欺诈检测的运作方式:常用软件和工具

检测和抑制欺诈对于企业和客户而言至关重要。了解如何保护数据免遭欺诈。

欺诈是全球许多行业(包括金融、医疗保健、电子商务和政府)内普遍存在的问题。要想应对千变万化的欺诈活动,以及帮助预防欺诈可能在经济、人身和法律方面造成的损害,有效的欺诈检测解决方案必不可少。

什么是欺诈检测?

欺诈检测指的是识别和预防应用、API、系统、交易和数据中欺诈活动的过程,包括使用各种方法和技术来监控交易和客户行为以识别可能表明存在欺诈行为或欺诈性交易的模式、异常情况或可疑活动。欺诈检测的首要目标是主动识别和减少欺诈活动,从而最大限度地减少经济损失,保护资产安全,维护运营完整性,以及确保遵守监管要求和提高客户忠诚度。

欺诈检测系统的重要性

欺诈检测在多个方面都至关重要。欺诈活动会使个人和组织蒙受重大经济损失,还会扰乱正常业务运营,造成延误和导致声誉受损。许多行业都要遵守预防欺诈方面的监管要求,未能发现和报告欺诈行为可能会招致法律处罚和罚款。此外,欺诈检测通常与数据安全密切相关,保护敏感信息不受欺诈性访问或不被窃取是维护整体网络安全的一项重要工作。

欺诈检测需要花费多长时间?

采用实时性检测方法,还是采用回顾性检测方法会导致欺诈检测所需的时间存在显著差异,每种方法都有其自身的优越性和局限性:

  • 实时性检测方法可在欺诈活动发生时或发生后不久识别出欺诈活动,以便立即采取应对措施,例如阻止完成欺诈性交易。这对金融和电子商务等行业至关重要,因为在这些行业中,快速采取行动可以防止经济损失。不过,实时性检测机制需要占用大量计算资源,实施起来可能十分复杂;实时性检测机制还可能会产生误报,这可能会导致合法客户交易受阻,或者需要进行 MFA 等额外认证,进而引发其不满。
  • 回顾性检测方法通过检查欺诈文件和案例管理工具的历史数据,识别过去可能表明存在欺诈行为的模式或异常情况。这种方法通常用于在怀疑发生欺诈事件后开展深入调查。由于无需面对立即采取行动的压力,回顾性检测方法可以对数据进行更彻底的检查,使分析师能够进一步深入研究可疑的模式和行为,为事后分析和补救提供支持。不过,虽然回顾性检测可以发现过去的欺诈行为及其根本原因,但却无法实时识别或预防欺诈活动。

各个组织还可以通过调整其内部安全和防欺诈团队,更迅速、有效地实现欺诈防护。

许多组织通常会设立网络安全部门来保护计算网络和面向外部的应用,还会设立专门处理在线/数字交易、事件关联和事件响应的防欺诈部门。这就造成了部门间的责任分离,两个部门拥有不同的工具、数据集、性能指标、人力和预算。

然而,如今许多最危险的攻击(包括会导致帐户接管的撞库攻击)需要安全和防欺诈团队共同负责。如果安全和防欺诈团队没有沟通好,威胁情报和上下文信息就会丢失,而且很难(也许不可能)了解到攻击全貌。因此,欺诈者会利用漏洞,从而使公司及其客户遭受损失。

打破企业组织架构的壁垒,就可以针对需要安全和防欺诈团队共同负责的活动创建多维视图。汇总不同团队的数据有助于创建预测性更强、精确性更高的机器学习模型,这不仅可以带来更具前瞻性和可操作性的情报,还能让企业更快速、有效地采取补救措施。

欺诈检测软件的常见类型

欺诈检测软件和系统采用各种不同的技术方法。

基于规则的系统

此类系统通过预定的规则和条件来识别数据流中的欺诈模式或行为。系统会持续监控交易、帐户活动或用户互动等传入的数据,并根据预定规则检查每个数据点,这可能包括数据的各个方面,例如交易价值、时间、地理位置和用户行为。一旦满足规则中的条件,系统就会触发警报或采取指定操作,并通知欺诈分析师或安全人员等相关方。

这些规则依据的是对常见欺诈模式的了解;例如,如果客户多次尝试使用无效的信用卡号进行交易,就会触发规则警报。如果交易金额超过预先定义的阈值(如 5000 美元),或者如果客户通常在营业时间进行交易,但却突然在半夜进行交易,这些活动都会触发警报。

基于静态规则的系统虽然简单明了,可以快速检测出已知的欺诈模式,却也存在局限性。在组织内不同的业务应用(如会员积分计划与预订应用)中,此类系统往往有不同的要求,因此难以进行维护。如果不重写规则和优化系统,此类系统还可能会产生误报或无法识别新的欺诈手段。

异常检测与交易监控

异常检测与交易监控基于欺诈活动往往偏离典型行为或模式的假设,这种欺诈检测方法侧重于识别数据流中的异常模式或异常值。异常检测系统为从交易记录或用户行为日志等各种来源收集的数据建立基准,该基准就是典型的合法行为。系统会不断将传入的数据与已确立的基准进行比较。当数据点或行为明显偏离该基准时,系统会将其标记为异常情况,并生成警报。

异常检测与交易监控是常用的信用卡欺诈检测方法,能够监控交易数据,并标记异常模式(如异常大额消费或短时间内来自不同地理位置的多次交易)。

机器学习和基于人工智能的系统

基于机器学习 (ML) 模型的欺诈检测系统可以从海量数据中快速识别复杂的模式和关系,这远远超出了人类观察者或传统基于规则系统的能力。机器学习模型既可以利用历史数据进行训练,也可以实时做出调整以及利用新数据进行学习,这对于识别新出现的欺诈趋势和确保系统长期有效至关重要。基于人工智能的工具可以做出实时决策,例如在交易发生时批准或拒绝交易。人工智能和机器学习还可以通过吸取先前决策的经验教训来进行微调,以减少误报。收集的数据越多,其在区分合法活动和欺诈活动方面的准确性就越高。

银行和金融机构利用人工智能和机器学习来检测包括帐户接管、洗钱和内幕交易在内的各种欺诈行为。此类系统通过监控交易数据、用户行为和市场环境来识别可疑活动。例如,如有大笔资金在没有任何关联的帐户之间流动,人工智能就可以将其标记出来,以便开展进一步调查。

欺诈检测的关键要素

先进的欺诈检测系统具有一些相同的关键要素。

数据收集与聚合

在欺诈活动识别工作初期,需要为欺诈检测系统收集和聚合来自多个来源的数据。在金融机构中,数据来源可能包括用户参与的所有渠道(包括 Web、移动设备、呼叫中心等)的帐户活动和交易数据。在电子商务领域,数据来源可能包括订单和付款数据。经过预处理(包括数据清洗和规范化)后,数据被聚合为一个单一数据集,并转换为合适的格式,供规则引擎或其他分析模型进行分析。

特征工程

特征工程指通过在原始数据中选择、创建或转换变量来提高数据分析或机器学习模型性能的过程。特征指的是数据集中的特征,模型会利用这些特征进行预测或识别模式。精心提取的特征可以让模型做出更准确的预测和更好地理解变量之间的关系。

欺诈检测在很大程度上依赖于识别模式、异常以及与正常行为的偏差。特征工程通过创建突显可疑活动的属性来帮助捕捉这些模式。例如,特定时间段内的平均交易金额以及登录尝试失败的次数都能作为指示性特征。

模型训练与验证

模型训练与验证是创建有效和可靠欺诈检测模型的必要步骤。模型训练会用到一个由可用数据构成的子集,通常将其称为训练集。该数据集通常包含带标签的示例,示例包含输入数据和相应的目标标签(例如,在欺诈检测中会带有欺诈或非欺诈标签)。模型会学习训练数据中的模式和关系,还会通过优化过程调整其内部参数,以期尽量减小其预测结果与实际结果之间的差异。训练结束后,会引入一个名为验证集的单独数据集来评估模型的性能。该数据集与训练数据不同,并且包含训练过程中从未见过的示例,以确保模型可以适应新情况。不仅会使用各种性能指标来评估模型的准确性和预测能力,还会对系统进行调优,以优化性能。

常见欺诈检测工具

为了抵御层出不穷的攻击,以及防护不断扩大的攻击面,各个组织必须利用多种欺诈检测工具和数据源,以获得有效的欺诈预防平台所需的关键功能,从而积极主动地实时检测和抑制欺诈行为。

以下工具可以为欺诈检测工作提供支持,是强大欺诈检测系统的重要组成部分。

交易监控系统

交易监控系统 (TMS) 在金融交易发生时对其进行跟踪和分析,是欺诈检测和风险管理程序的重要组成部分。TMS 持续监控交易,寻找可能表明存在欺诈行为的可疑或异常模式(如异常的交易金额、频率或地点)。如果检测到可能存在欺诈性交易,TMS 能够发送警报、实时阻止交易或启动进一步调查。大多数 TMS 可以处理大量交易,因此适用于电子商务等交易率极高的行业。TMS 对于确保遵守监管要求也非常重要,尤其是在金融领域。

身份验证解决方案

身份验证解决方案用于在交易或活动中确认个人或设备的身份,从而降低发生身份盗窃和帐户接管等欺诈活动的风险。可以用来验证身份的方法和工具有很多,这些方法和工具往往会协同使用,为要求用户提供两个或以上认证因素的多重身份验证 (MFA) 提供支持。认证因素可能包括驾照、护照或国民身份证等政府签发的身份证件,以及指纹和面部识别或虹膜扫描等使用个人独特身体特征进行身份验证的生物特征认证。身份验证不再只适用于人类用户:设备指纹识别对于未使用 MFA 和 CAPTCHA 的认证流程非常重要,此类流程通过检查设备的独特特征(如 IP 地址、地理定位和硬件配置)来验证用于进行交易的设备的合法性。

行为分析平台

该技术可分析和监控某个组织的网络、应用和系统中的用户和设备行为,是有效的欺诈检测工具。用户与实体行为分析 (UEBA) 通常是此类平台的核心功能,该功能会创建用户档案,还会在出现异常活动或偏离典型行为时向安全团队发出警报。此类平台通常根据用户和设备的活动对其进行风险评分,以便各个组织能够优先监控和应对高风险事件。

网络和安全监控工具

此类工具可帮助各个组织监控、分析和保护其 IT 基础设施和数据,避免其受到可能导致欺诈的潜在威胁、漏洞和可疑活动的影响。此类工具和系统包括:

  • 入侵防御系统 (IPS)——可实时主动拦截可疑的网络流量或活动,帮助预防潜在的欺诈或安全事件。
  • 安全信息和事件管理 (SIEM) 系统——可收集、聚合和分析来自不同来源的日志数据,帮助组织对安全事件进行关联,并检测可能表明存在欺诈行为的异常情况。
  • Web 应用防火墙 (WAF)——一种专业防火墙,旨在保护 Web 应用免受安全威胁和网络攻击,在防止在线交易欺诈方面发挥了重要作用。
  • Web 应用和 API 防护 (WAAP) 解决方案——通过实施认证和授权机制、多重身份验证以及 Bot 缓解措施来保护登录和会话管理流程,从而帮助防止帐户接管攻击造成的欺诈行为。

欺诈检测解决方案的必要功能

除上述工具外,您所考虑的任何欺诈检测解决方案均应涉及以下关键功能领域。

  • 凭证情报 - 为检测和预防欺诈行为,提供有关先前使用的用户名、密码和其他认证数据等数字凭证的信息的功能。凭证情报可以回答“此凭证最近是否被泄露过?”或“此凭证是否曾在其他网站被用于欺诈活动?”等问题。通过关注用户凭证的安全性和完整性,此类解决方案可以识别和预防与凭证泄露、未授权访问和帐户接管有关的欺诈活动。
  • 设备情报——包括收集和分析与用于访问在线平台、系统或网络的设备有关的数据。此类信息包括设备特征、属性和行为,用于为每台设备创建唯一的设备指纹。此类信息还包括位置历史记录,以便检测异常登录位置。
  • 行为/被动生物识别技术——包括为与注册样本进行比较,分析用户与设备的物理交互指标的功能。此类生物识别技术可能包括有关击键特征或鼠标移动的行为信息,或对指纹扫描仪或面部识别摄像头等生物传感器的被动监测。
  • Bot 检测和管理——重点关注识别和减少恶意 Bot 活动,以便针对每个会话确定发出访问请求的是真实用户还是 Bot。Bot 防御解决方案有助于确保在缓解自动化欺诈尝试影响的同时,让合法用户能够安全地访问服务并与之互动。

欺诈检测面临的挑战

数据保护程序不断完善,欺诈检测系统在识别特定欺诈模式方面的能力不断提高,欺诈者的手段也随之不断演变。他们利用社会工程学攻击等手段诱骗个人泄露敏感信息,还利用机器学习和人工智能等技术策划模仿合法活动的攻击,导致传统的基于规则系统难以发现异常情况。要想应对新的欺诈技术和载体,就要不断更新检测模型,欺诈者与欺诈检测系统开发人员之间由此展开了一场拉锯战。

传统的欺诈检测系统在大数据时代也举步维艰。当今组织产生的海量数据为欺诈检测带来了更大的挑战,因为传统的欺诈检测系统可能不具备足够的可扩展性或处理能力,无法实时分析和有效理解这些海量数据流。

此外,基于规则的欺诈检测系统还容易产生误报,导致运营效率低下和警报疲劳,欺诈者可能会利用这一点发动影响较小的高频率攻击,以此转移对影响较大的低频率攻击的关注。事实上,我们要在尽量减少误报和捕获所有欺诈活动之间做出权衡。虽然优先检测所有欺诈活动可确保提高捕获率并防止更多欺诈活动,但也可能导致额外的运营成本,因为欺诈分析师必须对警报进行人工调查,这可能会耗费大量资源和资金。自适应欺诈检测系统可根据交易风险和用户行为等因素调整检测的严格程度,采用此类系统可以减轻这种权衡取舍的压力。

企业和组织面临的另一个挑战是如何在不影响客户体验的前提下采取有效的反欺诈措施。有些反欺诈机制采取了让人厌烦的安全控制措施(例如提出让人晕头转向的交通灯识别挑战的 CAPTCHA 以及极为耗时的 MFA 程序),或者强制缩短用户会话时间,即在完成订单的过程中自动注销客户。不仅客户难以正确完成这些反欺诈机制,这些反欺诈机制还可能导致合法客户的帐户被锁定。各个组织需要想办法在避免给用户增添阻碍的前提下权衡欺诈预防措施。

 

欺诈检测的未来趋势

为了紧跟欺诈手段的发展速度,欺诈检测系统需要不断发展自身技术,并采用新的工具来跟上欺诈者的步伐。

先进人工智能和机器学习

目前,先进人工智能和机器学习系统被用于分析大量数据集,以识别数据中错综复杂的模式和关系,这对于识别异常情况和潜在欺诈活动至关重要。机器学习模型不断利用新数据进行学习,以便能够随着新出现的欺诈模式而不断发展,并适应花样百出的欺诈手段。就算欺诈者变换欺诈方法,机器学习模型也能跟上步伐,迅速适应新出现的威胁。

然而,与许多其他技术一样,采用人工智能的目的有善有恶。生成式人工智能的情况尤为复杂,该技术既有可能成为有效的网络安全工具,也有可能成为威胁。一方面,生成式人工智能可以用于实现积极的网络安全功能,例如,支持安全卫生事业、为安全检测生成内联文档,以及扩充警报和事件数据。生成式人工智能还可以承担长期人手不足且耗时耗力的安全功能,从而帮助缓解当前安全团队中存在的技能差距和人才短缺问题。

另一方面,功能强大且无处不在的生成式人工智能正越来越多地被不法行为者用于发起更复杂、更有效的网络攻击。犯罪分子可以利用人工智能来了解欺诈检测系统的运作方式,并制定策略来加以规避。这可能包括利用对抗性机器学习技术来发起可以绕过传统欺诈检测方法的攻击。人工智能还可以通过使用机器学习算法更有效地猜测密码来加快密码破解过程。

人工智能生成的深度伪造视频和音频可用于冒充组织内的高层管理人员或其他可信角色,以此操纵员工采取破坏安全性的行动。深度伪造鱼叉式网络钓鱼攻击、勒索软件攻击和社会工程学欺诈可轻松绕过传统安全措施。

此外,人工智能技术功能强大,使用便捷,降低了造成技术含量高和破坏性强的数据泄露事件的门槛,让普通人也有可能实施网络犯罪,从而使更广泛的个人或团体可更轻易地从事欺诈活动。

区块链技术

区块链是另一项有望提高欺诈检测的透明度和安全性的新兴技术。区块链在防篡改、不可变的分类账上记录了每一笔交易,添加到区块链中的数据既无法更改,也无法删除。区块链网络中的所有参与者都可以实时查看和核实交易,这让欺诈者难以暗中操作。区块链还可用于安全存储和验证用户身份,有助于减少欺诈活动中常见的身份盗窃和帐户接管。

开展协作和共享数据

各个组织之间开展协作和共享欺诈数据也能提高欺诈检测能力。通过在值得信赖的合作伙伴之间共享数据和见解,某个实体发现的欺诈活动就能为其他实体提供警示,让他们能够主动采取自我保护措施。共享数据和开展协作还能让各个组织获取更大的数据量进行分析。数据点越多,就能越有效地就欺诈相关模式和异常情况的检测对机器学习模型和算法进行训练。

选择合适的欺诈检测解决方案

为组织选择合适的欺诈检测解决方案是一项关键业务决策。在就欺诈检测解决方案部署做出决策时,要牢记以下若干主要考虑因素。

业务需求评估

确保纳入考虑的欺诈检测解决方案符合自身具体业务要求,以及所在组织的战略目标和风险承受能力。明确所在组织最容易遭受的具体欺诈活动类型(可能包括支付欺诈、身份盗用、帐户接管或内部欺诈),并确保纳入考虑的解决方案能够应对与自身业务相关的欺诈活动类型。

例如,一家在线交易量很大的电子商务公司可能最担心支付欺诈,还可能希望最大限度地减少误报,以确保在有效识别欺诈性交易的同时,提供顺畅的客户体验。这家公司可能会考虑采用这样的欺诈检测解决方案:既结合了用于实时分析在线支付交易的机器学习算法,还侧重于既能进行持续学习,又能适应新出现的欺诈模式的自适应模型。

需要保护敏感患者数据并遵守《健康保险便携性与责任法案》(HIPAA) 等医疗保健法规的医疗机构可能希望重点防止未授权访问患者记录和确保数据安全。该机构考虑采用的欺诈检测方案应侧重于身份和访问权限管理,还应具有强大的用户身份验证、加密和审计功能,可保护患者数据的安全。

与现有系统的集成和兼容

在考虑欺诈检测解决方案时,易于与原有系统集成和兼容是另一个重要考虑因素。

组织内的现有系统包含可用于欺诈检测的宝贵数据。具有兼容性或易于集成的解决方案可更快利用这些数据,有助于更直接、更全面了解交易情况和用户行为,从而提高欺诈检测的准确性。易于集成原有系统还可减少容易出错的手动数据传输和校正工作,简化工作流程,以此提高运营效率。不具备兼容性的系统还可能需要通过定制开发来推进数据交换,带来更高的实施和维护成本。

可扩展性与性能

选择一个可扩展的高性能欺诈检测解决方案,对于在实现业务增长的同时保持欺诈预防的高效性和有效性至关重要。

要确保考虑的欺诈检测解决方案不仅能处理当前的交易量,还能轻松扩展,以适应随着业务增长而增加的交易量。还要评估解决方案能否处理高峰交易量,例如节假日或特殊活动期间的交易量。解决方案不应在流量较高时出现性能退化的情况。此外,如需扩大业务的地理覆盖范围,还要确保解决方案支持跨地区和跨时区扩展。

F5 可以提供哪些帮助

有效的欺诈检测解决方案对于各行各业内的组织维护财务健康、运营完整性和可信度至关重要。欺诈管理不仅能防止企业遭受直接经济损失,还能保护个人和客户的数据、资金和隐私。部署有效的欺诈检测工具和策略能带来诸多好处,帮助您的组织和客户在面对欺诈者和不断演变的欺诈计划时始终处于领先地位。

F5 欺诈检测和抑制服务可抵御不断演进的威胁环境,在这种环境下,线上帐户比以往任何时候都更容易遭到攻击。F5 应用安全和欺诈抑制解决方案由闭环人工智能引擎以及具备快速再训练和持续增强检测功能的自适应机器学习模型提供支持。该系统的大规模统一遥测技术建立在每天超过 10 亿次交易的数据基础上,能够实时监控整个用户旅程中的交易。该系统利用了先进的信号收集以及行为和环境洞察,以独特的方式确定用户意图,可以准确地检测恶意活动且有较高的欺诈检测率。

如需进一步了解 F5 欺诈检测和防御解决方案的影响,请下载并阅读这项独立 Aite 报告。