Ситилинк и мошенники⁠⁠3

С хабра:

Эту историю я услышал от своего друга из финтеха. История мне понравилась тем, что все мы стараемся защищать свои персональные данные, соблюдаем цифровую гигиену, но на самом базовом (я бы сказал, фундаментальном уровне) всё просто.

Добро пожаловать под кат, далее будет интересно.

Итак, есть веб-сайт по приему заявок на потребительский кредит и кредитные карты. Клиент заходит на сайт, вбивает свои персональные данные и получает решение по кредиту. Упрощенная архитектура выглядит так:



Клиент подает заявку на кредит, она попадает в кредитную машину, основная часть заявок обрабатывается автоматически, примерно 10% из них относятся к «серой зоне» и поступают на ручную обработку: сотрудник смотрит заявку и решает — одобрить или отклонить. В случае одобрения, клиенту приходит SMS "Поздравляем с одобрением кредита!".

На одной из рабочих групп по разбору обращений клиентов сотрудники финтеха видят частотные тикеты вида: «не успел подать заявку, сразу начались звонки из банков и от брокеров с предложением взять кредит», «вы сливаете мою персуху», «что за помойка, не успел получить одобрение, пошли звонки из других банков». Сотрудники сначала решают, что это либо просто «выброс», либо такие обращения не частотные, либо это чьи-то шутки. Через месяц снова смотрят статистику обращений клиентов, и понимают, что "не показалось". Это проблема, с которой надо серьезно работать. Требуется расследование, и финтех его начинает.

Первый шаг. Проверить на себе

Сотрудник финтеха подает заявку на кредитную карту на своем сайте, держит телефон при себе и ждёт, когда ему позвонят левые компании с предложением взять кредит. Но так никто и не позвонил. Получается, проблемы нет? Финтех снова смотрит статистику обращений: жалобы клиентов на звонки сторонних компаний есть.

Хорошо, двигаемся дальше.

Второй шаг.  Проверить на контрольной группе

Собирается команда из 10 человек. Каждый подает заявку на кредит на сайте финтеха. Все договариваются, что два дня отвечают на звонки, несмотря на предупреждения WhoCalls, и стараются запоминать (записывать) информацию, которую им говорят.

Итог: примерно 30% участников контрольной группы поступили звонки от серьёзных и легальных организаций с предложением взять кредит у них. Кому-то позвонил робот, кому-то — сотрудник колл-центра одного уважаемого банка.

Значит, проблема есть. Хорошо, двигаемся дальше.

Третий шаг. Аналитика и локализация контуров

Итак, что финтех имеет на текущий момент:

Действительно, идут звонки клиентам их компании с предложением взять кредит у конкурентов.

Звонки идут от известных компаний, значит, последние получают данные легально, но пока непонятно, как.

Звонят не всем клиентам.

Звонят после одобрения кредита финтехом.

Финтех разбивает подачу заявки на несколько контуров:

Сама форма подачи заявки на кредит. Что там есть? Так, есть «Яху. Метрика». Чисто теоретически, стоит счётчик с включенным веб-визором и каким-то ботом собираются персональные данные клиента под аккаунтом одного из сотрудников финтеха. Эту гипотезу отложили. Что еще? Данные кто-то берет с бэкенда заявки (до передачи в кредитную машину) и передает в сторонние компании под видом легальных «лидов».

Кредитная машина. У любой кредитной машины есть интеграция с несколькими бюро кредитных историй (далее — БКИ). Значит, чисто теоретически, бюро могут передавать информацию о клиентах. Также у кредитной машины есть интеграция с одним из сотовых операторов по проверке телефонных номеров клиентов, оформлены ли они на реальных людей, а не на «дропов» (проверка на мошенничество).

Сотрудник. Сотрудник имеет доступ к информации по примерно 10% заявок, которые поступают в серую зону.

SMS-шлюз. Каждому клиенту финтех присылает SMS "Поздравляем с одобрением кредита!"

Хорошо, пора двигаться дальше.

Четвёртый шаг.  Проверить каждый контур

1 контур. Сама форма подачи заявки. ИТ финтеха генерирует фальшивые заявки от лица 20 человек, но не передает их дальше в кредитную машину, а оставляет на бэке заявки. Ждут два дня. Звонков нет. Контур чистый, двигаемся дальше.

2 контур. ИТ финтеха проталкивает заявки в кредитную машину, та стучится в БКИ и сотовому оператору. Проверяется гипотеза, что данные сливает сотрудник, который принимает решение по 10% заявок. Итог: звонки есть, но они есть как по заявкам, которые смотрел сотрудник, так и по тем, по которым система приняла решение автоматически.

Контур проверки сузился, значит, данные уходят из следующих источников:

БКИ;

сотовый оператор, проверяющий номера на мошенничество;

SMS-шлюз.

Но что было нетипично в этой истории, так это то, что звонки шли не всем клиентам.

Пятый шаг. Разбор внешних интеграций по частям

БКИ. Финтех запрашивает у БКИ, есть ли у них услуга «получи данные клиентов, которые обратились за кредитом», на что получают ответ, что последние думают об этом, но услугу пока не запустили и, в принципе, здорово, что спросили, давайте проведем пилот с вами. Запрос был в конце 2019 года. В конце я напишу, в чём суть услуги БКИ.

SMS-шлюз. Финтех просто генерирует SMS с поздравлением c одобрением кредита, и bingo! — идут звонки от других банков на номера абонентов того самого сотового оператора, с кем у финтеха есть договор на проверку на спам. Звонки от уважаемых банков. Интересно.

Шестой шаг. Завершение расследования

Поскольку у компании есть прямой контракт на проверку номеров на мошенничество с одним из сотовых операторов, и как раз были звонки его абонентам, то финтех просто задает вопрос: «Ребята, это что за дела? Вы почему передаете данные наших клиентов в сторонние банки?» Сотовый оператор честно и открыто отвечает, что есть такая модель бизнеса, и работает она так:

Сотовый оператор «читает» тематические SMS своих абонентов. В данном случае, про одобрение кредита. В онлайне оператор дообогащает информацию по абоненту данными из других источников (например, e-mail), и эти события легально передает компаниям, кому это интересно. По вполне официальному договору. А что с согласиями клиентов на передачу данных? Ну, во-первых, они передают только номер телефона (и иногда email), во-вторых, клиент при заключении договора с сотовым оператором уже дал все согласия (но здесь есть серая зона, если взяться за этот вопрос, то операторы будут не правы, всех согласий нет).

Триггеры срабатывают примерно на 20% абонентов, по кому успевает сработать событие.

Финтех договорился с сотовым оператором, что по его клиентам такой порог срабатываний триггеров будет ЗНАЧИТЕЛЬНО снижен или убран совсем, сотовый оператор пошел навстречу.

В завершение про БКИ — модель передачи клиентских данных такая:

Гражданин Иванов взял кредитную карту в банке РУСЬ. Банк отправил данный факт в БКИ.

РУСЬ подписывается в БКИ на событие, что если по Иванову пришел запрос в БКИ на проверку кредитной истории из других банков (например, Иванов решил взять потребительский кредит), то немедленно информируй об этом банк РУСЬ.

У Банка есть все персональные данные Иванова (помним, что он взял у РУСИ кредитную карту), после получения события он начинает предлагать Иванову прийти за потребом к нему.

Это был холодный обзвон экстрасенсами

Если консультант конченный только, таких не держим