5672
Вы наверное сталкивались с ситуацией когда банк заблокировал проведение платежа? Если не сталкивались, то в скором времени столкнетесь, потому что программисты описали достаточно много вариантов, когда платеж может иметь признаки мошенничества.
Давайте рассмотрим эти критерии на примере системы мгновенных платежей в соответствии с документом национального банка «Автоматизированная система межбанковских расчетов. Система мгновенных платежей. Версия 2.1. Порядок и правила проведения мероприятий по противодействию осуществлению мошеннических операций» от 16.12.2022 № 84-14/240
Подозрительное поведение пользователя:
- Запрос двух одноразовых паролей за определенное количество минут без неуспешного ввода первого из них
- Начало сессии в отсутствие события окончания предыдущей
- Вход в CДБО (система дистанционного банковского обслуживания) после отключения пользователя от сессии в связи с подключением с нового IP-адреса
- Множественные входы в СДБО от одного пользователя (определенное количество логинов за определенное количество минут)
- Множественные входы в СДБО от одного пользователя с определенное количество устройств
- Сессия после множественных неуспешных попыток ввода ОТР (определенное количество неверных вводов) в течение определенного количества часов
Подозрительное местоположение
- Вход в СДБО с нового IP-адреса (за последнее определенное количество месяцев)
- Вход в СДБО с IP-адреса из черного/серого списка
- Более двух разных Плательщиков произвели инициирование информационной транзакции c одного IP-адреса за последнее определенное количество минут
- Инициирование информационной транзакции, если сумма успешных мгновенных платежей с одного IP- адреса за последнее определенное количество минут превысила определенное количество белорусских рублей
- Вход в СДБО из города (за последнее определенное количество месяцев), отличающего от поведенческой аналитики Плательщика
- Вход в СДБО из мест, расстояние между которыми нельзя преодолеть быстрее, чем со скоростью более определенного количества км/ч
- Инициирование информационной транзакции, Бенефициар которой находится в городе, отличном от города Плательщика
Подозрительное устройство / окружение
- Вход в СДБО с нового устройства (за определенное количество времени)
- Вход в СДБО с устройства, с которого ранее производился вход в СДБО, но с измененной конфигурацией (за определенное количество времени)
- Вход в СДБО с устройства из черного/серого списка
- Более двух разных Плательщиков произвели инициирование информационной транзакции c одного устройства за последнее определенное количество минут
- Инициирование информационной транзакции, если сумма успешных мгновенных платежей с одного устройства за последнее определенное количество минут превысила определенное количество белорусских рублей
- Выявление факта заражения устройства Плательщика вредоносным программным обеспечением или факта работы устройства Плательщика под внешним управлением
- Выявление факта поведения, отличающееся от обычного поведения Плательщика на основании его поведенческой аналитики (скрытие отпечатка устройства (браузера), работа через VPN, использование браузера TOR
Внесение изменений, затрагивающих безопасность при инициировании информационных транзакций
- У Плательщика изменился IMSI сим-карты, на номер которой приходит OTP, ICCID серийного номера сим-карты, IMEI устройства
- Изменение пароля учетной записи Плательщика в рамках сессии
- Изменение/добавление/удаление номера телефона для СМС-авторизации в рамках сессии либо смена канала OTP
- Отключение СМС/E-mail-информирования в рамках сессии
- Изменение реквизитов Плательщика в рамках сессии
«Подозрительное» время инициирования информационной транзакции
- Выявление фактов начала сессии Плательщика в СДБО в время суток, отличающееся от обычного поведения Плательщика на основании его поведенческой аналитики (за последнее определенное количество месяцев)
- Инициирование информационной транзакции в нерабочее время суток, в праздничные или выходные дни
- Инициирование информационной транзакции за определенное количество минут до окончания банковского дня
Выявление автоматизированных действий при инициировании информационной транзакции «на стороне» Плательщика
- Переход между страницами СДБО с разницей менее чем определенное количество секунд (автоматизированные действия)
- Переход между страницами СДБО с одинаковой скоростью (автоматизированные действия)
- Переход между страницами СДБО, между которыми нет прямой ссылки
- Инициирование информационных транзакций с разницей во времени менее определенного количества секунд
Аномальные показатели по сумме/количеству при инициировании информационной транзакции
- Инициирование информационной транзакции с суммой, превышающее определенное количество белорусских рублей
- Инициирование информационной транзакции с суммой, отличающейся от обычного поведения Плательщика на основании поведенческой аналитики (за период расчета профиля)
- Инициирование аномального для Плательщика на основании его поведенческой аналитики количества информационных транзакций за текущие сутки
- Инициирование определенного количества информационных транзакций одним Плательщиком с одинаковой суммой за определенное количество часов
- Инициирование одной или нескольких информационных транзакций на сумму более определенного количества процентов от суммы на счете
- Инициирование одной или нескольких информационных транзакций на сумму, близкую или равную дневному лимиту
- Инициирование однотипных информационной транзакции множеством Плательщиков за короткий промежуток времени (одни и те же счета, одна и та же сумма, прочие сходные характеристики и пр.)
- Инициирование информационной транзакции на меньшую сумму после определенного количества отказов со статусом «недостаточно средств» (подбор суммы)
Аномальное поведение клиента при инициировании информационной транзакции
- Инициирование информационной транзакции Плательщиком, неактивным в течение определенного количества дней
- Инициирование информационной транзакции, которому предшествует снятие денежных средств со вкладов
Подозрительный счет Бенефициара (получатель платежа)
- Недавно открытый счет Бенефициара
- Не используемый счет Бенефициара
Подозрительный порядок управления счетом со стороны Бенефициара
- В интерфейсах управления счетом используются анонимайзеры
- Много устройств, используемых для управления счетом
- Высокая частота смены устройства для управления счетом
Серый Бенефициар
- Бенефициар в сером списке по истории информационных транзакций в его IP-адрес (в том числе от других клиентов)
- Инициирование информационной транзакции в пользу нового Бенефициара (за определенное количество месяцев)
- Инициирование информационной транзакции в сторону нового Бенефициара на сумму более определенного количества процентов от суммы на счете
- Инициирование нескольких (определенного количества и последующих в течение определенного количества часов) информационных транзакций одному Бенефициару от одного Плательщика
- Инициирование нескольких (определенного количества и последующие в течение определенного количества часов) информационных транзакций одному Бенефициару от разных Плательщиков
Вот по таким критериям операции будут относится к подозрительным и скорее всего блокироваться. Мы видим что тут есть описание ситуаций которые могут возникнуть у многих - например новое устройство, понятное дело что люди меняют телефон. Новый город - люди путешествуют и ездят в командировки. Ну а использование браузера Tor и иного подобного ПО это вообще достаточно частая ситуация.
Так что если вам надо сделать важные платежи, то учитывайте моменты из этого списка, ну и старайтесь их сделать в рабочее время банка, когда можно оперативно позвонить в банк и разораться в ситуации. Подтвердить что это вы, а не мошенник, проводите этот платеж.
Источник: www.infobank.pt