最近發(fā)生很多起網(wǎng)絡(luò)資金賬戶被盜事件，絕大多數(shù)集中在互聯(lián)網(wǎng)金融公司，我在某爺理財(cái)APP上的四萬(wàn)多理財(cái)資金也全部被盜，痛心棘手(當(dāng)事人無(wú)參與)，并明顯感覺(jué)到了互聯(lián)網(wǎng)金融產(chǎn)品的安全性缺失，大眾也紛紛要求提現(xiàn)，導(dǎo)致多家互聯(lián)網(wǎng)金融公司被擠兌處在死亡邊緣。

但是反觀銀行業(yè)，如果自己不參與(不簽字、不泄漏密碼、不同意復(fù)制手機(jī)卡)，沒(méi)有人的銀行賬戶能被盜，即使銀行內(nèi)部員工內(nèi)外勾結(jié)也不能動(dòng)客戶一分錢(qián)，就像最近發(fā)生的40億同業(yè)欺詐案，內(nèi)外行家小心配合也依然無(wú)法通過(guò)銀行的反欺詐攔截。

為了你的錢(qián)和我的錢(qián)，為了讓那些優(yōu)秀的互聯(lián)網(wǎng)金融公司活下去，我們今天就來(lái)探討一下銀行的反欺詐是如何設(shè)計(jì)的。

十年前我在黑客防線和黑客X檔案陸續(xù)發(fā)表《徒手搞定整個(gè)機(jī)房》、《徒手對(duì)抗驅(qū)動(dòng)級(jí)病毒》等安全類(lèi)文章的那段時(shí)間，是國(guó)內(nèi)個(gè)人電腦安全最動(dòng)蕩的日子，隨便一個(gè)會(huì)點(diǎn)鼠標(biāo)的網(wǎng)民隨便下載幾個(gè)工具就可以號(hào)稱黑客干點(diǎn)惡作劇，后來(lái)殺出個(gè)周鴻祎采用流氓衛(wèi)士輔以收編各路紅黑高手的手段，才讓網(wǎng)絡(luò)安全的話題逐漸的回歸了平淡。

隨后幾年，平靜的網(wǎng)絡(luò)環(huán)境給了人們足夠的安全感，接著網(wǎng)絡(luò)實(shí)行實(shí)名制，各大網(wǎng)站紛紛實(shí)名社交，之前游離在編制外的各路黑神逐漸將注意力轉(zhuǎn)移到各大網(wǎng)站，并將脫褲(下載用戶數(shù)據(jù)庫(kù))獲得的用戶數(shù)據(jù)轉(zhuǎn)為經(jīng)濟(jì)利益。

由于這些數(shù)據(jù)包含大量真實(shí)個(gè)人信息，它可以作為社工猜解的輸入條件對(duì)用戶其它信息一一破解，對(duì)于不能直接轉(zhuǎn)為經(jīng)濟(jì)效益的用戶信息便通過(guò)黑市直接轉(zhuǎn)手賣(mài)給各路電信詐騙分子，詐騙分子通過(guò)逐一分析用戶信息有針對(duì)性的制定詐騙方案，并輔以完整配套設(shè)施“官方網(wǎng)站”、“官方400電話”等，略施小計(jì)如“您兒子出車(chē)禍了”、“恭喜您中獎(jiǎng)了”、“到我辦公室來(lái)一趟”等即可拿下很多人。

因?yàn)閷?duì)方知道你所有的信息，包括姓名、住址、身份證號(hào)碼、在哪里讀過(guò)書(shū)、在哪里工作、領(lǐng)導(dǎo)是誰(shuí)、買(mǎi)過(guò)什么東西、去過(guò)那里、和誰(shuí)開(kāi)過(guò)房、甚至包括你家人和朋友的這些信息，當(dāng)你去網(wǎng)絡(luò)求證對(duì)方是不是在詐騙時(shí)，百度會(huì)告訴你對(duì)方說(shuō)的是真的(騙子預(yù)先在百度付費(fèi)推廣詐騙信息，比如公司的電話等)。

詐騙分子實(shí)施這一系列的動(dòng)作有兩個(gè)目的，一是直接拿到你的錢(qián)，二是退而求其次拿到存錢(qián)的賬戶，實(shí)現(xiàn)的手段有四類(lèi)：要求轉(zhuǎn)賬、柜臺(tái)簽字、獲取密碼、手機(jī)號(hào)復(fù)制。

詐騙分子使用以上手段達(dá)到這兩個(gè)目的過(guò)程稱為社會(huì)工程學(xué)詐騙，這種詐騙的存在是互聯(lián)網(wǎng)金融安全薄弱的根本原因，各大銀行在過(guò)去許多年與騙子的較量中已經(jīng)總結(jié)出了一套識(shí)別真正用戶以及真實(shí)交易的一整套方案，這是現(xiàn)在各大互聯(lián)網(wǎng)公司最缺少的，尤其是互聯(lián)網(wǎng)金融公司。

因?yàn)楹芏嗷ヂ?lián)網(wǎng)金融公司還停留在使用用戶外在信息識(shí)別用戶身份的低級(jí)方案，甚至對(duì)交易真實(shí)性根本沒(méi)有做任何檢查，詐騙分子閉著眼睛隨便捏一個(gè)公司出來(lái)也能獲得豐厚的回報(bào)，這也導(dǎo)致現(xiàn)在詐騙分子非常泛濫還活的十分滋潤(rùn)的一個(gè)原因。

而這一切，不是用戶的智商讓我們措手不及，是我們系統(tǒng)設(shè)計(jì)的讓用戶措手不及。

先舉兩個(gè)真實(shí)案例，第一個(gè)就是發(fā)生在我身上的，我存在某互聯(lián)網(wǎng)金融公司某爺?shù)乃娜f(wàn)多理財(cái)資金在一個(gè)周五晚上十點(diǎn)的一個(gè)小時(shí)內(nèi)全部被盜，我的賬戶被別人在異地使用新手機(jī)登錄并修改了登錄密碼、支付密碼、更換了我綁定的銀行卡、并額外綁定了三張別人的銀行卡，這期間我無(wú)法重置支付密碼、無(wú)法解綁銀行卡、無(wú)法凍結(jié)賬戶、打客服提示已下班，束手無(wú)策，只有絕望。這個(gè)過(guò)程中發(fā)生了多少敏感操作，而我的手機(jī)沒(méi)有收到一條變更確認(rèn)的短信和變更成功后的通知，只有最后收到一條我的賬戶被提現(xiàn)到某某卡的通知。

從這個(gè)過(guò)程就可以看出這家公司居然沒(méi)有用戶身份真?zhèn)巫R(shí)別的機(jī)制，更別說(shuō)交易真實(shí)性識(shí)別了，完全就是拿著用戶的錢(qián)在網(wǎng)上裸奔，誰(shuí)能在旁邊說(shuō)出錢(qián)是誰(shuí)的錢(qián)就給誰(shuí)，作為一家金融公司這樣實(shí)在是讓人震驚。

第二個(gè)案例是發(fā)生在銀行間市場(chǎng)，有個(gè)人通過(guò)向A銀行購(gòu)買(mǎi)十萬(wàn)理財(cái)產(chǎn)品的方式獲取了A銀行的理財(cái)產(chǎn)品說(shuō)明書(shū)、協(xié)議書(shū)、稅務(wù)登記證、營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證、客戶權(quán)益須知等文件，并以個(gè)人名義存入2000萬(wàn)以取得A銀行貴賓室的使用權(quán)，然后冒充A銀行工作人員利用A銀行的貴賓室，向B銀行高息兜售該理財(cái)產(chǎn)品，連續(xù)多天在A銀行的表演和略施小計(jì)騙過(guò)了B銀行的審核人員，從而賣(mài)出了一份40億的理財(cái)資金，但是這筆交易被B銀行的反欺詐偵測(cè)列入了風(fēng)險(xiǎn)監(jiān)控列表，經(jīng)過(guò)人工審核確認(rèn)后堵截了這起詐騙事件(詳細(xì)過(guò)程可查看銀監(jiān)會(huì)安徽監(jiān)管局發(fā)的2016第55號(hào)文件)。

對(duì)比B銀行該案例中表現(xiàn)出來(lái)的反欺詐偵測(cè)能力，某互聯(lián)網(wǎng)金融公司的做法就是在作死，互聯(lián)網(wǎng)金融公司安全能力的提升迫在眉睫也任重道遠(yuǎn)。

互聯(lián)網(wǎng)金融公司想要提升自己的安全能力，最好的學(xué)習(xí)榜樣就是銀行，而全球范圍內(nèi)率先實(shí)現(xiàn)企業(yè)級(jí)反欺詐管控體系的是美國(guó)銀行和富國(guó)銀行，他們?cè)谶@方面有些非常優(yōu)秀的設(shè)計(jì)經(jīng)驗(yàn)值得學(xué)習(xí)，現(xiàn)在我們就開(kāi)始探討他們?cè)谄髽I(yè)級(jí)架構(gòu)下的反欺詐是如何設(shè)計(jì)的。一般概念下的欺詐分內(nèi)部欺詐和外部欺詐，它屬于風(fēng)險(xiǎn)管控中操作風(fēng)險(xiǎn)管理的一部分。

在操作風(fēng)險(xiǎn)管理中除了欺詐外還管理就業(yè)制度和工作場(chǎng)所安全事件、客戶/產(chǎn)品和業(yè)務(wù)活動(dòng)事件、實(shí)物資產(chǎn)損壞事件、信息科技系統(tǒng)事件、執(zhí)行/交割和流程管理事件，今天我們主要探討欺詐這部分。在外部欺詐中主要有三類(lèi)欺詐：當(dāng)事人欺詐、第三方欺詐以及人行要求檢查的洗錢(qián)欺詐，內(nèi)部欺詐主要有未經(jīng)授權(quán)的行為與盜竊。對(duì)于欺詐的防控分事前防控、事中防控與事后防控，并在以下層面進(jìn)行防控：

外部渠道層：重點(diǎn)偵測(cè)交易發(fā)生前的客戶接入、會(huì)話可疑行為;交易發(fā)生中的交易對(duì)手是否在可疑欺詐名單。

內(nèi)部渠道層：重點(diǎn)偵測(cè)業(yè)務(wù)違規(guī)與可疑操作。

產(chǎn)品服務(wù)層：重點(diǎn)偵測(cè)產(chǎn)品服務(wù)內(nèi)的欺詐交易，跨產(chǎn)品的欺詐交易。

數(shù)據(jù)集成層：重點(diǎn)偵測(cè)跨產(chǎn)品、渠道的組合/復(fù)雜欺詐交易。

這些不同的層側(cè)重防控的欺詐行為不一樣，其偵測(cè)邏輯也不一樣，渠道層可能偵測(cè)以下行為：

異地更換網(wǎng)銀盾后首次進(jìn)行大額轉(zhuǎn)賬，這可能是客戶的信息已泄露，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實(shí)。

客戶通過(guò)手機(jī)或網(wǎng)銀渠道向黑名單收款賬戶轉(zhuǎn)賬，被阻斷交易后，當(dāng)天該賬戶又向其它賬戶進(jìn)行大額轉(zhuǎn)賬，這可能是客戶賬戶被盜或被電信詐騙分子利用社會(huì)工程學(xué)的手段實(shí)施了詐騙，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實(shí)。

異地升級(jí)網(wǎng)銀盾后首次進(jìn)行大額轉(zhuǎn)賬，這可能是客戶身份被盜用，身份證、登錄密碼等已泄露，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實(shí)。

新開(kāi)通的網(wǎng)銀客戶進(jìn)行大額轉(zhuǎn)賬，這可能是客戶被電信詐騙分子利用社會(huì)工程學(xué)的手段實(shí)施了詐騙，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實(shí)。

用戶登錄所使用的設(shè)備指紋(MAC地址、IP、主板序列號(hào)、硬盤(pán)序列號(hào))、登錄時(shí)間、設(shè)備所在地，與其常用的對(duì)應(yīng)信息不一致，這可能是客戶賬戶已被盜用，這種情況需要進(jìn)行人工核實(shí)。

產(chǎn)品層可能偵測(cè)以下行為：

1、 進(jìn)入黑名單商戶的交易，對(duì)于已支付未確認(rèn)付款的交易需要實(shí)施凍結(jié)，防止資金流入該商戶。

2、 根據(jù)客戶的投訴確認(rèn)商戶是否存在虛假交易，如果是也需要實(shí)施凍結(jié)。

3、 如果同卡同天當(dāng)筆交易為上一筆的倍數(shù)，這可能是客戶賬戶被盜用，這種交易需要掛起，并人工進(jìn)行核實(shí)。

4、 如果同卡同商戶同金額，這可能是商戶正在配合客戶套現(xiàn)，這種交易需要人工核實(shí)。

5、 如果同卡同商戶五分鐘內(nèi)交易超限，這可能是在進(jìn)行虛假交易，這種交易需要人工核實(shí)。

6、 如果對(duì)公客戶的交易額不在其合理的范圍內(nèi)(通過(guò)其注冊(cè)資本、代發(fā)代付的累計(jì)額等評(píng)估的范圍)，這種交易可能需要拒絕并人工進(jìn)行調(diào)查。

7、 如果使用偽卡進(jìn)行交易，此后該商戶發(fā)生的交易可能都需要阻斷或告警。

客戶層可能偵測(cè)以下行為：

1、 特定年齡段客戶以往習(xí)慣在非柜面進(jìn)行小額交易，突然第一筆發(fā)生大額轉(zhuǎn)賬，這可能是賬戶被盜，需要進(jìn)行人工調(diào)查。

2、 客戶賬戶多日連續(xù)多筆密碼驗(yàn)證錯(cuò)誤，嘗試成功后就進(jìn)行轉(zhuǎn)賬操作，這可能是賬戶被盜，其發(fā)起的交易可能需要被阻斷，該客戶使用的其他產(chǎn)品可能均需要掛起，并進(jìn)行人工核實(shí)處理。

3、 同一個(gè)客戶的一個(gè)或多個(gè)產(chǎn)品短時(shí)間內(nèi)在不同地區(qū)/國(guó)家使用，這可能是客戶的卡被復(fù)制存在偽卡，這種交易需要人工核實(shí)處理。

4、 在一定時(shí)間內(nèi)，同一個(gè)客戶在特定高風(fēng)險(xiǎn)國(guó)家發(fā)生多筆或進(jìn)行大額交易，這可能是偽卡，這種交易需要人工核實(shí)處理。

可能需要通過(guò)對(duì)客戶和員工的不同緯度外部欺詐、內(nèi)部欺詐風(fēng)險(xiǎn)及黑名單信息的分類(lèi)評(píng)估，實(shí)現(xiàn)對(duì)客戶欺詐風(fēng)險(xiǎn)的聯(lián)合防控，它們之間的風(fēng)險(xiǎn)關(guān)系梳理如下：

如果我們要在防控的前、中、后三個(gè)階段都要對(duì)各個(gè)產(chǎn)品的多個(gè)緯度進(jìn)行統(tǒng)一欺詐防控與處理，那么我們需要基于他們整體建立一套防控體系，通過(guò)整理并抽象總結(jié)前面提出的偵測(cè)行為，我們將它需要實(shí)現(xiàn)的目標(biāo)梳理如下：

1、 應(yīng)該具有統(tǒng)一的數(shù)據(jù)集市。

2、 應(yīng)該具有統(tǒng)一的數(shù)據(jù)采集、加工過(guò)程。

3、 應(yīng)該具有統(tǒng)一的偵測(cè)策略定義過(guò)程。

4、 應(yīng)該具有統(tǒng)一的基于流程引擎的偵測(cè)問(wèn)題流轉(zhuǎn)管理。

5、 應(yīng)該具有統(tǒng)一的基于流程引擎的案件管理，記錄、跟蹤、評(píng)估、回顧相關(guān)的處理過(guò)程。

6、 應(yīng)該具有統(tǒng)一的基于規(guī)則引擎的實(shí)時(shí)、準(zhǔn)實(shí)時(shí)、批量風(fēng)險(xiǎn)偵測(cè)。

7、 應(yīng)該具有統(tǒng)一的信息外送處理。

通過(guò)這些目標(biāo)，我們將它需要具備的功能梳理如下：

1、 反欺詐業(yè)務(wù)處理：告警管理、案件調(diào)查、交易控制、偵測(cè)處理。

2、 反欺詐運(yùn)營(yíng)管理：運(yùn)營(yíng)管控、流程管理、策略管理。

3、 反欺詐數(shù)據(jù)報(bào)表：數(shù)據(jù)整合、數(shù)據(jù)報(bào)告。

4、 反欺詐模型研究：規(guī)劃研究、變量加工、貼源數(shù)據(jù)。

5、 反欺詐行為分析：行為分析、關(guān)聯(lián)分析、評(píng)級(jí)計(jì)算、批量處理。

基于前面的要求，我們來(lái)梳理一下與反欺詐有關(guān)的上下文關(guān)系，如下圖：

圖中藍(lán)色線是交易訪問(wèn)關(guān)系，橙色線是批量數(shù)據(jù)訪問(wèn)關(guān)系，通過(guò)這些關(guān)系，我們?cè)賮?lái)細(xì)化梳理一下它們?cè)趹?yīng)用架構(gòu)中的位置：

再把它們?cè)跀?shù)據(jù)架構(gòu)中的位置也梳理出來(lái)：

現(xiàn)在，我們可以梳理一下反欺詐的具體處理流程了。渠道層的處理流程梳理如下：

產(chǎn)品層的處理流程梳理如下：

客戶層的處理流程梳理如下：

在這些處理流程中，對(duì)于需要加強(qiáng)認(rèn)證的行為，需要將該次交易列入風(fēng)險(xiǎn)監(jiān)控列表中，經(jīng)事后人工確認(rèn)確實(shí)存在欺詐行為的，將此類(lèi)行為列入風(fēng)險(xiǎn)行為模型中，完成欺詐偵測(cè)隨著欺詐行為的變異而不斷進(jìn)化。

好了，到這里我們反欺詐設(shè)計(jì)的主體部分就算設(shè)計(jì)完成了，這是在企業(yè)級(jí)架構(gòu)中邏輯各層已解耦的前提下進(jìn)行的設(shè)計(jì)，分階段分層各司其職分而治之，通過(guò)建立行為模型靈活應(yīng)對(duì)用戶的各種行為，適應(yīng)現(xiàn)在與未來(lái)，對(duì)于那些新出現(xiàn)的欺詐手段，主動(dòng)學(xué)習(xí)并生成欺詐行為模型，將可有效杜絕現(xiàn)在與未來(lái)可能發(fā)生的欺詐。

通過(guò)反欺詐設(shè)計(jì)的這個(gè)過(guò)程，我們可以總結(jié)幾招識(shí)別一家互聯(lián)網(wǎng)金融公司是否具備反欺詐能力的小技巧：

1、 將您的帳戶在其它手機(jī)上登陸，測(cè)試渠道層反欺詐能力;

2、 將您的帳戶在異地登陸，測(cè)試渠道層反欺詐能力;

3、 修改您的登陸密碼，測(cè)試產(chǎn)品層反欺詐能力;

4、 修改您的支付密碼，測(cè)試產(chǎn)品層反欺詐能力：

5、 修改身份信息，測(cè)試客戶層反欺詐能力;

6、 綁定新的銀行卡，測(cè)試產(chǎn)品層反欺詐能力;

7、 用新卡提現(xiàn)，測(cè)試交易反欺詐能力;

8、 用他人手機(jī)提現(xiàn)，測(cè)試交易反欺詐能力;

9、 異地全額提現(xiàn)，測(cè)試交易反欺詐能力;

進(jìn)行以上任意一步操作，如果有收到短信提醒，說(shuō)明有帳戶異常行為識(shí)別機(jī)制;如果有收到短信驗(yàn)證碼，說(shuō)明有帳戶行為控制機(jī)制;如果收到電話確認(rèn)，說(shuō)明有用戶身份真?zhèn)巫R(shí)別。如果只有短信提醒，請(qǐng)謹(jǐn)慎使用，如果都沒(méi)有，立刻馬上提現(xiàn)并卸載。

參考資料：

何毅勇：關(guān)于銀行業(yè)反欺詐的思考

銀監(jiān)會(huì)：交易反欺詐風(fēng)險(xiǎn)監(jiān)控規(guī)定

范輝遠(yuǎn)：信用卡欺詐風(fēng)險(xiǎn)分析與防范

吳昊：銀行卡欺詐與防范對(duì)策探討

吳朝平：反洗錢(qián)對(duì)銀行反欺詐工作的借鑒意義