近年来,随着互联网和移动互联网的普及,电子银行高速发展,业务变得越来越多元与便捷。电子银行已经成为银行业务中最重要的板块之一。但是,在为广大用户提供丰富的金融服务的同时,也带来了新的风险。最近几年,关于利用电子银行业务漏洞或者采取必要的技术手段进行欺诈交易的案件越来越多,严重损害了银行和客户的财产安全。随着犯罪分子作案流程的专业化与技术手段的升级,传统风控模型中基于规则+验证的方式已经很难满足当前的风控需求。
非本人交易是电子银行欺诈交易中最重要的内容,是指犯罪分子在用户不知情的条件下通过非常规手段进行交易的行为,目的是盗取用户资金。本系列文章是对利用机器学习技术进行电子银行非本人交易识别探索的一次实践总结,包含遇到的问题、特征的构建、模型的选择、模型的评估等等方面。本文首先对电子银行非本人交易做一个简单的介绍,以便对其有一个直观了解。
一、 典型的非本人交易案例
1.通过理财产品造成钱被转走的假象
在某案件中,骗子通过木马病毒盗取了林女士的银行账号、密码等信息,然后在网上投资平台购买了90多万理财产品和贵金属,造成钱被转走的假象,然后打电话给受害人,诱导获取验证码,从而将钱真正的转走。
案例来源:http://www.sohu.com/a/112979956_362075
2.以信用卡提额骗取验证码,通过购买虚拟游戏币将钱转走
2017年的多个案件中,受害人收到信用卡提额的短信,并且拨打咨询电话,然后被犯罪份子伪装的客服诱骗输入银行卡号、密码、身份证号等信息。不法分子通过网银登录受害人账号后,进一步诱骗出验证码,然后利用扫码支付功能购买游戏点卡。利用得到的信息,犯罪分子将受害人绑定在同一账户下的多张卡里的余额全部转走,受害人在发现后挂失补办了新卡,但新卡也继续被盗。
案例来源:http://cq.qq.com/a/20180412/018372.htm
3.开卡预留非本人手机号,几十万被转走
2017年,吴某接到涉及金融案件的电话,被诱导办理了一张借记卡,并开通了手机银行和网上银行,但是预留的电话并非本人的手机号。之后连续8天,犯罪嫌疑人每天从该卡转走5万元,其中一天被转走15万。随后,对于受害人提出每天限额5万,为何一天会被转走15万的疑问,银行的解释是,5万是单渠道的限额,多个渠道独立计算。
案例来源:http://www.xxsb.com/findArticle/25131.html
二、作案过程
通过对案件的分析,可以将嫌疑人的作案过程分为三个步骤:
1.信息获取
主要包括客户的姓名、身份证号、银行卡号、手机号、密码等信息。获取的方式主要包括网络直接购买,利用钓鱼网站诱骗客户自行输入,通过木马病毒记录用户的输入行为、垃圾短信诱骗客户进入钓鱼网站、通过网上泄露的各类数据关联,利用获得的身份证号或者银行卡号进行暴力破解等等。
警方缴获的银行卡和身份证(来源:时空网)
2.利用业务漏洞或者技术手段绕过银行的安全验证
银行对交易的安全保障主要通过交易密码+短信验证+规则过滤的方式,对于被规则命中的交易会进入人工审核流程。在非本人交易中,嫌疑人会采取各种方法规避这些安全策略,其中最主要的就是短信验证码。获取客户验证码的途径主要有两种方式:
一是采取技术手段,比如通过木马病毒截取受害人的短信并转发到嫌疑人自己的手机上,或者直接在受害人的客户端上完成转账,这往往需要较高的技术门槛。
二是利用银行或者运营商的业务漏洞,比如很多银行都有快捷支付协议,从而省去了输入密码和短信验证的过程,所以一些案件中嫌疑人往往会在交易前确认受害人的银行卡开通了快捷支付或者无卡支付服务。另一方面运营商在提供一些特色服务的同时,也可能为犯罪分子提供一些作案机会,比如在某案件中,嫌疑人利用某运营商提供的“副号”服务,将受害人的手机号添加为副号,再通过短信轰炸等方式迫使受害人关机,从而将本该由受害人接收的短信转发到自己手机上。
3.资金转移
电子银行中资金转移的方式主要有两种途径:一是直接将钱通过转账转移到嫌疑人的销赃银行卡上,但是为了规避追踪,销赃的银行卡往往是嫌疑人控制的其他受害人的卡或者是利用非法获取的别人的信息开通的银行卡,并且会经过多次转账后提现或者转到嫌疑人真正的卡上;二是通过网上购物平台购买商品,再通过其他平台转手低价售卖,从而将钱洗白。
三、电子银行非本人交易案件特征分析
通过对某银行过去一年的案件分析,非本人交易的特征可以总结为以下五点:
1.手段集中在钓鱼网站和木马病毒
典型的情况是,嫌疑人通过伪基站发送大量身份冒充的垃圾短信,内容包含信用卡提额、银行卡积分兑换、银行卡冻结、孩子的成绩单、同学聚会相册等等,利用受害人的好奇或恐惧心理诱导其点开链接。钓鱼网站会进一步诱导受害人输入身份证、银行卡号等信息。而如果是木马病毒,手机多会进入白屏或者卡顿无反应状态,从而直接将钱转走。
智能手机中木马病毒导致银行卡被盗刷(来源:永州新闻网)
2.渠道集中在网银支付
案件中约80%是通过第三方支付或其他公司将钱转走,向个人转账的案件只占不到20%。结合报道的案件分析,多数都用于购买充值卡、游戏点卡等虚拟物品。主要原因,一是可以快速变现,二是可以不涉及不法分子的真实个人信息,不容易被追踪。
而在个人案件中主要集中在储蓄卡异地支付,典型特征是在异地新设备上将钱转入一个陌生的账号。
3.敏感操作
约30% 案件在首笔交易前1小时内进行过无卡支付签约、快捷支付签约等等敏感操作,然后分多笔将钱转走。
4.小额转账
约90%的案件记录金额都在5000以下,呈现小额的特征。且金额多为99结尾或者整数。主要原因可能是,通过第三方支付机构进行的非本人交易,多数会用于购买虚拟商品,而99结尾是很多商家的价格策略。
5.连续转账
在涉及第三方支付机构的案件事件中,约有30% 呈现短时连续多笔相似金额交易的特征。主要原因可能是,这些案件多数是通过购买商品将钱转走,商品的价格不高,所以需要多笔交易才能将多数钱转走。
四、非本人交易识别的难点分析
通过机器学习技术识别非本人交易有如下五个难点:
1.缺乏准确的标注数据
标注数据的来源一般有二:
一是客户被骗后报警,明确立案的,这一类标注往往比较准确,但是量少,且往往粒度不够细,比如客户并不清楚自己的账户被盗的途径,是中了木马病毒,还是因为点击了钓鱼网站。知道这些信息会有助于特征的提取;
二是源于客户的投诉。这一类占比较大,但是往往不够准确,主要表现在两方面:一是客户的投诉可能只是纠纷,并不完全是非本人交易;另一方面,客户发现账户异常往往有时延,几小时几天几个月都可能,导致案件的标注不能保证精确到某一笔交易记录。
针对这一类问题,可以有两种解决思路。一是让有经验的专家,通过观察交易双方的历史交易记录,尽可能的排除虚假的案件标记。比如,在某银行的案件记录中通过观察,就发现一些案件记录交易的对象是持卡人本人、或者交易对象在历史上有过多次交易记录,但这些历史交易记录都不是案件,那么这些样本就不适合加入训练;二是利用半监督算法,比如标签传播和置信传播算法,但是该类算法是基于图理论的,往往需要较多计算资源,且时间复杂度较高,在实际环境中不一定能满足。
2.数据严重不平衡
各个银行每天的电子银行交易流水都在百万甚至千万量级,然而在这么多交易记录里可能只有几笔案件,全量数据的黑白样本比例十分悬殊。黑白样本的高度不平衡严重影响着模型的效果,甚至让一些模型完全失效。解决数据不平衡的主要方法是采样,但是在量级如此大,倾斜程度如此严重的数据集上如何有效的采样到有代表性又有区分度的正常样本也是一个难题,关于采样的细节后续在详细讨论。另外的思路是选择对数据倾斜不那么敏感的机器学习模型,比如one-class的SVM。
3.数据质量
数据质量问题主要体现在三个方面:一是网络延迟、集群时间不同步等问题导致数据不准确。比如出现时间错误,甚至同一个人两笔记录时间相同的情况。比如iPhone手机的mac地址,会由于权限等问题导致无法采集或者采集不准;二是数据缺失,比如通过第三方支付机构进行的转账,就不会记录转账对象的详细信息;三是不同系统间的数据可能无法关联。由于银行的各个数据系统都是面向业务设计的,导致可能部分系统间的数据缺少有效的主键进行关联。
4.较多正常交易与案件相似甚至相同
比如,在案件中短时间连续多笔交易是个比较明显的特征,但是在正常的交易中也存在大量的连续间隔几秒十几秒连续多笔交易的情况。几乎每一种从案件交易记录里观察到的比较显著的特征模式, 都能在交易记录里找到量级大得多的类似模式的正常交易。
5.交易模式的不断变化
不法分子的欺诈交易模式会受多方面因素的影响,比如银行的风控策略,购物平台有新的更适合洗钱的商品,运营商推出新的可被利用的服务等等。这些变化对特征的鲁棒性以及非本人交易识别模型的鲁棒性都是新的考验。
五、最后
本文主要介绍了几个典型的非本人交易案件,总结分析了作案的过程以及案件的特征,描述了在做非本人交易过识别程中面对的一些难点。下一步我们会讨论特征提取以及利用机器学习识别非本人交易的具体实践。
作者:360企业安全反欺诈实验室
声明:本文来自360企业安全反欺诈实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。