Блог · 13 июня 2026 г.

Выявление денежных мулов: Мониторинг транзакций для обнаружения подозрительных счетов (RU)

Счета денежных мулов используются для перемещения незаконных средств от имени преступных сетей. Узнайте, как агрегации скорости, паттерны «веерного входа/выхода» и правила реального времени выявляют их, а также как AWAITING_USER.

Автор: Didit13 июня 2026 г.Обновлено 13 июн. 2026 г.

Счет денежного мула — это реальный или синтетический счет, используемый для получения и пересылки незаконных средств от имени преступной сети. Мул является промежуточным звеном: деньги поступают от преступной деятельности, проходят через счет и выводятся бенефициару, отдаляясь от источника. Отдельные транзакции могут выглядеть совершенно обыденно. Паттерн становится видимым только в совокупности, в течение определенных временных окон и во всей сети вовлеченных отправителей и получателей.

Обнаружение требует отслеживания потока транзакций с помощью правильных правил. Топология «веерного входа/выхода», быстрые циклы ввода-вывода, переходы от бездействия к активности и структурирование вблизи пороговых значений — это поведенческие отпечатки: ни один не виден в отдельной транзакции, все видны в хорошо настроенном движке скорости.

Мониторинг транзакций Didit выявляет эти паттерны в реальном времени по $0.02 за транзакцию. Когда паттерн срабатывает, счет помечается для анализа аналитиком, отклоняется сразу или направляется на повторную проверку через поток AWAITING_USER — таким образом, предполагаемые счета мулов должны доказать свою невиновность, прежде чем средства будут перемещены дальше.

Основные выводы

Счета мулов перемещают незаконные средства, не являясь инициаторами преступления. Вербованные мулы, обманутые мулы и синтетические счета мулов используются для наслоения и интеграции преступных доходов через финансовую систему.
Сигнал находится в паттерне, а не в транзакции. Быстрые циклы ввода/вывода, «веерный вход» от нескольких отправителей, «веерный выход» к нескольким получателям и структурирование чуть ниже пороговых значений отчетности — это поведенческие признаки, невидимые по отдельности, но видимые в совокупности.
Агрегации скорости по временным окнам — подсчет, сумма, количество уникальных значений — выражают паттерны мулов в виде правил без создания пользовательского обработчика потоков.
Автоматическое исправление AWAITING_USER направляет помеченный счет на повторную проверку, прежде чем средства смогут продолжить движение, без жесткого отклонения, которое наносит ущерб законным счетам.
AML-проверка по $0.20 проверяет контрагентов по более чем 1300 санкционным и наблюдательным спискам — сочетая поведенческое обнаружение на основе правил с риском идентификации вовлеченных сторон.
11 встроенных пакетов правил включают специализированные пакеты по предотвращению мошенничества и AML/CTF, изначально содержащие паттерны обнаружения мулов.

Кто такие денежные мулы

Денежный мул — это лицо, чей счет получает и пересылает незаконные средства. Они находятся на стадии наслоения в цепочке отмывания денег: после размещения (преступные наличные поступают в финансовую систему) и до интеграции (они вновь поступают как кажущиеся законными средства).

Счета мулов бывают трех видов. Вербованные мулы сознательно соглашаются получать плату за получение и пересылку средств — часто через мошеннические предложения о работе, где «работа» оказывается отмыванием денег. Обманутые мулы — это законные пользователи, которые считают, что делают что-то безобидное — например, пересылают платеж для нового работодателя — и не знают, что средства незаконны. Синтетические счета мулов открываются с использованием сфабрикованных или украденных личностей специально для выполнения функции пересылки; это включает мошенничество третьих лиц при регистрации и мошенничество первой стороны на уровне транзакций.

Все три типа создают одинаковый поведенческий отпечаток в потоке транзакций — именно там и должно происходить обнаружение.

Четыре поведенческих паттерна активности мулов

Веерный вход/веерный выход. Счет мула получает средства от нескольких различных отправителей за короткий промежуток времени, а затем пересылает их нескольким различным получателям. Эта топология N-к-1-к-M является самым сильным сетевым сигналом. Правило скорости, которое подсчитывает уникальных входящих контрагентов за 24-часовое окно, в сочетании с подсчетом уникальных исходящих контрагентов в том же окне, автоматически выявляет паттерн — независимо от размера отдельной транзакции.

Быстрый цикл ввода-вывода. Баланс счета в начале и конце дня близок к нулю, но через него прошел значительный объем. Мул является проводником, а не хранилищем стоимости. Правило, которое вычисляет отношение общего объема транзакций к балансу на конец дня, помечает счета, действующие как транзитные, а не как держатели средств.

Структурирование. Преступные сети часто держат отдельные переводы ниже пороговых значений отчетности — например, 9 800 евро вместо 10 000 евро, неоднократно. Пакет правил AML/CTF (борьба с отмыванием денег / противодействие финансированию терроризма) выявляет паттерны структурирования в настраиваемом временном окне, даже если ни одна транзакция сама по себе не является необычной.

Бездействие, затем активность. Счет мула, который не видел нулевого или минимального объема в течение 60+ дней, а затем обрабатывает значительные переводы за 48 часов, является сильным аномальным сигналом. Пакет обнаружения аномалий Didit отслеживает изменения от бездействия к активности как отклонение от установленной поведенческой базы каждого счета — статический порог не требуется.

Как реагирует движок правил

Когда транзакция срабатывает по правилу паттерна мула, Didit возвращает один из четырех статусов:

Статус	Что происходит
`APPROVED`	Ни одно правило не превысило порог — транзакция продолжается.
`IN_REVIEW`	Правило пометило транзакцию — открывается оповещение для расследования аналитиком.
`DECLINED`	Жесткое правило (например, подтвержденный санкционный контрагент) блокирует транзакцию полностью.
`AWAITING_USER`	Транзакция приостановлена, и счет направляется на повторную проверку.

Путь AWAITING_USER — это правильный ответ для подозреваемого, но неподтвержденного мула: бремя доказательства перекладывается на держателя счета. Подлинные пользователи легко проходят этап повторной проверки. Вербованные мулы часто отказываются от него. Синтетические счета не проходят повторную проверку KYC. Когда паттерн достаточно серьезен, оповещение может быть эскалировано до дела во встроенном менеджере дел, и аналитики могут подать SAR (отчет о подозрительной деятельности), не выходя из консоли.

Как интегрироваться с Didit

Отправляйте каждую входящую и исходящую транзакцию в API мониторинга транзакций. Включите ссылки на поставщиков subject и counterparty, чтобы агрегации скорости могли вычислять количество транзакций для каждого счета и количество уникальных контрагентов по временным окнам.

curl -X POST https://verification.didit.me/v3/transactions/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "transaction_id": "txn_d77f23",
    "category": "finance",
    "amount": 1950,
    "currency": "GBP",
    "currency_kind": "fiat",
    "txn_date": "2026-06-13T11:40:00Z",
    "subject": {
      "vendor_data": "user_8834",
      "role": "RECEIVER",
      "entity_type": "INDIVIDUAL"
    },
    "counterparty": {
      "role": "SENDER",
      "entity_type": "INDIVIDUAL"
    },
    "payment_method": "BANK_TRANSFER"
  }'

Сочетайте мониторинг транзакций с AML-проверкой — когда сторона срабатывает по правилу, запустите проверку по более чем 1300 санкционным и наблюдательным спискам по $0.20 за вызов, чтобы подтвердить или отклонить риск идентификации. Оба вызова направляются в один и тот же унифицированный API /v3/.

Включите пакеты правил Предотвращение мошенничества и AML/CTF в Бизнес-консоли в качестве базовых. Настройте пороговые значения для уникальных контрагентов и коэффициента пропускной способности в соответствии с распределением объема транзакций вашего продукта.

Варианты использования

Необанки и электронные денежные учреждения. Быстрая пропускная способность ввода/вывода на счетах с почти нулевым балансом на конец дня является наиболее явным сигналом мула в розничном банкинге. Правила скорости по дельте отправленного/полученного объема за 24-часовые окна выявляют это до того, как средства пройдут цикл расчетов.

Криптобиржи и он-рампы. Паттерны крипто-мулов — внесение фиата, конвертация в крипто и немедленный вывод на внешний кошелек — появляются в потоке транзакций до ончейн-этапа. Сочетание мониторинга транзакций с ончейн-проверкой кошельков по $0.02 за проверку дает представление о полном потоке от фиата до блокчейна.

Торговые площадки и платежные платформы. Платежные платформы, которые агрегируют средства от многих продавцов перед выплатой, являются естественной целью для мулов. Обнаружение паттерна «веерного входа» в потоках от продавца к платформе и к выводу выявляет топологию до выплаты.

Финтех-кредитование. Счета мулов используются для получения и быстрого вывода средств кредита. Правила скорости по поведению «выплата до нуля» сразу после выплаты выявляют этот паттерн в том же движке, который обрабатывает AML и обнаружение мошенничества.

Часто задаваемые вопросы

В чем разница между денежным мулом и мошенничеством с использованием синтетической личности?

Мошенничество с использованием синтетической личности создает поддельного человека при регистрации. Денежные мулы — это счета (реальные или с украденной личностью), используемые для наслоения средств после регистрации. Они пересекаются, когда украденные личности открывают счета мулов, поэтому сочетание KYC (Знай своего клиента) при регистрации с мониторингом транзакций после регистрации обеспечивает полное покрытие.

Автоматически ли Didit обнаруживает сети мулов?

Встроенные пакеты по предотвращению мошенничества и AML/CTF содержат правила скорости и топологии, которые выявляют паттерны мулов без пользовательской настройки. Вы можете настроить пороговые значения и добавить пользовательские правила в Консоли для вашего конкретного продукта.

Сколько стоит обнаружение мулов?

Мониторинг транзакций стоит $0.02 за транзакцию. Если помеченная сторона запускает AML-проверку, эта проверка стоит $0.20 за вызов. Нет минимумов, нет лицензий на места.

Что происходит, когда идентифицируется счет мула?

Счет может быть отклонен, удержан для анализа аналитиком или направлен на повторную проверку через AWAITING_USER. Для подтвержденных случаев встроенный менеджер дел поддерживает подачу SAR без выхода из консоли Didit.

Работает ли это для паттернов крипто-мулов?

Да. Установите currency_kind: "crypto", и движок применит пакеты правил мониторинга крипто и проверки крипто. Ончейн-проверка кошелька по адресу контрагента может быть запущена автоматически по $0.02 за проверку с использованием собственного ключа.

Готовы начать?

Изучите функцию → Обзор мониторинга транзакций
Посмотрите на платформе → Страница продукта «Мониторинг транзакций»
Проверьте цену → Цены — $0.02 за транзакцию, AML-проверка $0.20
Начните бесплатно → business.didit.me — 500 бесплатных проверок в месяц