Есть форма мошенничества, которая не похожа на мошенничество.

В этом материале о синтетическом мошенничестве идентичности. Почему он годами остается невидимым для традиционных систем безопасности, как машинное обучение изменяет логику обнаружения и почему момент детекции определяет все.

Артем Ляшанов
Предприниматель, финтех-эксперт и инвестор

Что такое синтетическое мошенничество

Синтетическая идентичность это не воровство чужой личности. Это конструирование новой. Мошенник берет реальный номер социального страхования и дополняет его вымышленным именем, датой рождения, адресом. Далее открываются защищенные кредитные карты, погашаются небольшие ссуды, наращивается лимит.

Завершается он «bust-out» – одновременным разорением всех доступных кредитных линий перед полным исчезновением.

Масштаб проблемы редко попадает в заголовки именно потому, что обнаружить ее сложно. Утраты фиксируются месяцами позже, часто в статистике списаний, а не как отдельные дела.

$20B+ ежегодные потери от синтетического мошенничества только в США
85% финансовых учреждений фиксируют рост атак год к году
~3 года среднее время выращивания синтетической идентичности к bust-out

«Синтетическое мошенничество – это вызов не только для безопасности, но и для нашей способности отличать реальность».

Артем Ляшанов

Почему правильные системы не справляются

Чтобы понять, почему традиционная защита бессильна, нужно понять логику, на которой она построена. Rule-based системы задают бинарные вопросы: действителен ли этот номер социального страхования? Существует ли этот адрес? Не попадает ли это имя в список блокировки?

Синтетическая идентичность проходит все эти проверки без проблем. Номер действителен, адрес реальный, имя никогда не фигурировало ни в каких базах. Каждый отдельный сигнал смотрится чисто. Проблема состоит в том, что между данными. Связь между номером телефона и тридцатью семью другими заявками, открытыми за последние девяносто дней.

Синтетическое мошенничество – идеальное преступление для эпохи правовых систем. Машинное обучение это то, что его завершает.

Как это устроено на самом деле

Современная система обнаружения мошенничества – это слоистая архитектура специализированных моделей, каждая из которых атакует проблему из собственного угла. Ни одна не достаточно, вместе они закрывают большинство векторов атаки.

● Первый слой – графовые нейронные сети

Самый мощный прорыв в выявлении синтетических идентичностей – это применение графовых нейронных сетей. Каждая идентичность, реальная или фиктивная, оставляет паутину связей (общие телефонные номера, пересекающиеся адреса, одно устройство для нескольких заявок, IP-адреса из одного подсетевого кластера).

GNN отображают эти связи как узлы и ребра в графе, а затем учатся распознавать, какие паттерны соединений статистически коррелируют с мошенничеством. Отдельно взятая синтетическая идентичность может выглядеть безупречно, но когда сеть видит, что ее номер телефона связан с сорока семью другими аккаунтами, открытыми за последние три месяца, сигнал риска резко растет.

● Второй слой – поведенческая биометрия

Мошенники, заполняющие формы, ведут себя иначе, чем реальные пользователи. Они вставляют данные вместо того, чтобы их набирать. Они перемещают мышь по прямым линиям. Они завершают формы со скоростью, недостижимой для человека. Модели поведенческой биометрии, обученные на миллионах реальных сессий, обнаруживают эти микропаттерны в реальном времени.

● Третий слой – разведка устройств

Для работы синтетическая идентичность требует устройства. Платформы device intelligence снимают отпечаток каждого набора аппаратных и программных сигналов и сравнивают их с известными мошенническими устройствами.

Что на самом деле означает реальное время

Фраза «обнаружения в реальном времени» стала такой же обессиленной, как «облачное решение» или «искусственный интеллект нового поколения». Следует уточнить, что за ней стоит технически.

● Первое – слой device intelligence, который начинает оценивать сессию в момент ее открытия, а не когда заявка отправлена;

● Второе – потоковый feature store, который вычисляет скоростные и графовые признаки миллисекунд на живых данных;

● Третье – инференс-инфраструктура, способная обслуживать прогнозы модели с задержкой менее пятидесяти миллисекунд даже при пиковой нагрузке;

● Четвертое – скорость принятия решений, переводящая оценки в действии без участия человека.

«Когда мы интегрируем девайс-интеллект с поточными графовыми признаками, мы перестаем бороться с последствиями мошенничества и начинаем деконструировать саму логику атак в момент их зарождения. Эффективность антифрод-системы сегодня измеряется миллисекундами, за которые алгоритм успевает идентифицировать аномалию в идеальном с виду цифровом профиле».

Артем Ляшанов

Мошенники адаптируются

Мошеннические кольца зондируют защиту, анализируют, что блокируется, и обновляют тактику. Модель, обученная в 2024 году, может быть ослаблена в 2026-м, не потому, что она плохая, а потому, что атакующее поведение изменилось.

Лучшие ML-системы построены на замкнутой петле обратной связи, где каждый подтвержденный случай мошенничества становится обучающей меткой. Каждый аккаунт, выполнивший bust-out, каждый отпечаток устройства, связанный с известным мошенническим кольцом, каждая сессия поведения, соответствующая подтвержденной бот-активности, все это поступает обратно в переобучение.

Итог

Синтетическая идентичность – это вызов, идеально подходящий под ограничение старых систем и идеально поддающийся методам новых. Она скрывается в зазорах между отдельными проверками данных и раскрывается только тогда, когда анализируются связи между ними.

Но графовые нейронные сети, поведенческая биометрия, разведка устройств вместе закрывают векторы атаки, которые правильные системы физически не видят.

Реальная разница между действующими системами и опаздывающими это момент обнаружения. Для финансовых учреждений, строящих или обновляющих системы защиты от мошенничества, архитектурный вопрос звучит так: где именно в процессе находится ваша точка обнаружения и можете ли вы подвинуть ее поближе к началу?