dot Redis 8 来了—并且是开源的

了解更多
White Redis Logo 返回
搜索

欺诈检测领域正在发生什么变化(以及开发者需要了解什么)

LinkedIn-icon
分享
LinkedIn-icon分享到 LinkedIn
Pam Baker

帕姆·贝克

开发者需要提升其内置安全措施,但这说起来容易做起来难。这里有一些有用的提示。

金融机构提高欺诈检测的积极性达到了历史最高水平。这不仅仅是因为常见的欺诈交易让银行损失金钱,尽管这些损失已经足够大了。根据ABA 银行杂志的一份报告,“2021年,美国金融服务公司每损失一美元的欺诈,就会产生 4.00 美元的成本,高于疫情前的 2020 年的 3.64 美元。”

掌握骗子欺骗金融系统和软件的所有方法是一项全职工作。但开发者需要了解现在的情况,并构建预防措施。

值得庆幸的是,有一些工具和软件可以帮助开发者完成这项任务,但这仍然是一项艰巨的任务。

为此,这里有一些技巧可以帮助开发者了解当前欺诈检测的最新情况,以及他们应该准备采取的行动。

了解问题的范围

很少有开发者不了解安全实践的重要性,但他们可能没有意识到金融科技 (Fintech) 中需要安全实践的程度,以及寻找可行实践的紧迫性。坏人也在忙于创新。

欺诈一直是银行和其他金融机构面临的巨大问题。但是,金融科技公司正在感受到越来越大的压力。到 2026 年,预计全球 53% 的人口将使用数字银行 (Juniper Green, 2021),同时还要将报告给联邦贸易委员会的 48.6% 的欺诈拒之门外,这很难提供完美的服务。方便客户的东西也让欺诈者更容易溜进来。

根据另一份 ABA 银行杂志的报告,合成欺诈是指通过从真人那里盗取一两个数据点来构建虚假身份的结果,它给美国银行造成了高达 200 亿美元的损失。银行面临着监管机构遏制洗钱的压力,而且一旦未能做到,它们将面临越来越高的处罚。这是一个问题,因为每年全球大约有 2 万亿美元被洗钱(根据德勤报告),而且在整个金融行业中,大约有一半没有被发现。

在当今快速变化的世界中,建立在静态清单和数据之上的保护措施注定要失败。设计更流畅的用户识别和身份验证方法,以便实时检查,是一种更好的策略。但如果没有一些帮助,也很难成功。帮助可以采取内部或第三方工具或额外人手的形式,但也可以通过加强与现有业务合作伙伴的关系来实现。通过分享更多信息,从而为欺诈检测算法构建更好的输入,可以完成很多工作。

跟踪新的和不断增长的欺诈模式

与其他网络安全问题一样,预防的关键在于准确的模式检测。但首先,开发者需要了解在哪里寻找新兴或演变的模式。

“至于欺诈世界接下来会发生什么,没有水晶球。但我们可以看到,在过去一年半中,一些模式正在变得越来越强,”身份验证公司Veridium的首席产品和运营官 Baber Amin 说。其中最重要的是帐户接管欺诈、合成身份欺诈和卡未出示欺诈。

使用新的线索来更好地检测欺诈

为了在代码中注入安全保护措施来检测和拒绝欺诈,开发者通常依靠自己的经验或公司协议来指导他们。但是,这些实践只有在坏人改变游戏规则之前才有效。

“最应该避免的事情是基于规则的检测。在这一点上,应该将其淘汰,”Amin 说。

那么,开发者可以做些什么来更好地了解在软件中构建哪些保护措施?尝试在组织外部寻找线索。

“金融科技公司需要与其他主要供应商合作,如航空公司、汽车租赁公司和主要零售商,以获取可以提高或降低交易潜在风险的信号,”Amin 说。

找到隐藏 API 密钥的更新方法

基于规则的检测并不是唯一无效的东西。许多经过尝试和验证的东西正朝着疲惫和被击败的方向发展。

移动应用程序安全提供商Approov 的首席执行官 Ted Miracco 警告说:“在过去几年中,金融科技界吸取了很多惨痛的教训,导致欺诈和数据泄露大幅增加。事实证明,实施 2FA 和使用代码混淆等技术来保护 API 密钥和其他‘机密’对于防止欺诈是严重不足的,因为这些方法很容易被坚定的黑客规避。”

将 API 密钥移动到云端比尝试混淆硬编码到应用程序中的 API 更安全。Miracco 认为,另一种好的策略是移动应用程序证明,它只允许未经篡改的设备上的真实应用程序访问 API。

“这种方法既可以阻止机器人、模拟器和黑客框架使用从暗网获取的被盗凭据滥用 API,也可以阻止越来越流行的中间人 (MITM) 攻击,”Miracco 补充道。

找到更好、更快的方法来检测异常

基于规则的检测一直难以区分风险行为和正常行为。AI 在模式检查和行为标记方面要好得多。

防病毒软件提供商Clario 的客户服务副总裁 Stanislav Khilobochenko 说:“在这一点上,整合 AI 和机器学习应该是一种理所当然的事情。这是检测指示欺诈的模式和异常的最可靠方法,而且实际上没有其他方法可以绕过它:您需要在某个时候采用它。”

“您将拥有更快的检测响应、更准确的检测以及处理更多数据的能力。您还将拥有更多的可扩展性和定制性,以满足您的业务和客户的需求,”Khilobochenko 补充道。

AI 和 ML 的新清单

虽然作为概念并非全新,但有些项目需要开发者比以前更加关注。例如,要考虑自由职业者和零工工作者,他们的收入和支付行为可能与其他银行客户有很大差异。

“地理偏见、种族偏见、性别偏见,甚至只使用英语数据进行训练,都可能意味着欺诈活动被忽略或错误识别。例如,如果系统主要接受传统收入模式的训练,则自由职业者不规则的收入模式可能会被标记为可疑,”Khilobochenko 解释说。

例如,银行正在使用基于 AI 的系统作为身份验证和交易风险评分模型的一部分。巨大的基于行为和身份信息的需要经常更新,并且需要全球访问,这可能需要技术升级以保持架构的响应能力。

“显然,这是一项巨大的任务,因此与 AI 公司合作可能是将定制、有效的机器学习集成到您的应用程序中的最佳方式,”Khilobochenko 补充道。

利用万恶之源来获取更多检测线索

换句话说,开始寻找在其根源上抓住欺诈的方法。毕竟,您越早发现可能的漏洞,您的阻止就越不可能错过。

“部署 AI 来查找身份盗窃和合成身份帐户创建。大多数欺诈都源于欺诈性身份,”Amin 说。

身份盗窃很难检测,因此请寻找多种方式来验证用户身份。双重身份验证并非万无一失,尤其当设备或电子邮件是验证器之一时。

提升您的用户身份验证因素

在允许的情况下,添加更多用户身份验证层,并尝试自动化大部分流程,以免增加用户的负担。一种好方法是利用 AI 的能力来扩展复杂模型。

“部署 AI 来检测支付和购买行为的模式和背景。寻找群体或家庭成员的消费模式,以检测[更多]模式,”Amin 说道。

要了解改进组织欺诈检测的具体方法,请阅读使用 Redis Enterprise 打击欺诈

相关文章