从腾讯电信诈骗报告看金融支付机构如何反欺诈
近日,腾讯发布了《电信网络诈骗治理研究报告(2019上半年)》(下文称“报告”),该报告显示,近三年来,全国公安机关共破获电信网络诈骗案件31.5万起,共查处电信网络诈骗违法犯罪人员14.6万人,目前公民个人信息泄露情况依旧严峻。
男性被“色”所骗 女性为“钱”着迷
在2019年上半年中,交易诈骗、兼职诈骗、交友诈骗、返利诈骗占据了所有电信网络诈骗总数的70%。交易诈骗是指在商品交易过程中通过不发货、不付款或诱导扫描付款码,点击钓友链接实行诈骗;返利诈骗则是谎称支付指定金额后可获高倍金额返还,或购物后可获高价值赠品,引诱支付金钱或购买商品,实施诈骗。
受害人男女比列为63%和37%,也就是说男性被骗人数近乎女性被骗人数两倍。其中交友诈骗中男性受害人比例高达85%,色情诈骗男性受害人比例则是高达98%。如果说男性好色,女性则是爱财。在返利诈骗、免费送诈骗和兼职诈骗中超过一半受害人为女性。
根据数据显示,在所有受害人当中18-28岁之间的被害人所占比例高达54%,而40岁以上被害人所占比例低于30%,90后成为了被骗概率最高的群体。值得注意的是,45岁以上受害人平均受骗金额高达7000元,虽然他们触网时间较短,但是由于健康问题增加、收入来源逐渐减少等现状,养生保健和拓展收入渠道需求明显,因此更容易被诈骗分子利用和控制。
高科技成为代名词个人信息泄露是关键
从2015年6月公安部、最高人民法院、最高人民检察院、工业和信息化部、人民银行等23个部门和单位开始联合打击电信网络诈骗开始至今已经四年,在四年时间里取得了巨大的成果,但是电信网络诈骗依旧是网络空间治理的顽疾。
报告认为这种情况是由于犯罪分子的贪念作祟,亦是社会、科技、心理、法律等多方面原因共同作用的结果。在几个原因中,个人信息和高科技的作用是不可忽视的。
一份精准的公民个人信息能用来做什么呢?报告总结了黑产对个人信息的两个用法。一是进行恶意注册和养号。黑产使用大量的恶意账号和黑号提供网络身份并隐藏真实身份,以增加平台溯源难度、逃避法律追究。为保持账号的正常存续和使用,黑产利用精准的公民个人信息加入更多好友、群组,定期更新日志,开通支付等功能,甚至开设网店,使黑号更具真实感和欺骗性,也更易绕过互联网行业的安全策略。
二是使用精准的个人信息得到受害人的用户画像,从而实施精准诈骗。当公众对电信网络诈骗的既有观念还停留在“广撒网”的方式时,精准诈骗因其针对性强,更易突破公众的心理防线,为诈骗实施起到了推波助澜的作用。
个人信息泄露屡禁不止,是电信网络诈骗无法根除的主因之一。另一方面,电信网络诈骗高科技化使其更加高效,更加难以防范。
诈骗行为人会通过扫描漏洞建立后门或制作恶意SDK植入APP,获取大量包含公民个人信息的数据,并利用计算机人工智能算法等技术手段,对杂乱无章的数据进行分类整理、智能挖掘与分析,最终实现对被害人的精准画像,定向设置不同的诈骗场景,提高诈骗成功率整个过程需要很高的技术要求。
高科技甚至已经成为了黑产分子的助力。“秒拨”IP服务平台、接码平台、打码平台等黑产平台工具近期除使用AI、OCR等技术手段之外,已开始采取Hash值匹配校验与人工打码相结合的稳定方式,大幅提高了破解验证码的准确率。
金融支付机构如何反欺诈?
央行在三月下发了85号文,拉开了强化金融支付机构反欺诈反洗钱的大幕。面对目前的个人信息泄露情况和技术实力强悍的黑灰产,金融支付机构该如何做呢?
就如同前文所说,欺诈分子利用高科技使欺诈变得更为高效和难以防御。除此之外,欺诈黑产进一步的链条化、产业化且互相勾连,电信网络诈骗种类、形势不断快速变更和迭代,这些特点使反欺诈成为了一场持久战。
因此金融支付机构首先需要不断的研究、更新、升级安全治理工具和技术策略。强化涉欺诈内容在链接跳转、关联搜索、广告植入、用户信息共享等方面的审查功能,推动建立互联网信息审查处置机制,依法拦截、屏蔽不法内容并及时清理,积极消除安全隐患。
其次需要根据过往反欺诈的经验,建立针对不同手法的反欺诈治理体系,及时验证、更新、发布最新特征模型与对抗策略。提高“事前”止骗命中率,同时也要为“事中”和“事后”用户权益的维护、不法分子的打击处置,提供高效可靠的解决方案。
另一方面,需要强化用户个人信息保护。用户个人信息在欺诈过程中是不可或缺的重要因素,如果欺诈分子没有用户个人信息甚至无法进行欺诈。因此只要加强用户个人信息保护就可以从源头上打击电信网络欺诈。
首先需要减少不必要的个人信息采集。从去年开始,信安标委、网信办、工信部就个人信息安全问题、个人信息采集问题下发了多份规范、文件、草案。在这些规范文件中一个重要思想就是“只收集业务所必须的信息,不采集多余信息。”一项金融支付业务的进行并不需要太多的个人信息,只需要知道必要的信息就可以。被采集的信息越少,可能泄露的信息就越少,受害人被骗的可能性就越小。
另一方面就是加强个人信息从采集到销毁的全生命周期安全,并且要建立覆盖全生命周期的监管规则,加快行业标准、规范的建设和推广。事实上,这已经不是某个企业或者某个机构的事情,而是整个金融支付机构所要面对的任务。
