GH GambleHub

Detecção de fraudes

Detecção de fraudes

Antifrode não é apenas um modelo de risco. Este é um caminho: eventos normalizados → sinais e gráficos → regras/modelos → decisão e ação → explicação e apelações → medição do efeito e controle à deriva. A seguir é uma instrução de sistema que se aplica às plataformas de pagamentos e jogos, ao marketing e aos serviços de fintech.

1) Mapa das ameaças (que protegemos)

Planos de pagamento: cartões roubados, testes de cartões, charjbacks, friendly fraud.
Conta de risco: invasão/interceptação, multicaunts, bónus-abuse, aparelhos de quinta.
KYC/AML: Documentos falsos, pessoas de fachada, forçados, sanções/riscos de RER.
Comportamentos: bots, script, pattern anormais de apostas/transações.
Parcerias: fred de tráfego/refino, estimulação de depósitos de má qualidade.

2) Sinais e matérias-primas

Dispositivo/rede: device fingerprint, canvas/wag, emuladores, IP/ASN/proxy/VPN, geovelosity.
Pagamentos: BIN/MCC/país do cartão, 3DS/ECI, AVS/CVV, velocity (por cartão/conta/dispositivo), desvios de limites.
Comportamento: velocidade de formatos, trajetória do mouse, dwell-time, seqüência de ação.
Social/gráficos: correspondências de telefone/e-mail/mapas/endereços/dispositivos, fitas compartilhadas com nódulos «ruins».
CUS/Documentos: qualidade OCR/selfie-matching/vivência (liveness), data/origem, blacklists/sanções.

3) Engenharia de sinais (função store, point-in-time)

Janelas de tempo: 5m/1h/24h/7d para velocity-fic; Expon. suavização.
Unidades de identidade user _ id, telefone, e-mail, mapa, dispositivo, IP/ASN.
Geo/hora: país/região/timzona/perfis de feriado local.
Grafo-fici: degree/triangle count/PageRank, proporção de ligações com os maus, componentes.
Qualidade KYC: confidence OCR, edit distance nomes/endereços, validação IBAN/INN.
Anti-leques: estritamente point-in-time, sem marcas futuras; online/offline parity.

4) Sinalização e variáveis de destino

Metas: chargeback = 1, confirmed _ fraud = 1, bônus _ abuse = 1.
Janelas de verdade adiada: as marcas vêm depois T (charjbacks), use «frisa» período de aprendizado.
Distribuição: Desequilíbrio severo (0. 1-1% «unidades») → pesagem/sempling com cuidado.
Rótulos de aluguel: confirmações manuais e apelações - mantenha a certeza.

5) Modelos e abordagens

Regras (policy-as-código): listas brancas/negras, liminares de velocity, geovelosity, atributos incompatíveis. Base rápida, explicável para fail-safe.
Supervia: busting/floresta de gradiente, regressão logística, NN de tabela com losses de custo-sensível.
Anomalias: Isolation Forest, LOF, robust z-score/seasonal-decomp, máquinas automáticas.
Abordagens gráficas: link predição, GNN/DeepWalk-embeddings, regras «device/mapa geral».
Híbridos: cascade (regras → ML → Conde), conjuntos com multas diferentes por FP/FN.
Calibragem: Platt/Isotonic para probabilidades; liminares do custo dos erros.

6) Métricas de qualidade (focada em classes raras)

PR-AUC como principal; O ROC-AUC é secundário quando desequilibrado.
Recall@FPR≤x%, Precision@k, Cost-sensitive utility.
Coverage e Latency p95 para varredura.
Fairness/Harms: erros em segmentos de países/dispositivos/métodos de pagamento.

7) Política de liminares e histerese

Divida as áreas de solução:
  • 'score ≥ _ block' → o botão automático;
  • '\_ review score <£ _ block '- verificação manual;
  • 'score <_ review' → passe.

Adicione a histerese (o limite de entrada/saída é diferente) e o cool-down (intervalos mínimos de reativação) para excluir «piscar».

Exemplo de definição de tabela

CondiçãoContextoAçãoGuardrails
`score ≥ 0. 95` или `device in blacklist`pagamentoBloqueioFPR≤0. 3%, SLA <1c
`0. 8≤score<0. 95 'e' soma> Q90 'pagamentoCiúmes manuaisSLA 2h
'geo-velocity> 1000km/h' e 'No 3DS'autenticaçãoStep-up KYC/3DSZhaloby≤Kh

8) Circuito online: montagem e orquestração

Eventos através do pneu; fichas de uma fonte on-line; idimpotência através de 'event _ id'.
Latency: p95 alvo (por exemplo, ≤ 100-300 ms por solicitação).
Orquestrador: entrega garantida, retraí/backoff, DLQ, rate-limit através de canais.
Os canais de ação são 3DS/step-up, hold/limite, bloco, consulta de documentos, tíquete para gerente de mala, notificação ao usuário.
Auditoria: «correlation _ id 'signal→resheniye→deystviye→iskhod» completa.

9) Human-in-the-loop e gestão de mala

Malas: Agregue incidentes/testemunhos, mostre uma explicação (top featuras/regras, conde de vizinhança).
Permissões: controle automático/limite parcial/pedido adicional.
Treinamento: as edições dos analistas voltam para dados (relabel), ativo leninista na fronteira.
SLA: prioridade P1/P2, tempo de reação, filas, distribuição de carga.

10) Análise gráfica na prática

Связи: `user ↔ device ↔ card ↔ phone ↔ email ↔ IP`.
Pattern: «estrelas» de cartão-teste, «componentes» bónus-abyuse, proxy geral/VPN.
Mapeamento de nódulos/costelas: PageRank ponderado, suspiciousness pela proporção de vizinhos ruins.
Antecipando: quarentena de novos nós se eles estiverem no componente «contaminado».

11) KYC/AML/sanções e complacências

Matching: listas de sanções/RER/Adwers Media; pesquisa fuzzy, normalização de nomes/translitoração.
Documentos: vitalidade/anti-spufing, verificação de MRZ/sinais visuais, geo-coerência.
Monitoramento de transações: regras para somas/liminares/cadeias de tradução, os cenários foram contornados.
Revernance: RLS/CLS, camuflagem do PII, logos de decisões, explicabilidade e caminho do recurso.

12) Avaliação do efeito (não apenas «precisão»)

Economia de solução: 
[
EV =\text por aí. dano de 03 -\text\O custo dos blocos falsos
]

Políticas/testes: A/B/quocientes (DiD) para liminares e regras; bandits para selecionar o método step-up.
Guardrails: queixas/apelações, NPS, proporção de «bloqueios errados» (FPR), latency.

13) Monitoramento, deriva e SLO

Qualidade: PR-AUC/Recall @ FPR na janela que desliza; calibrar as hipóteses.
À deriva: PSI/KL em fichas-chave, proporção de «desconhecidos» BIN/ASN, novos clusters de dispositivos.
Operações: p95 latency, proporção de temporizadores,% de escalações manuais, backlog revezamento.
SLO: disponibilidade> 99. 9%, Decision→Action p95 ≤ 2–5 c; «pare-torneira» quando a qualidade dos dados é degradada.
Runibuki: aumento de cartões de teste, queda de 3DS, outage do provedor, tempestade de logs.

14) Arquitetura de dados e código

Eventos: esquema canônico (UTC, versão, fonte), chaves idumpotentes.
Função Store: paridade online/offline, ponto-in-time recets, versionização de transformações.
Modelos: registro de versões, pipline reproduzido, certificação em prod, shadow-arranque.
Rales-as-Código: repositório git, revezamento/folha de cheque, testes de regressão.
Explainability: SHAP/logs de balança de regras, sacolas sementes para treinamento de safort.

15) Segurança, privacidade, ética

Minimizar PII: Toquenizar/hastear identificadores; um cofre individual de armazenamento.
Acesso: RLS/CLS e auditoria de leitura/descarga; exportação - com tocadores e prazos.
Justiça: Teste diferências de erro por região/método, e exclua atributos inválidos.
Transparência: as razões das decisões e o recurso compreensível ao usuário.

16) Pseudo-SQL e receitas

Registro Idumpotente de transações

sql
MERGE INTO fact_payments t
USING staging_payments s
ON t. txn_id = s. txn_id
WHEN MATCHED AND s. updated_at > t. updated_at THEN
UPDATE SET status=s. status, amount=s. amount, updated_at=s. updated_at
WHEN NOT MATCHED THEN
INSERT (txn_id,user_id,card_hash,amount,currency,event_time,created_at)
VALUES (s. txn_id,s. user_id,s. card_hash,s. amount,s. currency,s. event_time,NOW());

Velocity-fici (janela 24h)

sql
SELECT user_id,
COUNT()             AS tx_24h,
SUM(amount)            AS sum_24h,
COUNT(DISTINCT card_hash)     AS uniq_cards_24h,
COUNT(DISTINCT device_hash)    AS uniq_devices_24h,
MIN(event_time)          AS first_tx_24h,
MAX(event_time)          AS last_tx_24h
FROM fact_payments
WHERE event_time >= NOW() - INTERVAL '24 hour'
GROUP BY user_id;

17) Folha de cheque de lançamento de antifrode

  • Os sinais e esquemas são normalizados, a idempotação está ativada
  • Função Store com ponto-in-time, paridade online/offline
  • Marcas formadas sem leques, as janelas da verdade postergada são levadas em conta
  • Políticas liminares com histerese e step-up, SLA e guardas são definidas
  • Gerenciamento de caixa e human-in-the-loop configurados, explicabilidade disponível
  • Métricas: PR-AUC, Recall @ FPR, Valor-utilidade; diagnóstico fairness
  • Monitoramento da deriva/erros, alertas, runibooks incidentes
  • Governance: versões de modelos/regras, revezamento, auditoria de soluções, compliance KYC/AML
  • Plano de A/B/DiD para liminares/políticas; folback seguro para as regras

Resultado

Um forte antifrode é um híbrido de regras, modelos e gráficos em um circuito controlado: sinais de qualidade e fici políticas de liminar com histerese um rápido escrutínio on-line e orquestração de ações human-in-the-loop e apelações transparentes, métricas de efeito e controle à deriva. Seguindo este padrão, você reduz as perdas, limita os danos causados por falsos bloqueios e mantém a confiança dos usuários e reguladores.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.