第三方支付的欺詐與反欺詐博弈

作者：蔡逸

一邊是身處明處布下天羅地網的凡間捉鬼人，一邊是神出鬼沒見招拆招的地下帝國締造者，兩股勢力在科技發展、公司沉浮中相生相剋，他們的恩怨像是狼族與吸血鬼一般世代糾纏，十幾年來一直上演著道高一尺魔高一丈的博弈劇情。

這就是欺詐與反欺詐的博弈，這也是風控與黑產之間的江湖恩怨！

1、 欺詐慣用伎倆

網路欺詐為媒體的新聞報道提供了大量素材，從以前傳統媒體的「董小姐內衣頻繁被盜，究竟何人所為？」，「樓下母豬意外懷孕是人是鬼？「等狗血新聞逐漸變成了自媒體在微信中頻繁轉發的」王八蛋老黃跟他的小姨子跑了，P2P公司欠下的幾十億無人來還「，」小魏病重亂投醫打開不明網站，命喪黃泉「等。

這便是時常發生在我們身邊卻少有防範的網路欺詐案例，從以前的黑客入侵、網路盜號到現在的系統化、產業化、鏈條化的地下黑色產業鏈。十幾年的互聯網裂變式發展同樣見證了十幾年來網路欺詐案件的日新月異和指數型恐怖增長，在大量的網路欺詐案例中最為頻繁、直接且具有代表性的應是第三方支付網路欺詐。君不見廣西某村老少爺們全村搞起網路欺詐，領跑全縣GDP；君不見傳銷團伙放棄老本行投身黑產，從此有車有房娶上美嬌娘！

網路支付中的主要欺詐主要通過木馬、盜號、假幣、虛擬交易、信用卡套現、盜卡、偽造卡、釣魚網站等手段；受害者貫穿各個年齡段，也包括高低不等各種學歷，從十六歲村口殺馬特到八十歲廣場舞潮大媽，從小學畢業古惑仔到高齡博士恨嫁女，範圍之廣、數額之大令人咋舌。

接下來，嚴肅點，講點乾貨。

2、 支付機構的反欺詐措施

各支付機構一邊感嘆網民的超凡智商一邊拿出鈔票抹淚為其智商交稅，為降低損失，支付機構開始健全風險管理機制，提高反欺詐技術，主要方式如下：

（1）實行實名制認證：對賣家入駐、買家註冊的入網資格嚴格把控並驗證客戶身份，對消費者舉報過的商家進行關注和複審，甚至關閉與其合作的通道。其次在綁定和交易時要驗證支付結算工具的合法性 ( 如：銀行卡號與支付賬號同名，卡內交易額度是否異常等)。

（2）加強技術安全保障：在技術上常使用數字簽名、PCI-DSS 認證、數字證書加密以及密碼安全控制項相結合的金融級別的安全控制體系，以此確保通過支付機構的每一筆支付均能夠獲得最高級別的安全保障，不斷完善風險控制硬體基礎設施。

（3）完善支付風險控制。重點內容包括風險評級和信用評級，黑白名單制度，欺詐監控管理與報告，可疑欺詐交易監測，由專業的風險團隊分析處理欺詐事件。

（4）對用戶建立交易保障和賠付機制。即用來保證買賣雙方避免遭受欺詐、促進公平交易的是一種交易保障。對買賣雙方發生的非正常交易行為進行列舉並提供處理及賠償策略。例如，某用戶賬號被盜而造成的損失，，經用戶舉證和第三方支付公司核實，需償還被盜款項。

（5）建立風險管理平台。這是一種複雜的反欺詐系統工程。用戶在網上的非正常交易可在平台中被及時抓取，並得到解決或引導，同時為客戶遭遇網路欺詐爭取了解決時間，將損失降到最低。風險控制平台能24小時提供事前、事中和事後的風險分析。建立業務風險規則引擎是最直接有效預防欺詐交易和發現欺詐行為的手段。最簡單的業務規則示例：用戶的註冊地 ID 與登錄地 ID 跨省，拒絕該賬戶的訂單，列入人工審核隊列，由人工審核確認後再提交交易。通過業務風險規則引擎可實時監測到可疑欺詐交易，平台一旦發現可疑欺詐交易，可立即通知客服人員和風險控制專員。風險控制平台可實施「交易單凍結與交易賬戶限制」功能。

（5）風控模型建立：在風險控制平台上建立基於統計學的「風控模型」。並保障模型的可擴展性。利用先進的數理統計技術，如神經網路模型，進行深度的數據挖掘，發展交易欺詐風險評分模型，來預測用戶交易存在欺詐行為的概率，為制定智能型反欺詐策略提供科學的依據。但任何模型建立的基礎是有大量歷史數據積累，通過海量數據及科學的模型才能得出結論。模型的參數需在實際交易中不斷總結和修訂。

建立和操作風險控制平台和風控模型的角色主要有：風控運營人員、風控分析人員、風控模型研究員、風控系統管理員。

（6）借鑒反欺詐經驗。學習國內外反欺詐的 IT 技術和管理經驗，借鑒傳統銀行業和老牌網路支付行業的反欺詐經驗，對欺詐風險控制也有極大的促進作用。

3、監管機構的反欺詐措施

因支付機構的業務局限性和數據單一性，其在反欺詐過程中仍存在較多死角。而監管機構、政府等第三方協助單位可以有效幫助支付機構完善其反欺詐的風控網路。

（1）建立風險事件聯動協查機制。可在銀監會等機構的領導下來通過建立支付機構之間的聯繫人網路，各支付機構在第一時間進行聯動調查並及時採取有效防範措施，提高對支付欺詐案件的追查效率，減少用戶損失，遏制支付欺詐犯罪。

（2）建立風險事件通報機制。在共享聯動協查機制的基礎上，強化第三方支付機構之間的信息溝通。

（3）建立風險事件信息共享機制。建立風險事件資料庫，實現風險事件信息在第三方支付行業間共享，共同採取積極措施，保障支付安全。強化風險預防機制，組織召開支付風險防範研討會，密切關注國內外安全技術發展動態，不斷引入國內外最新的反欺詐技術手段，防患於未然。

（4）第三方支付機構與反釣魚網站聯盟合作。第三方支付行業與反釣魚網站聯盟合作增強溝通，分享反釣魚經驗和信息，雙方聯合共同抵禦網路釣魚不法行為。

（5）第三方支付機構與銀行聯合反欺詐。加強與金融機構合作，借鑒各自反欺詐經驗，對風險事件聯查，共同打擊欺詐行為，保障網路交易安全。

參考文獻

[1] 艾瑞資詢 . 中國移動支付行業研究報告，2011.

[2] 黃益建 . 企業風險管理 [M]. 機械工業出版社，2011.

[3] 孫書林 . 支付寶詐騙模式及其防範策略n[J]. 江蘇警官學院

學報，2009(03).

[4]陳建增. 第三方支付業務的反欺詐措施與技術探析[J]. 時代金融旬刊, 2012(21):294-294.