Подключим овердрафт бесплатноПодключим овердрафт бесплатноОткройте счет с возможностью потратить больше, когда бизнесу срочно нужны деньги.Откройте счет с возможностью потратить больше, когда бизнесу срочно нужны деньги.Узнать больше

РассылкиИдеи для бизнесаБизнес с нуляМаркетплейсыБухгалтерияЛайфстайлСправочникШаблоны документов
РассылкиИдеи для бизнесаБизнес с нуляМаркетплейсыБухгалтерияЛайфстайлСправочникШаблоны документов

Злоумышленники похитили франчайзи «Додо Пиццы» и пытались вывести деньги со счетов: несколько часов из жизни антифрод-системы


В СМИ попала история похищения крупнейшего партнера-франчайзи сети ресторанов «Додо Пицца». Грабители похитили его и несколько дней держали в загородном доме в Латвии, вынуждая переводить деньги на их счета.

Один из банков, с которыми работал предприниматель, — Т-Банк. Клиент подтвердил перевод денег несколько раз и даже голосом, но антифрод-система и сотрудники отдела платежных рисков распознали мошенников. Так они остановили переводы и сохранили большую часть денег на счете в Т-Банк.

Рассказываем, как это было и почему у Т-Банк получилось спасти большую часть денег клиента.

Что случилось

В 2019 году франчайзи сети ресторанов «Додо Пицца» Владимир Горецкий стал жертвой похитителей.

Он приехал для встречи с якобы инвестором, но когда оказался на вилле в Юрмале, ему в лицо брызнули перцовым баллончиком, связали и удерживали пять дней. Все это время его заставляли переводить деньги со своих счетов на счета злоумышленников. Когда стало понятно, что больше вывести не удастся, его отпустили. Владимир смог снять с головы мешок и добраться до дома в России.

Широкой аудитории о происшествии стало известно только осенью 2020 года, после того как органы задержали одного из преступников. Владимир рассказал свою историю, а мы показываем, как все происходило со стороны Т-Банк.

Интервью франчайзи «Додо Пиццы» Владимира Горецкого «Медузе»
Интервью франчайзи «Додо Пиццы» Владимира Горецкого «Медузе»

Владимир Горецкий в интервью Медузе рассказал, как реагировали банки на переводы. Интервью

Владимир Горецкий в интервью Медузе рассказал, как реагировали банки на переводы. Интервью

26 сентября, 10:18. Клиент в нетипичной локации

Что случилось. Предприниматель расплатился картой в российском аэропорту и через время вошел в приложение Т-Банк из Латвии.

Что мы сделали. Для клиента это нетипичная локация, поэтому сработало предупреждение антифрод-системы: обратить внимание на остальные траты по счету.

Как это работает. Антифрод-система — это набор алгоритмов, который мы усилили машинным обучением. Система собирает всю информацию о действиях клиента, его платежных привычках. Например, что он покупает, когда, у кого, каким способом — по карте или онлайн, как заходит в приложение — по отпечатку пальца или ПИН-коду, с какого устройства, кому обычно переводит и многое другое.

Но и это не все: нейросеть может то, чего не может человек. Она анализирует гигантские объемы информации, отдельные действия одного клиента и сравнивает их с действиями других клиентов. Например, если в одном магазине растет количество платежей из-за распродажи, для человека это выглядит подозрительно. Но система учитывает исторические колебания, самостоятельно определяет степень риска и тревогу поднимать не будет.

Клиент в нетипичной локации

Клиент в нетипичной локации

26 сентября, 16:00. Выводит деньги с брокерского счета

Что случилось. Клиент вывел деньги с брокерского счета на свой счет в Т-Банк.

Что мы сделали. Зафиксировали как подозрительную операцию.

Как это работает. Вроде бы операция обычная: если какие-то бумаги выросли в цене, возможно, есть смысл их продать. Но система уже нашла одну аномалию, поэтому вывод денег выглядел подозрительно. При еще одном подозрительном действии система может приостановить переводы до проверки.

Выводит деньги с брокерского счета

Выводит деньги с брокерского счета

26 сентября, 19:00. Переводит деньги на чужую карту

Что случилось. Предприниматель перевел деньги на карту другого банка, причем раньше эта карта не участвовала в операциях по счету.

Что мы сделали. Зафиксировали как подозрительную операцию.

Как это работает. Сам по себе перевод не вызывает вопросов, но вместе с остальными факторами все выглядит подозрительно: вылет в Латвию, вывод денег с брокерского счета, перевод на новый для себя счет в другом банке, как следствие — предупреждение от антифрод-системы.

Переводит деньги на чужую карту

Переводит деньги на чужую карту

26 сентября, 19:26. Клиент подтверждает, что это он проводит платежи и все в порядке

Что случилось. Клиенту позвонил сотрудник Т-Банк и стал задавать вопросы, чтобы убедиться, что деньги переводит именно он и делает это осознанно.

Что мы сделали. На все вопросы предприниматель ответил спокойно, без ошибок и попросил провести переводы. Поэтому мы разблокировали операции.

Как это работает. Для проверки есть опросник: там стандартные вопросы, например серия и номер паспорта, адрес регистрации, — ответы должен знать только клиент. Есть вопросы, созданные специально под клиента или возможную нестандартную ситуацию. Не во всех банках есть нетиповые вопросы, поэтому мошенникам проще пройти проверку — достаточно назвать кодовое слово.

Мы проверяем, совпадает ли голос в трубке с голосом клиента.

Еще мы проверяем, совпадает ли голос в трубке с голосом клиента, который мы записали ранее. Такая запись не учитывает конкретные формулировки и слова, а характеризует голос в целом. Если голоса не совпадают, мы начинаем более глубокую проверку.

Внезапная блокировка и вопросы менеджера иногда раздражают клиентов, но это необходимая защита — именно так мы подтверждаем, что платежи проводит наш клиент и делает это осознанно. 70% успешного мошенничества с картами и счетами — это результат социальной инженерии: когда злоумышленник обманом получает данные карты или убеждает клиента перевести деньги.

Памятка для сотрудников отдела рисков Т-Банк банка, которые обзванивают клиентов при подозрительных платежах
Памятка для сотрудников отдела рисков Т-Банк банка, которые обзванивают клиентов при подозрительных платежах

Фрагмент памятки для сотрудников отдела рисков, которые обзванивают клиентов при подозрительных платежах

Фрагмент памятки для сотрудников отдела рисков, которые обзванивают клиентов при подозрительных платежах

У мошенников есть хитрость. Они знают, что банк может перезвонить и задать вопросы клиенту. Поэтому они так и говорят: «Вот я из банка, а вам будут звонить мошенники. Не слушайте их». И когда действительно звонят из банка, клиенты могут отказаться вести диалог или говорят неправду. Мол, я ни с кем не общался, сам решил перевести деньги.

Мы знаем, что такие ситуации бывают, поэтому система отмечает сам факт проверки. И если будут еще подозрительные операции, система может еще раз заблокировать переводы.

Клиент подтверждает, что это он проводит платежи

Клиент подтверждает, что это он проводит платежи

26 сентября, 21:22—02:51. Клиент часто заходит в приложение и нестандартным способом

Что случилось. Клиент 12 раз зашел в приложение.

Что мы сделали. Продолжаем фиксировать подозрительную работу со счетом. Само по себе количество входов в приложение ничего не значит, но система обратила внимание и на другие факторы, например, что клиент изменил формат использования мобильного банка. Все вместе выглядит подозрительно.

Как это работает. Система оценивает поведение клиента по тысячам критериев. И если один выбивается, это ничего не значит. Поэтому она всегда анализирует совокупность факторов.

Один из критериев оценки — это местоположение. У нас есть несколько способов его определить. Например, по геометкам, если клиент дал доступ приложению Т-Банк к геоданным своего устройства. Они помогают понять, что деньги переводит не клиент или, наоборот, это наш клиент, все в порядке и не надо беспокоить его звонком. Еще один способ — по коду операций, так мы можем узнать, например, была ли покупка в Китае или Латвии.

Доступ к геометкам для антифрод-системы Т-Банк одной кнопкой
Доступ к геометкам для антифрод-системы Т-Банк одной кнопкой

Доступ к геометкам для антифрод-системы Т-Банк дается одной кнопкой, таким образом вы помогаете сотрудникам банка обезопасить ваши деньги

Доступ к геометкам для антифрод-системы Т-Банк дается одной кнопкой, таким образом вы помогаете сотрудникам банка обезопасить ваши деньги

Дополнительный критерий оценки — как клиент работает с банком. Система отслеживает все аномалии: например, клиент использовал приложение одним способом, а теперь поменял привычки. Мы видим нетипичное поведение и отмечаем его.

Клиент часто заходит в приложение и нестандартным способом

Клиент часто заходит в приложение и нестандартным способом

27 сентября, 03:01—03:41. Много и часто переводит на чужую карту

Что случилось. В три утра клиент начал переводить деньги: небольшими суммами, но часто — от 8000 до 100 000 ₽. Все переводы — на чужую карту, хотя раньше этому человеку он не платил.

Что мы сделали. Система подтянула данные за день и увидела, что уже накопилось слишком много подозрительных факторов, поэтому приостановила переводы. Они остановились на этапе подтверждения на время, пока сотрудник банка не свяжется с клиентом и не подтвердит платеж.

Как это работает. Система знает, что такие частые переводы — один из признаков мошенничества. Так обычно тестируют лимиты и работу безопасности банка: если пропускает, следующий платеж можно сделать в несколько раз больше. Например, не 50 000 ₽, а 300 000 ₽ за раз.

Много и часто переводит на чужую карту

Много и часто переводит на чужую карту

27 сентября, 03:42. Клиент отказывается от видеозвонка

Что случилось. Система дала сигнал, что с операциями неладное. Специалист отдела рисков получил его, просмотрел историю запросов и операций и решил позвонить клиенту, чтобы разобраться в ситуации.

Что мы сделали. Во время звонка специалист сначала задавал вопросы голосом, но заметил паузы: клиент будто бы задумывается, отключает микрофон и только потом отвечает.

Паузы были на секунду, но специалист знал, что в таких случаях клиенты отвечают быстро. На фоне он слышал подсказки.

Паузы были на секунду, но по опыту специалист знал, что клиенты в таких случаях отвечают быстро. На фоне он слышал подсказки.

Ответы формально были правильными, и факты звучали убедительно, но менеджер решил проверить еще раз. Тогда он попросил клиента принять видеозвонок и пообщаться так. После заминки клиент отказался: сначала под предлогом, что сейчас темно и все равно ничего не видно, а потом просто наотрез.

Специалист отдела рисков тут же отправил запрос на внутреннее расследование и сохранил блокировку: возможно, клиент переводил деньги под давлением.

Как это работает. У каждого специалиста есть инструкции на случай таких переговоров, но при этом от них можно отступать и импровизировать, чтобы аккуратно узнавать у клиента нужную информацию о нем самом и его операциях.

Со стороны специалиста это просто беседа, он общается без нажима, спокойным тоном, просто задает вопросы. При этом его задача — слушать не только сами слова, но еще интонацию и происходящее на фоне.

Специалист по рискам может запросить видеозвонок: он отправляет клиенту ссылку — в чат, по СМС или на почту, тот ее открывает и видит черный экран. Это делается, чтобы злоумышленники не вычислили сотрудников Т-Банк.

Во время видеозвонка специалист может задать вопросы, попросить показать помещение, руки, что за спиной.

Как пойдет разговор, определяет специалист по рискам. Он может задать пару вопросов, попросить показать остальное помещение, руки, что находится за спиной или в стороне. Вопросы могут быть о чем угодно.

Для такой работы менеджеры специально тренируются, и у них есть чек-лист, на что обращать внимание.

Клиент отказывается от видеозвонков

Клиент отказывается от видеозвонков

Клиент сохранил деньги на счете Т-Банк

Клиент при последних переводах почти потерял 273 000 ₽, но сотрудники отдела рисков Т-Банк вовремя приостановили платежи. Так они спасли клиенту 273 000 ₽ и остальные деньги на счете. После нашего звонка злоумышленники еще 22 раза заходили в приложение.

Для защиты клиентов мы используем разные технологии, например:

  1. Алгоритмы машинного обучения отслеживают нетипичные для клиента транзакции. Нейросеть постоянно обучается и видит связи, которые может не увидеть человек. Например, в один из анализов добавили факт смены ПИН-кода. Мы бы сами не стали включать такой критерий, потому что в том кейсе это очень редкий случай: у сценариев нет прямой зависимости, потому что это онлайн-покупки. Но нейросеть заметила связь и теперь на 5% четче отслеживает опасность.
  2. Технология цифрового отпечатка устройства — фингерпринт — идентифицирует устройство, с которым работает клиент, и определяет, часто ли он его использует или это в первый раз.
  3. Кросс-канальный событийный мониторинг учитывает активность клиентов во всех каналах: в мобильном приложении, чате, при оплате пластиковыми картами или при обращениях в колл-центр.
  4. Видеозвонки для проверки, нестандартные вопросы и умение слушать клиента помогают убедиться, что клиент по своей воле переводит деньги или что-то оплачивает.

«В 70% случаев мошенничества клиенты сами переводят деньги злоумышленникам», — Алексей Бакланов, руководитель управления противодействия мошенничеству Т-Банк

Случай Владимира не типичный, потому что разбой с «мешком на голове» — это хлопотное дело для преступников. Гораздо чаще для финансового преступления этого и не требуется.

В 70% случаев успешного мошенничества злоумышленники используют социальную инженерию и психологические уловки. А в итоге клиенты сами переводят им деньги, передают данные карт, коды подтверждения или контрольные вопросы. И даже снимают наличные в банкоматах и кладут в «секретные ячейки».

Каждый год число таких случаев увеличивается. Только за первое полугодие 2020 количество звонков от мошенников выросло почти в 3 раза по сравнению с прошлым годом.

Мошенники становятся умнее, нахальнее, технологичнее, при этом наша антифрод-система постоянно развивается. Мы используем собственные разработки, натаскиваем сотрудников буквально чувствовать мошенничество и рассказываем клиентам, как его распознать. Благодаря этому количество атак, которые мы смогли остановить, растет.

Но когда клиент сам отдает злоумышленникам данные карты или подтверждает мошеннические платежи — это все равно что отдать ворам ключи от сейфа. Такие поступки приводят к финансовым потерям.

Сайт Т-Банк о безопасности: серия роликов на несколько минут, где рассказываем, как разводят современные мошенники и как не поддаваться на их уловки, чтобы не потерять деньги.

Исследование Т-Банк о мошенничестве

Расчетный счет для бизнеса

Предложение от Т-Банка

Расчетный счет для бизнеса

  • Бесплатное открытие, онлайн. Реквизиты — в день заявки
  • Первые два месяца — бесплатное обслуживание
  • Любые платежи ИП и юрлицам внутри банка — 0 ₽
Узнать больше

АО «ТБанк», лицензия №2673

Тоня Сергеева
Тоня Сергеева

Расскажите, сталкивались ли вы с мошенниками? Как это было?


Больше по теме

Новости

Добавьте почту

Мы отправим вам приглашение на мероприятие

Продолжая, вы принимаете политику конфиденциальности и условия передачи информации