Как работает антифрод: риск-скоринг, поведенческий анализ, device fingerprinting
Антифрод-система — это не один «магический фильтр», а конвейер из нескольких независимых проверок, которые срабатывают за доли секунды, пока платёж или вход в аккаунт ещё не подтверждён. На входе она собирает признаки операции, прогоняет их через правила и модели машинного обучения, считает риск-скор и выдаёт решение: пропустить, запросить дополнительное подтверждение или заблокировать. **Если коротко:** под капотом работают шесть взаимодополняющих механизмов — риск-скоринг, поведенческий анализ, отпечаток устройства (device fingerprinting), комбинация правил и ML, графовый анализ связей и движок принятия решений в реальном времени. Ни один из них сам по себе не закрывает все сценарии мошенничества: ценность системы — в их сочетании и скорости. Ниже разбираем каждый механизм, что именно он выявляет, как устроена обработка одной транзакции по шагам и на что смотреть при выборе. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге антифрод-систем](/rating/antifraud-transaction-security).
Антифрод оценивает риск операции в моменте
Для финансовых сценариев важны поведенческие признаки, устройство, контекст платежа и скорость реакции на подозрительную активность.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Что такое антифрод и зачем он нужен
Антифрод (anti-fraud, transaction security) — это класс систем, которые в реальном времени оценивают риск операции и предотвращают мошеннические действия: кражу денег со счёта, оплату украденной картой, захват аккаунта (account takeover), вывод средств через подставных получателей, бонусный и промо-фрод. Работают такие системы там, где есть ценная транзакция: в банках и платёжных сервисах, e-commerce, телекоме, страховании, на маркетплейсах.
Ключевое отличие антифрода от обычной защиты периметра — он смотрит не на вредоносный код, а на поведение и контекст легитимных на первый взгляд операций. Мошенник может знать пароль, иметь валидную карту и проходить формальную аутентификацию — и всё равно быть пойманным по аномалии в поведении, устройстве или связях. Для финансовых организаций требования к контролю переводов и противодействию операциям без согласия клиента задаёт регулятор — Банк России ([cbr.ru](https://www.cbr.ru/)), поэтому антифрод для рынка ДБО это ещё и вопрос комплаенса.
Шесть механизмов: как антифрод принимает решение
Под «антифродом» обычно понимают связку из нескольких движков, которые работают параллельно и подают сигналы в общий расчёт риска. Разберём их по порядку — от самого заметного к самому неочевидному.
- **Риск-скоринг.** Каждой операции присваивается числовой балл риска. Скор складывается из десятков и сотен факторов: сумма и валюта, время суток, новизна получателя, геолокация, история клиента. Дальше скор сравнивается с порогами — отсюда решение «пропустить / проверить / отклонить». - **Поведенческий анализ.** Система строит профиль нормального поведения пользователя (типичные суммы, контрагенты, устройства, ритм действий) и ловит отклонения. Сюда же относится поведенческая биометрия — как человек печатает, двигает мышью, держит телефон. - **Device fingerprinting.** Сбор устойчивого «отпечатка» устройства и браузера: модель, ОС, разрешение экрана, шрифты, параметры сети. Помогает связать одного мошенника, заходящего с разных аккаунтов, и отличить знакомое устройство от нового. - **Правила + машинное обучение.** Жёсткие правила (например, лимиты и чёрные списки) дают прозрачность и мгновенную реакцию на известные схемы; ML-модели ловят новые и неочевидные паттерны, которые правилами не описать. На практике их используют вместе. - **Графовый анализ.** Операции, счета, устройства и получатели представляются как граф связей. Это вскрывает дроп-сети, фрод-кольца и мулов — когда отдельная транзакция выглядит чистой, но связи указывают на организованную схему. - **Движок реального времени.** Всё перечисленное должно успеть отработать до подтверждения операции — за десятки миллисекунд. Скорость и есть отдельный инженерный механизм: потоковая обработка, кэш профилей, асинхронные дообогащения.
Механизм → что он выявляет
| Механизм | На что смотрит | Что выявляет |
|---|---|---|
| Риск-скоринг | Признаки операции в сумме → балл | Совокупный риск платежа, превышение порогов |
| Поведенческий анализ | Отклонения от профиля пользователя | Захват аккаунта, нетипичные переводы, социальная инженерия |
| Device fingerprinting | Отпечаток устройства и браузера | Новые/чужие устройства, эмуляторы, фермы устройств |
| Правила + ML | Известные схемы и скрытые паттерны | Знакомый фрод (правила) + новые аномалии (модели) |
| Графовый анализ | Связи между счетами и получателями | Дроп-сети, фрод-кольца, денежные мулы |
| Движок реального времени | Время отклика на операцию | Возможность остановить платёж до подтверждения |
Вклад механизмов в покрытие сценариев фрода
Усреднённая редакционная оценка значимости механизма для типового профиля транзакционного фрода по открытым данным. Это не вендорский бенчмарк: в конкретном проекте веса зависят от ваших сценариев.
Как обрабатывается одна транзакция: 6 шагов
-
01
Поступление операции
Клиент инициирует платёж или вход; система получает событие до его подтверждения и фиксирует исходные параметры.
-
02
Сбор и обогащение признаков
Подтягиваются отпечаток устройства, геолокация, история клиента, репутация получателя, поведенческие сигналы текущей сессии.
-
03
Проверка правилами
Жёсткие правила и списки отсекают заведомо запрещённое (лимиты, блок-листы) и мгновенно реагируют на известные схемы.
-
04
Оценка ML-моделями
Модели считают вероятность фрода по скрытым паттернам, которые не покрыты правилами, и добавляют свой вклад в общий балл.
-
05
Расчёт риск-скора и решение
Сигналы сводятся в итоговый скор; по порогам выбирается действие: пропустить, запросить подтверждение (шаг-ап) или отклонить.
-
06
Действие и обратная связь
Решение исполняется за миллисекунды, событие уходит в мониторинг; подтверждённые исходы возвращаются в модели для дообучения.
Антифрод в цифрах: ориентиры по архитектуре
Скоринг, поведение, fingerprint, правила+ML, граф, реал-тайм
Решение должно успеть до подтверждения операции
Пропустить / запросить подтверждение / отклонить
Прозрачность правил + адаптивность моделей вместе
Почему правила и ML работают только вместе
Соблазн выбрать «что-то одно» возникает у многих команд, но на практике движки дополняют друг друга. Правила прозрачны, объяснимы и срабатывают мгновенно — их легко поправить под новую известную схему и показать аудитору, почему операция отклонена. Но правила не масштабируются на тысячи комбинаций и не ловят то, что заранее не описано.
Машинное обучение, наоборот, находит неочевидные паттерны и адаптируется к меняющимся схемам, но требует качественных размеченных данных, контроля дрейфа моделей и работы с объяснимостью решений. Сильная антифрод-платформа даёт оба слоя и удобные инструменты, чтобы аналитик мог быстро завести правило, а датасайентист — выкатить и проверить модель, не ломая прод. Отдельная важная характеристика — управляемость ложных срабатываний: слишком агрессивный антифрод бьёт по конверсии и лояльности клиентов не меньше, чем сам фрод.
Чек-лист: на что смотреть при выборе антифрода
Кто представлен на рынке антифрода
Ниже — ориентир по известным игрокам российского рынка транзакционной безопасности. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/antifraud-transaction-security). Цель — показать, что продукты различаются по фокусу и сценариям.
| Решение | Вендор (ОРИЕНТИР) | Фокус | Чаще всего подходит для |
|---|---|---|---|
| F.A.C.C.T. Fraud Protection | F.A.C.C.T. | Поведение, защита от ATO и социнженерии | Банки, ДБО, финтех |
| BI.ZONE антифрод | BI.ZONE | Транзакционный антифрод и аналитика | Финсектор, e-commerce |
| Kaspersky Fraud Prevention | «Лаборатория Касперского» | Поведенческая биометрия, fingerprint | Банки, цифровые сервисы |
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом антифрод-систем](/rating/antifraud-transaction-security): здесь — как устроены механизмы и на что смотреть, там — сравнение конкретных компаний по подтверждённым фактам.
Следующий шаг
Разобрались, как устроен антифрод, — переходите к сравнению поставщиков: **[рейтинг антифрод-систем →](/rating/antifraud-transaction-security)**. Полезно прочитать рядом: [как выбрать российский антифрод](/research/vybor-rossiyskogo-antifroda), [рейтинг антифрод-систем 2026](/research/reyting-antifrod-sistem-2026) и [комплаенс-требования 161-ФЗ, СТО БР и ФинЦЕРТ](/research/161-fz-sto-br-fincert-antifrod).
Частые вопросы
Чем антифрод отличается от обычной аутентификации?
Аутентификация проверяет, что пользователь — это он (пароль, OTP, биометрия). Антифрод смотрит шире: даже при успешной аутентификации он оценивает поведение, устройство и контекст операции и может остановить платёж, если видит аномалию или признаки социальной инженерии.
Зачем нужен и риск-скоринг, и машинное обучение — разве это не одно и то же?
Риск-скоринг — это способ свести множество сигналов в единый балл и принять решение по порогам. Машинное обучение — один из источников этих сигналов: модели вычисляют вероятность фрода по скрытым паттернам. Рядом с ними работают и жёсткие правила. Сила системы — в сочетании всех слоёв.
Что такое device fingerprinting и не нарушает ли он приватность?
Это сбор устойчивого набора технических характеристик устройства и браузера, чтобы узнавать его при повторных заходах и связывать подозрительную активность. Он не требует персональных данных в привычном смысле и работает с техническими атрибутами; при внедрении важно учитывать требования к обработке данных и информированию пользователей.
За какое время антифрод принимает решение?
Решение должно успеть до подтверждения операции — это, как правило, десятки миллисекунд. Именно поэтому движок реального времени (потоковая обработка, кэш профилей) — отдельный важный механизм, а не «приятное дополнение».
Где сравнить конкретных вендоров между собой?
В рейтинге антифрод-систем и платформ transaction security — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
Антифрод-система — это не один «магический фильтр», а конвейер из нескольких независимых проверок, которые срабатывают за доли секунды, пока платёж или вход в аккаунт ещё не подтверждён. На входе она собирает признаки операции, прогоняет их через правила и модели машинного обучения, считает риск-скор и выдаёт решение: пропустить, запросить дополнительное подтверждение или заблокировать. **Если коротко:** под капотом работают шесть взаимодополняющих механизмов — риск-скоринг, поведенческий анализ, отпечаток устройства (device fingerprinting), комбинация правил и ML, графовый анализ связей и движок принятия решений в реальном времени. Ни один из них сам по себе не закрывает все сценарии мошенничества: ценность системы — в их сочетании и скорости. Ниже разбираем каждый механизм, что именно он выявляет, как устроена обработка одной транзакции по шагам и на что смотреть при выборе. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге антифрод-систем](/rating/antifraud-transaction-security).