欺诈手法不断翻新银行屡陷被动“窘境”

“尊敬的用户您好，由于您的ETC认证信息已过期，为避免冻结使用权限，请申请二次认证，点击etc.bejecc.cn/办理，退订请回复短信T”。在交通部门和银行的大力推广下，ETC越来越普及，在便捷人们交通出行的同时，也给别有用心的犯罪分子带来“可乘之机”。不少持卡人接收到上述通知短信后，误以为自己的ETC身份认证到期，或者新办的ETC尚未进行认证，于是便轻率地点击短信链接进入了“以假乱真”的ETC认证官网，按照网页要求填写信息后，紧接着手机便收到一连串扣款短信的轮番“轰炸”，此时受害者才恍然大悟上了当。

随着移动互联网支付业务的快速发展，二维码、手机闪付、刷脸支付等成为首选支付方式，欺诈风险也从卡介质向移动支付渠道转移，犯罪分子通过非法渠道窃取用户个人信息，借助智能化网络欺诈工具，并结合“社会热点”针对受害者实施精准的“定制化”攻击，让持卡人和发卡机构防不胜防。由于犯罪分子作案手法不断翻新，且呈现分工专业化、作案团伙化和全网流窜化的特点，多数银行难以提前感知风险的来临，未能“未雨绸缪”采取必要的防控措施，因此总是处于“被动攻击”的窘境。

综合分析，部分银行频遭犯罪分子“盯梢”的原因，主要有以下几点：

一是对突发欺诈手段缺乏敏锐“嗅觉”。犯罪分子往往借助智能化的“黑产”技术，通过程序多开、分身软件、IP变造程序、短信“嗅探”等新型作案工具，精准实施波段式攻击，一旦某家机构察觉到风险并采取针对性防控手段后，犯罪分子立即转变攻击对象，寻找下一个目标。由于当前金融机构之间存在“数据孤岛”现象，每家机构只拥有本机构内部的风险案例资源和欺诈样本数据，模型优化和规则迭代仅能依靠“内生”循环，机构无法在第一时间了解当前行业面临的整体风险形势，对于其他机构正在发生或者已然发生的风险事件，总是后知后觉，因此，很容易成为下一个攻击目标。

二是大数据风控建模及数据整合能力不足。随着风险形势日趋复杂，监管政策持续收紧，金融机构逐渐认识到风险防控能力的重要性与必要性，越来越多的银行选择自建风控系统或者采购第三方厂商系统。但是，风控系统建设仅是“万里长征第一步”。许多银行，特别是中小型银行前期投入大量的研发资金与时间成本，集中行内多个部门力量建设一套风控系统，但当欺诈来临时仍然束手无策，究其原因是缺乏智能化的数据建模和精细化的数据整合能力。风控系统的真正内核是模型参数配置和风险标签数据，短时间内银行容易解决风险防控系统建设问题，但在智能风控模型搭建与风险数据分析方面需要长期的积累，一时无法有效提升在欺诈侦测方面的风控成效。

三是未建立一体化风控运营体系。当前欺诈风险交织融合，呈现跨业务、跨条线、跨类型的复杂特征，反欺诈工作需要建立涵盖事前、事中、事后的全流程运营管理机制与处置流程。事前，需要根据当前新型欺诈风险形势及风险事件，及时优化、迭代规则模型，提升主动发现风险、预警风险的态势感知水平。事中，实现风险案例的分级预警和分类响应，通过实施拦截、外呼、短信提示、权限控制等措施，建立风险事件的快速响应和应急处置预案。事后，通过联防联控机制，协调外部机构开展案件协查、账户冻结、差错退单、保险赔付等措施，尽可能挽回资金损失。

银联发挥跨行枢纽优势提升全网风控能力

银联是世界级三大支付品牌之一，能够以全方位视角纵览跨行交易数据，整合产业链资源，经过多年的风控经验积累和风控系统研发能力，银联在帮助发卡机构和收单机构分析、识别、拦截、预警和处置欺诈交易方面，具有其他厂商和科技公司不具备的独家优势。

首先是感知风险态势的能力。面对复杂多变的欺诈形势，通过全网交易数据，银联可在第一时间感知风险形势的变化，及时部署针对性的风险防控策略和手段。一是基于一体化智能风控系统，银联可实时分析和侦测银联网络交易数据的异动指标，综合利用卡片、设备、地理位置等多维度信息动态追踪风险动向；二是银联与成员机构开展了密切的风险排查协作，成员机构会不定期将欺诈交易报送至银联风控系统，为银联提供了可信的欺诈数据样本，专门用于行业风险趋势分析，并反哺于成员机构；三是银联与公安、司法等机关进行了深入合作交流，可察觉和分析高危人群交易行为轨迹。

其次是跨机构数据分析及建模能力。银联依托卡组织平台的优势，深耕跨行交易数据分析、整合与应用，同时借助机器学习、云计算、人工智能等新兴技术加速迭代风控模型，持续提升风险精准识别能力。一是综合运用实时、准实时、批量等不同层级的风控引擎，从发卡、收单、应用服务方等多渠道分析挖掘持卡人交易的异常特征并沉淀为风险标签，建立基于人、卡、设备、商户的亿级风险标签体系，丰富持卡人全景风险画像；二是针对线上绑卡、伪卡欺诈、虚假申请等欺诈类型，运用机器学习算法构建智能风控评分模型，研发实时流式计算引擎，能在毫秒级内完成特征计算及模型预测，实现智能风控技术应用落地；三是探索通过联邦学习、区块链等前沿技术，在满足保护数据隐私、确保数据安全和符合监管要求的前提下实现跨机构、跨组织的协作，实现模型共建和数据共用。

最后是风控运营落地能力。银联已与120余家客户开展了风险服务合作，具备丰富的风控运营落地经验和成熟的风险联防联控协作机制。一是针对不同的机构类型，如国有银行、股份制商业银行、省级农村信用社联合社等机构，定制个性化风控运营落地方案，帮助机构建立涵盖事前策略、事中监控、事后处置的一体化监控运营体系；二是能够以专业角度提供风险形势分析、监管政策解读、风险管理优化等各类风险咨询服务，帮助合作机构合理把握风险防控的节奏和尺度；三是借助与收单机构、公安机关等建立的联防联控网络平台，可以为机构建立风险事件协查、盗刷资金挽回的快速处置机制，形成打击银行卡犯罪的合力。

银联交易风险监测产品输出赋能合作机构

银联交易风险监测产品包括发卡交易风险监控产品（Union Pay Risk Manager，URM）、收单交易风险监控产品（Acquirer Risk Manager，ARM）和交易风险计量评分产品（Real-time Risk Score，RRS）。

URM向80余家发卡机构提供了风险监测、预警和决策的整体解决方案，具备实时拦截与准实时预警功能，可以提供监控运营代理服务，服务方式包括云端服务与系统对接服务。2019年全年帮助发卡银行识别欺诈金额近1.2亿元。

ARM向近20家收单机构提供高风险商户识别、预警和辅助决策的解决方案，帮助收单机构识别传统欺诈、创新业务欺诈、非真实交易、交易异动等收单风险，服务方式包括云端服务与系统对接服务。此外，根据行业风险的变化及机构面临的实际问题，能协助收单机构完成模型设计和个性化规则的部署。

RRS运用大数据、机器学习、流式计算等技术，帮助发卡银行优化反欺诈实时决策能力，提高发卡行对于银联网络欺诈交易的实时分析、精准识别及控制能力。发卡机构在根据技术规范完成交易报文接口改造后，可实时接收风险评分。目前中国银联已面向4家大型银行提供RRS服务，超高分段的准确率达50%。

URM合作案例

某大型股份制商业银行已采购某国外厂商的风险监控系统。但是，随着NFC、二维码等创新支付方式的普及，移动创新业务逐渐成为欺诈攻击重点，行内风控系统在新型欺诈的侦测、识别和拦截方面存在不足，因此，迫切需要针对新型欺诈交易进行实时拦截。

2016年9月，该行与中国银联达成合作协议。基于银联独有的设备、网络和支付环境信息，以及丰富的跨行黑名单数据，URM对非面欺诈，二维码欺诈，手机闪付欺诈，Ⅱ、Ⅲ类账户伪冒验证等新型欺诈交易进行实时拦截，并配置了个性化规则。

2019年，URM成功拦截多起集中式的二维码欺诈攻击和手机闪付欺诈攻击，涉及卡片800余张，挽回资金损失300余万元。

ARM合作案例

某机构为知名全国性收单机构，其对各类传统风险的预防及特征研究已有较深的行业经验，但由于现今欺诈分子的技术升级以及反侦察能力的不断提升，创新型欺诈已成为目前各家收单机构的主要关注点，因此，该机构迫切需要构建一套对创新型欺诈进行监控的模型体系。

2019年3月，该收单机构与中国银联达成合作协议，通过ARM实现了对二维码、手机闪付等创新业务的重点监控，并与其自身风控模型进行有机的整合，弥补了机构数据视角的局限。

2019年7月，二维码欺诈集中爆发，包括该机构在内的多家收单机构的商户涉嫌合谋欺诈。由于此次欺诈事件盗刷手法新颖，该机构自身风控系统未能及时预警；但ARM事中预警相关商户交易金额分布异常，并且多张卡片在多家机构发生异常交易，因此触发二维码合谋欺诈预警。该机构根据ARM预警及时采取措施，避免了高风险商户导致的大额退单损失。

RRS合作案例

某大型国有商业银行已有较先进的实时风控系统，自身在交易反欺诈领域也具备较强的能力。但从对欺诈交易的拦截效果来看，基于规则模型的效果远远不能满足其需求，欺诈侦测拦截的准确率不高，且无法识别首笔欺诈。因此迫切需要通过引入基于机器学习的实时评分能力，实现有效的风险量化决策。

对2019年3月至2020年4月的评分结果统计发现，评分超过950分的交易侦测欺诈的准确率超过50%，一年为其挽回欺诈损失金额超过600万元。

（作者供职于中国银联风险控制部（风险监控服务中心））