Антифрод в гемблинг-партнёрках: как защититься от мошенничества

Мир гемблинг-партнерок — это постоянная борьба за честную игру. Здесь фродеры и партнёрки напоминают игроков в кошки-мышки: первые придумывают всё новые схемы обмана, а вторые ищут способы их разоблачить. Мы пообщались с CMO CPA.BRO Анастасией и узнали, как устроены антифрод-системы в iGaming-холдинге с собственными брендами онлайн-казино и во всем партнерском маркетинге, в целом. Из интервью вы узнаете, какие есть виды фрода, как его предотвратить, как в этом участвует ИИ и как правильно развивать антифрод-департамент.

Начнем с базы. С какими видами мошенничества может столкнуться партнерская программа?

Гемблинг — это благодатная почва для мошенников, особенно когда речь идет о выплатах по моделям CPA и CPL. Есть пять наиболее распространенных схем мошенничества.

1. Фрод-трафик

Мошенники-аффилиаты используют ботов или автоматические скрипты, чтобы имитировать активность реальных игроков: регистрации, депозиты, клики. Это позволяет им получать выплаты, ведь целевое действие формально будет выполнено. Однако, для рекламодателя такой трафик не имеет ценности.

2. Мультиаккаунтинг

Когда один человек регистрирует множество аккаунтов на одном продукте, например, чтобы неоднократно получать приветственные бонусы.

Это наносит прямой ущерб бюджету компании.

3. Мотивированный трафик

Это вид трафика, который аффилиаты привлекают вознаграждениями за регистрацию по типу: «зарегистрируйся на сайте и получи денежный приз». Обычно используются несбыточные обещания, поэтому LTV такого трафика равен нулю.

Таким лидам интересен не продукт, а только бонус. Они быстро уходят с платформы, и привлечение таких лидов не оправдывает затраты.

4. Саморефералы

Некоторые недобросовестные партнёры сами регистрируются на платформе по своим реферальным ссылкам и используют фейковые данные, чтобы получить комиссию. Это возможно, если оплата за целевое действие выше трат на его выполнение. Такие партнеры создают иллюзию хорошего трафика. Это нарушает правила и приводит к выплатам за фиктивную активность.

5. Кликфрод

Мошенники искусственно увеличивают количество кликов по рекламе, заставляя рекламодателей платить за фиктивный трафик. Эта схема особенно актуальна при сделках на основе CPC.

Как выявить фродовую активность и другие виды мошенничества?

Мы выделяем 4 подхода для обнаружения фрода:

1. Анализ поведения игроков.
2. Цифровой след игрока, он же фингерпринт.
3. Анализ IP и геолокации.
4. Использование машинного обучения и ИИ.

Первое, на что мы обращаем внимание — это поведение игроков. У нас есть огромный массив данных о том, как ведут себя обычные игроки. Если кто-то начинает действовать не так, как большинство, это сразу же вызывает вопросы. Например, если новый пользователь сразу делает крупные ставки или действует слишком быстро, делает FTD и ставит его же на вывод — это может быть сигналом того, что юзер выходит из базовой модели поведения, и он должен быть проверен.

Для выявления мультиаккаунтинга в отношении игроков мы анализируем:

• Платежные данные.
• Загруженные документы.
• Пересечения по IP и устройству.

Далее — фингерпринт устройства. Каждый компьютер, смартфон или планшет уникален, и по определенным характеристикам мы можем «узнавать» устройство, даже если пользователь пытается скрыть свою личность. Это помогает отслеживать повторные попытки мошенничества с разных аккаунтов, но с одного устройства.

IP-адреса и геолокация также играют важную роль. Если пользователь утверждает, что он из Европы, но его IP-адрес показывает, что он находится в Азии — это повод задуматься. Мошенники часто используют VPN или прокси-серверы, чтобы скрыть свое реальное местоположение, и мы отслеживаем и это. 

И, конечно, современные технологии, такие как машинное обучение и искусственный интеллект, существенно облегчают нам жизнь. Алгоритмы, обученные на больших объемах данных, способны выявлять сложные и неочевидные схемы мошенничества, которые человек мог бы упустить.

Какие именно данные помогают выявлять подозрительную активность, что по ним можно понять, и какая должна последовать реакция в случае обнаружения фрода?

Каждый вид данных может многое рассказать о пользователе. Они позволяют строить предположения и вовремя пресекать возможное мошенничество.

1. IP-адрес — это первый индикатор, который помогает определить, откуда действительно приходит пользователь.

Можно выявить:

• Использование прокси или VPN. Например, игрок заявляет, что он из Европы, но его IP-адрес указывает на регион Азии.
• Регистрации нескольких аккаунтов с одного IP-адреса.

В результате система может заблокировать IP, пометить его как подозрительный или отправить уведомление сотрудникам для проверки.

2. При оценке фингерпринта, система оценивает характеристики устройства:

• Операционную систему и ее версию.
• Браузер и его версию.
• Разрешение экрана.
• Технические характеристики устройства.
• Язык системы.

По ним можно выявить:

• Множественные аккаунты, зарегистрированные с одного устройства.
• Попытки скрыть настоящие данные через изменение конфигурации устройства.

Если система видит одинаковые характеристики на разных аккаунтах, они могут быть помечены как связанные, что инициирует дополнительные проверки.

3. Поведенческие метрики — это один из самых надёжных способов обнаружить мошенничество. Под ними мы имеем ввиду:

• Время, проведенное на сайте.
• Скорость переходов между страницами.
• Последовательность действий (например, регистрация, моментальный депозит, быстрый вывод средств).

Что вызывает подозрения?

• Неестественно быстрое или повторяющееся поведение, характерное для ботов.
• Поведение, резко отличающееся от средней активности честных игроков.

Система уведомляет о подозрительных аккаунтах, и далее следует ручная проверка профилей игроков.

4. Платёжные данные и финансовые операции всегда в центре внимания. В данном случае система анализирует:

• Способы пополнения игрового кошелька.
• Частота и суммы транзакций: подозрительно крупные депозиты или множество мелких платежей за короткий промежуток времени.
• Необычные действия: моментальный запрос на вывод средств сразу после депозита.

По этим данным можно выяснить, что, например, игрок пользуется несколькими профилями на платформе. А это запрещено правилами.

В качестве реакций мы можем:

• Временно заблокировать доступ к транзакциям.
• Приостановить выплаты до завершения проверки.
• Если средства выводятся не на карту, с которой был сделан депозит, или через безкарточный метод, аккаунт также может быть залочен.

5. История аккаунта

Проверка истории аккаунта позволяет увидеть всю активность пользователя и возможные связи с другими аккаунтами.

Анализируется:

• Дата регистрации.
• Внесение изменений в профиль (смена данных, подозрительные обновления).
• Связь с другими аккаунтами (по IP, устройству или платежным данным).

История помогает выявить долгосрочные схемы мошенничества и связки аккаунтов, работающих в сговоре. Как итог — блокировка аккаунтов.

Все эти данные работают как единая система, которая позволяет выявлять мошенничество в моменте.

Что используется для аналитики этих данных?

У всех компаний будут свои решения и, как правило, это внутренние разработки. Причина в том, что каждая партнёрка работает на своей платформе, часто использует самописные решения и крайне неохотно делится данными с третьими сторонами. Использование стороннего ПО сопряжено с риском передачи конфиденциальной информации, что в гемблинге недопустимо.

Системы мониторинга анализируют следующие параметры:

• Количество депозитов. Необычная частота транзакций может сигнализировать о мошенничестве.
• Сумма депозитов. Аномально крупные или частые небольшие суммы сразу привлекают внимание.
• Время транзакций. Если депозиты происходят в нехарактерное для обычных игроков время (например, в течение нескольких минут ночью), это может быть фрод.
• Источник платежа. Использование одной карты для нескольких аккаунтов или повторяющихся данных — явный сигнал для проверки.
• Поведение в игре. Системы отслеживают, какие игры выбирает пользователь, насколько его действия последовательны и похожи на действия реального человека. Например, подозрительными кажутся действия, повторяющие характерные для ботов шаблоны.

Как работают такие системы?

Они в режиме реального времени анализируют трафик и его действия и сразу же реагируют, если подозрительная активность обнаружена. Реакций обычно три:

1. Автоматическое срабатывание триггеров. Партнёрки настраивают правила, которые система использует для выявления нарушений. Если правила нарушены, система включает определенный протокол. Например, если с одного IP-адреса поступило множество регистраций, система автоматически блокирует аккаунты или IP-адрес.
2. Уведомления сотрудников. В случае обнаружения аномалий система отправляет уведомления специалистам по антифроду. В таких случает антифрод-отдел может вручную проверить подозрительные аккаунты.
3. Анализ аномалий. Системы используют алгоритмы анализа данных, чтобы обнаруживать отклонения от стандартного поведения пользователей.

Что будет без систем мониторинга? Их наличие обязательно?

Мошенники постоянно ищут способы обойти защиту, и малейшая задержка в реакции может стоить компании значительных финансовых потерь. Благодаря мониторингу в реальном времени партнёрки:

• Предотвращают крупные потери. Быстрая блокировка предотвращает вывод средств или дальнейшие махинации.
• Повышают доверие игроков и партнеров. Пользователи ценят безопасность, и эффективная антифрод-система укрепляет репутацию платформы.
• Адаптируются к новым угрозам. Реальные данные позволяют обновлять алгоритмы и улучшать защиту.

Без систем остается положиться исключительно на ручной труд, а это человеческий фактор и большие риски.

Какие новые технологии по выявлению фрода появляются в сфере?

Современные мошеннические схемы становятся всё более изощренными, и для их обнаружения стандартных методов порой бывает недостаточно. Гемблинг-индустрия активно внедряет ИИ, машинное обучение и анализ больших данных. Эти инструменты позволяют быстрее и точнее бороться с фродом.

Как работают эти инструменты на практике?

Начнем с ИИ. В рамках антифрод-защиты он не только анализирует данные без постоянного участия человека, но и выявляет аномалии и прогнозирует поведение пользователей.

Работает это так:

• ИИ интегрируется с бэкофисом казино, получая доступ к данным о транзакциях, поведении пользователей, игровых сессиях.
• Раз в определенный период данные выгружаются на сервер, где ИИ обрабатывает их и анализирует.

Анализу подлежат:

• Потоки данных. Аномальные всплески активности, например, массовые депозиты в короткий промежуток времени или повторяющиеся запросы на вывод.
• Действия пользователей. Стиль игры, переходы между страницами, частота ставок. Если игрок выходит за пределы «нормального» поведения, система фиксирует это.
• Индивидуальные отклонения. Анализ данных по каждому игроку, чтобы выявить неожиданные изменения в его активности.

Теперь про машинное обучение (ML). Это подвид ИИ, который обучается на больших объёмах информации и становится умнее с каждым новым циклом анализа.

В антифрод-системах машинное обучения используют для:

• Выявления сложных схем. Алгоритмы ML анализируют не только текущие действия, но и исторические данные, чтобы находить шаблоны, которые указывают на мошенническую активность.
• Адаптации. Если мошенники изменяют свои методы, ML быстро подстраивается, обучаясь на новых данных.
• Оптимизации антифрод-правил. ML помогает сократить число ложных срабатываний, увеличивая точность системы.

А анализ больших данных позволяет находить скрытые закономерности, которые, например, специалист не сможет выявить также быстро. Благодаря анализу мы можем обнаружить:

• Схемы мультиаккаунтинга. Если несколько аккаунтов используют одинаковые устройства, IP-адреса или платёжные данные.
• Подозрительную активность. Например, повторяющиеся действия в одном и том же временном интервале, характерные для ботов.
• Необычные потоки транзакций. Несоответствие между депозитами, ставками и запросами на вывод средств.

Ещё один инструмент, который постепенно внедряется в гемблинг-индустрию, — это поведенческая биометрия. Это анализ взаимодействия пользователя со своим устройством: движение мыши, скорость ввода текста, паттерны и скорость перемещения между страницами сайта.

Биометрика нужна, чтобы идентифицировать живого пользователя и обнаружить ботов. Этот инструмент пока не получил массового распространения из-за сложности внедрения, но мы прогнозируем его масштабирование в будущем.

Существуют, как вы говорили выше, целые отделы и департаменты, которые занимаются антифродом и развитием направления. Как партнерские программы и казино обучают сотрудников?

Борьба с мошенничеством в гемблинг-индустрии невозможна без людей. Технологии предоставляют мощные инструменты, но их эффективность зависит от квалификации специалистов, которые умеют с ними работать. Поэтому партнёрки обучают сотрудников и внедряют стандарты: регламенты и KPI.

В рамках обучения специалисты проходят внутренние тренинги. Готовых образовательных курсов в нашей сфере просто нет. На тренингах сотрудники:

• Разбирают реальные кейсы мошенничества.
• Узнают о новых угрозах фрода и методах их предотвращения.
• Обучаются работе с автоматизированными антифрод-системами, которые используются в партнерке или онлайн-казино.

Итогом таких тренингов и ежедневной рабочей практики должны стать обязательные стандарты. В большинстве крупных компаний антифрод-процедуры давно переросли формат устных инструкций. 

Стандарты включают в себя пошаговые инструкции по обнаружению, проверке и решению подозрительных ситуаций. А также регулярный контроль выполнения инструкций. Например, в крупных холдингах QA-проверки (quality assurance) встроены в систему контроля качества работы сотрудников.

Кроме того, соблюдение стандартов входит в KPI сотрудников антифрод-департаментов (AFD). Это мотивирует команду не только соблюдать правила, но и работать с максимальной отдачей. Каждое действие сотрудников AFD — от обнаружения подозрительных транзакций до их проверки — фиксируется и оценивается.

Раз внешних обучающих курсов и способов повышения квалификации не существует, могут ли сотрудники как-то черпать прикладную информацию вне компании?

Конечно. Компании должны поощрять сотрудников развивать свои компетенции. Хоть специализированных курсов и нет, можно использовать смежные дисциплины, которые также применимы к нашему бизнесу. Например, курсы по анализу данных, курсы по использованию инструментов машинного обучения, кибербезопасность. 

Многое можно почерпнуть и на конференциях по партнерскому маркетингу. В столь динамичной индустрии, как гемблинг, важно быть в курсе всех трендов и инноваций. На мероприятиях сотрудники могут знакомиться с новыми технологиями и обмениваться опытом с другими компаниями.

Подведем итог. Что самое важное в работе антифрод-систем и AFD в сфере iGaming?

Единого ответа нет. Важно многое: системный подход к внедрению и использованию инструментов, изучение новых технологий, обучение сотрудников и стандартизация лучших практик.