最近发生很多起网络资金账户被盗事件,绝大多数集中在互联网金融公司,我在某爷理财APP上的四万多理财资金也全部被盗,痛心棘手(当事人无参与),并明显感觉到了互联网金融产品的安全性缺失,大众也纷纷要求提现,导致多家互联网金融公司被挤兑处在死亡边缘。
但是反观银行业,如果自己不参与(不签字、不泄漏密码、不同意复制手机卡),没有人的银行账户能被盗,即使银行内部员工内外勾结也不能动客户一分钱,就像最近发生的40亿同业欺诈案,内外行家小心配合也依然无法通过银行的反欺诈拦截。
为了你的钱和我的钱,为了让那些优秀的互联网金融公司活下去,我们今天就来探讨一下银行的反欺诈是如何设计的。
十年前我在黑客防线和黑客X档案陆续发表《徒手搞定整个机房》、《徒手对抗驱动级病毒》等安全类文章的那段时间,是国内个人电脑安全最动荡的日子,随便一个会点鼠标的网民随便下载几个工具就可以号称黑客干点恶作剧,后来杀出个周鸿祎采用流氓卫士辅以收编各路红黑高手的手段,才让网络安全的话题逐渐的回归了平淡。
随后几年,平静的网络环境给了人们足够的安全感,接着网络实行实名制,各大网站纷纷实名社交,之前游离在编制外的各路黑神逐渐将注意力转移到各大网站,并将脱裤(下载用户数据库)获得的用户数据转为经济利益。
由于这些数据包含大量真实个人信息,它可以作为社工猜解的输入条件对用户其它信息一一破解,对于不能直接转为经济效益的用户信息便通过黑市直接转手卖给各路电信诈骗分子,诈骗分子通过逐一分析用户信息有针对性的制定诈骗方案,并辅以完整配套设施“官方网站”、“官方400电话”等,略施小计如“您儿子出车祸了”、“恭喜您中奖了”、“到我办公室来一趟”等即可拿下很多人。
因为对方知道你所有的信息,包括姓名、住址、身份证号码、在哪里读过书、在哪里工作、领导是谁、买过什么东西、去过那里、和谁开过房、甚至包括你家人和朋友的这些信息,当你去网络求证对方是不是在诈骗时,百度会告诉你对方说的是真的(骗子预先在百度付费推广诈骗信息,比如公司的电话等)。
诈骗分子实施这一系列的动作有两个目的,一是直接拿到你的钱,二是退而求其次拿到存钱的账户,实现的手段有四类:要求转账、柜台签字、获取密码、手机号复制。
诈骗分子使用以上手段达到这两个目的过程称为社会工程学诈骗,这种诈骗的存在是互联网金融安全薄弱的根本原因,各大银行在过去许多年与骗子的较量中已经总结出了一套识别真正用户以及真实交易的一整套方案,这是现在各大互联网公司最缺少的,尤其是互联网金融公司。
因为很多互联网金融公司还停留在使用用户外在信息识别用户身份的低级方案,甚至对交易真实性根本没有做任何检查,诈骗分子闭着眼睛随便捏一个公司出来也能获得丰厚的回报,这也导致现在诈骗分子非常泛滥还活的十分滋润的一个原因。
而这一切,不是用户的智商让我们措手不及,是我们系统设计的让用户措手不及。
先举两个真实案例,第一个就是发生在我身上的,我存在某互联网金融公司某爷的四万多理财资金在一个周五晚上十点的一个小时内全部被盗,我的账户被别人在异地使用新手机登录并修改了登录密码、支付密码、更换了我绑定的银行卡、并额外绑定了三张别人的银行卡,这期间我无法重置支付密码、无法解绑银行卡、无法冻结账户、打客服提示已下班,束手无策,只有绝望。这个过程中发生了多少敏感操作,而我的手机没有收到一条变更确认的短信和变更成功后的通知,只有最后收到一条我的账户被提现到某某卡的通知。
从这个过程就可以看出这家公司居然没有用户身份真伪识别的机制,更别说交易真实性识别了,完全就是拿着用户的钱在网上裸奔,谁能在旁边说出钱是谁的钱就给谁,作为一家金融公司这样实在是让人震惊。
第二个案例是发生在银行间市场,有个人通过向A银行购买十万理财产品的方式获取了A银行的理财产品说明书、协议书、税务登记证、营业执照、组织机构代码证、客户权益须知等文件,并以个人名义存入2000万以取得A银行贵宾室的使用权,然后冒充A银行工作人员利用A银行的贵宾室,向B银行高息兜售该理财产品,连续多天在A银行的表演和略施小计骗过了B银行的审核人员,从而卖出了一份40亿的理财资金,但是这笔交易被B银行的反欺诈侦测列入了风险监控列表,经过人工审核确认后堵截了这起诈骗事件(详细过程可查看银监会安徽监管局发的2016第55号文件)。
对比B银行该案例中表现出来的反欺诈侦测能力,某互联网金融公司的做法就是在作死,互联网金融公司安全能力的提升迫在眉睫也任重道远。
互联网金融公司想要提升自己的安全能力,最好的学习榜样就是银行,而全球范围内率先实现企业级反欺诈管控体系的是美国银行和富国银行,他们在这方面有些非常优秀的设计经验值得学习,现在我们就开始探讨他们在企业级架构下的反欺诈是如何设计的。一般概念下的欺诈分内部欺诈和外部欺诈,它属于风险管控中操作风险管理的一部分。
在操作风险管理中除了欺诈外还管理就业制度和工作场所安全事件、客户/产品和业务活动事件、实物资产损坏事件、信息科技系统事件、执行/交割和流程管理事件,今天我们主要探讨欺诈这部分。在外部欺诈中主要有三类欺诈:当事人欺诈、第三方欺诈以及人行要求检查的洗钱欺诈,内部欺诈主要有未经授权的行为与盗窃。对于欺诈的防控分事前防控、事中防控与事后防控,并在以下层面进行防控:
外部渠道层:重点侦测交易发生前的客户接入、会话可疑行为;交易发生中的交易对手是否在可疑欺诈名单。
内部渠道层:重点侦测业务违规与可疑操作。
产品服务层:重点侦测产品服务内的欺诈交易,跨产品的欺诈交易。
数据集成层:重点侦测跨产品、渠道的组合/复杂欺诈交易。
这些不同的层侧重防控的欺诈行为不一样,其侦测逻辑也不一样,渠道层可能侦测以下行为:
异地更换网银盾后首次进行大额转账,这可能是客户的信息已泄露,这种交易需要挂起,并需要打电话给客户进行核实。
客户通过手机或网银渠道向黑名单收款账户转账,被阻断交易后,当天该账户又向其它账户进行大额转账,这可能是客户账户被盗或被电信诈骗分子利用社会工程学的手段实施了诈骗,这种交易需要挂起,并需要打电话给客户进行核实。
异地升级网银盾后首次进行大额转账,这可能是客户身份被盗用,身份证、登录密码等已泄露,这种交易需要挂起,并需要打电话给客户进行核实。
新开通的网银客户进行大额转账,这可能是客户被电信诈骗分子利用社会工程学的手段实施了诈骗,这种交易需要挂起,并需要打电话给客户进行核实。
用户登录所使用的设备指纹(MAC地址、IP、主板序列号、硬盘序列号)、登录时间、设备所在地,与其常用的对应信息不一致,这可能是客户账户已被盗用,这种情况需要进行人工核实。
产品层可能侦测以下行为:
1、 进入黑名单商户的交易,对于已支付未确认付款的交易需要实施冻结,防止资金流入该商户。
2、 根据客户的投诉确认商户是否存在虚假交易,如果是也需要实施冻结。
3、 如果同卡同天当笔交易为上一笔的倍数,这可能是客户账户被盗用,这种交易需要挂起,并人工进行核实。
4、 如果同卡同商户同金额,这可能是商户正在配合客户套现,这种交易需要人工核实。
5、 如果同卡同商户五分钟内交易超限,这可能是在进行虚假交易,这种交易需要人工核实。
6、 如果对公客户的交易额不在其合理的范围内(通过其注册资本、代发代付的累计额等评估的范围),这种交易可能需要拒绝并人工进行调查。
7、 如果使用伪卡进行交易,此后该商户发生的交易可能都需要阻断或告警。
客户层可能侦测以下行为:
1、 特定年龄段客户以往习惯在非柜面进行小额交易,突然第一笔发生大额转账,这可能是账户被盗,需要进行人工调查。
2、 客户账户多日连续多笔密码验证错误,尝试成功后就进行转账操作,这可能是账户被盗,其发起的交易可能需要被阻断,该客户使用的其他产品可能均需要挂起,并进行人工核实处理。
3、 同一个客户的一个或多个产品短时间内在不同地区/国家使用,这可能是客户的卡被复制存在伪卡,这种交易需要人工核实处理。
4、 在一定时间内,同一个客户在特定高风险国家发生多笔或进行大额交易,这可能是伪卡,这种交易需要人工核实处理。
可能需要通过对客户和员工的不同纬度外部欺诈、内部欺诈风险及黑名单信息的分类评估,实现对客户欺诈风险的联合防控,它们之间的风险关系梳理如下:
如果我们要在防控的前、中、后三个阶段都要对各个产品的多个纬度进行统一欺诈防控与处理,那么我们需要基于他们整体建立一套防控体系,通过整理并抽象总结前面提出的侦测行为,我们将它需要实现的目标梳理如下:
1、 应该具有统一的数据集市。
2、 应该具有统一的数据采集、加工过程。
3、 应该具有统一的侦测策略定义过程。
4、 应该具有统一的基于流程引擎的侦测问题流转管理。
5、 应该具有统一的基于流程引擎的案件管理,记录、跟踪、评估、回顾相关的处理过程。
6、 应该具有统一的基于规则引擎的实时、准实时、批量风险侦测。
7、 应该具有统一的信息外送处理。
通过这些目标,我们将它需要具备的功能梳理如下:
1、 反欺诈业务处理:告警管理、案件调查、交易控制、侦测处理。
2、 反欺诈运营管理:运营管控、流程管理、策略管理。
3、 反欺诈数据报表:数据整合、数据报告。
4、 反欺诈模型研究:规划研究、变量加工、贴源数据。
5、 反欺诈行为分析:行为分析、关联分析、评级计算、批量处理。
基于前面的要求,我们来梳理一下与反欺诈有关的上下文关系,如下图:
图中蓝色线是交易访问关系,橙色线是批量数据访问关系,通过这些关系,我们再来细化梳理一下它们在应用架构中的位置:
再把它们在数据架构中的位置也梳理出来:
现在,我们可以梳理一下反欺诈的具体处理流程了。渠道层的处理流程梳理如下:
产品层的处理流程梳理如下:
客户层的处理流程梳理如下:
在这些处理流程中,对于需要加强认证的行为,需要将该次交易列入风险监控列表中,经事后人工确认确实存在欺诈行为的,将此类行为列入风险行为模型中,完成欺诈侦测随着欺诈行为的变异而不断进化。
好了,到这里我们反欺诈设计的主体部分就算设计完成了,这是在企业级架构中逻辑各层已解耦的前提下进行的设计,分阶段分层各司其职分而治之,通过建立行为模型灵活应对用户的各种行为,适应现在与未来,对于那些新出现的欺诈手段,主动学习并生成欺诈行为模型,将可有效杜绝现在与未来可能发生的欺诈。
通过反欺诈设计的这个过程,我们可以总结几招识别一家互联网金融公司是否具备反欺诈能力的小技巧:
1、 将您的帐户在其它手机上登陆,测试渠道层反欺诈能力;
2、 将您的帐户在异地登陆,测试渠道层反欺诈能力;
3、 修改您的登陆密码,测试产品层反欺诈能力;
4、 修改您的支付密码,测试产品层反欺诈能力:
5、 修改身份信息,测试客户层反欺诈能力;
6、 绑定新的银行卡,测试产品层反欺诈能力;
7、 用新卡提现,测试交易反欺诈能力;
8、 用他人手机提现,测试交易反欺诈能力;
9、 异地全额提现,测试交易反欺诈能力;
进行以上任意一步操作,如果有收到短信提醒,说明有帐户异常行为识别机制;如果有收到短信验证码,说明有帐户行为控制机制;如果收到电话确认,说明有用户身份真伪识别。如果只有短信提醒,请谨慎使用,如果都没有,立刻马上提现并卸载。
参考资料:
何毅勇:关于银行业反欺诈的思考
银监会:交易反欺诈风险监控规定
范辉远:信用卡欺诈风险分析与防范
吴昊:银行卡欺诈与防范对策探讨
吴朝平:反洗钱对银行反欺诈工作的借鉴意义
