O valor real da análise de dispositivos - A metodologia secreta da JuicyScore

Com o desenvolvimento de serviços online e o surgimento de inúmeros produtos financeiros no mercado, o número de empresas preparadas para prestar esses serviços também aumenta drasticamente a cada ano. Os líderes do setor dão alta prioridade aos parâmetros e características do produto, à experiência do cliente, à expansão da base de clientes e à fidelização dos clientes leais. O outro lado desse processo é a complexidade crescente da avaliação de risco de clientes por canais online, bem como uma proporção considerável de usuários de alto risco, que às vezes podem acessar o site de uma instituição financeira com intenções maliciosas. Assim, as empresas precisam destinar uma parcela significativa de recursos (coleta de dados, tecnologia, pessoal) para reduzir riscos e detectar usuários fraudulentos.

Junto com o desenvolvimento das empresas que atuam online, um grande número de diferentes fornecedores entrou no mercado. Eles fornecem soluções projetadas para a redução do risco de fraude. Muitas dessas soluções fornecem um conjunto de indicadores de risco (risk markers) que podem ser usados para bloquear alguns tipos de solicitações no fluxo de aplicações. No entanto, essa abordagem tem várias falhas.

A equipe JuicyScore acredita que, além de fornecer os próprios indicadores, também é necessário dar grande atenção ao valor informacional e à metodologia de uso dos dados no processo de avaliação de risco. Desenvolvemos uma série de metodologias e abordagens que nos permitem não apenas identificar segmentos de alto risco, mas também realizar a segmentação e a avaliação de risco em todo o fluxo de aplicações. Hoje, forneceremos informações detalhadas sobre uma dessas abordagens.

A essência da abordagem de prevenção à fraude da JuicyScore com base na análise detalhada de dispositivos

No nosso caso, examinamos a abordagem de prevenção à fraude baseada nas características do dispositivo.

Esta metodologia é baseada em um grande foco no dispositivo - autenticação precisa e exata, identificando os vários parâmetros que caracterizam o dispositivo, seu ambiente e como ele é usado. Mas por que damos tanta atenção ao dispositivo em si?

1. A razão mais óbvia está relacionada ao fato de que, frequentemente, essa avaliação pode ser suficiente para tomar uma decisão sobre uma solicitação de produto financeiro. Sem a necessidade de armazenar ou processar dados pessoais dos usuários (identificadores diretos de pessoas físicas, como números completos de cartão, fotos, e-mails, dados de passaporte etc.). Apesar dos enormes investimentos das empresas em infraestrutura de TI, bem como de medidas organizacionais, os casos em que identificadores diretos, informações de contato e dados sensíveis caem nas mãos de fraudadores são, infelizmente, bastante comuns. Isso pode levar à perda de informações, causar danos à reputação e resultar em perdas financeiras para todas as partes. A segunda vantagem dessa metodologia é o poder preditivo - a análise do dispositivo permite avaliar o risco de todas as conexões de Internet com um nível de disponibilidade de informação de 99,9% + e identificar as intenções do usuário virtual na maioria dos casos na primeira tentativa.
2. O cerne da nossa abordagem dentro desta metodologia é a autenticação cuidadosa e precisa do dispositivo, levando em consideração a randomização e a virtualização do dispositivo. Esta metodologia é baseada em um conjunto desenvolvido de instrumentos/tecnologias para métricas de dispositivo - uma abordagem probabilística e estável para autenticação de dispositivos.
3. Um elemento de suporte desta tecnologia é um conjunto de instrumentos que permite identificar diferentes variações na randomização e virtualização de dispositivos (como aspectos de distorção no processo de autenticação do dispositivo). As questões de virtualização recentemente estiveram no centro das atenções de muitos especialistas e hoje gostaríamos de dar informações detalhadas sobre a abordagem da JuicyScore para avaliar o risco em virtualização e randomização de dispositivos, bem como discutir alguns aspectos que os proprietários de negócios online precisam observar.

Quais categorias de dispositivos distinguimos?

Se representarmos todo o espaço de probabilidade como uma projeção de dispositivos, podemos distinguir as seguintes categorias, que cobrem 4 tipos de dispositivos. São eles: dispositivos físicos, dispositivos virtuais (máquinas virtuais), dispositivos físicos com randomização e dispositivos virtuais com randomização. Vamos nos aprofundar nessas categorias que você pode ver na imagem abaixo.

1. Dispositivo físico em nossa paradigma é usado quando uma pessoa solicita a obtenção de um produto financeiro ou o login em uma conta pessoal de usuário. Laptops e smartphones mais comuns, com software mais ou menos típico, sem quaisquer anomalias graves em software ou componentes de programa, podem ser considerados esse tipo de dispositivo. Dentro da categoria de dispositivos físicos, também distinguimos dispositivos novos e repetidos - o nível de risco dos repetidos pode, em alguns casos, diferir significativamente do nível de risco dos novos.
2. Dispositivos repetidos são dispositivos distintamente marcados, por exemplo, quando o dispositivo foi usado para solicitar um empréstimo e alguns indicadores de fraude foram identificados ou um empréstimo pessoal está em inadimplência há mais de 90 dias. Nesse caso, pode ser uma segunda tentativa de solicitar um empréstimo.
3. Dispositivo virtual é uma máquina virtual implantada em um dispositivo físico, que é usada para atividades atípicas de um usuário com intenções desconhecidas. Normalmente, tais dispositivos virtuais podem não ser projetados para realizar operações conectadas com atividades financeiras (por exemplo, solicitar um empréstimo ou crédito) ou podem estar relacionados à área legal duvidosa.
4. O que é um dispositivo virtual ou máquina virtual? É qualquer tipo de dispositivo (PC, tablet, smartphone etc.) criado com software especial ou código de programa. Na verdade, esse dispositivo não difere de qualquer computador/laptop/smartphone físico ou mesmo de um servidor. Ele também possui uma unidade de processamento, módulo de memória, armazenamentos de dados e arquivos, e também pode se conectar à Internet, se necessário. No entanto, enquanto computadores reais possuem sistema de armazenamento físico, módulos de memória e chipsets de microprocessador, as máquinas virtuais ou computadores definidos por software existem apenas como código. A máquina virtual pode ser um grande instrumento para lidar com questões relacionadas à proteção de dados e entrega segura de programas, teste de código, pesquisa de desempenho de software.
5. O dispositivo virtual facilita muito as operações de infraestrutura de TI da empresa e também aumenta a produtividade devido à otimização de recursos. O uso de tais tecnologias na obtenção de produtos e serviços financeiros pode indicar intenções maliciosas do usuário e, portanto, pode levar a um alto risco para o negócio.
6. Falando de randomização, implicamos o uso de qualquer software ou código usado para adicionar várias anomalias para ofuscação da impressão digital do dispositivo (device fingerprint) ou ocultação de atividades do usuário. Pode-se randomizar um dispositivo físico ou adicionar alguma interferência a um dispositivo virtual (em termos de nossa descrição de categorias).
7. Dispositivos virtuais randomizados são o tipo mais sofisticado de fraude, que requer habilidades tecnológicas avançadas. Neste estudo, não consideramos este tipo de dispositivo em detalhes, assim como o aspecto da randomização de conexão de rede. Do ponto de vista da prevenção prática de fraudes, é mais importante identificar as tecnologias de randomização no dispositivo, o que, na maioria dos casos, é suficiente para a tomada de decisão. Usar randomizadores para simular a operação de conexão de rede, bem como testar código, é absolutamente normal, no entanto, usar esse software para solicitar produtos financeiros e visitar os sites de credores online é difícil de considerar como atividades humanas normais.

A abordagem apresentada permite cobrir completamente todo o espaço de probabilidade do dispositivo e também especificar de forma muito minuciosa o segmento e avaliar o risco. Como podemos ver na imagem acima, os dispositivos físicos têm o risco relativo de fraude mais baixo, enquanto os dispositivos repetidos entre os físicos podem ter um risco maior. Tais dispositivos podem ser avaliados em termos de riscos de crédito e, em alguns casos, com verificação facilitada. Dispositivos virtuais são altamente arriscados e, portanto, verificação/validação adicional deve ser realizada. Dispositivos com randomização são os mais perigosos em termos de risco e recomendamos negar tais solicitações.

A simplicidade aparente na superfície talvez seja menor se nos aprofundarmos em tecnologias sofisticadas. Em primeiro lugar, não há um único dispositivo além dos segmentos mencionados acima. Portanto, essa abordagem nos permite capturar todo o cenário. Em segundo lugar, essa abordagem pode ser caracterizada como realmente sustentável e de alta eficácia, validada por nossa experiência de trabalho em mais de 20 países em todo o mundo.

Como nossas tecnologias ajudam a avaliar riscos?

Variáveis de índice são uma parte essencial dos atributos do vetor de dados da JuicyScore. Damos grande atenção a elas em um de nossos artigos anteriores - Deep Machine Learning: no caminho para a verdade. Mas como exatamente podemos avaliar o risco usando os dados da JuicyScore? Para entender melhor a essência tecnológica da nossa abordagem, precisamos olhar para algumas variáveis (ou variáveis do tipo IDX em nosso vetor de dados padrão), que criamos usando os algoritmos de aprendizado de máquina profundo (deep machine learning).

IDX1 é uma combinação de 50+ eventos raros, que mostram alta probabilidade de fraude por meio de manipulação técnica do dispositivo. Esta variável inclui toda a variedade de ferramentas de randomização de dispositivos, técnicas de interferência na "impressão digital digital" (digital fingerprint), bem como determina os marcadores mais perigosos de comportamento de alto risco do usuário e marcadores de conexão de rede. A variável pode ser usada tanto em regras quanto como componente de um modelo de prevenção à fraude para identificar os segmentos de clientes mais perigosos. O nível de risco aumenta junto com o valor do parâmetro; valores altos podem ser usados como filtros para negação automática.

Como podemos ver no gráfico, o indicador de variabilidade 0 significa baixo risco, 1 - risco médio, quando verificação/validação adicional deve ser realizada, indicador 2+ significa alto nível de risco e, nesses casos, recomendamos negar tais aplicações.

Além do uso de randomizadores, que são identificados com o IDX1, bem como com os fatores de parada separados - por exemplo, cópia da sessão de outro dispositivo (variável do vetor session clone), identificação de anomalias no cabeçalho da sessão web (variável do vetor UserAgent Issue), indicação de manipulação com a paleta de cores (variável Canvas blocker) - também deve-se dar grande atenção a anomalias do navegador ou do sistema operacional.

IDX3 é uma combinação de marcadores de risco secundários e anomalias do dispositivo, onde cada anomalia individual pode refletir um risco possível, que deve ser levado em consideração durante a verificação do mutuário. A combinação de tais marcadores destaca um segmento de alto risco. Da mesma forma que o IDX1, o nível de risco aumenta junto com o valor da variável, e valores altos podem ser usados para negação automática.

Como podemos ver no gráfico, o indicador de variabilidade 0 significa baixo risco, 1 - risco médio, quando verificação/validação adicional deve ser realizada, indicador 2+ significa alto nível de risco e, nesses casos, recomendamos negar tais aplicações.

A tabulação cruzada (cross-tabulation) de vários valores de índices também pode fornecer informações importantes sobre o nível de risco. Por exemplo, se IDX1 e IDX3 forem iguais a 0, há uma alta probabilidade de que nenhuma randomização e virtualização sejam identificadas, e estamos lidando com um dispositivo físico.

Esta é apenas uma pequena ilustração da abordagem prática das tecnologias de detecção de randomização e virtualização e seu uso na avaliação de risco e prevenção de fraudes.

A excelência em antifraude atende aos padrões do setor

Atualmente, as soluções de antifraude mais informativas e bem-sucedidas precisam atender aos requisitos comumente aceitos pelo setor:

1. Detecção de risco de fraude em tempo real: centenas de fraudadores podem atacar o recurso de uma instituição financeira em um curto período de tempo;
2. Alto valor informacional dos dados - para melhorar a qualidade dos sistemas de tomada de decisão;
3. Análise do comportamento do usuário e verificação de correlações ocultas.

No entanto, como todos sabemos, em antifraude e gerenciamento de risco não existe uma única abordagem universal que resolveria qualquer problema e daria 100% de resultado. A equipe JuicyScore acredita que cada nova abordagem autossustentável encontrará seu lugar.