<< Предыдущая

стр. 40
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

логистической регрессии. Однако для объяснения этого подхода стоит начать с простой линейной
регрессии, а потом перейти к логистической - как особого случая линейной.
В простейшем случае линейная регрессия пытается найти линейную связь между двумя
переменными: X и К Переменная Y, которую пытаются спрогнозировать, определяется как зависимая
(поскольку она зависит от X). Переменная X является объясняющей, поскольку она "объясняет", почему
У меняется от одного индивидуума к другому.
С помощью линейной регрессии пытаются выяснить следующее: если меняется X, то насколько
вероятно, что в результате этого также изменится и К Для того чтобы это сделать, необходим набор
данных, в котором можно наблюдать множество пар X и соответствующих ему К Когда они будут
отложены на плоскости XY и будет получено некое множество, может оказаться, что оно ложится на
некую прямую, т.е. есть определенная связь между X и Y, которую можно попытаться аппроксимировать
с помощью уравнения:

Y = B_0 + B_1 x X_1

где
B_0 - это величина Y, когда X = 0;
B_1 - наклон прямой линии.

Эти В. являются коэффициентами регрессии. На практике, скорее всего, окажется несколько
объясняющих переменных:

Y = B_0 + B_1 x X_1 + B_2 x X_2 + ... + B_n x X_n.

Логистическая регрессия в сравнении с линейной регрессией

При использовании скоринга, как правило, зависимая переменная принимает значения в очень
небольшом диапазоне. Чаще всего работают с бинарной переменной, т.е. такой, которая принимает
только два целых значения: так, например, по кредиту дефолт или произошел, или нет; клиент,
получивший каталог по почте или ответил, или нет. Как правило, в таком случае дефолту приписывают
значение "1", а выплаченному кредиту - значение "0".
Модель в итоге должна оценить вероятность дефолта по кредиту (или ответа клиента на
каталог).
И хотя линейная модель иногда используется для расчета рейтинговой таблицы, логистическая
регрессия оказывается много удобнее, поскольку она специально построена для случаев, когда
зависимая переменная - бинарная (т.е. принимает, как мы уже говорили, только два значения).
Линейная регрессия может давать значения вероятности и меньше нуля, и больше единицы, что
лишено смысла. Логистическая модель избегает этого, поскольку работает не с самим бинарным
значением зависимой переменной, а с вероятностью или шансами (odds), что это значение
действительно реализуется. Логарифм отношения вероятности реализации к вероятности нереализации
называют логитом (logit), который может принимать любые значения, как отрицательные, так и
положительные. Поэтому для логитов вполне можно использовать модель линейной регрессии (отсюда
и название "логистическая").
В модели логистической регрессии объясняющие переменные, умноженные на свои
коэффициенты, предполагаются линейными по отношению не к Y, как в линейной регрессии, а к логиту -
натуральному логарифму отношения шансов:

ln (p/(1 - p)) = B_0 + B_1 x X_1 + B_2 x B_2 + X_2 + ... + B_n x X_n,

где
р - вероятность того, что V произойдет;
р/(1 - р) - отношение шансов.

Шансы и соотношение шансов

Соотношение шансов позволяет сравнивать уровни рисков для разных кредитов. Так, если для
одного р1/(1 - p_1) = 0,11, а для другого р2/(1 - р2) = 0,052, то их отношение составит 0,46, т.е. риск
невозврата по одному кредиту составляет чуть меньше половины риска невозврата по второму кредиту.
Самые важные выводы из этого следующие: необходимо получать сами шансы и их отношения
для разных кредитов из логистических регрессий, т.к. только так удается прямо сопоставить и учесть как
влияние отдельных характеристик на уровень риска, так и относительный риск одного кредита по
отношению к другому. Попытки обойтись одной рейтинговой таблицей не позволяют оценить рисковость
одного кредита относительно другого в силу возможного влияния характеристик, которые были учтены
для одного и не учтены для другого.

Вычисление относительных весов отдельных характеристик рейтинговой таблицы

Построив и оценив логистическую модель, можно подставить величины X для любого заявителя
или кредита и вычислить счет (score), используя уравнение:
счет = В_1 х Х_1 + ... + В_n х Х_n.

Однако этот счет представлен в шкале натуральных логарифмов, что неудобно для
интерпретации. Поэтому счет переводится в линейную шкалу, где определенное число баллов
выбирается так, чтобы это число обеспечивало удвоение шансов того, что определенное событие
произойдет. Для этого необходимо умножить счет на множитель, равный числу баллов, которое должно
представлять удвоение шансов, а затем поделить на 1n(2):

счет по линейной шкале = (В_1 х Х_1 + ... + В_n х Х_n) х (20/1n(2)),

если желаемое число баллов, необходимое для удвоения шансов, равно 20.
Иначе, если надо узнать, сколько именно баллов дает каждая характеристика, можно умножить
каждое В_1 на (20/(1n(2)), а затем умножить на значение параметра X_1.

Использование КС-статистики для оценки полученной рейтинговой таблицы

Скоринговая таблица конструируется так, чтобы ранжировать различные кредиты в терминах
шансов по отношению к определенному событию. Необходимо, чтобы такая скоринговая таблица
приписывала кредитам, с которыми происходит некое событие, и кредитам, с которыми оно не
происходит, различные счета.
Например, кредитная скоринговая таблица (скоринговая карта) приписывает меньший счет тем
кредитам, которые впоследствии испытают серьезные трудности с возвратом или перейдут в дефолт,
так что в целом группа плохих кредитов должна иметь меньшие счета, чем группа хороших кредитов.
Для определения качества полученной таблицы строятся графики - кривые распределения
процентов хороших и процентов плохих кредитов (от соответствующего общего числа хороших и плохих)
в зависимости от величины счета, и качество скоринговой таблицы (карты) характеризуется тем,
насколько эти две кривые разделяются.
Именно для численного определения качества разделения и используется статистика
Колмогорова-Смирнова (K-S statistics), которая дает числовую меру этого разделения. Статистика КС
вычисляется просто: это максимум разности между кумулятивным процентом распределения "хороших"
и кумулятивным процентом распределения "плохих". Теоретически статистика КС может принимать
значения от 0 до 100, однако на практике она обычно оказывается в диапазоне от 25 до 75.
Примерная градация выглядит так:
меньше 20 - наверное, скоринговая таблица непригодна к применению;
20-40 - неплохая таблица;
41-50 - хорошая таблица;
51-60 - очень хорошая таблица;
61-75 - поразительно хорошая таблица;
больше 75 - вероятно, слишком хороший результат, чтобы быть правдой, наверное, что-то
неправильно*(128).
Следует отметить, что качество скоринговых моделей следует постоянно проверять и
мониторинг является обязательной процедурой в процессе эксплуатации. Со временем могут меняться
как экономические условия, так и поведенческие особенности заемщиков, и только своевременная
подстройка или даже замена скоринговых моделей обеспечат эффективное управление кредитными
рисками.

Скоринг и мошенничество

Скоринг помогает не только в управлении рисками невозврата в случае дефолта клиента, но он
также используется для задач выявления и предотвращения мошенничества.
Следует подчеркнуть, что (по доступным оценкам) примерно половина невозвратов обусловлена
дефолтом, и для контроля этих рисков используются методы кредитного скоринга, а другая половина -
мошенничеством, и для снижения этих рисков также используются скоринговые методы.
Мошенничество при кредитовании можно разделить на две категории:
1) мошенничество при попытке получить кредит (происходящее при подаче заявления);
2) мошенничество, происходящее в процессе использования и погашения кредита.
Второе чаще связано с кражей или самой карты, или ее данных для последующего
использования в преступных целях. Соответственно методы и выявления, и предотвращения при
рассмотрении заявления отличаются от методов, используемых для контроля использования карты и
выполняемых по ней транзакций.
Мошенничество, происходящее во время подачи заявления на кредит, подразделяется на мягкое
(soft) и жесткое (hard).
В случае мягкого мошенничества заявители, как правило, используют свое настоящее имя, чаще
всего они уже подавали заявки на кредит, но получили отказ, зачастую из-за их неспособности
расплатиться. И они манипулируют своими данными так, чтобы выглядеть более основательно (старше,
выше доход, более продолжительное проживание по данному адресу; сокрытие адресов, по которым
они проживали, когда у них были проблемы - например с выплатой). И хотя эти заявители и
намереваются выплачивать кредит, объективно они навряд ли на это способны.
В случае жесткого мошенничества заявитель изначально и не собирается платить и, как правило,
использует для подачи заявления украденную или даже изобретенную идентификацию (личные
данные), за этим зачастую стоит профессиональная организованная группа мошенников.
Риск жесткого мошенничества сильно отличается от кредитного риска как по своей природе, так
и по способам наилучшего предотвращения. Риски же мягкого мошенничества в определенной степени
коррелируют с кредитным риском.
Модели, разработанные для оценки кредитного риска, практически не работают для выявления и
предотвращения риска мошенничества. Например, в случае если мошенничество заключается в
использовании украденной идентификации, то кредитная скоринговая модель чаще всего даст высокий
балл и одобрит такое заявление. По этой причине специальные модули по выявлению и
предотвращению мошенничества обязательно включаются в интегральную систему обработки
принимаемых заявлений. Важнейшим источником информации для сопоставления данных и выявления
мошенничества являются кредитные бюро, а также внешние специализированные базы данных
(например, по утерянным и украденным паспортам) и обязательно - собственная база данных кредитной
организации.
Наиболее эффективными оказываются те системы, которые построены не на основе экспертных
правил, а на основе моделирования - нейронными сетями, регрессионными методами, деревьями
решений (decision trees), индукцией правил (rules induction), генетическими алгоритмами, анализом
связей (link analysis) на основе теории графов (graph theory).
Такие системы используются как для проверки поступающих заявлений, так и в работе с
действующими картами - для выявления и предотвращения мошенничества в транзакциях (причем
удается применять скоринг в реальном времени, включая в него алгоритмы оценки мошенничества
текущих транзакций).

Новый вид мошенничества - фишинг

Термин "фишинг" (phishing) - измененная форма от английских слов Phone (телефон) и Fishing
("рыбная ловля"). Он появился в "американском" английском для обозначения новых схем жульничества,
служащих для того, чтобы выманить у пользователей номера их кредитных карт, пароли доступа к
банковским счетам и счетам платежных систем.
Первое упоминание о фишинге относится к 1996 г., когда пользователи американского
провайдера America Online получили поддельные сообщения с просьбой сообщить пароль для входа в
систему с целью модификации информации. Настоящей целью данной атаки был доступ к чужим счетам
для оплаты Интернета.
Со временем в Интернете появились различные электронные платежные системы, многие банки
стали предлагать услуги интернет-банкинга. Это превратило фишинг в очень распространенный и
прибыльный способ воровства информации.
Фишинговая атака является своеобразной "рыбалкой" - идея заключается в том, что, пока
здравомыслящее большинство игнорирует приманку, некоторые "клюнут".
Для этих целей мошенники тем или иным способом добывают базы данных электронных адресов
пользователей Интернета и рассылают e-mail письма, содержащие информацию, убеждающую
пользователя посетить ложный веб-сайт, на котором предлагается ввести (обновить) персональные
данные.
В роли рыбака здесь выступает мошенник, заинтересованный в получении доступа к счету
пользователя или к информации о его платежной карте. Разумеется, просто так конфиденциальную
информацию, позволяющую получить удаленный доступ к счету номера на незнакомых сайтах, никто
оставлять не будет. Поэтому мошенники разрабатывают новый сайт, практически полностью
повторяющий элементы дизайна той организации, на клиентов которой направлена фишинг-атака
(например, крупного банка или электронной платежной системы). На странице, по оформлению
напоминающей сайт крупного финансового учреждения, обычно представлена информация о
необходимости "подтверждения личных данных" (среди которых присутствуют номер банковской карты,
срок ее действия, ПИН-код и др.). Поля формы, естественно, вовсе не ведут на сервер банка или
платежной системы, а заботливо отсылаются мошеннику, после чего пользователь может быть
перенаправлен на официальный сайт, т.к. его миссия считается законченной*(129).
Масштабы фишинга

Фишинг достиг огромных, даже по меркам глобальной сети, размеров. Согласно результатам
отчета Gartner, опубликованного 15 июня, за последний год почти 2 млн. человек попались на подобный
обман, потеряв около $2,4 млрд. из-за несанкционированного доступа к своим счетам. По данным
антифишинговой рабочей группы (APWG)*(130), 5 октября 2004 г. зафиксировано резкое увеличение
количества фишинг-сайтов и почтового спама. В октябре 2004 г. было зарегистрировано 6597
фишинговых атак, в августе - 2158, в июле - 1974, в июне - 1422, в мае - 1197, в апреле - 1125, в марте -
402, в феврале - 282, в январе - 176), среднее количество атак в день в октябре составило 212,8 (в
августе - 69,6, в июле - 63,7, в июне - 47,4).
Количество зарегистрированных активных фишинг-сайтов составило: в октябре - 1142, в
сентябре - 543, в августе - 727, в июле - 584. В среднем ежемесячный рост фишинг-сайтов с июля по
октябрь составил 25%.

Кого атакуют фишеры

Анализ-фишинг атак с января по июнь 2004 г. показывает смещение акцента в качестве
атакуемых целей с розничных систем (таких, как eBay) на финансовые учреждения (банки). В марте
месяце на первом месте была платежная система eBay, на втором - Citibank, в апреле на первом месте
Citibank, на втором - eBay, в июне на второе место вышел U.S. Bank, отодвинув eBay на третье.
Организацией, наиболее часто подвергавшейся фишинг-атакам в июле 2004 г., был Citibank (682).
Распределение фишинг-атак по секторам индустрии (данные за 2004 г.):
- финансовые организации: в октябре - 73%, в сентябре - 80%, в августе - 78%, в июле - 71%;
- поставщики интернет-услуг: в октябре - 14%, в сентябре - 13%, в августе - 9%, в июле - 17%;
- розничные системы: в октябре - 7%, в сентябре - 7%, в августе - 7%, в июле - 5%;
- другие: в октябре - 7%, в сентябре - 0%, в августе - 7%, в июле - 7%.
По количеству размещенных фишинговых веб-сайтов лидируют США: октябрь - 29%, июль - 35%,
июнь - 27,1%. Среди других стран, размещающих фишинговые веб-сайты, представлены: Китай - 16%,
15% и 15,6%; Южная Корея - 9%, 16% и 19,8%; Россия - 8%, 7% и 1%; Великобритания - 5,5% (июль) и
1% (июнь); Мексика - 4,5% и 2,1%; Тайвань - 2,5% и 7,3%. Около 35% сайтов используются без ведома
владельцев. При этом сайтов, содержащих некоторую часть оригинального названия в URL-адресе, -
20,1%, сайтов, не имеющих имени хоста, а содержащих только IP-адрес, - 63%, сайтов, не использующих
порт 80, - 12,2%.
Среднее время жизни мошеннических сайтов - 6,4 дня, самый длительный период времени
существования - 31 день.
Фишинг, как один из наиболее быстро развивающихся типов финансового мошенничества,
подрывает веру в электронную почту, доверие между пользователями и организациями электронной
коммерции, начиная от сетевых продавцов и заканчивая банками.
В рамках исследования, проведенного Ponemon Institute (компания, занимающаяся вопросами
конфиденциальности частной жизни и гражданских свобод), были опрошены 1335 американских
интернет-пользователей. В результате опроса обнаружилось, что 76% респондентов знакомы с
электронными письмами-обманками, 70% из этого числа заходили на сайт-обманку, ссылка на который
располагалась в подложном письме, 15% оставляли на этом сайте свои персональные данные, а 2%
признались в том, что понесли конкретные финансовые потери в результате фишинга.
По оценкам специалистов антиспамовой компании Brightmail, ежедневно обнаруживаются около
25 уникальных жульнических программ типа "фишинг". Корпорации, клиенты которых подверглись
такому обману, ежегодно выкладывают приблизительно $500 тыс. на борьбу с 62 млн. электронных
фишинг-писем. Компания Brightmail обрабатывающая около 20% рассылаемых по всему миру
электронных писем, ежемесячно разбирается с более чем 2,4 млрд фишинг-сообщениями. По
некоторым данным, в настоящее время фишинг-письма составляют около 4% всего спама, и эта цифра
постоянно увеличивается. Фишинг меняется даже быстрее, чем спам, потому что этот вид
мошенничества намного более прибыльный. Создатели подобных программ не только получают доступ
к клиентским банковским счетам, но и используют личную информацию пострадавших для получения
кредитных карт, о существовании которых жертва даже не догадывается в течение нескольких недель, а
то и месяцев.
До недавнего времени большинство фишинг-атак были направлены против клиентов банков
англоговорящих стран, таких, как США, Англия и Австралия. Но в последнее время специалисты в
области безопасности отмечают смещение в сторону таких стран, как Бразилия и Германия. В 2004 г.
данный вид мошенничества затронул и страны СНГ, в том числе Россию. С начала августа украинские
пользователи Интернета начали получать фишинг-письма с предложением обновления/изменения своих
персональных данных, а в России в 2004 г., как уже говорилось выше, подвергся фишинг-атаке Citibank.
Фишинг, применяя новые приемы, использует старые методы, делая ставку на такие стороны
человеческой натуры, как доверчивость, страх, жадность.
Пример "фишингового" письма

Мошенники очень быстро реагируют на меняющуюся обстановку. Например, в результате
летнего банковского кризиса в России появились письма, сообщающие, что из-за проблем банковской
системы за снятие "с пластиковой карты денег теперь в большинстве российских банков забирают
10-15% комиссионных вместо обычных 5%". Чтобы спасти россиян от таких "потерь", им предлагают
открыть банковский счет на свое имя в каком-нибудь надежном американском банке. Для того чтобы
выбрать кредитное учреждение, пользователям предлагается за $22 купить справочник, который
содержит информацию по открытию банковского счета в Америке. Указанную сумму "благодетели"
предлагают прислать в Чехию.
Повышается технический уровень мошенников. Некоторые создатели фишинга начали
использовать небольшие написанные под Java всплывающие окна, накладывающиеся на адресную
панель таким образом, что пользователи думают, будто находятся на настоящем сайте, а не на
поддельной странице. Они также добавляют пиктограмму в виде замка, которая считается символом
интернет-защиты, придавая своим страницам еще более подлинный вид.
С планируемым разрешением в Рунете регистрации доменных имен с кириллицей клиенты

<< Предыдущая

стр. 40
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>