информацию мы предоставили в полицию. По нашим оценкам, мошенники успели набрать кредитов в различных МФО на сумму более 100 млн руб. Мы обновили свою антифрод-систему и перестали выдавать им займы. По нашим данным, они снизили активность, но продолжают подавать заявки в другие МФО, ежемесячно получая несколько миллионов рублей. Мы ждем нового всплеска их активности через несколько месяцев, от чего убытки рынка возрастут многократно.