Антифрод және ереже тюнингі
TL; DR
Антифрод - бұл «қаскүнемдерді аулау» емес, пайданы оңтайландыру: Cost of Friction (CoF) және AR_net шектеу кезінде фрод пен чарджбектерден Expected Loss (EL) азайтамыз. Базалық схема: скоринг (ML) → табалдырық/шегенше step-up → ережелер (policy & velocity) → қолмен тексеру. Табыс береді: таза лейблдер, тұрақты фичтер, экономикалық калибрленген табалдырық, канареялық релиздер, қатаң демпотенттілік және ережелердің басқарылуы.
1) Экономикалық қойылым
Expected Loss:- `EL = P_fraud(tx) × Exposure(tx)`; әдетте 'Exposure = captured_amount'.
- `CoF = (Abandon_on_Friction × LTV_new/ret) + Opex_review + Fees_stepup`.
- `Profit = GGR − Cost_payments − EL − CoF`.
Оңтайлы 'τ' табалдырығы: score-cutoff 'd (Profit )/d τ = 0' немесе min ('EL + CoF') торы бойынша таңдаймыз. Практикада - cost-sensitive ROC/PR мынадай салмақтармен: 'w _ fraud = Exposure', 'w _ fp = LTV_loss + opex'.
2) Аутентификация шегендері (step-up ladder)
1. Auto-approve (төмен тәуекел): жылдам өту, 3DS frictionless мүмкін жерде.
2. Step-up A: 3DS challenge / SCA / device-challenge / reCAPTCHA.
3. Step-up B: легкий KYC (doc selfie/face-match, liveness).
4. Manual review: кейс талдаушыда (SLA, reason-codes).
5. Auto-decline: жоғары тәуекел/санкциялар/қашырлар/ваучерлік аномалиялар.
Табалдырық/тармақ скорингтік балға, сомаға ('ticket _ size'), елге, BIN/issuer, мінез-құлық белгілері мен контекстіне (бонус-науқандар, түнгі терезелер, velocity) байланысты.
3) Сигналдар мен фичтер (ең аз базис)
Төлем: BIN/IIN, issuer_country, ECI/3DS flow, AVS/CVV match, soft-decline кодтары, тарихтағы қайтарымдар/disputes.
Мінез-құлық: оқиғалардың жылдамдығы (velocity: 'cards/device/ip/email'), тәулік уақыты, first-seen/last-seen, аккаунттардың «топологиясы» (баған-байланыстар: жалпы құрылғылар/карталар/әмияндар).
Құрылғы/желі: device fingerprint, эмуляторлар/джейл/рут, прокси/VPN/TOR, ASN/хостингтер.
Анти-бонус: реферал-синдикаттар, «айдау» бонустар, аномальды паттерндер депозит → ойынсыз шығару.
Төлемдер/әмияндар/ваучерлер: PIN қайталаулары, гео-мисматч, «жылдамдық» сирек кездесетін, мулингтік каскадтар.
KYC/KYB: деңгей, валидация, SoF/SoW жалаулар.
Санкциялар/ТБП/блок-парақтар: тізімдер бойынша сәйкес келу, фуззи-матч ТАӘ/мекенжайлар.
4) Стек: ML + ереже
5) Сапа өлшемдері (нақты базалары бар)
AR_clean = `Auth_Approved / (Auth_Attempted − Fraud_preblocked − Abandon_3DS)`
Fraud Rate (қармау бойынша) = 'Fraud _ captured _ amount/ Captured_amount'
Chargeback Rate = 'Chargeback _ count/ Captured_Tx' (немесе сома бойынша)
False Positive Rate (FP) = `Legit_declined / Legit_attempted`
Step-up Rate = `StepUp_tx / Auth_Attempted`, Abandon_on_StepUp
Auto-approve %, Manual review %, Review SLA/TtA
Тюнингтен кейін Net Profit uplift (AB айырмасы EL + CoF vs бақылау).
Бағдарлар: FP жаңа пайдаланушыларда ≤ 1-2% (көлемі бойынша), Fraud (сомасы бойынша) - лицензияның/схеманың нысаналы дәлізінде.
6) Шектер және ережелер саясаты
6. 1 Табалдырықты калибрлеу
cost-curve жасаймыз: әрқайсысы үшін 'τ' деп есептейміз 'EL (τ) + CoF (τ)'.
Ең аз 'τ' таңдаймыз. high-ticket үшін - жеке 'τ _ hi'.
6. 2 Үлгілік ережелер (жалған құжат)
yaml
- name: SANCTIONS_HIT when: sanctions_match==true action: DECLINE reason: "Sanctions/PEP match"
- name: BIN_RISKY_3DS when: bin in RISKY_BINS and score in [τ_low, τ_mid)
action: STEPUP_3DS
- name: DEVICE_VELOCITY_LOCK when: device_id in last_10min.deposits > 3 action: DECLINE_TEMPORARY ttl: 2h
- name: BONUS_ABUSE_GUARD when: (bonus_received and gameplay_turnover < Xdeposit_amount) and payout_request action: HOLD_REVIEW reason: "Turnover not met"6. 3 Динамикалық лимиттер
Тәуекел деңгейі бойынша транзакциялар сомасы мен санының лимиті (risk-tier): 'R1/R2/R3'.
Жаңа аккаунттар үшін бейімделетін лимиттер, жақсы тарихы бар жылыту.
7) Ережелердің өмірлік циклі (governance)
Нұсқалары, иеленушісі және әсер сипаттамасы бар ережелердің DSL/тізілімі.
Shadow mode → canary (5–10%) → full rollout.
RACI: Owner (Payments Risk), Approver (Compliance/Legal), Consulted (Support/Treasury), Informed (Ops).
Аудит-лог: кім/қашан өзгертті, қандай өлшемдер/АВ, қайтарым.
Ереженің жарамдылық мерзімі және қайта бағалау (мысалы, 30/60 күн).
8) Деректер және модельдерді оқыту
Уақыт бойынша, ағынсыз (тек өткен терезеден ғана features).
Мақсатты лейбл: confirmed fraud/chargeback; жеке лейблдер bonus abuse.
Жиынтығы бойынша сыныптарды reweighing (amount-weighted loss).
Drift-мониторинг: PSI негізгі көрсеткіштер үшін, KS жылдамдықтар үшін, baseline stability.
Retrain триггерлері: PSI> 0. 25, KS құлдырауы, трафиктің/юрисдикциялардың өзгеруі.
9) Түсініктілік және саппорт
Әрбір шешім үшін адам оқитын кеңестері бар reason_codes (5-ке дейін) шығарамыз.
Саппорт-макростар (3DS, KYC, turnover).
Даулар/пікірталастар: кері байланыс labeling pipeline-ге түседі (циклді жабамыз).
10) Комплаенс және құпиялылық
GDPR/DSAR: шешімді түсіндіру құқығы; PII азайту; идентификаторларды хэштеу (salted) (email/phone/PAN-токен).
PCI-DSS: PAN-safe ағындары, токенизация.
Санкциялар/AML: МLRO скринингінің + эскалациясының жеке контуры.
Retention: сигналдарды сақтау саясаты және шешімдер негіздемесі.
11) Мониторинг және аллергия (сағат сайын/күн сайын)
AR_clean, Fraud (amt%), FP (retention-weighted), Step-up/Abandon, Review SLA, Chargeback Rate (lagged).
Velocity дәнекерлеулері, TOR/Proxy/ASN-хостингтердің өсуі, BIN-деградациялары, ваучер-сирек.
Алерталар: FP> дәліз, Fraud> таргета, Abandon> база + X п.п., дрейф PSI/KS.
12) SQL-кесінділер (мысал)
12. 1 Негізгі метриктер
sql
WITH base AS (
SELECT
DATE_TRUNC('day', attempt_ts) d, country, provider, method_code,
COUNT() FILTER (WHERE auth_status='ATTEMPTED') AS attempted,
COUNT() FILTER (WHERE auth_status='APPROVED') AS approved,
COUNT() FILTER (WHERE decision='DECLINE' AND label='LEGIT') AS fp_cnt,
SUM(captured_amount) AS cap_amt,
SUM(CASE WHEN label='FRAUD' THEN captured_amount ELSE 0 END) AS fraud_amt
FROM payments_flat
GROUP BY 1,2,3,4
)
SELECT d, country, provider, method_code,
approved::decimal/NULLIF(attempted,0) AS ar_clean,
fraud_amt::decimal/NULLIF(cap_amt,0) AS fraud_rate_amt,
fp_cnt::decimal/NULLIF(attempted,0) AS fp_rate
FROM base;12. 2 Step-up және бас тарту үлесі
sql
SELECT
DATE_TRUNC('day', attempt_ts) d,
WIDTH_BUCKET(score, 0, 1, 10) AS bucket,
AVG(CASE WHEN decision='STEPUP' THEN 1 ELSE 0 END) AS stepup_share,
AVG(CASE WHEN decision='DECLINE' THEN 1 ELSE 0 END) AS decline_share,
AVG(CASE WHEN stepup_abandon THEN 1 ELSE 0 END) AS abandon_after_stepup
FROM risk_events
GROUP BY 1,2
ORDER BY d, bucket;13) Тюнинг плейбуктері
Тұрақты FP → көтеру 'τ' кезінде Fraud (amt%) өсуі ,/ASN құрылғылары бойынша velocity күшейту, осал BIN 3DS-challenge қосу.
Жаңа → жоғары FP low-ticket үшін 'τ' жұмсарту, ауытқу орнына бөлігін Step-up A-ға аудару.
Abandon 3DS ↑ → PSP-мен 3DS2-параметрлері туралы келісу, UX жақсарту, low-risk үшін мобильді step-up тарылту.
Синдивидуалдық бонус-желілер → графалық фичтер, «параллельді» төлемдерді, turnover-ережелерді лимиттеу.
Ваучерлік аномалиялар → velocity PIN/ретейлер бойынша/гео, device-binding, hold верификацияға дейін.
14) Енгізу: чек-парақ
- Шекті экономикалық калибрлеу ('EL + CoF'), жеке 'τ' сегменттер бойынша.
- Ережелер тізілімі (DSL), shadow → canary → rollout, аудит және кері қайтару.
- Reason-codes және коммуникация үлгілері.
- PSI/KS мониторингі, фич/жылдамдық дрейфі, тұрақты retrain.
- Кері байланыс арнасы (диспуттар → лейблдер).
- KYC/step-up, SLA review және TtA/TtR саясаты.
- Құпиялылық: идентификаторларды хэштеу, PII минимизациясы.
15) Түйіндеме
Антифрод тюнингі - бұл басқарылатын фрикциямен пайданы жүйелі оңтайландыру: ML-скоринг + ойластырылған еңіс step-up, қатаң заңды ережелер және ұқыпты velocity-лимиттер. Табалдырықты экономикалық калибрлеу, таза лейблдер, канареялық орналасулар және қатаң басқарушылық сома бойынша төмен Fraud, жаңаларда төмен FP, жоғары AR_net - комплаенс және UX үшін тосын сый бермейді.