Услуги
Решения
Тарифы
Блог
О компании
+7 (495) 642-4245
Верификация смыслов: Антифрод в онбординге

Верификация смыслов: Антифрод в онбординге

В глоссарии IDX объясняем сложные юридические и технические термины из мира цифровой идентификации простыми словами.

Онбординг отвечает на вопрос, кто стоит перед сервисом. Антифрод в онбординге решает другую задачу — допустимо ли вообще предоставлять этому пользователю доступ. Разница может показаться несущественной, но именно на ней ломаются десятки внедрений: можно безупречно подтвердить личность и при этом впустить мошенника, у которого с документами всё в порядке. О самом онбординге и его метриках мы говорили в материале «Верификация смыслов: Онбординг». В этой статье разберём, что проверяет антифрод в онбординге, какие атаки ловит и почему его нельзя приравнять ни к KYC, ни к банковскому транзакционному мониторингу.


Что такое антифрод в онбординге, и чем он не является


Антифрод в онбординге — это проверки и риск-решения, которые идут параллельно с KYC. Пока система распознаёт документ и сравнивает лицо, антифрод уже изучает отпечаток устройства, характер использования сети и поведение пользователя, а заодно проверяет, не связан ли он с теми, кого сервис заблокировал раньше. Ответ «кто это» и ответ «пускать или нет» сервис получает одновременно.

Чтобы не путать антифрод с другими понятиями, проще зафиксировать, чем он не является:

  • Это не KYC. KYC отвечает на вопрос, кто перед сервисом, и в России опирается на обязательную удалённую идентификацию клиента по 115-ФЗ. Антифрод решает другое — впускать ли этого человека. Пользователь может быть полностью идентифицирован и при этом представлять явный риск.
  • Это не транзакционный антифрод по 161-ФЗ. Банковский мониторинг нацелен на подозрительные переводы у уже активного клиента. Антифрод в онбординге срабатывает раньше, когда транзакций ещё нет.
  • Это не отдельный продукт, который подключают в самом конце. Антифрод работает на всех этапах регистрации и является частью антифрод-системы.

Представьте охранника на входе. Он смотрит не только в документ, но и на самого гостя: как тот держится, с кем пришёл, не разворачивали ли его здесь вчера. Документ может быть подлинным, но если человек ведёт себя как тот, кому здесь не рады, дальше его не пропустят. KYC проверяет документ, антифрод смотрит на гостя — и нужны оба, потому что отвечают они на разные вопросы.



Из каких проверок состоит антифрод-контур


Антифрод не делает выводов по одному признаку. В момент регистрации и проверки личности он одновременно собирает шесть групп сигналов и сводит их в общую оценку риска. Ни один сигнал по отдельности не выносит приговор — решающее значение имеет именно их сочетание.


Сигналы об устройстве и сети


  • Цифровой отпечаток устройства (device fingerprint). Сервис считывает параметры устройства, браузера, операционной системы и сетевого окружения. Вместе они складываются в уникальный след, по которому устройство можно узнать при повторном визите.
  • IP, геолокация и принадлежность к сети (ASN). Вход через VPN, Tor или адреса дата-центров сам по себе ничего не запрещает, но заставляет систему присмотреться к заявке внимательнее.
  • Email и телефон. Их сверяют с базами утечек, историей прошлых обращений и характерными следами массовых регистраций.

Сигналы о документе и лице


  • Уверенность системы в документе. При распознавании сервис не просто считывает текст, а оценивает, насколько он уверен в результате: качество распознавания (OCR) и проверку подлинности он выражает числом — чем оно ниже, тем больше сомнений.
  • Проверка живого присутствия и сверка лица. Система убеждается, что перед камерой живой человек, а его лицо совпадает с фотографией в документе. Одновременно она ищет следы подмены: распечатанное фото, видео с экрана, объёмную маску или дипфейк.
  • Сверка данных документа с внешними реестрами. Реквизиты из документа сравнивают с официальными источниками.

Поведенческие сигналы


  • Характер заполнения формы. Ритм ввода, вставка скопированного текста в поля паспорта или ИНН, неестественная скорость прохождения — система анализирует, как именно человек вводит данные.
  • Сценарий прохождения всей сессии. Подозрение вызывает и слишком быстрый темп, и неестественно ровные, «машинные» действия — как будто заявку заполняет не живой человек, а скрипт или работник по чужой инструкции.

Сигналы о связях между аккаунтами


  • Один отпечаток на несколько личностей. Если за одним устройством скрывается сразу несколько «разных» пользователей, это характерный признак дубля профиля.
  • Общие реквизиты с подозрительными аккаунтами. Связь с телефонного номера, e-mail или устройства с профилями, уже отмеченными как мошеннические, повышает риск.

Скрининговые сигналы


  • Сверка с обязательными перечнями. Пользователя проверяют по санкционным спискам, перечню Росфинмониторинга и базам публичных должностных лиц (PEP).
  • Сверка с внутренними и отраслевыми списками. Сверка по внутренним чёрным спискам сервиса и отраслевым стоп-листам.

Контекстуальные сигналы


  • Обстоятельства попытки. Время суток, частота повторных попыток и история отклонённых заявок по тем же данным добавляют подозрений к нейтральному на вид признаку.


Типовые сценарии мошенничества в онбординге


Атаки на регистрацию устроены по-разному, ниже — пять сценариев, которые антифрод-система фиксирует чаще всего.


Захват до регистрации (Account pre-hijacking)


Злоумышленник заранее создаёт пустой аккаунт, привязывая его к чужому email или номеру телефона. Когда настоящий владелец пытается зарегистрироваться, сервис отвечает «пользователь уже существует». Человек восстанавливает пароль, невольно входя в учётную запись, которую уже контролирует мошенник. Так происходит подмена личности (identity fraud) на самом раннем этапе. Системе удаётся пресечь её с помощью мониторинга «подвешенных» аккаунтов и анализа аномалий при повторных попытках регистрации.


Синтетическая личность (Synthetic identity)


Мошенник собирает подлинные данные из утечек (например, ИНН) и смешивает их с выдуманными или чистыми реквизитами (новым телефонным номером, e-mail). Базовая проверка может не заметить подвоха, так как по отдельности каждый реквизит выглядит легитимно. Подозрения вызывает сама комбинация: старый ИНН, свежий контакт и нетипичное устройство. Этот сценарий выявляется перекрёстной проверкой данных и ИИ-моделями, которые фиксируют аномалии в такой сборке.


Поддельные документы и атака на биометрию


Мошенник загружает сфальсифицированные сканы паспорта, а проверку живого присутствия пытается пройти с помощью дипфейка. В таком случае применяется связка из трёх защитных механизмов: числовая оценка уверенности в подлинности документа, выявление атак на предъявление (PAD — экраны, распечатки, маски) и детектор дипфейков.


Фермы аккаунтов и охота за бонусами (Promo abuse)


Массовые регистрации ради приветственных бонусов и реферальных выплат. Паспортные данные у профилей разные, поэтому поодиночке каждый заявитель выглядит чистым. Ферму выдаёт инфраструктура: сотни «разных» людей приходят с одинаковым цифровым отпечатком устройства или из одной узкой подсети. Системе помогает граф-анализ: он выявляет скрытые связи между устройствами, контактами и сетями, собирая разрозненные профили в один кластер, чтобы заблокировать всю ферму разом.


Счета подставных лиц (Money mule)


В этом сценарии реальный человек с подлинным паспортом регистрируется по указанию злоумышленника (дроповода). Идентификация проходит безупречно — документы настоящие. Выявить подставное лицо на входе можно только по поведенческим маркерам: человек слишком долго задерживается на простых шагах, копирует данные из буфера обмена или совершает неестественные, механические действия. Если онбординг пройден, дальше такого клиента должен блокировать поведенческий скоринг на этапе первых транзакций.


Метрики антифрода в онбординге


Антифрод-систему балансируют, опираясь на четыре метрики, и ни одну из них нельзя рассматривать изолированно. Полная система метрик онбординга разобрана в материале «Верификация смыслов: Онбординг»; здесь мы разберём только те, что отражают эффективность риск-оценки. 

Доля успешно выявленного мошенничества (Fraud capture rate). Чем этот показатель выше, тем меньше угроз пропускает система. Однако делать эту метрику единственным приоритетом опасно: чрезмерно ужесточая правила скоринга, система неизбежно начнёт отсекать легитимные заявки.

Уровень ложных отказов (False reject rate). Это прямые потери для бизнеса: добросовестный клиент, заблокированный на старте, увеличивает нагрузку на службу поддержки или уходит к конкуренту. Слишком жёсткие настройки антифрода напрямую повышают этот показатель, разрушая конверсию.

Время от старта до положительного решения (Time to decision). Время от старта онбординга до вынесения итогового решения (yes/no/review). Задержку в три-пять секунд пользователь воспринимает нормально, но на тридцати секундах ожидания прерывает сессию и бросает регистрацию.

Стоимость предотвращенного инцидента (Cost per prevented incident). Во сколько обходится один выявленный случай мошенничества с учётом стоимости сервиса, ручных проверок и потерь от ложных отказов. Эта метрика переводит безопасность на язык экономики: затраты на поимку мошенника не должны превышать потенциальный ущерб от его действий.



Где антифрод в онбординге ломается


Уязвимость антифрод-защиты чаще всего сводится к четырём системным ошибкам. Разберём их в формате «архитектурный изъян — последствие для бизнеса»:

  • Только транзакционный антифрод без проверок при регистрации — злоумышленник беспрепятственно создаёт профиль, получает доступ к инструментам сервиса, и его обнаруживают, когда ущерб бизнесу или клиентам уже нанесён.
  • Жёсткие статические правила без ML — система не умеет адаптироваться к нестандартному, но легитимному поведению. Итог: всплеск ложных отказов (FRR), уход добросовестных клиентов и перегрузка службы поддержки.
  • Liveness без детектора дипфейков — биометрическая проверка остаётся слепой к современным угрозам и пропускает дипфейки, созданные в реальном времени.
  • Отсутствие граф-анализа — скоординированные атаки (фермы аккаунтов) с разными паспортными данными, но одинаковыми устройствами и подсетями проходят проверку как независимые пользователи.

Что дальше


Читайте также: «Верификация смыслов: Онбординг» о процессе регистрации и полную таблицу его метрик.

Часто задаваемые вопросы

Чем антифрод в онбординге отличается от транзакционного мониторинга?
Транзакционный мониторинг анализирует операции активного клиента и блокирует подозрительные переводы в рамках требований 161-ФЗ. Антифрод в онбординге оценивает риски до момента предоставления доступа к финансовым сервисам и работает в связке с обязательной идентификацией клиента по 115-ФЗ. Системы работают на разных этапах пути пользователя и взаимно дополняют друг друга.
Что такое fraud capture rate и почему его нельзя наращивать изолированно?
Fraud capture rate отражает долю мошеннических заявок, которые система распознала и заблокировала. Ужесточение скоринговых правил для роста этого показателя неизбежно увеличивает число ложных отказов легитимным клиентам. Поэтому fraud capture rate оценивают вместе с false reject rate для удержания баланса между безопасностью и конверсией.
Что такое false reject rate и как он влияет на конверсию онбординга?
False reject rate (FRR) фиксирует процент добросовестных пользователей, которым система ошибочно отказала в регистрации. Высокий уровень FRR разрушает воронку регистрации, увеличивает стоимость привлечения клиента и создаёт избыточную нагрузку на службу поддержки. Регулярная калибровка риск-моделей позволяет снизить долю ложных срабатываний.
Что такое дубль профиля и как антифрод его выявляет?
Дубль профиля формируется, когда один субъект регистрирует несколько аккаунтов под разными паспортными данными. Антифрод-система обнаруживает такие аномалии с помощью device fingerprint и графового анализа связей. Совпадение аппаратных характеристик и сетевых параметров устройств указывает на мошенническую ферму.
Как антифрод защищает биометрический онбординг от подделок?
Биометрический модуль опирается на технологии liveness detection, PAD (распознавание атак предъявлением) и алгоритмы обнаружения дипфейков. Система блокирует попытки использовать распечатанные фотографии, экраны устройств или программную подмену лица. Низкий confidence-score при сверке фото с документом автоматически останавливает процесс регистрации.
Почему одной процедуры KYC недостаточно для защиты от мошенничества при регистрации?
Процедуры KYC подтверждают подлинность документов в реестрах, но игнорируют намерения заявителя. Подставные лица (дропы) с реальными паспортами успешно проходят юридическую идентификацию. Антифрод-система выявляет мошеннические паттерны через оценку поведения, цифрового следа и скрытых связей пользователя.
Стать клиентом IDX
Ошибка! Сообщение не отправлено.
Спасибо за вашу заявку!
Наш менеджер свяжется с вами в ближайшее время
05.06.2026
Новости и ИИ: 30 мая – 5 июня 2026 года
Дайджест ключевых новостей и событий от ИИ‑помощника.
05.06.2026
Биометрия в каршеринге 2026: как Россия переходит к верификации пользователей
Россия делает биометрию обязательной для каршеринга и кикшеринга уже в ближайшие полгода: аккаунты больше невозможно «одолжить» подростку или лишённому прав водителю. Как изменятся онбординг, экономика и требования к KYC-сервисам разбираем в этой статье.
05.06.2026
Аутентификация
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
03.06.2026
Эталонный источник
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
01.06.2026
Чёрный список
Ключевые термины удалённой идентификации, аутентификации, верификации данных, антифрода и цифрового доверия.
Подписка на новости
IDX защищает персональные данные пользователей и обрабатывает Cookies только для персонализации сервисов. Запретить обработку Cookies можно в настройках Вашего браузера.
Пожалуйста, ознакомьтесь с политикой обработки персональных данных.