【反欺诈】金融反欺诈实战（一）：电子银行反欺诈背景及典型案例介绍

【反欺诈】金融反欺诈实战（一）：电子银行反欺诈背景及典型案例介绍

泡杯茶看财经2022-05-11

近年来，随着互联网和移动互联网的普及，电子银行发展迅速，业务也越来越多元化和便捷。电子银行已成为银行业务的重要组成部分。部门之一。但在为广大用户提供丰富金融服务的同时，也带来了新的风险。近年来，利用电子银行漏洞或采取必要技术手段进行欺诈交易的案例越来越多。严重损害了银行和客户的财产安全。随着犯罪分子打击犯罪过程的专业化和技术手段的升级，传统的基于规则+验证的风控模式已经难以满足当前的风控需求。

本文所称的欺诈交易是指犯罪分子在用户不知情的情况下，通过非常规手段进行交易，以窃取用户资金为目的的行为。本系列文章是关于机器学习技术在电子银行中的应用。欺诈交易识别与探索的实战总结，包括遇到的问题、特征构建、模型选择、模型评估等。本文首先对电子银行欺诈交易进行简单介绍，以便对其有一个直观的了解。

一、典型的欺诈交易案例

1.通过理财产品转移资金的错觉

其中，骗子通过木马病毒窃取了林女士的银行账户、密码等信息，然后在网上投资平台上购买了超过90万种理财产品和贵金属，制造假象钱被转走了，然后打电话给受害人诱导获取验证码，这样钱就可以转了。

案例来源：sohu.com/a/112979956_36

2.信用卡取款骗取验证码购买虚拟游戏币转走

案例来源：cq.qq.com/a/20180412/01

3.开卡预留非个人手机号，几十万转出

2017年，吴某接到一通涉及金融案件的电话，被诱导申请借记卡并开通手机银行和网上银行，但预留的电话号码不是我的手机号码。连续8天后，嫌疑人每天从卡中转出5万元，其中一天转出15万元。然后，受害人提出了每日5万的限额，为什么他会每天转15万万的问题，银行的解释是，5万是单通道的限额，多个通道是独立计算的。

案例来源：xxsb.com/findArticle/25

二、作案过程

通过对案件的分析，犯罪嫌疑人的作案过程可以分为三个步骤：

1.信息获取

主要包括客户姓名、身份证号、银行卡号、手机号、密码等信息。获取方式主要包括直接在线购买、利用钓鱼网站诱骗客户自行输入、通过木马病毒记录用户输入行为、通过垃圾短信引诱客户进入钓鱼网站、关联互联网上泄露的各类数据、利用获取的身份证号或银行卡号进行暴力破解等。

2.利用业务漏洞或技术手段绕过银行的安全验证

银行对交易的安全保障主要是通过交易密码+短信验证+规则过滤。被规则命中的交易将进入人工审核流程。在欺诈交易中，犯罪嫌疑人会使用各种方法来规避这些安全策略，其中最重要的是短信验证码。获取客户验证码主要有两种方式：

一种是采取技术手段，比如通过木马病毒拦截受害者的短信转发到嫌疑人自己的手机上，或者直接在受害者的手机上。转账是在客户端完成的，这往往需要很高的技术门槛。

二是利用银行或运营商的业务漏洞。比如很多银行都有快速支付协议，省去了输入密码和短信验证的过程。因此，在某些情况下，犯罪嫌疑人往往会确认受害人的银行卡开通了快捷支付或无卡支付服务。另一方面，经营者在提供一些特殊服务的同时，也可能为犯罪分子提供一些作案机会。例如，在某起案件中，犯罪嫌疑人利用某运营商提供的“分号”服务，添加了受害人的手机号码。作为二级号码，然后通过短信轰炸的方式强制受害者关机，从而将受害者本应收到的短信转发到自己的手机上。

3.资金转帐

电子银行的资金划转方式主要有两种：一种是直接将资金转入犯罪嫌疑人的银行卡，用于售卖赃物。但是，为了避免追踪，被盗银行卡往往是犯罪嫌疑人控制的其他受害人的卡或利用他人非法获取的信息开立的银行卡，经过多次转账后会被提取或转入犯罪嫌疑人的真实银行。二是通过网购平台购买商品，然后通过其他平台低价出售，从而洗钱。

三、电子银行欺诈交易案例特征分析

通过分析一家银行过去一年的案例，非个人交易的特点可以总结为以下五点：

1.手段主要针对钓鱼网站和木马病毒

典型情况下，犯罪嫌疑人通过虚假基站冒充身份发送大量垃圾短信，包括信用卡取款、银行卡积分兑换、银行卡冻结、孩子成绩单、同学聚会相册等，使用受害者的好奇心或恐惧诱使他们点击链接。钓鱼网站会进一步诱使受害者输入身份证、银行卡号等信息。如果是木马病毒，手机经常会进入白屏或死机无响应状态虚拟账号交易不予立案，这样就可以直接转账了。

智能手机木马病毒导致银行卡被盗（来源：永州新闻网）

2.渠道集中在网银支付

案例 大约 80% 的资金通过第三方支付或其他公司转移，不到 20% 的案例是转移给个人。结合上报案例分析，大部分用于购买充值卡、游戏积分卡等虚拟物品。主要原因是，一是可以快速变现，二是不涉及犯罪分子的真实个人信息，不易被追踪。

在个别情况下，主要关注点是通过借记卡进行异地支付，其典型特征是将资金转移到位于不同位置的新设备上的陌生账户。

3.敏感操作

约30%的案例在第一笔交易前1小时内进行了无卡支付签名、快捷支付签名等敏感操作，然后分多次转账。

4.小额转账

约90%的记录金额在5000以下，呈现小额特征。并且金额大多以 99 或整数结尾。主要原因可能是通过第三方支付机构进行的欺诈交易大部分用于购买虚拟商品，而99年底是很多商家的价格策略。

5.连续转会

涉及第三方支付机构的案件中，约有 30% 的特点是在短时间内多次进行金额相近的交易。主要原因可能是在这些情况下，大部分都是通过购买商品将钱转走，而商品的价格也不高，所以需要多次交易才能将大部分钱转走。

四、欺诈交易识别的难点

通过机器学习技术识别欺诈交易有五个难点：

1. 缺乏准确的标注数据

标签数据一般有两种来源：

一种是客户被骗后报警，清楚立案。这种类型的标签通常更准确，但数量很少。 ，而且粒度往往不够细。例如，客户不知道他们的帐户是如何被盗的，他们是否被木马病毒攻击，或者因为他们点击了钓鱼网站。了解这些信息将有助于特征提取；

第二个来自客户投诉。这一类占比很大，但往往不准确，主要表现在两个方面：一是客户的投诉可能只是纠纷，不完全是欺诈交易；可能需要几个月的时间，导致案件的标记不能保证准确到某笔交易记录。

此类问题有两种解决方案。一是让有经验的专家通过观察双方的历史交易记录，尽可能消除假案痕迹。例如，通过观察某家银行的案例记录，发现有些案例记录的交易对象是持卡人本人，或者交易对象历史上有很多交易记录，但这些历史交易记录并没有例，那么这些样本不适合训练；二是使用半监督算法，例如标签传播和置信传播算法，但这些算法基于图论，往往需要更多的计算资源，时间复杂度高。可能不满意。

2.数据严重不平衡

每家银行每天的电子银行交易流量都在数百万甚至数千万量级。但是，在这么多的交易记录中，可能只有几种情况，全数据的黑白样本比例差别很大。黑白样本的高度不平衡严重影响了模型的效果，甚至使一些模型完全失效。解决数据不平衡的主要方法是采样，但在如此大的量级和如此严重的倾斜度的数据集中，如何有效地采样出具有代表性和判别力的正态样本也是一个难题。采样的细节将在后面讨论。详细讨论。另一个想法是选择对数据倾斜不太敏感的机器学习模型。

3.数据质量

数据质量问题主要体现在三个方面：一是网络延迟、集群时间同步等问题导致数据不准确。比如有时间错误，甚至同一个人的两条记录有相同的时间。例如，iPhone的mac地址可能因权限等问题无法采集或采集不准确；二是数据缺失，如通过第三方支付机构转账，不记录转账对象的详细信息；第三，不同系统之间的数据可能没有联系。由于银行的每个数据系统都是为业务而设计的，因此可能会导致某些系统之间的数据缺乏有效的主键。

4.很多正常的交易都跟case差不多，甚至一样

例如，在一个案例中虚拟账号交易不予立案，短时间内的多次交易是一个明显的特征，但在正常交易中也有大量的连续多次交易，间隔数秒甚至更长时间。对于在案例交易记录中观察到的几乎每一个不同的特征模式，在交易记录中都可以找到更大数量级的正常交易的相似模式。

5.事务模式的不断变化

不法分子的欺诈交易模式会受到多种因素的影响，例如银行的风控策略、新的购物平台等。更适合洗钱的商品、运营商推出新的可利用服务等。这些变化是对特征稳健性和欺诈交易识别模型稳健性的新考验。