關于銀行業反欺詐的思考

?

來源：銀行家

?

基于合規考慮和欺詐攻擊擴展速度，金融類機構必須摒棄欺詐成本預算觀念。與之相反，金融類機構必須考慮主動投資反欺詐的技術手段、防控工具和策略，從而達到有效預防欺詐的效果。

在以前，金融服務機構認為欺詐事件是經營的必要成本之一，基于此，金融機構主要關注如何降低欺詐事件帶來的損失。當前金融服務行業的欺詐熱點有三個，分別是洗錢、合規和內部金融欺詐。比起之前，欺詐者更傾向于通過秉承以往有效的集團犯罪形式，向金融服務機構的系統漏洞發起攻擊。很多金融機構在新產品剛上線的頭幾天，就被欺詐者迅速攻破，導致這類企業承受巨大經濟損失。同時，基于合規考慮和欺詐攻擊擴展速度，金融類機構必須摒棄欺詐成本預算這個觀念。與之相反，金融類機構必須考慮主動投資反欺詐的技術手段、防控工具和策略，從而達到有效預防欺詐的效果，減少欺詐帶來的風險損失和資本損失。

銀行面臨的主要欺詐類型

目前金融欺詐分三大類：客戶交易欺詐、內部欺詐和洗錢。根據Kroll咨詢公司2012年的欺詐報告，內部欺詐是目前金融機構欺詐損失金額最高的欺詐類別，2011年損失金額近900億美元，其次欺詐損失所占比例最高的是客戶交易欺詐類別，2011年損失金額約為735億美元。客戶交易欺詐主要出于欺詐風險較高的產品，包括信用卡、借記卡和電子銀行。主要的客戶交易欺詐類型包括：

身份類欺詐。身份類欺詐主要包括申請欺詐以及賬戶盜取欺詐。申請欺詐是指欺詐者的個人信息不符合金融機構業務的申請要求，通過非法渠道獲取正常客戶的身份信息，并把身份信息用于金融機構相關業務的申請，從而獲得對欺詐者有利的產品、服務或者信用額度的欺詐方式。賬戶盜取欺詐是指欺詐者通過釣魚、木馬的惡意傳播，非法獲取客戶的賬戶信息，并利用賬戶信息進行取款、轉賬、匯款等非法交易的欺詐方式。

交易類欺詐。交易類欺詐主要包括偽卡交易以及非面對面偽冒交易。偽卡交易是指欺詐者通過非法渠道復制卡片，并且利用偽冒的卡片進行交易的欺詐方式。非面對面偽冒交易是指客戶的卡片被欺詐者非法獲取，通過無卡交易（如網上支付等），輸入卡片信息進行交易的欺詐方式。

移動終端欺詐。因為基于網頁登錄的手機銀行和個人電腦會同樣帶有病毒，因此手機銀行和網上銀行具有相似的漏洞。同時，近幾年來，智能手機逐漸走向成熟化和大眾化，客戶對智能手機的使用頻率和依賴程度也與日俱增，這也逐漸成為欺詐者攻擊客戶的重要渠道之一。

除了上述幾種欺詐種類之外，洗錢也是金融服務機構需要重點考慮的金融犯罪類型之一，因為洗錢這種行為有自己獨特的流程，所以給企業欺詐偵測帶來了巨大挑戰。通常，專門用于偵測洗錢的工具和軟件，也可以用于欺詐識別。然而，這種通用的偵測工具還沒有廣泛使用。

銀行業反欺詐的戰略考慮

根據前面欺詐風險的特征和趨勢分析，銀行業在全面規劃反欺詐體系時，可綜合考慮三方面的驅動因素。一是基于內在需求的因素，二是應對威脅的因素，三是應用新技術的因素。

從基于內在需求的角度看。國際上銀行業的先進實踐告訴我們，內部的戰略需求發生了較大的變化。首先是如美國銀行和富國銀行等大型銀行，已初步建立了企業級的反欺詐管控體系，有效地防止欺詐風險在銀行內部業務條線和產品間進行轉移。

在美國有種“基于能力規劃”的思路，這也是基于內在需求的一個方面，簡單地說就是“我要做什么，我想怎么做，我能怎么做”。總體來說，未來欺詐與反欺詐的博弈由誰來設計和引領。這樣，銀行自身的責任、使命和任務，以及反欺詐的概念和能力目標就是驅動內在需求發展的重要因素。另外，隨著業務的發展和欺詐風險的變化，現有反欺詐體系均可能面臨著更新換代的需求，也將是主要內在需求的驅動因素之一。

從應對威脅的方面考慮。信息系統安全是銀行目前面臨最大的現實威脅主要來源于全球化和集團化的欺詐犯罪，包括客戶信息泄露、偽卡、黑客木馬和網絡釣魚等攻擊成為當今系統安全的主要欺詐手段。同時欺詐威脅的全球化和集團犯罪趨勢，也加大了欺詐犯罪的隱蔽性，增加了欺詐風險識別的難度。近期國際上銀行業中發生的洗錢案件也表明，需要加強客戶的盡職調查及引入“社會網絡”的關聯分析措施和手段，才能有效及時地進行欺詐風險的識別和管控。

從應用新技術的情況分析。可重點關注網絡信息安全和客戶端安全認證兩方面。

在網絡信息安全方面，各國或地區都有具體的合規要求和應用指引，如應用新的密碼體系或新的信息安全標準等。如美國聯邦金融監管委員會最新發布的《網絡安全授權管理規范及補充協議》，我國人民銀行發布的《網上銀行系統信息安全通用規范（試行）》等。

在客戶端的安全認證方面，各銀行除了不斷地應用指紋、虹膜及臉部等生物識別技術來改良認證工具（包括USB key, 動態令牌和金融IC卡等）之外，還可能應用非工具化的新認證技術。如微軟公司主要針對平板電腦或移動終端開發的Windows 8操作系統，就應用了屏幕圖形或筆記本觸控板的手勢特征識別技術進行驗證登錄，代替了傳統上由客戶牢記的靜態登錄密碼，預計可有效地防范對移動終端身份認證進行釣魚攻擊等欺詐，并提升了客戶安全體驗，可能會成為未來銀行反欺詐體系與客戶之間進行有效互動聯防的主要措施和手段之一。

總之，銀行業反欺詐體系的內在需求、應對威脅和應用新技術這三方面驅動因素都在不斷演變，所以需要在綜合考慮這三方面因素的基礎上，持續不斷地對未來欺詐的風險趨勢進行分析和評估，腳踏實地走出一條逐漸遞進的過程。

銀行業反欺詐的主要措施

為了更好的識別欺詐和控制欺詐，滿足合規監管要求，維護企業聲譽，并為客戶提供安全的服務體驗，一般需要從識別、評估、控制、緩釋、監測和報告六大關鍵能力進行評價和規劃，從而制定出相應的反欺詐措施和手段。

建立反欺詐知識庫，采用智能化識別手段，提高欺詐識別能力雖然欺詐具有多種形式，并且隨著技術的發展可以快速轉移和快速轉變，但是，建立龐大的反欺詐知識庫，收集所有行業以內甚至行業外的欺詐信息，包括欺詐的形式、影響的范圍和人群、應急手段等等，不但有助于在面對新興欺詐模式的時候有更多的參考案例，還可以配合各種反欺詐中心的培訓以及對客戶的引導，更加有效地預防欺詐，阻止欺詐的發生。

同時，欺詐的快速轉變性也要求企業采取更多主動的預防措施，包括對反欺詐系統、反欺詐技術和工具的投資，從而達到有效識別和偵測欺詐的目的。同時，這些反欺詐系統、技術和工具應該能幫助實現跨行業的信息共享平臺的建立，有助于幫助各個行業建立反欺詐知識庫，并且相互降低反欺詐的成本。目前先進的欺詐分析手段包括：

規則判斷。通過分析現有的欺詐模式，總結現有欺詐的特征，并根據這些欺詐特征制定相應的反欺詐規則，判斷交易發生欺詐損失的概率。

行為特征分析。通過建立不同實體的行為檔案，包括設備、卡片、賬戶、客戶的行為檔案，該行為檔案包括這些實體在一定時間段內的交易特征，如平均交易金額、常用的交易類型等。在交易過程中，通過實時計算當前交易和歷史交易特征的偏離值，計算該筆交易發生欺詐的概率。

智能模型識別。智能模型是一種欺詐風險量化的模型，利用可觀察到的交易特征變量，計算出一個分值來衡量該筆交易的欺詐風險，并進一步將欺詐風險分為不同等級。智能模型會在客戶開始交易的第一個行為開始進行分析，為客戶每一個動作賦予相對應的風險分數，為智能性反交易欺詐授權策略提供科學依據，對欺詐風險高的交易可以拒絕授權和展開調查。

關聯分析。通過了解已知欺詐事件以及相關實體（如欺詐者、欺詐發生的自助取款機等），通過某一組數據變量（如時間、交易地點、賬號地址等）把這些實體之間相似的信息聯系進行關聯分析，甚至運用社會網絡關系分析，從而決定應對這種團伙欺詐所采取的策略和手段。

設定客戶欺詐風險評級，提高評估客戶欺詐風險能力

在了解客戶階段，充分收集的客戶數據也是識別欺詐的重要方式之一。通過大量的客戶背景信息，根據客戶的背景信息、交易信息、第三方機構的黑白灰名單，設定客戶欺詐風險評級，達到徹底認識客戶的目的。提高評估客戶欺詐風險能力不但可以幫助企業根據同行信息和司法信息識別高風險客戶，還可以通過客戶的背景調查了解和該客戶有關聯的用戶，從而阻止該客戶的可疑交易和潛在的團伙欺詐。

成立企業級的反欺詐中心，加強欺詐交易事中控制

基于欺詐具有轉移性，反欺詐能力應該在企業內集中管理。在企業組織架構中添加反欺詐中心可以及時偵測到欺詐發生的業務領域或者業務流程，緊密和業務條線合作，做到實時控制欺詐交易。集中式的欺詐管理不但可以實現跨業務線、跨產品、跨渠道的集中管理，而且還可以統一針對欺詐形式或者地域的轉移而需要相應改變的欺詐策略、模型、規則作及時的調整。

客戶體驗、欺詐預防和識別、風險管理和成本控制需要均衡加強

欺詐預防與識別策略以及報告機制需要和銀行的戰略目標保持一致。每個企業都會把客戶體驗放在戰略目標的第一位，隨著技術的發展，客戶隨時隨地都會使用銀行的各種業務，從而也提高了欺詐的可能性。銀行如何讓客戶遠離欺詐，或者在客戶遭受欺詐之后銀行第一時間就保護客戶的經濟利益，和該銀行的聲譽息息相關。而且，要保持銀行的聲譽良好，僅僅加強市場營銷手段是遠遠不夠的，銀行還需要投資先進的欺詐識別和欺詐分析技術，提高自身競爭力，在欺詐發生之前就為客戶提供安全便利的業務體驗。