Шесть групп сигналов
Короткие карточки с примерами того, что именно видит антифрод во время онбординга.
1. Устройство и сеть
Показывают, откуда пришла заявка и насколько среда выглядит типичной.
1. Устройство и сеть
Показывают, откуда пришла заявка и насколько среда выглядит типичной.
fingerprint
IP
гео
VPN / Tor
ASN
email / телефон
- Что анализируют: устройство, браузер, ОС, сетевое окружение.
- Что настораживает: анонимайзеры, адреса дата-центров, массовые паттерны.
- Зачем: понять, знакомо ли это окружение и не связано ли оно с риском.
2. Документ и лицо
Проверяют, подлинный ли документ и действительно ли перед камерой живой человек.
2. Документ и лицо
Проверяют, подлинный ли документ и действительно ли перед камерой живой человек.
OCR
authenticity
liveness
face match
deepfake
реестры
- Что анализируют: качество OCR, признаки подделки, совпадение лица.
- Что настораживает: фото с экрана, маска, дипфейк, слабая уверенность.
- Зачем: убедиться, что личность и документ согласованы.
3. Поведение в сессии
Важно не только содержание полей, но и то, как пользователь проходит сценарий.
3. Поведение в сессии
Важно не только содержание полей, но и то, как пользователь проходит сценарий.
ритм ввода
copy-paste
слишком быстро
машинно
сценарий
- Что анализируют: темп, паузы, вставку данных, маршрут по форме.
- Что настораживает: неестественно быстрые или слишком ровные действия.
- Зачем: отделить живого пользователя от скрипта или «оператора по шаблону».
4. Связи между аккаунтами
Показывают, не стоит ли за разными профилями одна и та же инфраструктура.
4. Связи между аккаунтами
Показывают, не стоит ли за разными профилями одна и та же инфраструктура.
одно устройство — много людей
общий номер
общий email
связь с fraud-аккаунтами
- Что анализируют: пересечения по устройству, телефону, email и реквизитам.
- Что настораживает: дубль профиля и повтор инфраструктуры.
- Зачем: увидеть фермы аккаунтов и связанные цепочки.
5. Скрининг и списки
Нужны для проверки обязательных ограничений и внутренних стоп-сигналов.
5. Скрининг и списки
Нужны для проверки обязательных ограничений и внутренних стоп-сигналов.
санкции
Росфинмониторинг
PEP
blacklist
stop-листы
- Что анализируют: обязательные перечни и внутренние списки сервиса.
- Что настораживает: прямые совпадения и чувствительные статусы.
- Зачем: дополнить антифрод комплаенс-проверкой.
6. Контекст попытки
Даже нейтральный сигнал меняет смысл, если история попыток выглядит нетипично.
6. Контекст попытки
Даже нейтральный сигнал меняет смысл, если история попыток выглядит нетипично.
время суток
частота
повторы
серия отказов
история
- Что анализируют: время, повторяемость и прошлые исходы по тем же данным.
- Что настораживает: серия попыток после отклонений.
- Зачем: связать все остальные сигналы в единую картину риска.
Сочетание нескольких слабых сигналов может выглядеть рискованно.