视频
使用实时数据平台检测欺诈
了解更多
快速的未来将在您所在的城市举办的活动中到来。
加入我们在 Redis 发布会上
分享
开发人员应该提升其内置的安全措施,但这说起来容易做起来难。以下是一些有用的技巧。
金融机构对改进欺诈检测的动力空前高涨。不仅是一般的欺诈性交易会让银行损失资金,虽然这些交易的成本已经足够高了。根据美国银行家协会银行杂志的一份报告,“2021 年,美国金融服务公司每损失 1 美元的欺诈损失,就会产生 4 美元的成本,高于 2020 年疫情前的 3.64 美元。”
始终了解骗子欺骗金融系统和软件的所有方法是一项全职工作。但是开发人员应该了解当前正在发生的事情,并构建保护措施来防止其发生。
值得庆幸的是,有一些工具和软件可以帮助开发人员完成此任务,但这仍然是一项艰巨的任务。
为此,以下是一些技巧,可以帮助开发人员了解当前欺诈检测的最新情况,以及他们应该做好哪些准备。
很少有开发人员不知道安全实践的重要性,但他们可能没有意识到在金融科技 (Fintech) 中需要安全实践的程度,以及找到可行实践的紧迫性。坏人也在不断创新。
欺诈一直是银行和其他金融机构面临的重大问题。但是,金融科技公司正在感受到持续加剧的压力。在全球 53% 的人口预计到 2026 年将使用数字银行的情况下(Juniper Green,2021 年) 很难提供无懈可击的服务,并阻止 48.6% 向 FTC 报告的欺诈行为。为客户提供便利的服务也让欺诈者轻松地混入其中。
合成欺诈是指使用一个或两个从真实人士处窃取的数据点构建虚假身份,根据美国银行家协会银行杂志的另一份报告,美国银行的合成欺诈损失高达 200 亿美元。银行正承受着监管机构的压力,要求他们遏制洗钱活动,并且在他们未能做到这一点时,他们将面临越来越高的罚款。这是一个问题,因为全球每年大约有 2 万亿美元被洗钱(根据德勤报告),其中大约一半在整个金融行业都未被发现。
建立在静态清单和数据上的保护措施注定会在当今快速发展的世界中失败。设计更灵活的用户识别和身份验证方法,可以在实时进行检查,这是一个更好的策略。但这在没有帮助的情况下也更难实现。帮助可以来自内部或第三方工具或额外的人力,但也可能来自与现有业务合作伙伴的紧密关系。通过分享更多信息,可以实现很多事情,这些信息有助于构建更好的欺诈检测算法输入。
与其他网络安全问题一样,预防的关键在于准确的模式检测。但首先,开发人员需要了解在哪里寻找新兴或不断演变的模式。
“关于欺诈领域接下来会发生什么,我们没有水晶球。但我们看到一些模式在过去一年半里变得越来越强,”身份验证公司Veridium 的首席产品和运营官 Baber Amin 说。名单上的前三名是账户接管欺诈、合成身份欺诈和非现场卡欺诈。
在代码中注入安全保护措施以检测和拒绝欺诈时,开发人员通常会依靠自己的经验或公司协议来指导他们。但是,这些做法只在坏人改变游戏规则之前有效。
“要避免的第一件事是基于规则的检测。现在应该让它退休了,”Amin 说。
那么开发人员可以做些什么来更好地了解应该在软件中构建哪些保护措施呢?尝试从组织外部寻找线索。
“金融科技公司需要与其他主要供应商合作,例如航空公司、汽车租赁公司和大型零售商,收集提高或降低交易潜在风险的信号,”Amin 说。
基于规则的检测并不是唯一效果不佳的方法。许多久经考验的方法正在走向过时和淘汰。
“金融科技领域在过去几年中吸取了许多惨痛的教训,导致欺诈和数据泄露事件大幅增加,”移动应用程序安全提供商Approov 的首席执行官 Ted Miracco 警告说。“2FA 的实施以及代码混淆等技术的使用,用于 API 密钥和其他“机密”,已被证明在防止欺诈方面是严重不足的,因为这些方法很容易被有决心黑客绕过。”
将 API 密钥移到云端比尝试混淆硬编码到应用程序中的 API 更安全。根据 Miracco 的说法,另一个好策略是移动应用程序认证,它只允许真实应用程序在未经篡改的设备上访问 API。
“这种方法既可以阻止机器人、模拟器和黑客框架使用从暗网 获取的被盗凭据滥用 API,还可以阻止越来越流行的中间人 (MITM) 攻击,”Miracco补充说。
基于规则的检测在区分风险行为和正常行为方面一直存在困难。人工智能在模式检查和行为标记方面做得更好。
“在这一点上,集成人工智能和机器学习应该理所当然,”反病毒提供商Clario 的客户服务副总裁 Stanislav Khilobochenko 说。“这是检测表明欺诈的模式和异常的最可靠方法,实际上没有其他选择:你最终需要采用它,”
“你会获得更快的检测响应、更准确的检测以及处理更多数据的能力。你还会获得更多可扩展性和定制,以满足你的业务和客户的需求,”Khilobochenko 补充说。
虽然并非完全是新概念,但有些项目需要开发人员比以往更加重视。例如,要为自由职业者和零工工人提供补贴,他们的收入和支付行为可能与其他银行客户有很大差异。
“地理偏见、种族偏见、性别偏见,甚至只用英语数据进行训练,都可能导致欺诈活动被忽视或识别错误。例如,如果系统主要针对传统收入模式进行训练,那么自由职业者的不规则收入模式可能会被标记为可疑,”Khilobochenko 解释说。
例如,银行正在将基于人工智能的系统用作身份验证和交易风险评分模型的一部分。巨大的基于行为和身份信息的数据库需要经常更新,并且需要全球访问权限,这可能需要技术升级才能保持架构的响应能力。
“显然,这是一项艰巨的任务,也是为什么与人工智能公司合作可能是将定制的、有效的机器学习集成到你的应用程序中的最佳方式,”Khilobochenko 补充说。
换句话说,开始寻找在根源处捕获欺诈的方法。毕竟,越早检测到可能的漏洞,你的阻止措施就越不可能错过。
“部署人工智能来寻找身份盗窃和合成身份账户创建。大多数欺诈都源于欺诈性身份,”Amin 说。
身份盗窃很难检测,因此寻找多种方法来验证用户。双因素身份验证并非万无一失。尤其是在设备或电子邮件是身份验证器之一的情况下。
尽可能添加更多层用户身份验证,并努力将其自动化,这样你的用户就不会有任何额外负担。一种很好的方法是利用人工智能扩展复杂模型的能力。
“部署人工智能来检测支付和购买周围的模式和上下文。查找团队或家庭成员的消费情况以检测 [更多] 模式,”Amin 说。
要了解改进组织欺诈检测的具体方法,请阅读使用 Redis Enterprise 打击欺诈。
