最近發(fā)生很多起網(wǎng)絡(luò)資金賬戶被盜事件，絕大多數(shù)集中在互聯(lián)網(wǎng)金融公司，我在某爺理財APP上的四萬多理財資金也全部被盜，痛心棘手(當(dāng)事人無參與)，并明顯感覺到了互聯(lián)網(wǎng)金融產(chǎn)品的安全性缺失，大眾也紛紛要求提現(xiàn)，導(dǎo)致多家互聯(lián)網(wǎng)金融公司被擠兌處在死亡邊緣。

但是反觀銀行業(yè)，如果自己不參與(不簽字、不泄漏密碼、不同意復(fù)制手機(jī)卡)，沒有人的銀行賬戶能被盜，即使銀行內(nèi)部員工內(nèi)外勾結(jié)也不能動客戶一分錢，就像最近發(fā)生的40億同業(yè)欺詐案，內(nèi)外行家小心配合也依然無法通過銀行的反欺詐攔截。

為了你的錢和我的錢，為了讓那些優(yōu)秀的互聯(lián)網(wǎng)金融公司活下去，我們今天就來探討一下銀行的反欺詐是如何設(shè)計的。

十年前我在黑客防線和黑客X檔案陸續(xù)發(fā)表《徒手搞定整個機(jī)房》、《徒手對抗驅(qū)動級病毒》等安全類文章的那段時間，是國內(nèi)個人電腦安全最動蕩的日子，隨便一個會點鼠標(biāo)的網(wǎng)民隨便下載幾個工具就可以號稱黑客干點惡作劇，后來殺出個周鴻祎采用流氓衛(wèi)士輔以收編各路紅黑高手的手段，才讓網(wǎng)絡(luò)安全的話題逐漸的回歸了平淡。

隨后幾年，平靜的網(wǎng)絡(luò)環(huán)境給了人們足夠的安全感，接著網(wǎng)絡(luò)實行實名制，各大網(wǎng)站紛紛實名社交，之前游離在編制外的各路黑神逐漸將注意力轉(zhuǎn)移到各大網(wǎng)站，并將脫褲(下載用戶數(shù)據(jù)庫)獲得的用戶數(shù)據(jù)轉(zhuǎn)為經(jīng)濟(jì)利益。

由于這些數(shù)據(jù)包含大量真實個人信息，它可以作為社工猜解的輸入條件對用戶其它信息一一破解，對于不能直接轉(zhuǎn)為經(jīng)濟(jì)效益的用戶信息便通過黑市直接轉(zhuǎn)手賣給各路電信詐騙分子，詐騙分子通過逐一分析用戶信息有針對性的制定詐騙方案，并輔以完整配套設(shè)施“官方網(wǎng)站”、“官方400電話”等，略施小計如“您兒子出車禍了”、“恭喜您中獎了”、“到我辦公室來一趟”等即可拿下很多人。

因為對方知道你所有的信息，包括姓名、住址、身份證號碼、在哪里讀過書、在哪里工作、領(lǐng)導(dǎo)是誰、買過什么東西、去過那里、和誰開過房、甚至包括你家人和朋友的這些信息，當(dāng)你去網(wǎng)絡(luò)求證對方是不是在詐騙時，百度會告訴你對方說的是真的(騙子預(yù)先在百度付費(fèi)推廣詐騙信息，比如公司的電話等)。

詐騙分子實施這一系列的動作有兩個目的，一是直接拿到你的錢，二是退而求其次拿到存錢的賬戶，實現(xiàn)的手段有四類：要求轉(zhuǎn)賬、柜臺簽字、獲取密碼、手機(jī)號復(fù)制。

詐騙分子使用以上手段達(dá)到這兩個目的過程稱為社會工程學(xué)詐騙，這種詐騙的存在是互聯(lián)網(wǎng)金融安全薄弱的根本原因，各大銀行在過去許多年與騙子的較量中已經(jīng)總結(jié)出了一套識別真正用戶以及真實交易的一整套方案，這是現(xiàn)在各大互聯(lián)網(wǎng)公司最缺少的，尤其是互聯(lián)網(wǎng)金融公司。

因為很多互聯(lián)網(wǎng)金融公司還停留在使用用戶外在信息識別用戶身份的低級方案，甚至對交易真實性根本沒有做任何檢查，詐騙分子閉著眼睛隨便捏一個公司出來也能獲得豐厚的回報，這也導(dǎo)致現(xiàn)在詐騙分子非常泛濫還活的十分滋潤的一個原因。

而這一切，不是用戶的智商讓我們措手不及，是我們系統(tǒng)設(shè)計的讓用戶措手不及。

先舉兩個真實案例，第一個就是發(fā)生在我身上的，我存在某互聯(lián)網(wǎng)金融公司某爺?shù)乃娜f多理財資金在一個周五晚上十點的一個小時內(nèi)全部被盜，我的賬戶被別人在異地使用新手機(jī)登錄并修改了登錄密碼、支付密碼、更換了我綁定的銀行卡、并額外綁定了三張別人的銀行卡，這期間我無法重置支付密碼、無法解綁銀行卡、無法凍結(jié)賬戶、打客服提示已下班，束手無策，只有絕望。這個過程中發(fā)生了多少敏感操作，而我的手機(jī)沒有收到一條變更確認(rèn)的短信和變更成功后的通知，只有最后收到一條我的賬戶被提現(xiàn)到某某卡的通知。

從這個過程就可以看出這家公司居然沒有用戶身份真?zhèn)巫R別的機(jī)制，更別說交易真實性識別了，完全就是拿著用戶的錢在網(wǎng)上裸奔，誰能在旁邊說出錢是誰的錢就給誰，作為一家金融公司這樣實在是讓人震驚。

第二個案例是發(fā)生在銀行間市場，有個人通過向A銀行購買十萬理財產(chǎn)品的方式獲取了A銀行的理財產(chǎn)品說明書、協(xié)議書、稅務(wù)登記證、營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼證、客戶權(quán)益須知等文件，并以個人名義存入2000萬以取得A銀行貴賓室的使用權(quán)，然后冒充A銀行工作人員利用A銀行的貴賓室，向B銀行高息兜售該理財產(chǎn)品，連續(xù)多天在A銀行的表演和略施小計騙過了B銀行的審核人員，從而賣出了一份40億的理財資金，但是這筆交易被B銀行的反欺詐偵測列入了風(fēng)險監(jiān)控列表，經(jīng)過人工審核確認(rèn)后堵截了這起詐騙事件(詳細(xì)過程可查看銀監(jiān)會安徽監(jiān)管局發(fā)的2016第55號文件)。

對比B銀行該案例中表現(xiàn)出來的反欺詐偵測能力，某互聯(lián)網(wǎng)金融公司的做法就是在作死，互聯(lián)網(wǎng)金融公司安全能力的提升迫在眉睫也任重道遠(yuǎn)。

互聯(lián)網(wǎng)金融公司想要提升自己的安全能力，最好的學(xué)習(xí)榜樣就是銀行，而全球范圍內(nèi)率先實現(xiàn)企業(yè)級反欺詐管控體系的是美國銀行和富國銀行，他們在這方面有些非常優(yōu)秀的設(shè)計經(jīng)驗值得學(xué)習(xí)，現(xiàn)在我們就開始探討他們在企業(yè)級架構(gòu)下的反欺詐是如何設(shè)計的。一般概念下的欺詐分內(nèi)部欺詐和外部欺詐，它屬于風(fēng)險管控中操作風(fēng)險管理的一部分。

在操作風(fēng)險管理中除了欺詐外還管理就業(yè)制度和工作場所安全事件、客戶/產(chǎn)品和業(yè)務(wù)活動事件、實物資產(chǎn)損壞事件、信息科技系統(tǒng)事件、執(zhí)行/交割和流程管理事件，今天我們主要探討欺詐這部分。在外部欺詐中主要有三類欺詐：當(dāng)事人欺詐、第三方欺詐以及人行要求檢查的洗錢欺詐，內(nèi)部欺詐主要有未經(jīng)授權(quán)的行為與盜竊。對于欺詐的防控分事前防控、事中防控與事后防控，并在以下層面進(jìn)行防控：

外部渠道層：重點偵測交易發(fā)生前的客戶接入、會話可疑行為;交易發(fā)生中的交易對手是否在可疑欺詐名單。

內(nèi)部渠道層：重點偵測業(yè)務(wù)違規(guī)與可疑操作。

產(chǎn)品服務(wù)層：重點偵測產(chǎn)品服務(wù)內(nèi)的欺詐交易，跨產(chǎn)品的欺詐交易。

數(shù)據(jù)集成層：重點偵測跨產(chǎn)品、渠道的組合/復(fù)雜欺詐交易。

這些不同的層側(cè)重防控的欺詐行為不一樣，其偵測邏輯也不一樣，渠道層可能偵測以下行為：

異地更換網(wǎng)銀盾后首次進(jìn)行大額轉(zhuǎn)賬，這可能是客戶的信息已泄露，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實。

客戶通過手機(jī)或網(wǎng)銀渠道向黑名單收款賬戶轉(zhuǎn)賬，被阻斷交易后，當(dāng)天該賬戶又向其它賬戶進(jìn)行大額轉(zhuǎn)賬，這可能是客戶賬戶被盜或被電信詐騙分子利用社會工程學(xué)的手段實施了詐騙，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實。

異地升級網(wǎng)銀盾后首次進(jìn)行大額轉(zhuǎn)賬，這可能是客戶身份被盜用，身份證、登錄密碼等已泄露，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實。

新開通的網(wǎng)銀客戶進(jìn)行大額轉(zhuǎn)賬，這可能是客戶被電信詐騙分子利用社會工程學(xué)的手段實施了詐騙，這種交易需要掛起，并需要打電話給客戶進(jìn)行核實。

用戶登錄所使用的設(shè)備指紋(MAC地址、IP、主板序列號、硬盤序列號)、登錄時間、設(shè)備所在地，與其常用的對應(yīng)信息不一致，這可能是客戶賬戶已被盜用，這種情況需要進(jìn)行人工核實。

產(chǎn)品層可能偵測以下行為：

1、 進(jìn)入黑名單商戶的交易，對于已支付未確認(rèn)付款的交易需要實施凍結(jié)，防止資金流入該商戶。

2、 根據(jù)客戶的投訴確認(rèn)商戶是否存在虛假交易，如果是也需要實施凍結(jié)。

3、 如果同卡同天當(dāng)筆交易為上一筆的倍數(shù)，這可能是客戶賬戶被盜用，這種交易需要掛起，并人工進(jìn)行核實。

4、 如果同卡同商戶同金額，這可能是商戶正在配合客戶套現(xiàn)，這種交易需要人工核實。

5、 如果同卡同商戶五分鐘內(nèi)交易超限，這可能是在進(jìn)行虛假交易，這種交易需要人工核實。

6、 如果對公客戶的交易額不在其合理的范圍內(nèi)(通過其注冊資本、代發(fā)代付的累計額等評估的范圍)，這種交易可能需要拒絕并人工進(jìn)行調(diào)查。

7、 如果使用偽卡進(jìn)行交易，此后該商戶發(fā)生的交易可能都需要阻斷或告警。

客戶層可能偵測以下行為：

1、 特定年齡段客戶以往習(xí)慣在非柜面進(jìn)行小額交易，突然第一筆發(fā)生大額轉(zhuǎn)賬，這可能是賬戶被盜，需要進(jìn)行人工調(diào)查。

2、 客戶賬戶多日連續(xù)多筆密碼驗證錯誤，嘗試成功后就進(jìn)行轉(zhuǎn)賬操作，這可能是賬戶被盜，其發(fā)起的交易可能需要被阻斷，該客戶使用的其他產(chǎn)品可能均需要掛起，并進(jìn)行人工核實處理。

3、 同一個客戶的一個或多個產(chǎn)品短時間內(nèi)在不同地區(qū)/國家使用，這可能是客戶的卡被復(fù)制存在偽卡，這種交易需要人工核實處理。

4、 在一定時間內(nèi)，同一個客戶在特定高風(fēng)險國家發(fā)生多筆或進(jìn)行大額交易，這可能是偽卡，這種交易需要人工核實處理。

可能需要通過對客戶和員工的不同緯度外部欺詐、內(nèi)部欺詐風(fēng)險及黑名單信息的分類評估，實現(xiàn)對客戶欺詐風(fēng)險的聯(lián)合防控，它們之間的風(fēng)險關(guān)系梳理如下：

如果我們要在防控的前、中、后三個階段都要對各個產(chǎn)品的多個緯度進(jìn)行統(tǒng)一欺詐防控與處理，那么我們需要基于他們整體建立一套防控體系，通過整理并抽象總結(jié)前面提出的偵測行為，我們將它需要實現(xiàn)的目標(biāo)梳理如下：

1、 應(yīng)該具有統(tǒng)一的數(shù)據(jù)集市。

2、 應(yīng)該具有統(tǒng)一的數(shù)據(jù)采集、加工過程。

3、 應(yīng)該具有統(tǒng)一的偵測策略定義過程。

4、 應(yīng)該具有統(tǒng)一的基于流程引擎的偵測問題流轉(zhuǎn)管理。

5、 應(yīng)該具有統(tǒng)一的基于流程引擎的案件管理，記錄、跟蹤、評估、回顧相關(guān)的處理過程。

6、 應(yīng)該具有統(tǒng)一的基于規(guī)則引擎的實時、準(zhǔn)實時、批量風(fēng)險偵測。

7、 應(yīng)該具有統(tǒng)一的信息外送處理。

通過這些目標(biāo)，我們將它需要具備的功能梳理如下：

1、 反欺詐業(yè)務(wù)處理：告警管理、案件調(diào)查、交易控制、偵測處理。

2、 反欺詐運(yùn)營管理：運(yùn)營管控、流程管理、策略管理。

3、 反欺詐數(shù)據(jù)報表：數(shù)據(jù)整合、數(shù)據(jù)報告。

4、 反欺詐模型研究：規(guī)劃研究、變量加工、貼源數(shù)據(jù)。

5、 反欺詐行為分析：行為分析、關(guān)聯(lián)分析、評級計算、批量處理。

基于前面的要求，我們來梳理一下與反欺詐有關(guān)的上下文關(guān)系，如下圖：

圖中藍(lán)色線是交易訪問關(guān)系，橙色線是批量數(shù)據(jù)訪問關(guān)系，通過這些關(guān)系，我們再來細(xì)化梳理一下它們在應(yīng)用架構(gòu)中的位置：

再把它們在數(shù)據(jù)架構(gòu)中的位置也梳理出來：

現(xiàn)在，我們可以梳理一下反欺詐的具體處理流程了。渠道層的處理流程梳理如下：

產(chǎn)品層的處理流程梳理如下：

客戶層的處理流程梳理如下：

在這些處理流程中，對于需要加強(qiáng)認(rèn)證的行為，需要將該次交易列入風(fēng)險監(jiān)控列表中，經(jīng)事后人工確認(rèn)確實存在欺詐行為的，將此類行為列入風(fēng)險行為模型中，完成欺詐偵測隨著欺詐行為的變異而不斷進(jìn)化。

好了，到這里我們反欺詐設(shè)計的主體部分就算設(shè)計完成了，這是在企業(yè)級架構(gòu)中邏輯各層已解耦的前提下進(jìn)行的設(shè)計，分階段分層各司其職分而治之，通過建立行為模型靈活應(yīng)對用戶的各種行為，適應(yīng)現(xiàn)在與未來，對于那些新出現(xiàn)的欺詐手段，主動學(xué)習(xí)并生成欺詐行為模型，將可有效杜絕現(xiàn)在與未來可能發(fā)生的欺詐。

通過反欺詐設(shè)計的這個過程，我們可以總結(jié)幾招識別一家互聯(lián)網(wǎng)金融公司是否具備反欺詐能力的小技巧：

1、 將您的帳戶在其它手機(jī)上登陸，測試渠道層反欺詐能力;

2、 將您的帳戶在異地登陸，測試渠道層反欺詐能力;

3、 修改您的登陸密碼，測試產(chǎn)品層反欺詐能力;

4、 修改您的支付密碼，測試產(chǎn)品層反欺詐能力：

5、 修改身份信息，測試客戶層反欺詐能力;

6、 綁定新的銀行卡，測試產(chǎn)品層反欺詐能力;

7、 用新卡提現(xiàn)，測試交易反欺詐能力;

8、 用他人手機(jī)提現(xiàn)，測試交易反欺詐能力;

9、 異地全額提現(xiàn)，測試交易反欺詐能力;

進(jìn)行以上任意一步操作，如果有收到短信提醒，說明有帳戶異常行為識別機(jī)制;如果有收到短信驗證碼，說明有帳戶行為控制機(jī)制;如果收到電話確認(rèn)，說明有用戶身份真?zhèn)巫R別。如果只有短信提醒，請謹(jǐn)慎使用，如果都沒有，立刻馬上提現(xiàn)并卸載。

參考資料：

何毅勇：關(guān)于銀行業(yè)反欺詐的思考

銀監(jiān)會：交易反欺詐風(fēng)險監(jiān)控規(guī)定

范輝遠(yuǎn)：信用卡欺詐風(fēng)險分析與防范

吳昊：銀行卡欺詐與防范對策探討

吳朝平：反洗錢對銀行反欺詐工作的借鑒意義