上篇文章金融反欺詐-交易基礎介紹我們詳細介紹了銀行卡的相關內容,以及銀行卡的可復制的風險。本篇文章主要介紹下海外信用卡欺詐的相關內容,并初步探討下信用卡反欺詐的方式。
Credit Card:
信用卡,有一定的信用額度,并可以提前預支資金用于消費的卡。
CVV2:
通常指我們平時所說的信用卡的CVV,其真實叫法為CVV2(Card Verification Value 2->Visa),Visa卡組織叫CVV2,MasterCard卡組織叫CVC2(Card Validation Code->MasterCard),在國內,中國銀聯稱之為CVN2。 CVV2的設計是主要用于線上的交易卡的合法性校驗,一般是3-4位數字,打印在銀行卡的背面。
EMV(Europay、MasterCard與Visa縮寫):
EMV是指國際金融業界對于智能支付卡與可使用芯片卡的POS終端機以ATM機等所制定的標準,最初由Europay、MasterCard、Visa三家卡組織制定。
符合EMV標準的支付卡叫做芯片卡,即EMV智能卡(通常也稱為IC卡)。芯片卡的信息儲存在集成電路中而非過去的磁條里,但大部分EMV卡有可以向下兼容的磁條。
CNP(card not present transaction):
通俗來講,是指不需要出示物理卡即可進行消費的交易,比如線上的信用卡交易、電話購物等。
Chargeback:
拒付,即若持卡人查看自己的消費賬單時發現并非自己的交易,或者對交易不滿意(比如購買的物品不符合商家描述、貨物不對等),向發卡行提出申請退款的請求。拒付有多種情況,其中由于信用卡欺詐產生的拒付較多。
Fallback Charge:
回退交易,是指芯片卡(EMV)的交易本該使用芯片進行交易,但因為各種問題(技術問題、偽造卡、攻擊等),使得通過不支持EMV的POS機或者支持EMV卡的POS機,使用磁條信息進行了交易。
一次信用卡欺詐的消費過程如下:
說明:
欺詐者通過各種方式獲取持卡人的信用卡信息(信用卡卡號、過期時間、CVV2碼、姓名、聯系方式等),然后尋找支持信用卡交易的網站,欺詐者在商戶平臺注冊,并進行綁卡消費。
如果商戶在綁卡過程中只是簡單的驗證卡號、姓名等,無其他的強校驗,那欺詐者很容易綁卡成功。同時在消費處理過程中,也是如此,通常只需要信用卡的卡號以及過期時間及CVV2等即可進行消費。商家無自己的風控系統,欺詐者就很容易獲得利益。
商家請求收單行進行資金清算,有扣款成功或扣款失敗的情況。
扣款失敗,卡里的信用額度不夠,無充足資金。或者綁卡成功了,但在消費過程中卡失效了。
扣款成功,此時持卡人之后會收到消費賬單,在收到消費賬單后非自己消費,從而產生拒付。
拒付流程:
持卡人向發卡行提出拒付的申請,發卡行會要求持卡人提供書面的問題說明、也可能要求收單行提供相關的交易收據。
發卡行確認拒付申請后,通過卡組織網絡將拒付申請反饋給收單行。
收單行處理解決拒付請求或將問題轉發給商戶。
商戶收到收單行的拒付處理,選擇接受或拒絕。并將結果反饋給收單行。
收單行:若商戶同意拒付,則會撤銷扣款,返回給持卡人。若商戶拒絕,則收單行將結果反饋給卡組織。
卡組織:卡組織對拒付進行仲裁,最終判斷損失由誰來承擔。
壞賬:
若商戶無法獲得應收的款項,則稱為壞賬。
拒付率:
如果商戶的拒付率過高,那么卡組織會請求商戶進行整改,嚴重的話可能取消商戶的交易通道。
在壞賬中,商戶中的角色很重要,如果沒有做好風控,沒有進行強的安全校驗,則很可能遭受損失。
產業鏈:
說明:
在這條黑色產業鏈里,綠色箭頭表示數據的流向、紅色箭頭表示利益流向。
攻擊者通常是售賣者,其通過各種方式獲取用戶的銀行卡信息,并通過售賣平臺售賣。
售賣平臺將所有的卡信息等按卡組織、卡類型、區域等進行分類,供購買者購買,其在賣家與買家之間賺取手續費。
買卡信息者通過匿名支付,并通過匿名網絡下載卡信息,將獲得的卡信息拿取套現,從中獲利。在套現過程中還有各種其他的角色提供套現服務,從中收取手續費。
在整條信用卡欺詐的黑色產業鏈里,匿名的網絡、匿名的交易使得欺詐者無法被追蹤,也正是這些匿名保障使得這條產業鏈滋生發展。
1.Tor(The Onion Router)網絡
Tor俗稱洋蔥路由器,Tor網絡即為匿名網絡,可以通過Tor在互聯網上匿名交流,匿名訪問網站,其通信信息是經過層層加密的,使得Tor的用戶不容易被追蹤。聯入匿名網絡需要使用其定制的瀏覽器,才可以訪問到。
2.DeepWeb
DeepWeb是指深網,即在互聯網上那些不能被標準搜索引擎索引的網絡內容。將互聯網比作大海,這些網絡內容則位于大海深處,不易被傳統的搜索引擎檢索到。深網的網站鏈接一般是以onion結尾,需要通過Tor瀏覽器才可以進行訪問。這些網站中充斥著各種信用卡倒賣、ID倒賣、毒品、犯罪等信息。
3.bitcoin
比特幣是一種全球通用的加密互聯網貨幣。比特幣是一種點對點網絡支付系統和虛擬計價工具,被一些人稱為數字貨幣,最早在2009年由中本聰以開源軟件形式推出。由于其采用密碼技術來控制貨幣的生產和轉移,因此比特幣也被認為是一種加密電子貨幣。比特幣的獲取可以通過交易購買或者運行程序計算來獲取,通過大量的計算來獲得比特幣的過程,即我們通常所說的“挖礦”。
數據竊取主要是指獲取信用卡的原始磁道信息或者可以用于支付的信用卡信息。
漏洞攻擊:
通過攻擊,并植入惡意軟件去竊取信用卡信息。比如通過滲透測試等方式,入侵到商戶或收單行的支付網絡,通過在POS機或者ATM機(Windows主機占多數)植入后門,后門能夠從內存里獲取Dumps數據。
或者是通過掛馬、社會工程學等各種方式攻擊普通用戶,用戶在運行軟件后會被植入惡意后門,軟件檢測到網銀的登陸或支付信息后會記錄并發給控制端。
釣魚方式:
釣魚方式主要指偽造銀行的頁面,引導用戶登錄,并記錄用戶信息。比如將偽造的銀行網站通過郵件、偽基站等方式發送給用戶。缺乏安全意識的用戶可能會直接輸入信用卡等相關信息。比如我們通過偽基站偽造招商銀行,并發釣魚鏈接給用戶,安全意識較差的用戶是很難去察覺是偽造的銀行地址的。如圖
社會工程學:
社會工程學通常結合數據泄露、釣魚等實施。當欺詐者通過各種方式掌握了用戶的相關信息,并可通過進一步的方式獲得更多的信息。比如根據掌握持卡人泄露的卡號、姓名等信息,偽裝銀行的工作人員去試探獲取持卡人的PIN密碼、CVV2碼等。
線下獲取方式:
線下的獲取方式通常有偷盜用戶信用卡、側錄信用卡。比如在ATM機安裝測錄儀器,用戶在無感知的情況下刷卡取錢,導致信用卡被復制。比如POS機安裝測錄儀器,通過優惠活動等引導用戶刷卡、或與商戶勾結,趁用戶不注意時候復制信用卡。
1.術語
Dumps:
Dumps是指銀行卡的原始磁條信息,可以通過MSR等讀卡器讀取或者在POS機、ATM機里安裝后門直接從內存里讀取。
Fullz:
是欺詐術語,是指可用于實現交易的信息,其攜帶了持卡人的一些詳細信息,比如姓名、住址、信用卡信息、社保號碼、出生日期等。
Checker:
交易平臺中會有給購買卡信息的用戶提供check的服務,check卡信息是否有效,其通過扣除小款的金額,并查看返回碼,確認卡的有效性,并從中收取費用。
我們來看幾個銀行卡信息交易平臺
如圖1.
如圖2.
如圖3.
在這些交易平臺中都是支持比特幣交易,實現匿名性。同時網站還會提供一些代理服務、服務器、付費教程,以及售賣paypal、ebay等賬號信息。
1.角色:
Dropper:
Dropper角色是指為購買線上實體物品的欺詐者提供合法收貨地址的服務人員。他們通常是利用偽造的ID去租賃一個合法的住址,然后用于給欺詐者提供接收商品的服務。
Runner:
Runner角色是指通過偽造的卡直接去ATM機取現的人。
Shopper:
Shopper角色是指,通過拿偽造的銀行卡去實體的商店進行消費套現的人。
2.線上獲利:
購買線上商品,去線上購買實體物品。
購買線上的虛擬物品,主要是指去在線游戲、賭博的網站進行充值、購買虛擬貨幣、購買色情網站的會員等等。
同時這些欺詐者通常會去提供云主機服務的廠商購買主機,然后用“挖礦”的方式獲利。因為很多云主機提供后付費的模式,即先使用主機,再付款,且其結算資金可能有一定的周期,那欺詐者只要綁卡成功,廠商未風險識別到,那就有套現的可能。
3.線下獲利:
線下獲利主要有利用偽造的卡去ATM機器取現,這種方式最快捷,但風險也較大。
其次可以去線下的實體店進行刷卡消費,進行獲利。
4.其他:
在整條黑色產業鏈里,也避免不了黑吃黑的現象。比如卡信息的多次轉賣,提供套現服務的人不守信用等。
對于偽造卡的欺詐消費通常是由發卡行來承擔責任,去年10月份,卡組織增加了新的規定,如果欺詐者復制了芯片卡上的磁條數據,并通過刷磁條的方式進行了交易,那收單行或商戶需要承擔責任。偽造卡欺詐的責任方如下表
| 卡類型 | 卡在什么樣的POS機消費 | 責任方 |
|---|---|---|
| 純磁條卡 | 支持EMV或不支持 | 發卡行 |
| 芯片卡 | 支持EMV | 發卡行 |
| 從芯片卡磁條復制出的偽造卡 | 不支持EMV | 收單行或商戶 |
| 從芯片卡磁條復制出的偽造卡 | 支持EMV | 發卡行 |
針對日益增長的信用卡欺詐現象,卡組織也采取了各種方式來遏制,比如升級卡的類型,采取較強的安全校驗機制等。
1.芯片卡
普通的磁條卡面臨復制的風險,從而推出了芯片卡,使得卡信息得以加密,不容易被復制。
2.3D Secure(Three-Domain secure)
即3D校驗,Visa針對網絡交易確認持卡人身份采用的一種方案,其中MasterCard也采用了此方案,其稱為MasterCard SecureCode。3D校驗需要發卡行支持,當用戶在購買商品進行支付的時候,跳轉到發卡行的頁面,輸入在發卡行設置的安全碼進行身份確認。通常需要特定類型的卡,國內的話可以查看下興業銀行的3D校驗使用指南
3.信用機制
卡組織以及各個發卡行都有用戶的信用信息,一些信用較差有不良記錄的可能會禁止交易。其中Visa子公司cybersource就基于信用信息等為商戶或銀行提供信用卡反欺詐服務。
盜取用戶信用卡數據的方式有很多,持卡人可去銀行將磁條卡升級為芯片卡,并需要有安全意識:
1.線下場景:
信用卡的CVV2碼要遮擋,在正規的地方刷卡,保證卡在視線范圍內。
對于一些線下刷卡消費的誘人活動,要謹慎參加
線下取錢仔細查看ATM機器卡槽口是否被改造過
2.線上環境:
電腦要安裝殺毒軟件,不打開來歷不明的鏈接、軟件等
在登陸敏感的交易網站時候,要確認網站的域名正確
手機安裝應用通過正規的應用商城
收到關于金錢類的消息,請不要隨意輸入自己的賬號密碼信息
在信用卡的欺詐中,商戶受影響較大,通常商戶會產生資損(損失實物并且需要返回持卡人盜刷的錢、虛擬物品等),并出現壞賬。在發生拒付時候商戶需要支出拒付所產生的手續費以及拒付處理的服務費用等,同時若商戶的拒付率過高,卡組織會通知商戶采取相關措施進行整改,若拒付率超出允許范圍可能會關閉商戶的交易賬戶。
所以,商戶有責任對信用卡欺詐采取相應的防控手段。
一)基礎防護
1.設備指紋
在欺詐中,通常是伴隨多個賬號用于欺詐。所以需要一種能夠唯一標識用戶的方法,其中通過設備指紋識別用戶是一種很重要的方法。商戶可以自己建立設備指紋信譽庫,或者購買一些權威的第三方服務。
2.機器行為
商戶應該有自己的機器行為檢測方式,通過多種方式來識別是否是機器行為。
3.防垃圾注冊
商戶應該具有垃圾注冊防控的機制,對于批量注冊、批量登陸有防控機制。當然基于ip的攔截會顯得不是那么有效,對于欺詐者來講,切換ip的成本很低。垃圾注冊的防控通常需要結合設備指紋、機器行為檢測。
4.增強綁卡校驗
a.利用3D校驗
即用戶在綁卡的時候需要提供設置的網上交易密碼,認證通過后確定用戶的合法身份。
b.利用Micro-Charge
即綁卡過程中,向用戶扣除一隨機的金額,然后用戶在收到扣款賬單后,填寫此金額來確認身份。其中paypal在綁卡中是向信用卡扣除1.95$,然后返回給用戶一個四位數的驗證碼,通過驗證碼來確認。
c.不允許綁定特殊類型的卡
比如GiftCard,用戶拿著這些卡去綁定,等消費完成商戶進行扣款(先使用后付費的模式)時候,會發現無法扣款等。
d.黑卡黑名單,卡Bin黑名單
即對于出現欺詐較多的小銀行、出現盜卡較多的區域,拒絕綁定或進行風險打標。
5.消費校驗
a.0$、1$ authentication
0元或1元校驗,是指通過扣取0元或1元的方式,來確認綁定的卡是否有效。比如有如下的場景,在提供“先使用后付款”服務的商戶中,用戶綁卡通過了,但是其過了很長時間才進行了消費,用戶消費完成后,商戶執行扣款時發現卡可能已經失效。
b.AWS(Address Verification System)校驗
即用戶地址的校驗,在購買實體物品時候可以對其進行校驗。
c.預凍結金額
比如在提供“先使用后付款”服務的商戶中,若用戶購買了大量金額的服務,但等到商家進行資金清算時,發現所綁卡的余額不足。所以在超過一定金額的消費后,可以采取凍結金額的方式。
6.業務監控
商戶應該有自己的業務監控系統。比如基于用戶的,基于設備的、基于IP的交易數據監控。及時查看異常交易,并采取相應的確認措施。比如郵件確認、電話回訪或者人工確認。
二)基于機器學習的信用卡反欺詐
其實在信用卡欺詐檢測中,機器學習扮演了重要的角色,比如利用神經網絡、貝葉斯、SVM等算法,構建風控模型,從而有效識別交易中的風險。
通過監督學習,提供一些有標簽的交易數據,比如此次交易是屬于欺詐交易、還是屬于正常的交易。通過貝葉斯分類算法或者SVM算法進行分類預測,從而建立防控模型。國外基于機器學習的信用卡反欺詐資料較多,感興趣的可在參考給出的鏈接里查看。
1.訓練樣本
無論采用監督學習還是非監督學習,無論采取哪種算法,都需要有充足的訓練樣本。同時樣本必須要有一些基礎的因子才能有更好的效果,具體的信息可參考下表,當然商戶可根據自己的業務場景進行相應的添加或修改。
| 分類 | 內容 |
|---|---|
| 設備信息 | 操作系統、系統區域語言、系統時間、瀏覽器信息、flash信息、設備信譽等 |
| 用戶信息 | 注冊時間、注冊是否為代理注冊、性別、國家地區、年齡、認證信息、郵箱、手機號等 |
| 行為信息 | 最近登錄時間、最近的登錄ip、ip是否在風險庫里出現、最近的登錄是否為代理、登錄壞境的變更(設備更換、瀏覽器更換等)、最近的購買行為、最近的瀏覽行為等 |
| 交易信息 | 支付類型、交易金額、卡bin、交易時用戶的行為特征、當天的累積交易金額、近一月的消費記錄等 |
| 其他信息 | 比如建立的用戶信譽分值 |
2.風控模型
商戶應該基于用戶的各項交易信息構建用戶黑白名單,并綜合各項信息構建自己的風控模型。
比如在一次交易流程中,大致流程如下:
在反欺詐中,用戶的所有行為信息需要聯通,而不只是在消費的時候針對當前的用戶行為、設備信息等進行判斷。而是從用戶注冊開始,記錄用戶的行為信息(比如是否風險ip、是否代理等),在登陸時也如此,這些信息反饋到綁卡階段。同時綁卡流程中繼續將信息累積,最終反饋到交易行為。繼而再結合所有的信息形成信用體系,來構建風控模型。
當然風控模型無法識別的,則需要進行人工審核,并不斷完善模型。
信用卡欺詐產生已久,卡組織、銀行、商戶都應采取相應的措施來減少風險。對于商戶來講,建立自己的風控模型尤為重要。