Трансграничные схемы с дропами затронули 61% финансовых организаций

Годом ранее этот показатель составлял 46%, за тот же период 77% организаций сообщили об увеличении числа передач аккаунтов дропам. Проблема осложняется тем, что большая часть компаний выявляет такие инциденты уже после появления подозрительных действий, начала движения средств или фактического вывода денег.

Большинство проверок клиента сосредоточено на этапе открытия счета: пользователь проходит идентификацию, подтверждает документы, иногда предоставляет биометрию, после чего воспринимается как надежный клиентский профиль. Мошенникам не приходится создавать полностью поддельную личность, достаточно получить доступ к уже верифицированному счету. В одних случаях владелец аккаунта действует под давлением, в других – продает доступ добровольно, в-третьих – становится жертвой социальной инженерии и передает управление через удаленный доступ или мессенджер. В результате антифрод система продолжает воспринимать это как операции настоящего клиента, хотя фактически операции уже контролирует другой человек.

Трансграничные схемы особенно сложны для расследования, потому что разные признаки инцидента оказываются распределены между несколькими странами и и элементами инфраструктуры (каналы, провайдеры, платежные системы и т.п.). В 34% организаций специалисты фиксируют случаи, когда международный характер передачи аккаунта определялся по совокупности поведенческих, устройственных и транзакционных сигналов. Еще треть организаций подтвердила эпизоды, где управление счетом или характер его использования смещались за пределы основной страны работы финансовой организации. В 19% случаев компании наблюдали трансграничное движение средств, хотя сам контроль аккаунта выглядел локальным. Для антифрод-команд это означает, что одиночного признака почти никогда не хватает: IP-адрес может быть динамическим, устройство при этом новым, а перевод похожим на обычную клиентскую операцию. Так же такие сценарии часто пересекаются с AML/санкционными рисками, а не только с чистым фродом.

Снижать риск трансграничных дропперских схем нужно через непрерывную оценку доверия к аккаунту после онбординга. Финансовым организациям стоит объединять данные об устройстве, геолокации, поведении пользователя, истории платежей, новых получателях, признаках удаленного управления и связях между счетами в единый риск-профиль. Отдельного контроля требуют резкая смена страны или региона входа, появление нетипичных платежных маршрутов, дробление переводов, повторяющиеся получатели у разных клиентов, входы с устройств, связанных с другими подозрительными аккаунтами, а также активность сразу после восстановления доступа или смены SIM-карты. Антифрод, AML и платежный мониторинг должны обмениваться информацией с минимальным использованием ручных процедур, иначе организация видит отдельные фрагменты инцидента вместо полной цепочки. Практический результат дают сценарии мягкой повторной верификации, точная настройка порогов риска, регулярный разбор ложных срабатываний и поиск дропперских сетей по общим устройствам, локациям и поведенческим шаблонам. Чем раньше система фиксирует смену контроля над счетом, тем ниже вероятность, что инфраструктура организации будет использована как транзитный узел в трансграничной схеме вывода средств.