导 读:有人说,如今是“懒人经济时代”。无论你躺着还是坐着,尽可以足不出户动动手指就能尽情购物消费,而这都是互联网所带来的便利。但一方面,互联网金融疯狂卷席,另一方面,传统银行却日薄西山。在互联网+大潮下,传统商业银行该如何顺应融入?直销银行应运而生。
什么是直销银行
直销银行是银行业务中最具互联网精神的业务。直销银行尝试通过技术手段实现“面签”的要求,通过互联网手段提升产品的客户体验,并降低网点成本。因此,直销银行业务追求在安全可控的前提下,实现客户体验和客户收益的最大化,以增强客户对银行产品的粘性,引入新的客户流量。
从2013年9月北京银行推出国内首个直销银行以来,大部分股份制银行和部分城商行陆续推出直销银行业务,工商银行“融e行”于2015年3月上线,表明国有大行也加强了对直销银行业务的重视度。目前上线的直销银行增加到了36家,更多的直销银行正在设计和研发过程中,显示出银行业对直销银行业务的重视度与日俱增。
与电子银行业务相比,直销银行业务更具创新性。直销银行业务一般允许远程开户,电子银行需要柜面签约;直销银行允许客户使用他行卡开展业务,电子银行一般只服务本行卡;直销银行的最终目标是把商业银行的线下业务转移到线上进行,电子银行更多的局限于支付结算和理财方面。因此,与电子银行业务相比,直销银行业务更具开放性,因此也更具风险性,业务开展过程中面临更严重的来自于互联网欺诈产业的威胁。
直销银行业务面临的欺诈形势
来自腾讯雷霆行动的数据显示,2014年PC端新增病毒1.37亿个,相对2013年增长33%;2014年移动端日均54万部手机中毒,相对2013年增长1.8倍;2014年移动端新增支付类病毒13.7万个,是2013年的3倍,共1562万个移动设备被感染。研究发现,支付类的病毒在感染设备后,通过获取用户信息,进而控制手机、拦截短信验证码,以盗取在线账户财物或通过快捷支付通道进行盗卡套现,给持卡人和互联网支付公司带来较大资金损失。基于病毒、木马、信息泄露的行为使得互联网环境更加复杂,给直销银行业务开展带来更大的风险。
欺诈产业分析
直销银行是银行产品体系中唯一不需要面签的业务,从欺诈者的角度看,直销银行业务相当于在银行原有的强安全体系中打开了一个缺口,提供了一个进入银行的通道。
因此,直销银行面临的首要风险是虚假注册,欺诈者利用直销银行通道进入银行体系,寻找漏洞进行欺诈。
为了保障客户安全,直销银行一般通过三个安全措施保障注册安全,分别是实名认证、页面图片验证码和手机短信验证码。实名认证保障注册申请人是本人申请,图片验证码是为了防范机器人注册;短信验证码是确保注册人是真实存在的,并真实拥有注册手机号。 上述措施在一定程度上能够保障直销银行账户的安全,但是仍然无法彻底防控虚假注册风险。欺诈产业已经形成了复杂的分工和完整的产业链,欺诈者可以利用产业链的不同环节逐一破解直销银行的安全措施。
社工库产业
社工库全称社会工程学数据库,是指通过非法手段窃取并汇集的个人信息数据库。社工库的来源很多,最常见的有两个,一个是基于钓鱼、病毒和木马非法汇集个人敏感信息,另一个来源是基于商业信息泄露大规模窃取个人敏感信息。社工库的信息非常全面,往往包括能够涵盖个人信息的多个方面,如银行信息、电商信息、教育信息、健康信息等。社工库是黑色和灰色产业的基础,可以用于恶意营销、欺诈、骚扰等。 在直销银行虚假注册产业中,社工库被用于破解实名认证。直销银行的实名认证一般包括两个环节,一个是通过公安网认证姓名和身份证号码,另一个环节是在绑卡时向发卡行验证卡号、身份证、预留手机号和短信验证码。欺诈者在进行虚假注册时,往往需要大量的真实身份和银行卡信息,这些信息大部分都来自于社工库。由于社工库中个人信息都是真实的,因此可以绕过实名认证。针对绑卡过程的短信验证码,已经形成了比较成熟的欺诈产业,欺诈者在社工库的帮助下,针对性的对受害者种植拦截码短信或者针对性的进行电信欺诈,骗取持卡人验证码,最终破解实名认证措施。
打码人产业
打码人产业专门针对页面的图片验证码进行破解,打码人平台组织数以十万计的廉价劳动力(打码人),在欺诈者进行虚假注册产生大量图片验证码时,打码软件自动批量截取图片验证码,传输到后台远程端的打码人终端上,打码人通过手工方式进行辨认后输入后台,转发到支付企业的注册页面以实现图片验证码的验证。这种产业通过密集人力的方式绕过图片验证码的验证,欺诈成本很低。
接码产业
接码平台产业的目的是破解短信验证码。当使用手机号进行注册时,直销银行平台会发送一个短信验证码到手机上,以验证手机号的真伪。为了实现批量注册,接码平台通过各种途径养了大量的sim卡,部分平台的卡数量超过百万张。当欺诈者进行注册时,只需要向接码平台批量申请大量手机号,在直销银行平台上进行注册,对应的短信将通过接码平台转发给欺诈者,欺诈者把短信输入注册页面,即可以绕过短信验证环节。
上述产业仅是黑色产业链的冰山一角,针对注册、登录、快捷支付、物流等环节,已经衍生出了众多的黑色或灰色产业,如钓鱼产业、信息买卖产业、小号注册产业、养号产业、刷单产业、虚假物流产业、薅羊毛产业等等,组成了一张严密的网络,对直销银行及商业银行其他业务的正常开展产生的现实的威胁。
直销银行风控监控体系建设建议
目前,互联网欺诈呈现专业化、集团化、产业化的趋势,形成了完整的产业结构。传统的反欺诈技术依赖于数据库技术,通过对本行数据库数据的统计分析过滤可疑交易。
事后风控与事中风控
由于数据库在计算性能上的限制,传统的反欺诈策略是通过事后方式实现,一般采用T-1事后风控模式。事后风控的优点是技术要求比较低,维护成本低,但是其缺陷也非常明显。事后风控无法从根本上保障客户的资金安全,无法对欺诈资金进行拦截。传统业务中,交易时间和结算时间有间隔(如24小时),则事后风控可以在间隔时间段内对结算资金进行冻结控制。但是在互联网环境中,结算资金一般实时到账,事后风控对欺诈资金难以有效控制,必须采纳事中风控模式。
而随着互联网金融的发展,事中风控理念越来越为业内所接受。事中风控强调介入到产品的业务流程中,能够对业务流程的不同环节进行监控,能够对有风险的交易在事中各个环节进行验证和控制。因此,事中风控与事后风控相比,最大的优势是能够有效控制欺诈资金。但是,事中风控的技术要求极高,由于风控系统介入到产品的业务流程中,风控延时需要严格控制在0.1秒以内,否则影响产品的客户体验。在这种环境下,基于传统数据库的风控技术是无法达到要求的,必须采用基于流处理技术和分布式缓存的最新技术。
直销银行业务风控体系建设
直销银行风险管理需采用事中风控模式,完整的事中风险监控体系需由五部分组成:包括大数据处理平台、反欺诈功能产品、反欺诈数据、反欺诈规则和反欺诈技术五部分组成。
大数据处理平台
反欺诈系统应建立在基于大数据处理理念和能力的技术平台上,该平台应具有极强的数据处理能力,能够实现实时风控的系统需求,并能够支持银行当前和未来10年发展的数据处理能力需求,需能够提供较强的扩展能力,以实现上述需求。 在当前事中风控趋势下,基于传统数据库和基于内存数据库的技术已不能满足互联网大数据实时风控的需求,当前最新的技术是基于流处理和分布式缓存的数据处理技术。流处理技术在数据产生时即进行数据指标计算,而不是在数据落入数据库后再进行抽取和计算,分布式缓存技术把流处理技术实时计算的指标实时存入分布式缓存,指标的读取都是在缓存中进行。只有在流处理技术和分布式缓存技术的有效结合下,才能有效实现事中风控理念。
反欺诈功能产品
在解决数据处理问题以后,反欺诈系统应提供强大、便利的反欺诈功能体系,包括风险匹配、规则管理、案件预警、案件核查、案件分析、黑名单管理、报表管理等工作,实现系统自动事中控制和事后的人工核查及调查相结合。
反欺诈数据
反欺诈数据是进行大数据分析的基础,也是提高反欺诈精准度的关键。商业银行应集合众多不同来源的反欺诈数据,提升银行对客户的身份识别能力。如虚假手机数据库、通信小号数据库、黑手机数据库、高危手机数据库等针对手机的数据库,综合判断注册、交易过程中的手机号的真实性;通过代理IP数据库、黑IP数据库等,提升对注册、交易过程中的IP的判断的精准度等等。
反欺诈技术
由于专业欺诈者通过多种技术试图隐藏真实身份信息,商业银行的反欺诈体系中还应包含针对性的反欺诈技术,以发掘被恶意隐藏的信息,包括设备指纹技术、生物识别技术、IP代理侦测技术、定位技术、虚假手机侦测技术、关联分析技术等,从不同环节对欺诈者进行识别。
反欺诈规则
直销银行反欺诈体系在建设了大数据平台、功能产品、反欺诈数据和反欺诈技术以后,才能构建有效的反欺诈策略体系。反欺诈策略体系通过反欺诈技术和数据对欺诈者隐藏身份的行为进行监控,对其交易环境、交易行为的风险性进行判断,以有效监控直销银行业务面临的虚假注册、银行卡盗用、账户盗用、营销欺诈等风险。
总结
业内实践显示,基于互联网的欺诈行为极为猖獗,由于网络的虚拟性和非实名性,使得银行反欺诈工作开展面临新的困难。直销银行业务是银行业务中最具互联网精神的业务,与电子银行相比更具开放性,因此面临着更复杂的风险。实践证明,单一的技术手段和数据来源,已不能有效的控制来自互联网的欺诈风险。商业银行开展直销银行业务需配套建立完整的反欺诈体系,该体系应包括平台、系统、数据、技术、策略等多个方面。为了该体系能够发挥最大的效果,银行应配合反欺诈体系建立相应的反欺诈组织架构和流程规范。考虑到成本和效益的平衡,针对直销银行的反欺诈体系应能够扩展到电子银行以及业务运营的其他领域,逐步构建覆盖全行所有渠道的中央风险事中监控体系。
文章由浙江大学互联网金融研究院·互联网金融技术研究中心推荐
什么是直销银行
直销银行是银行业务中最具互联网精神的业务。直销银行尝试通过技术手段实现“面签”的要求,通过互联网手段提升产品的客户体验,并降低网点成本。因此,直销银行业务追求在安全可控的前提下,实现客户体验和客户收益的最大化,以增强客户对银行产品的粘性,引入新的客户流量。
从2013年9月北京银行推出国内首个直销银行以来,大部分股份制银行和部分城商行陆续推出直销银行业务,工商银行“融e行”于2015年3月上线,表明国有大行也加强了对直销银行业务的重视度。目前上线的直销银行增加到了36家,更多的直销银行正在设计和研发过程中,显示出银行业对直销银行业务的重视度与日俱增。
与电子银行业务相比,直销银行业务更具创新性。直销银行业务一般允许远程开户,电子银行需要柜面签约;直销银行允许客户使用他行卡开展业务,电子银行一般只服务本行卡;直销银行的最终目标是把商业银行的线下业务转移到线上进行,电子银行更多的局限于支付结算和理财方面。因此,与电子银行业务相比,直销银行业务更具开放性,因此也更具风险性,业务开展过程中面临更严重的来自于互联网欺诈产业的威胁。
直销银行业务面临的欺诈形势
来自腾讯雷霆行动的数据显示,2014年PC端新增病毒1.37亿个,相对2013年增长33%;2014年移动端日均54万部手机中毒,相对2013年增长1.8倍;2014年移动端新增支付类病毒13.7万个,是2013年的3倍,共1562万个移动设备被感染。研究发现,支付类的病毒在感染设备后,通过获取用户信息,进而控制手机、拦截短信验证码,以盗取在线账户财物或通过快捷支付通道进行盗卡套现,给持卡人和互联网支付公司带来较大资金损失。基于病毒、木马、信息泄露的行为使得互联网环境更加复杂,给直销银行业务开展带来更大的风险。
欺诈产业分析
直销银行是银行产品体系中唯一不需要面签的业务,从欺诈者的角度看,直销银行业务相当于在银行原有的强安全体系中打开了一个缺口,提供了一个进入银行的通道。
因此,直销银行面临的首要风险是虚假注册,欺诈者利用直销银行通道进入银行体系,寻找漏洞进行欺诈。
社工库产业
社工库全称社会工程学数据库,是指通过非法手段窃取并汇集的个人信息数据库。社工库的来源很多,最常见的有两个,一个是基于钓鱼、病毒和木马非法汇集个人敏感信息,另一个来源是基于商业信息泄露大规模窃取个人敏感信息。社工库的信息非常全面,往往包括能够涵盖个人信息的多个方面,如银行信息、电商信息、教育信息、健康信息等。社工库是黑色和灰色产业的基础,可以用于恶意营销、欺诈、骚扰等。 在直销银行虚假注册产业中,社工库被用于破解实名认证。直销银行的实名认证一般包括两个环节,一个是通过公安网认证姓名和身份证号码,另一个环节是在绑卡时向发卡行验证卡号、身份证、预留手机号和短信验证码。欺诈者在进行虚假注册时,往往需要大量的真实身份和银行卡信息,这些信息大部分都来自于社工库。由于社工库中个人信息都是真实的,因此可以绕过实名认证。针对绑卡过程的短信验证码,已经形成了比较成熟的欺诈产业,欺诈者在社工库的帮助下,针对性的对受害者种植拦截码短信或者针对性的进行电信欺诈,骗取持卡人验证码,最终破解实名认证措施。
打码人产业
打码人产业专门针对页面的图片验证码进行破解,打码人平台组织数以十万计的廉价劳动力(打码人),在欺诈者进行虚假注册产生大量图片验证码时,打码软件自动批量截取图片验证码,传输到后台远程端的打码人终端上,打码人通过手工方式进行辨认后输入后台,转发到支付企业的注册页面以实现图片验证码的验证。这种产业通过密集人力的方式绕过图片验证码的验证,欺诈成本很低。
接码产业
接码平台产业的目的是破解短信验证码。当使用手机号进行注册时,直销银行平台会发送一个短信验证码到手机上,以验证手机号的真伪。为了实现批量注册,接码平台通过各种途径养了大量的sim卡,部分平台的卡数量超过百万张。当欺诈者进行注册时,只需要向接码平台批量申请大量手机号,在直销银行平台上进行注册,对应的短信将通过接码平台转发给欺诈者,欺诈者把短信输入注册页面,即可以绕过短信验证环节。
上述产业仅是黑色产业链的冰山一角,针对注册、登录、快捷支付、物流等环节,已经衍生出了众多的黑色或灰色产业,如钓鱼产业、信息买卖产业、小号注册产业、养号产业、刷单产业、虚假物流产业、薅羊毛产业等等,组成了一张严密的网络,对直销银行及商业银行其他业务的正常开展产生的现实的威胁。
直销银行风控监控体系建设建议
目前,互联网欺诈呈现专业化、集团化、产业化的趋势,形成了完整的产业结构。传统的反欺诈技术依赖于数据库技术,通过对本行数据库数据的统计分析过滤可疑交易。
事后风控与事中风控
由于数据库在计算性能上的限制,传统的反欺诈策略是通过事后方式实现,一般采用T-1事后风控模式。事后风控的优点是技术要求比较低,维护成本低,但是其缺陷也非常明显。事后风控无法从根本上保障客户的资金安全,无法对欺诈资金进行拦截。传统业务中,交易时间和结算时间有间隔(如24小时),则事后风控可以在间隔时间段内对结算资金进行冻结控制。但是在互联网环境中,结算资金一般实时到账,事后风控对欺诈资金难以有效控制,必须采纳事中风控模式。
而随着互联网金融的发展,事中风控理念越来越为业内所接受。事中风控强调介入到产品的业务流程中,能够对业务流程的不同环节进行监控,能够对有风险的交易在事中各个环节进行验证和控制。因此,事中风控与事后风控相比,最大的优势是能够有效控制欺诈资金。但是,事中风控的技术要求极高,由于风控系统介入到产品的业务流程中,风控延时需要严格控制在0.1秒以内,否则影响产品的客户体验。在这种环境下,基于传统数据库的风控技术是无法达到要求的,必须采用基于流处理技术和分布式缓存的最新技术。
直销银行业务风控体系建设
直销银行风险管理需采用事中风控模式,完整的事中风险监控体系需由五部分组成:包括大数据处理平台、反欺诈功能产品、反欺诈数据、反欺诈规则和反欺诈技术五部分组成。
反欺诈系统应建立在基于大数据处理理念和能力的技术平台上,该平台应具有极强的数据处理能力,能够实现实时风控的系统需求,并能够支持银行当前和未来10年发展的数据处理能力需求,需能够提供较强的扩展能力,以实现上述需求。 在当前事中风控趋势下,基于传统数据库和基于内存数据库的技术已不能满足互联网大数据实时风控的需求,当前最新的技术是基于流处理和分布式缓存的数据处理技术。流处理技术在数据产生时即进行数据指标计算,而不是在数据落入数据库后再进行抽取和计算,分布式缓存技术把流处理技术实时计算的指标实时存入分布式缓存,指标的读取都是在缓存中进行。只有在流处理技术和分布式缓存技术的有效结合下,才能有效实现事中风控理念。
反欺诈功能产品
在解决数据处理问题以后,反欺诈系统应提供强大、便利的反欺诈功能体系,包括风险匹配、规则管理、案件预警、案件核查、案件分析、黑名单管理、报表管理等工作,实现系统自动事中控制和事后的人工核查及调查相结合。
反欺诈数据
反欺诈数据是进行大数据分析的基础,也是提高反欺诈精准度的关键。商业银行应集合众多不同来源的反欺诈数据,提升银行对客户的身份识别能力。如虚假手机数据库、通信小号数据库、黑手机数据库、高危手机数据库等针对手机的数据库,综合判断注册、交易过程中的手机号的真实性;通过代理IP数据库、黑IP数据库等,提升对注册、交易过程中的IP的判断的精准度等等。
反欺诈技术
由于专业欺诈者通过多种技术试图隐藏真实身份信息,商业银行的反欺诈体系中还应包含针对性的反欺诈技术,以发掘被恶意隐藏的信息,包括设备指纹技术、生物识别技术、IP代理侦测技术、定位技术、虚假手机侦测技术、关联分析技术等,从不同环节对欺诈者进行识别。
反欺诈规则
直销银行反欺诈体系在建设了大数据平台、功能产品、反欺诈数据和反欺诈技术以后,才能构建有效的反欺诈策略体系。反欺诈策略体系通过反欺诈技术和数据对欺诈者隐藏身份的行为进行监控,对其交易环境、交易行为的风险性进行判断,以有效监控直销银行业务面临的虚假注册、银行卡盗用、账户盗用、营销欺诈等风险。
业内实践显示,基于互联网的欺诈行为极为猖獗,由于网络的虚拟性和非实名性,使得银行反欺诈工作开展面临新的困难。直销银行业务是银行业务中最具互联网精神的业务,与电子银行相比更具开放性,因此面临着更复杂的风险。实践证明,单一的技术手段和数据来源,已不能有效的控制来自互联网的欺诈风险。商业银行开展直销银行业务需配套建立完整的反欺诈体系,该体系应包括平台、系统、数据、技术、策略等多个方面。为了该体系能够发挥最大的效果,银行应配合反欺诈体系建立相应的反欺诈组织架构和流程规范。考虑到成本和效益的平衡,针对直销银行的反欺诈体系应能够扩展到电子银行以及业务运营的其他领域,逐步构建覆盖全行所有渠道的中央风险事中监控体系。
文章由浙江大学互联网金融研究院·互联网金融技术研究中心推荐
