为促进支付清算行业风险信息交流,持续推动支付风险形势分析和共享,提高会员单位支付业务风险防控意识,2022年9月,协会组织31家会员单位召开座谈会,就当前支付风险变化特征、防控措施做法和典型案例等进行交流分享,经梳理总结后提出支付风险防控建议,主要情况如下:
近年来,随着新技术、新应用、新事件、新业态的不断发展,支付风险层出不穷,作案手法不断演变升级,风险形势依然复杂和严峻。
(一)欺诈风险由账户盗用模式向客户被骗主动转账模式迁移明显
随着各单位风控能力的不断提升,账户盗用类风险得到一定遏制,但不法分子仍尝试寻找各种交易薄弱环节进行攻击,如利用部分特定手机机型的系统漏洞,通过注入视频方式突破人脸识别进行账户盗用;通过数字货币进行诈骗盗用;利用Pay产品方式盗用资金等。与此同时,欺诈风险由账户盗用模式向客户被骗主动转账模式迁移的趋势明显。客户在完全不知情情况下资金被盗的数量明显下降,大多数资金受损客户都与不法分子进行过直接沟通,泄露了个人敏感信息甚至直接向不法分子转账。常见的欺诈话术包括疫情流调、征信修复、贷款利率降低、充值返现、刷单/点赞返现等。
(二)赌资充值渠道增多,赌博网站通过“APP化”增强隐蔽性
持续观察赌博网站发现,涉赌充值渠道明显增多,“跑分”平台地址数量有所增长,同一家赌博网站对接多家“跑分”平台情况更加普遍。部分“跑分”平台同时提供银行账户、支付账户两种跑分充值渠道。同时,不法分子通过APP的方式向用户提供“手机上的赌场”,此类APP多伪装为普通小游戏,一般使用20天左右会彻底销毁并清除数据。由于APP开发代码非常相似,重新制作时间周期短,“换壳”成本较低,监测识别难度较大。受2022年11月份即将举办的卡塔尔足球世界杯赛事影响,涉体育竞技类赌博活动逐步呈现活跃趋势。
(三)资金转移渠道和手法发生变化,资金链路中虚拟货币相关交易比重明显上升
一是从早期的农信社、地方性银行转移至国有、股份制银行交易;二是采取“突击式”集中作案,大量涉案银行卡存续期仅为1天或单商户单张银行卡仅交易1-3笔大额信用卡交易后便不再发生交易;三是频繁跨收单机构进行交易,甚至逐笔切换,单卡单日交易一般跨5-10家收单机构,单笔交易金额在2—5万元不等,且时常会刷几笔1—999元的小额交易,以降低笔均交易金额,规避风险监测;四是个人银行Ⅱ、Ⅲ类账户涉案比例明显增高。此类账户开户多为不法分子冒充人力资源公司或通过学生兼职等模式诱骗客户主动开户或提供信息,交易主要由外部卡汇入款项后在全国各地进行消费,商户较为集中。
此外,借助匿名性,虚拟货币成为非法资金链路中至关重要的一环。国内大宗虚拟货币持有币商、地下虚拟货币交易撮合平台、“跑分”平台向不法分子提供快速的赃款兑换虚拟货币服务,并从中收取高额的服务费,虚拟货币相关交易比重明显上升。
(四)黑产攻击呈现全链条、全方位、跨业态特征,利用真实业务和社会热点转移资金的手段层出不穷
黑产攻击由资金交易环节向开户、绑卡、交易、授信、转账等支付全链条渗透,金融、通讯、电商、政企、交通等行业接连遭受连环攻击,针对不同类型商户和场景滋生出新的资金转移手法。一方面,不法分子借助水电煤气费缴纳、话费充值、油卡充值、购物卡买卖、期货购赎等真实业务场景,通过订单错配、资金割裂等手法完成非法资金转移;另一方面,基于新型商业概念如NFT、元宇宙、在线盲盒等一系列业务场景或通过购买易大额变现的珠宝类产品进行销赃。
(五)手机验证信息被截获,移动支付身份验证技术屡遭攻破
针对短信验证方式,不法分子利用伪基站干扰覆盖范围内用户的手机4G信号,通过新型“嗅探”设备将4G信号降为2G后截获被害人手机短信信息,继而实施移动账户盗用;针对行为认证方式,不法分子利用机器学习脚本,通过计算机模拟用户在登录时的点击、拖拽等行为,轻易绕过以“拖拽滑块完成拼图”、“按顺序点击文字”等为代表的行为认证模块盗用支付账户;针对人脸验证方式,不法分子基于AI技术,利用动态化处理软件将窃取的持卡人照片制作成动态视频,结合破解软件达到通过系统验证的目的。
二、典型案例
1.不法分子通过刷单、交友、冒充公检法诈骗等方式骗取受害人资金,要求受害人将资金转入不法分子掌控的银行卡中。
2.不法分子通过其掌控的银行卡,以购买黄金首饰为名义,短时间内在金店发生多笔大额消费。不法分子进店后目标明确,挑选产品价值较高的商品,呈现交易金额大、支付笔数多等特点。
3.通过调取监控视频发现,通常不法分子购买过程快且购买过程中刻意遮掩其面目。
(二)防范措施
1.开展商户专项培训,提高商户风险防控意识。提示珠宝店、金店等商户遇到快速、大额消费客户时,要提高警惕,在交易过程中准确了解消费意图,从购买人神情、话术等方面综合判断是否存在可疑情况,并及时将异常可疑线索提供至公安机关。
2.进一步规范商户日常业务受理流程,特别是在付款环节,商户应准确核对购买人身份证姓名、银行卡持有人姓名是否一致,当发现不一致等异常情况时,建议第一时间取消交易。
案例二:利用个人银行Ⅱ类账户充值理财转移非法资金
1.不法分子通过刷单、交友、冒充公检法诈骗等方式骗取受害人资金,要求受害人将资金转入不法分子掌控的银行卡中。
2.不法分子通过其掌控的银行卡,以购买银行理财产品的名义,将非法资金由个人银行Ⅰ类户充值至Ⅱ类户,再由Ⅱ类户发起理财产品的购买。
3.通过理财赎回或个人银行Ⅱ类户余额提现的模式,将相关非法资金转移至同名的其他发卡行的Ⅰ类银行账户中,从而实现资金的转移。
(二)防范措施
1.会员单位对个人银行Ⅱ类户充值和理财购买业务,采取分级管理、强化风险防控手段;
2.进一步加强业务前端风险管控力度,包括对相关理财业务进行不同级别的交易限额,发起业务环节适当增加人脸识别、核实本人意愿等措施。
3.加强交易监测,针对关联异常交易、贴近限额的同卡高频交易,应及时提供线索至公安机关。
三、风险防控建议
一是强化特约商户风险精细化管理,加强全生命周期监测。商户准入环节进行商户风险评分,根据风险评分制定差异化管理措施,并根据商户日常交易情况,持续更新评分;主动构建客户—消费卡号—商户结算账号—商户的关联图谱,通过关联图谱分析并挖掘异常子图结构,监控异常交易和资金流动。
二是持续升级优化可疑交易监控模型,构建主动式智能风险防控体系。根据外部风险动态,建议通过运用智能风控知识图谱等科技手段,分析和总结可疑交易特征、客户行为序列特征,持续强化聚焦重点监控要素,有针对性地制定风险监控规则和模型。同时,针对电诈交易不同场景,对疑似被电诈客户的交易针对性弹窗提示,同时辅以交互式问答模式,分辨防骗意识薄弱的客户群体,减少客户损失。
三是加强涉案账户、商户的主动防控,对可疑交易线索实行联防联控。搭建覆盖总分支行(总分公司)联动的涉案账户、商户管控体系,实现总行(总公司)推送预警、分支行(分公司)核实管控的闭环式防控模式,提升风险识别准确度和风险处理效率,对涉案账户、商户实施“精准打击”。具备条件的发卡行将识别出的风险交易银行卡同步至收单机构进行调查,同时,收单机构将异常交易的银行卡同步至发卡银行核实,建立对可疑交易线索的联防联控。
四是结合疫情和风险现状,探寻多样化风险识别手段,加强线上巡检力度。不断探寻更准确的风险识别手段,加强对商户间关联信息、具有同类特征商户的聚类分析和识别,并在用户下单 IP 和支付 IP 校验之外,加强商户自身关联 IP 地址的监控和分析。同时,健全完善特约商户线上巡检的功能,遵循监管制度和行业自律规范,采取有严格格式要求的视频作为实地拜访的替代方案,并适当增加巡检频次。