GH GambleHub

Wykrywanie nadużyć finansowych

Wykrywanie nadużyć finansowych

Antyfraud to nie tylko "model ryzyka. "To jest obwód: znormalizowane zdarzenia → funkcje i wykresy → zasady/modele → decyzja i działanie → wyjaśnienia i odwołania → pomiar efektu i kontrola dryfu. Poniżej znajduje się instrukcja systemu mająca zastosowanie do platform płatniczych i gier, marketplaces i usług fintech.

1) Mapa zagrożenia (co chronimy)

Systemy płatności: skradzione karty, testy kart, obciążenia zwrotne, przyjazne oszustwa.
Ryzyko związane z kontem: hacking/interception, multiaccounting, abuse bonus, farmy urządzeń.
KYC/AML: fałszywe dokumenty, manekiny, gotówka, sankcje/ryzyko PEP.
Zachowanie: boty, skrypty, nieprawidłowe wzorce stawek/transakcji.
Partner: oszustwo ruchu/skierowania, stymulacja złóż o niskiej jakości.

2) Sygnały i surowce

Urządzenie/sieć: odcisk palca urządzenia, płótno/wag, emulatory, IP/ASN/proxy/VPN, geovelositi.
Płatność: BIN/MCC/card country, 3DS/ECI, AVS/CVV wyniki, prędkość (według karty/konta/urządzenia), odchylenia limitu.
Zachowanie: szybkość form, trajektorie myszy/dotyku, czas zamieszkania, sekwencja działań.
Społeczny/wykres: zbieg okoliczności telefonów/e-mail/mapy/adresy/urządzenia, wspólne cechy z „złymi” węzłami.
CUS/Documents: OCR quality/selfie-matching/liveliness (livity), date/source, black lists/sanctions.

3) Sklep funkcyjny (punkt w czasie)

Okna czasowe: 5m/1h/24h/7d dla funkcji prędkości; expon. wygładzanie.
Jednostki według tożsamości: user_id, telefon, e-mail, mapa, urządzenie, IP/ASN.

Geo/Czas: Kraj/Region/Timezone/Profile lokalnych wakacji

Wykres funkcji: liczba stopni/trójkąta/ Rank, odsetek połączeń ze złymi, składnik.
Jakość KYC: OCR zaufania, edycja odległości nazw/adresów, walidacja IBAN/TIN.
Anty-twarze: ściśle punktowo w czasie, bez przyszłych znaków; parytet online/offline.

4) Znaczniki i zmienne docelowe

Cele: obciążenie zwrotne = 1, confirmed_fraud=1, bonus_abuse=1.
Okna odroczonej prawdy: tagi przychodzą po T (obciążenia zwrotne), użyj „frieze” okresu podczas nauki.
Dystrybucja: silny brak równowagi (0. 1-1% „jednostek”) → staranne ważenie/pobieranie próbek.
Tagi zastępcze: ręczne potwierdzenia i odwołania - zachować pewność siebie.

5) Modele i podejścia

Zasady (policy-as-code): białe listy/czarne listy, progi prędkości, geowelocity, atrybuty niezgodne ze wspólnym rynkiem. Szybka, zrozumiała, baza dla bezpieczeństwa awaryjnego.
Nadzór: podnoszenie gradientu/las, regresja logistyczna, tabelaryczne NN z kosztowo wrażliwą utratą.
Anomalie: izolacja lasu, LOF, solidny z-score/sezonowy-rozkład, autoenkodery.
Podejścia do wykresu: prognoza linków, osadzanie GNN/DeepWalk, ogólne zasady urządzenia/mapy.
Hybrydy: kaskada (zasady → ML → wykres), komplety z różnymi grzywnami za FP/FN.
Kalibracja: Platt/Isotonic dla prawdopodobieństwa; progi od kosztów błędów.

6) Wskaźniki jakości (skupienie się na klasach rzadkich)

PR-AUC jako pierwszorzędowe; Wartość ROC-AUC jest drugorzędna w zaburzeniach równowagi.
Przypomnij @ FPR ≤ x%, Precision @ k, Narzędzie wrażliwe na koszty.
Pokrycie i Latency p95 do punktacji produkcji.
Uczciwość/Szkoda: Błędy według segmentu Country/Device/Payment Method.

7) Polityka progowa i histereza

Oddzielić strefy rozwiązania:
  • "wynik ≥ τ_block' → autoblok;
  • wynik <τ_block' → ręczna recenzja;
  • 'wynik <τ_review' → pominięcie.

Dodać histerezę (próg wejściowy/wyjściowy jest inny) i chłodzenie (minimalne odstępy czasu wstecznego), aby uniknąć „mrugnięcia”.

Przykład tabeli decyzji

WarunekKontekstDziałaniePoręcze ochronne
"wynik ≥ 0. 95 "ила" urządzenie w czarnej liście "płatnośćBlokowanieFPR ≤ 0. 3%, SLA <1c
`0. 8 ≤ wynik <0. 95 "i" kwota> Q90 "płatnośćPrzegląd rąkSLA 2h
'geo-prędkość> 1,000km/h' i '# 3D'uwierzytelnianieKrok do przodu KYC/3DSZhaloby ≤ Kh

8) Obwód online: punktacja i orkiestra

Streaming: Wydarzenia przez autobus; funkcje ze sklepu internetowego; idempotencja poprzez 'event _ id'.
Opóźnienie: cel p95 (na przykład ≤ 100-300 ms na żądanie).
Orchestrator: gwarantowana dostawa, retrai/backoff, DLQ, limit szybkości w różnych kanałach.
Kanały działania: 3DS/step-up, blokada/limit, blok, żądanie dokumentów, bilet do kierownika sprawy, powiadomienie użytkownika.
Audyt: end-to-end 'correlation _ id' „signal → resheniye → deystviye → iskhod”.

9) Zarządzanie ludźmi w pętli i przypadkami

Przypadki: zagregowane incydenty/dowody, przedstawić wyjaśnienie (najważniejsze cechy/zasady, wykres-sąsiedzi).
Uprawnienia: auto-blok/częściowy limit/żądanie dodatkowego ACC/zamknięcia.
Szkolenie: edycje analityków wracają do danych (relabel), leasing aktywów na granicy.
SLA: priorytet P1/P2, czas reakcji, kolejki, udostępnianie ładunków.

10) Analiza wykresu w praktyce

Свиса: 'Urządzenie użytkownika "," Urządzenie użytkownika ".
Wzory: „gwiazdy” testowania kart, „komponenty” nadużyć bonusowych, proxy ogólne/VPN.
Punktacja węzłów/krawędzi: ważony Rank, podejrzliwość według proporcji złych sąsiadów.
Zapobieganie: kwarantanna nowych węzłów, jeśli są one zawarte w „zainfekowanym” składniku.

11) KYC/AML/sankcje i przestrzeganie przepisów

Mecz: listy sankcji/POP/media adresowe; fuzzy search, name normalization/transliteration.
Dokumenty: żywotność/anty-spoofing, MRZ/kontrola znaków wzrokowych, geo-konsystencja.
Monitorowanie transakcji: zasady dotyczące kwot/progów/łańcuchów transferów, scenariusze zostały zresetowane.
Zarządzanie: RLS/CLS, maskowanie PII, dziennik decyzji, możliwość wyjaśnienia i ścieżka odwołania.

12) Oszacowanie skutków (nie tylko „dokładność”)

Ekonomia rozwiązań: 
[
XT =\tekst {. damage} -\text {Koszt fałszywych bloków} -\text {Koszty transakcji}
]

Polityki/testy: A/B/quasi-eksperymenty (DiD) dla progów i zasad; bandyci wybierają metodę krok-up.
Poręcze: skargi/odwołania, NPS, odsetek „nieprawidłowych zamków” (FPR), opóźnienia.

13) Monitorowanie, dryfowanie i SLO

Jakość: PR-AUC/Recall @ FPR przez okno przesuwne; kalibracja prawdopodobieństwa.
Drift: PSI/KL według kluczowych funkcji, udział „nieznanych” BIN/ASN, nowe klastry urządzeń.
Operacje: opóźnienie p95, udział czasu,% ręcznych eskalacji, przegląd zaległości.
SLO: dostępność> 99. 9%, decyzja → Działanie p95 ≤ 2-5 c; „stopcock” w przypadku degradacji jakości danych.
Runibooks: skok w testowaniu kart, spadek w 3DS, dostawca przerw, burza kłód.

14) Architektura danych i kodów

Wydarzenia: schemat kanoniczny (UTC, wersja, źródło), klucze idempotentne.
Sklep funkcyjny: parytet online/offline, loty punktowe w czasie, przekształcenia wersji.
Modele: rejestr wersji, odtwarzalne rurociągi, certyfikacja w produkcji, cień-start.
Zasady-as-Code: repozytorium git, listy przeglądów/list kontrolnych, testy regresji.
Możliwość wyjaśnienia: dziennik wagi SHAP/reguły, próbki przypadku do szkolenia wspomagającego.

15) Bezpieczeństwo, prywatność, etyka

Minimalizacja PII: tokenizacja/hashing identyfikatorów; oddzielne „bezpieczne” sklepy.
Dostęp: RLS/CLS i audyt odczytuje/przesyła; eksport - z żetonami i terminami.
Uczciwość: Badanie różnicowania błędów według regionu/metody, wyeliminowanie nieprawidłowych atrybutów.
Przejrzystość: uzasadnienie decyzji i zrozumiałe odwołanie do użytkownika.

16) Pseudo-SQL i przepisy

Dziennik transakcji Idempotent

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

Funkcje prędkości (okno 24h)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17) Lista kontrolna dotycząca zwalczania nadużyć finansowych

  • Sygnały i obwody znormalizowane, włączone
  • Funkcja Sklep z punktem w czasie, online/offline parytet
  • Etykiety są tworzone bez twarzy, odroczone okna prawdy są brane pod uwagę
  • Polityka progowa z histerezy i nasilenia, SLA i bariery ochronne ustalone
  • Zarządzanie przypadkami i ludzie w pętli są skonfigurowani, dostępna jest możliwość wyjaśnienia
  • Metrics: PR-AUC, Recall @ FPR, Cost-utility; diagnostyka uczciwości
  • Drift/Error Monitoring, Alerts, Incydent Runibooks
  • Zarządzanie: wersje modelu/reguły, recenzje, audyty rozwiązań, zgodność KYC/AML
  • Plan A/B/DiD dla progów/polityk; bezpieczny folback na zasadach

Razem

Silne przeciwdziałanie oszustwom jest hybrydą zasad, modeli i wykresów w kontrolowanej pętli: wysokiej jakości sygnały i funkcje → polityka progowa z histerezą → szybkie punktowanie online i orkiestrowanie działań → ludzie w pętli i przejrzyste odwołania → metryki efektu i kontrola dryfu. Stosując się do tego programu, można zmniejszyć straty, ograniczyć szkody z fałszywych zamków i utrzymać zaufanie użytkowników i regulatorów.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.