原文:http://www.cnki.com.cn/Article/CJFDTotal-XYKZ200508004.htm
2005年6月,美国爆出4000万张信用卡资料外泄的特大新闻。消息传来,舆论哗然。尽管我国只有数千个信用卡账户数据资料受波及,但一石激起千层浪,国内金融管理机构、各银行、信用卡持卡人等在采取应急措施避免损失的同时,对于信用卡的安全性、信用卡的反欺诈管理等也给予了高度的关注。
本文将系统地介绍欧美信用卡行业欺诈的概况和种类,介绍其在长期的实践中摸索出来的反欺诈技术手段和经验,为中国信用卡行业的反欺诈管理提供参考。由于美国的信用卡行业的反欺诈历史较悠久,欺诈损失得到了较稳定的控制,而信用卡欺诈在英国正突出地表现出来,而且呈上升态势,与正在迅速发展中的中国信用卡行业具有较多的相似之处,所以本文主要以英国信用卡行业情况为例加以阐述。
一、信用卡欺诈的概况
图1是英国1995年至2004年信用卡行业的欺诈损失情况。我们可以看出,在过去的10年时间里,英国信用卡的欺诈损失额节节上升。这一方面是因为欺诈活动日益猖獗,欺诈作案日益团伙化、技术化;另一方面是发卡量和交易量大幅度增加的结果。2001~2003年欺诈损失得到了稳定控制,这是因为这几年间英国大部分银行推广使用了智能性反欺诈模型。2004年欺诈损失再度大幅度攀升近20%,这是因为有组织的欺诈团伙要在英国于2005年全面普及芯片卡和密码系统之前大肆进行了欺诈活动。
1.信用卡欺诈的种类
信用卡的欺诈包括身份信息被盗(identity theft,包括欺诈性申请和账户信息被窃取)、伪造(counterfeit)、卡丢失或被盗(lost or stolen)、卡邮寄被盗(mail non-receipt) 、卡不在场欺诈(card not present fraud)等。
(1)卡不在场欺诈(Card-Not-Present fraud, 简称CNP fraud)
又称卡相关信息被盗欺诈(fraudulent possession of card details),信用卡和持卡人均不在销售终端,只要提供卡的相关信息就可进行欺诈交易,如通过电话、传真、邮件、互联网等渠道使用信用卡。欺诈分子往往是以各种方式(如拾得被持卡人丢弃的信用卡收据、拷贝他人收据、销售终端雇员拷贝或记录他人信用卡信息等) ,盗取了信用卡上的相关信息(如卡号、姓名、地址、过期日等) 。真实的持卡人往往不会知道欺诈的发生,直到收到对账单发现不是由他们作出的交易为止。利用盗取的信用卡信息进行卡不在场欺诈造成的损失成为最突出的类别之一,一个重要的原因是电子商务和电话商务的兴起和盛行以及团伙犯罪。
(2)卡被伪造(Counterfeit)
卡被伪造是英国目前最大的欺诈损失类别之一。伪造的信用卡指的是卡本身不是由发卡银行发行而属于纯粹的伪造或卡本身由发卡银行发行但被欺诈分子盗取机密信息仿冒伪造和使用。
大多数伪造的信用卡是通过一种叫侧录(Skimming)的方式进行的,它通过一定的电子设备读取真实的信用卡磁条上的信息,并以电子方式拷贝到伪造的卡上。
侧录一般发生在零售终端如加油站、餐馆、酒吧等,由犯罪的雇员盗取信用卡磁条上的信息(用来偷读的设备并不难获得) ,然后利用偷来的信息伪造卡或更多是把偷来的信息卖给职业的欺诈犯罪团伙大批量地伪造。
一般来说,真实的持卡人不会知道这种欺诈的发生,直到收到对账单发现了不是由持卡人进行的交易为止,但这时往往为时已晚,欺诈分子往往已经刷爆了该信用卡账户。
英国卡伪造的欺诈损失突出,原因是欺诈犯罪团伙往往在全球范围内活动,而他们一旦发现某个国家的反欺诈环节比较薄弱,会大规模地利用其薄弱环节大肆欺诈。所以在美国的反欺诈措施比较得力的情况下,英国成了欺诈犯罪作案的焦点。而且,欺诈分子越来越多地利用先进的技术手段,使伪造信用卡的成本下降、以假乱真的程度上升。
(3)卡丢失或被盗(Lost or Stolen)
卡丢失和被盗是欺诈损失的严重一环,往往是在真实的持卡人挂失前被大量地欺诈性使用。由于目前刷卡消费只需要签字,往往无需查验身份证,而签字又非常容易假冒,导致这种欺诈操作起来比较容易。
(4)卡邮寄被盗(Mail non-receipt fraud)
由于信用卡通常是邮寄给客户的,如果欺诈分子盗取了邮件,便获得了信用卡。这种欺诈损失虽然占的比例不是特别高,但近年来急剧上升,主要是因为银行在其它方面加强了反欺诈力度,而欺诈分子也不断地探索新的欺诈渠道,盗取邮件便是其中之一。
(5)身份信息被盗(identity theft fraud)
盗取身份信息进行信用卡欺诈包括两种方式:
第一是欺诈性申请(application fraud),欺诈分子往往通过盗取他人的电话账单、水电费账单、银行对账单等途径获得他人身份信息,然后以盗取的他人身份信息或伪造的他人身份证件,以他人的名义申请信用卡,进行欺诈使用。
第二是窃取信用卡账户(account take-over), 欺诈分子先收集他人的相关信息,然后冒名以持卡人的名义,要求信用卡公司把邮件送到新的通信地址,然后向信用卡公司谎报信用卡丢失了,要求把新的信用卡寄到欺诈分子指定的通信地址,从而获得信用卡进行欺诈性交易。
英国的信用卡行业2004年的欺诈总损失额为5.05亿英镑(约9亿美元),其中:
- 伪造欺诈损失为1.3亿英镑 (约2.34亿美元);
- 卡不在场欺诈损失为1.5亿英镑(约2.7亿美元);
- 卡丢失和被盗欺诈损失为1.14亿英镑(约2亿美元);
- 卡邮寄被盗欺诈损失为0.73亿英镑(约1.3亿美元);
- 身份信息被盗(欺诈性申请)损失为0.37亿英镑(约0.67亿美元) 。
从相对比例(见图2)来讲,卡不在场欺诈占最大比例30%,其次是卡被伪造欺诈占26%,这些与有组织的欺诈犯罪团伙行为密切相关;卡丢失或被盗欺诈占23%,再次是卡邮寄被盗,占14%,身份信息被盗,占7% 。
二、以欺诈侦测模型为基础的智能型反欺诈管理
利用先进的数理统计技术,如神经网络模型,进行深度的数据挖掘,发展申请欺诈风险评分模型和交易欺诈风险评分模型,来预测信用卡申请或交易为欺诈的概率大小,为制定智能型反欺诈策略提供科学的依据。
1.制定以申请欺诈风险评分模型为基础的反欺诈策略
申请欺诈风险评分模型是以信用局保存的欺诈记录或嫌疑性的姓名、地址、身份证号码、以及申请表填写信息与信用局记录信息之间的差异来预测信用卡申请为欺诈的概率。
制定以该模型为基础的反欺诈策略相对直观:对于评分模型预测为欺诈概率特别高的申请予以拒绝;对于评分模型预测为欺诈概率比较高但不算特别高的申请,可以展开额外的调查与核对,如要求核对身份证件、电话调查申请人身份的真假等,然后再做决定;对于评分模型预测为欺诈概率较低的申请予以批准(如果其他条件符合信贷审批策略要求) 。
在决定分数线(欺诈概率) 高低的门槛时,需要考虑到下列因素之间的平衡:
- 拒绝真实的申请人所带来的损失(失去了潜在的好客户);
- 额外调查给真实的申请人所带来的不便;
- 额外调查的成本;
- 批准欺诈性申请所带来的损失。
上述因素之间的平衡,归根结底依靠的是模型所预测的欺诈概率大小。
2.制定以交易欺诈风险评分模型为基础的反欺诈策略
交易欺诈风险评分模型是以持卡人的交易行为模式为分析基础的、以对比当前交易与历史交易模式的差别为分析焦点的、以精密的数理统计模型(典型的是使用机器学习和神经网络模型) 为分析手段的、以预测当前交易为欺诈的概率为分析目标的模型。它的根本原理是虽然欺诈者可以盗取信用卡相关机密信息,也可以盗取、伪造或假冒信用卡,但是无法模仿真实持卡人的历史行为模式,这种历史行为模式往往体现在以大量的交易的时间、地点、金额、商户类别、交易频率等信息为基础而提炼出来的数百个个性档案(Profiles) 中。
制定针对信用卡交易的反欺诈策略是比较复杂的,这不仅是因为交易欺诈的损失额大、欺诈种类多、欺诈的模糊性强,而且因为交易量非常巨大,每一秒钟可能有成千上万的交易发生,大量的交易的授权决策都需要在几秒钟的时间里完成,对系统的挑战性极大。
在授权系统接到卡交易的授权请求后,会进行欺诈风险的评估和审核,计算交易欺诈风险评分,根据银行制定的反欺诈策略,对于评分较差、欺诈风险高的交易,可以拒绝授权,也可以要求电话核对,然后根据核对的结果拒绝或批准授权。而对于绝大多数欺诈风险较低的交易,则直接批准授权。
反欺诈策略的目标是最大限度地降低欺诈损失额,而预期欺诈损失额等于欺诈概率乘以交易额。由于欺诈风险评分反映了欺诈的概率,所以,欺诈风险评分和交易额是反欺诈策略的主要决策依据,辅之以商户种类、交易国度、刷卡方式等信息。
在制定以评分模型为基础的智能型反交易欺诈策略时,需要考虑到下列因素之间的平衡:
欺诈的损失。如果反欺诈策略不力,给欺诈分子可乘之机,可能导致该银行成为交易欺诈的目标,导致大量的欺诈损失。
拒绝的交易量。如果拒绝的交易量很少,让很多欺诈性交易得到批准,则银行会承担较多的欺诈损失,反欺诈成果不彰;如果拒绝的交易量过多,让很多真实的交易得到拒绝,则银行一方面会损失了该交易本来可以带来的佣金收入和利息收入,另一方面给持卡人带来了不便,导致客户流失的可能增加。
电话核对的交易量。如果电话核对的交易量很少,让很多欺诈性交易得到批准,则银行会承担较多的欺诈损失,反欺诈成果不彰;如果电话核对的交易量过多,让很多真实的交易不得不经历电话核对的过程,则银行不仅承担了大量的电话核对的费用,而且给电话服务中心的资源带来极大压力,在极端情况下可能导致授权系统的崩溃。
系统资源和人力资源的配置和容量。授权系统在每一单位时间里能够高效率地进行反欺诈审批的交易量是有限的,所以对实时送入反欺诈审批程序的交易必须进行过滤。电话服务中心的资源也是有限的,所以每一单位时间能够核对或调查的交易量是有限的,制定反欺诈策略时必须考虑到系统和人力资源的限制。
客户的反应。如果过多真实的交易被拒绝或电话核对,会给许多客户带来不便,导致客户流失的可能性增加,而且导致许多客户的抱怨,给银行的客户关系和品牌形象带来不利影响;如果过多欺诈性的交易被批准,也会给许多客户带来纠纷和麻烦,打击客户对信用卡产品的信心,给银行的客户关系和品牌形象带来不利影响。
反欺诈的成本。除了客户关系和品牌形象这种无形的成本以外,反欺诈的有形的成本包括:损失的真实交易本来可以带来的消费回佣和利息收入、电话费、电话服务中心的人力资源和系统资源成本等。
卡组织的限制。VISA、MasterCard等卡组织对于电话核对的交易量有一定的限制,这是为了避免过多的电话核对给VISA和MasterCard的品牌形象产生打击。如果电话核对的交易总量超过了限制额,则银行必须向卡组织交纳一定的罚款。
一个好的反欺诈策略应该达到以下三大目标:
- 电话核对和拒绝的交易数量适度,不超过系统和资源负荷;
- 最大限度地发现和阻止欺诈性交易;
- 最小限度地影响真实的交易。
除了对欺诈风险较高的交易做出拒绝或电话核对的决策进行反欺诈以外,银行还可以利用欺诈风险评分来发现可疑的交易,利用事后电话联系、信件联系或电子邮件联系的方式,与持卡人在交易以外进行沟通,核对可疑的交易,如果证实某信用卡账户正在经历欺诈性交易(如持卡人证实某可疑的交易非其所有) ,则立刻拒绝该卡的所有后续交易并给持卡人换发新的信用卡。这些反欺诈措施可以作为对实时反欺诈授权决策的有效补充。
三、其他各种反欺诈的技术和手段
信用卡的反欺诈是一个系统性的工程,除了以欺诈侦测模型为基础的智能型反欺诈策略和手段以外,欧美的信用卡行业还综合地利用各种技术和手段来反欺诈。
1.芯片和密码系统(Chip and PIN system)
随着欺诈的上升和有组织的欺诈团伙利用高科技手段大规模作案,传统的磁条卡和签名消费的形式遇到了严峻的挑战。为了更有效地反欺诈,必须在交易发生时保证两个根本条件:用于交易的信用卡必须是真的而不是伪造的卡、交易人必须是真实的持卡人而不是冒名欺诈者。芯片和密码系统就是为了达到这两个条件应运而生的。
(1)利用芯片卡来防止伪造
伪造卡是欺诈损失的最大类别之一,它是通过利用电子设备读取信用卡磁条上的机密信息并拷贝到伪造的卡片上来进行欺诈的。由于磁条卡的保密性不高,盗取磁条上的信息比较容易,使欺诈分子(包括犯罪的销售终端雇员) 能较轻易地伪造信用卡。利用先进的微型芯片技术,卡的保密安全性大幅度地提高了,以欺诈手段读取和拷贝芯片上的信息非常困难,所以可以有效地防止卡被伪造,更大程度上保证了上述的第一个条件:用于交易的信用卡是真的。
(2)利用密码来防止假冒
卡丢失和被盗是欺诈损失的一大类别。在卡丢失和被盗的情况下,欺诈分子手中掌握了真实的信用卡,所以芯片技术并不能防止这种欺诈方式,而签名又非常容易假冒。解决的办法是密码。在绝大多数情况下,密码可以保证交易人是真实的持卡人,从而保证了上述的第二个条件。
芯片和密码合起来,将有效地防止两个最大的欺诈种类:伪造和卡丢失或被盗,从而在很大程度上减少了欺诈。所以,英国和欧盟多数国家计划在2005年内全面地贯彻芯片和密码系统。
当然,贯彻芯片和密码系统的成本是高昂的:必须以芯片卡代替目前通行的磁条卡、必须以读取芯片卡的销售终端机来代替目前读取磁条卡的销售终端机、必须改变千百万信用卡持卡人的用卡习惯:从签名改为输入密码。所以,芯片和密码系统是一个银行、商户、消费者、清算组织等各方共同协作的系统工程。
由于欺诈是一个国际性的问题,所以反欺诈也需要国际化的合作。除了英国即将全国性地推行芯片和密码系统外,其他欧洲各国也已经或正在向芯片和密码系统过渡。为了促进芯片卡的国际标准化,VISA、MasterCard等卡行业组织制定了相关的技术标准。
2.防止卡不在场欺诈
卡不在场欺诈,又称卡相关信息被盗欺诈,是通过电话、传真、邮件、或互联网进行的欺诈性交易,是欺诈损失最大的类别之一。芯片和密码系统目前防止这种欺诈的能力还不是特别强:欺诈分子只要掌握相关信息即可,并不需要伪造信用卡,而且,为了防止泄密,这种交易一般不会使用密码。为了防止这种形式的欺诈,信用卡行业发展了相关系统来核对持卡人的名字地址和信用卡背面的3~4位数的安全代码。这种核对之所以能一定程度上防止卡不在场欺诈,是因为欺诈分子在许多情况下并不掌握信用卡的全面信息,他们只掌握从偷来的销售单据或银行对账单上的有限的信息,却往往不能掌握卡背面的安全代码。而且,越来越多的新的销售终端机打印的销售单据并不显示信用卡的重要信息,以避免销售单据丢失或被盗后泄露机密。从长远来看,当读取芯片卡和输入密码的电子仪器造价低廉并普及到消费者家中,而网上交易成为卡不在场交易的主流时,芯片和密码系统很有潜力来进一步地防止卡不在场欺诈的发生。
3.信用卡行业共享档案(Industry Hot Card File)
这是由众多商户参与的、记录丢失和被盗的信用卡信息的电子档案。当持卡人刷卡交易时,授权系统自动地把相关的卡信息与共享电子档案上的信息对照,如果共享档案显示该卡已丢失或被盗,则授权系统会拒绝该交易而且发出警示信号。比如,在2002年,英国的行业共享档案记录了超过500万张丢失或被盗的卡信息,阻止了超过30万次欺诈性交易行为,有效地减少了欺诈损失。
4.行业携手反欺诈
这包括以下几个方面:
第一是利用警察的侦破力量反欺诈,打击有组织的欺诈团伙;
第二是行业反欺诈信息共享,比如共享欺诈高发地区、高发商店的信息,共享欺诈交易的数据以建立更有预测力的反欺诈模型,共享欺诈性申请的身份信息、地址信息等,以集中力量打击欺诈犯罪;
第三是给零售商户提供反欺诈的培训,特别是给欺诈高发商店的雇员提供反欺诈的培训,鼓励商店建立雇员反欺诈的激励机制等;
第四是银行与邮局携手,加强信用卡邮件寄送的安全性,防止信用卡邮寄被盗造成的欺诈损失。
5.消费者教育
反欺诈不仅是发卡银行的任务,信用卡持卡人也需要而且可以发挥相当大的作用:欺诈不仅给银行带来损失,也给持卡人带来损失或不便,所以持卡人有反欺诈的强烈需要;欺诈的发生,相当程度上与持卡人的行为有关,比如卡丢失或被盗、卡信息被盗、个人身份信息被盗等,所以持卡人可以在相当程度上防止欺诈的发生。所以,对持卡人进行教育,让其充分了解欺诈的情况,以正确的行为尽量避免欺诈的发生,具有重要意义。这主要包括:
- 在卡丢失或被盗时,或可疑的交易发生时,及时通知发卡银行;
- 仔细核对每个月的信用卡对账单,如果发现非自己做出的交易,及时报告给发卡银行;
- 不要写下密码,不要告诉任何人密码,即使他人自称是发卡银行代表;
- 在使用信用卡交易时,不要让卡离开视线之外,以避免他人盗取卡上的信息或侧录;
- 不要随便扔掉信用卡交易的销售单据和其他包含个人财务信息或个人身份信息的单据,在扔掉前先把单据毁掉;
- 在使用ATM时,避免让他人观察到输入的密码。
2826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
