摆渡在线

摆渡在线

当前位置: 主页 > 新闻 >

自从用了人工智能对付骗子,银行精神多了!

摆渡在线 时间:2020年03月19日 20:33

  漫漫长夜里,我侧躺着玩手机,一条神秘微信消息彻底赶走睡意:
432343575865345231010000945= Pin 6543
虽然不明所以,我依然被那串神秘数字吸引。

  “这是什么,种子吗?” 我问。

   
“我要爆料” 对方说,“这是一张银行卡的磁道编码,把它写入一张空白卡,就能盗刷别人卡里的钱。”
 
我心想这人尽胡扯,盗刷银行卡就这么简单?

  不料他发来小视频,画面中一张银行卡滑过一个绿色装置,电脑随即显示出一堆魔幻字符。

  我心里一惊,这……这莫非是新闻里警方让大家警惕的银行卡盗刷装置?这爆料小哥果真是黑产?

  

图片源自某新闻:盗刷团伙在 ATM 机插卡槽上采集信息

  关于那次爆料,最后我由于各种原因没写,倒是我朋友振宇做的公众号“一本黑”把它给曝光了。(就是这篇:《“我在家里吃土,偷刷了我卡里最后十块的人良心不会痛吗?”》)

  但是,那件事在我心中留下了一个大大的疑惑:

  按理说,银行拥有强大的金融反欺诈技术,这都9102年了,怎么还会被如此简单粗暴的手段盗走钱?这不科学!
 
正巧,前阵子我去参加 CSS 互联网安全领袖峰会,在腾讯云承办的云安全分论坛撩到一位金融反欺诈技术大牛,遂找他喝了个茶,问了问银行盗刷这事。

  

(当时演讲现场拍到的照片)

  这位大牛名叫卢适旸,周围人都管他叫卢博,因为他是悉尼大学的计算机学博士。

  几年前,他在澳大利亚银行负责研发基于机器学习的交易反欺诈模型,用人工智能对抗黑产。
去年他来到腾讯云的云业务安全团队,现在专门帮腾讯云的银行客户做金融风控。

  那天,他给我揭开了一段金融欺诈与反欺诈的战斗序幕……
 
Let’s Rock !
1

  “磁条信用卡不安全这事,银行当然知道。” 卢适旸说,其实银行早就发现磁条卡易被盗刷的问题。

  但是,由于历史遗留原因,市面上留存着大量磁条卡以及刷磁条的设备,一时半会儿没法彻底用芯片卡替代磁条卡,因此,各大银行都发行了既有磁条又有芯片的“过渡卡片”。

  磁条卡不安全,又没法直接弃用,怎么办?

  银行的解决方案是用一套金融反欺诈系统来填坑—— 既然锁坏了又换不了,那就再加装一把锁。

  “也就是说,即便有人能成功伪造别人的信用卡,或者拿到网银的账户密码,也未必能刷走里头的钱,因为银行有反欺诈系统。” 卢适旸说。

  我忽然想起那天晚上那位小哥的爆料。他说,黑产把盗来的卡片数据称之为“料”,磁条卡信息是“轨道料”,用于线下盗刷;信用卡的卡号、背面的日期、三位数约束代码称之为“CVV料”,用于线上盗刷。这些料很容易买到,因为地下黑市有些专门的“料站”专门倒卖这些“料”。

  这倒侧面印证了卢适旸的说法,有人专门倒卖“料”,却不自己动手盗刷,想必就是因为绕不开银行的反欺诈系统。

  然而,反欺诈系统也并非滴水不漏,事实上,漏得还不少。

  卢适旸告诉我,“ 2017 年全球银行欺诈率是 7.15 BP,中国是1.99 BP” 也就是说,平均银行每交易一万元,就有 1.99 元遭遇了金融欺诈。

  我搜了搜国内各大银行信用卡年交易量,乘以万分之1.99,平均每家银行每年光是在信用卡一项业务上就损失2亿左右。


(国内各大银行2017年信用卡交易量,数据来自公开渠道)

  几十个亿就这么被黑产薅走了,是这些银行的反欺诈系统没起作用?

  “当然不是,如果没有反欺诈系统,银行损失的金额将远高于目前这个数。”卢适旸说,之所以金融欺诈依然猖獗,是因为传统反欺诈系统的短板太明显。
2

  传统银行反欺诈,主要是基于规则。

  可以试想一下,每家银行都有一本厚厚的《反欺诈规则清单》,里面记录着无数条风控规则,每进行一笔交易,系统就挨个核对规则。

  每一条规则都可以用一目了然的逻辑代码来表述,比如:

  if  A条件 and B条件
then 
do C

  一旦交易触发这些规则,系统就会执行相应的业务策略,拦截交易、冻结账户或者要求额外审核等等。

  这些规则怎么来的?

  严谨的说法,这叫做“专家策略”,依据的是风控专家多年业务经验和知识。

  直白地讲,这些规则都是银行“吃一堑,长一智”,一点点积累来的。

   
比如:

  “早些时候,黑产在盗卡后想尽快套现,通常会带个找个ATM机全额取现。
于是,银行就加了这么一条规则:如果某张卡片在异地设备上全额取现/消费,则阻止交易。

  盗刷分子发现全额套现不了,有的就开始把一大笔钱拆分成很多笔,五万五万地取,一万一万地取,于是,银行又加了这么一条规则:异地取现金额单笔不得超过XXXX元。

  还有的黑产分子发现取现困难,就转向购买电话卡、充值卡这类便于快速销赃的虚拟物品,线上销赃。

  这时,银行又得增加一些规则,专门针对这种情况,比如:如果账户的登录IP、设备指纹均不是常用,且购买的是虚拟物品,则要求使用U盾或手机验证……

  卢适旸说,“对付一类问题,银行可能得需要几十到几百条规则。” 

  可即便如此,黑产分子也总能找到规则漏洞,毕竟规则是死的,人是活的。

  在黑产行业,人们把规则漏洞称之为“口子”,这个叫法挺形象。

  苍蝇们在鸡蛋周围飞来飞去,它们不断碰撞、试探,一旦新“口子”出现,它们就蜂拥而至饱食一顿,待旧“口子”被补上,他们便擦擦嘴,搓搓手,继续寻找下一道口子。

  黑产分子为什么总能钻空子?

  “因为银行的风控规则不能太严,否则会影响正常交易。”

  卢适旸说:

  “如果盗刷分子每一笔盗刷5000元,银行可以把风险金额定到5000元。

  可如果盗刷分子每笔只取3000元、500元,甚至只取100元,银行怎么办呢?如果把风险额度定到100元,那大家就都别交易了。

  由此,每一条风控规则在上线之前都有一道严谨而繁琐的评估流程。

  规则既不能太紧,又不能太松。

  这就好比一张渔网既要捕捉一种鱼,又要放过另一种形态类似的鱼,渔网的网格究竟要织多宽,很难拿捏。

  卢适旸说,“有些规则从制定到上线就需要好几个月,要确保规则不影响业务。”

  而这,又恰恰给黑产分子“撸口子”留下了充足的时间。

  亡羊,补牢,再亡羊,再补牢,如此往复。

  “所幸的是,这种局面正在改变,因为有了机器学习。” 卢适旸说。

  3

  机器学习怎么弥补“专家策略”的短板?

  首先是速度快,天下武功唯快不破。

  “机器可以7×24小时收集交易数据,随时自我迭代,一旦出现新的欺诈手法,响应时间非常短。”

  其次,机器学习模型的判断粒度(精细度)比人工高出一个量级。

  “ 同样是设定风险交易额度,人类专家通常只能制定一个大额策略,比如交易不能超过5万元,而机器学习会根据所有转账历史风险数据,给出一个极其精确的答案,比如转账超过197元,视为风险交易额。”

  当然,机器学习不会只从某个单一指标来做判断,通常一笔交易会涉及到很多指标,例如:

  “登录设备的指纹是什么?是否常用IP地址,以往的购物行为、平均消费转帐额是多少?设备的定位在哪,转入和转出帐户之间的关系是什么?转账之前是否尝试修改过密码?平时登录时间是怎么样,转账之前还做过什么操作,是否查看过余额、基金……(此处省略95555个字)

  这些指标状态相互关联起来,理论上就像一盘围棋,有无数种排列组合方式。

  显然,人类很难精确判断每种组合方式对最终结果的影响,只能粗略衡量每个指标的比重,但机器不一样。

  卢适旸说:

  “目前基于机器学习的反欺诈模型能自动衍生出超过一万维的风险属性,包括用户属性,支付场景,交易行为,设备指纹,对手属性,地理信息等等,以极其精细的粒度去捕捉每个欺诈行为的细微差别。”

  这就好比一盘围棋,理论上有无限多种下法,人类只能凭着有限的计算能力和“手感”去落子,而机器则可以准确预估每一步落子对最终胜率的影响。

  4

  “不过,机器学习也存在一些难题,比如‘不可解释性’。” 卢适旸说,机器学习在判断一笔交易是否为风险交易时,不会给出任何理由。

  只给结果不给理由,这是机器学习在所有领域应用的“通病”。

  那么问题来了,银行怎能允许一个无法解释的机器来掌管成千上万亿笔交易的“生杀大权”?这也太不可控了吧?

  卢适旸说,

  “ 解决方案有两个,一是做测试,拼结果,靠实力说话。

  根据目前腾讯云·天御团队跟国内某大型银行合作的测试结果来看,差距非常明显,机器学习模型的沉淀时间比专家制定策略的周期短几十倍,但误报率降低了一倍。” 

  第二个方法是,把“专家策略”和机器学习结合起来用。

  “我们会试着用一些方法把机器学习模型展开,或者输出一些模型里的变量,跟专家的策略进行对抗,看看重合度有多高。

  当机器的结果跟专家策略有一定重合度时,我们可以认为它是相对可信的,如果机器的结果跟专家的策略差别非常大,就得重新评估。

  国外银行通常会有一个严格的模型风险管理系统,模型不能抖动过高,只有当模型测试稳定了才允许上线。”

  卢适旸说,目前他们提出的基于机器学习的反欺诈模型,结合少量的专家知识,最终能做到超过 90% 的欺诈检出率,并且这种方法也同样适用于借贷反欺诈、反第三方电信诈骗等场景。

  不过,他也承认:“即便是引入机器学习技术,也很难彻底阻断黑产的欺诈行为。”

  本质上,银行反欺诈和服务器安全、云安全等其他网络安全攻防场景一样,技术较量的背后,永远是人与人的对抗。

  哪怕今天银行不用机器学习来反欺诈,明天黑产也可能用机器学习来做欺诈,攻防双方一开始便被裹挟进永无止尽的技术漩涡里。

  正如战争从冷兵器进化到热兵器,再到核武器、网络战,从未停歇,只要人性的贪婪不变,欺诈与反欺诈的对抗也就不会停止。作为一个普通小老百姓,我等只能寄希望于,正义的一方永远走在前头。

  文章来源:浅黑科技,特此鸣谢!
 


END

自从用了人工智能对付骗子,银行精神多了!的相关资料:
  本文标题:自从用了人工智能对付骗子,银行精神多了!
  本文地址:http://www.520log.cn/xinwen/03191554.html
  简介描述:漫漫长夜里,我侧躺着玩手机,一条神秘微信消息彻底赶走睡意: 432343575865345231010000945= Pin 6543 虽然不明所以,我依然被那串神秘数字吸引。 这是什么,种子吗? 我问。 我要爆料 对方...
  文章标签:新闻
  您可能还想阅读以下相关文章:
----------------------------------
栏目列表
推荐内容