即便网上的业务经营再好,一起诈欺案便足以令你喘息多年甚至停业
对经营网上信用卡购物的商户来说,怎样强调购物安全与诈欺防范都不为过。原因很简单,即便你网上的业务经营再好,一起诈欺案便足以令你喘息多年甚至停业。
网上网下 别有洞天
网上信用卡购物与网下有很多不同之处。在网上,不仅信用卡从未在卡商的视野内,连持卡人都是虚拟的,因而无法验证持卡人身份并核对签名。更有甚者,“黑客”在网上世界神出鬼没,能在商户不知不觉中窃得网络、盗名购物付款、劫取包括持卡人身份的敏感信息,并借用商户的网络作平台攻击其它网上商户。由于网络有比实物商店更多的切入点,网上商户便更容易被破门而入,而且罪犯是穿了隐身服的,可以做到来去无踪。此外,在网下信用卡付款过程中,因有授权、验证的手续,一旦出现诈欺,责任方在持卡人。然而,网上信用卡付款若出现诈欺,商户可是责无旁贷。这就是网上支付因属“卡不在场”交易而本身具有的风险性。
在美国,网上诈欺对商户在财务上的后果可能会非常显著。它包括无法讨回的与骗购货物有关的仓储和运输成本,以及由商户行或收单行就每一笔诈欺不到位付款收取的15美元~30美元不等的处罚金。
鉴于网上世界并不太平,收单行已向网上信用卡商户收取比网下商户高30%~60%的交易费。因此,迫使网上商户采取宁缺勿滥的方针,不得不蒙受经济上的损失。据Gartner集团估计,网上商户全部交易中有约5%是疑似诈欺而拒绝接纳,而事实上只有2%的交易是有诈欺行为的。可见,近3%的交易额是因防范诈欺失误而损失掉了。
网上诈欺及后果的严重性已成为一种广泛的社会现象而受到普遍关注。据Gartner集团估算,网上交易诈欺行为比网下高出17倍。以美国为例,仅2003年,网上诈欺案已达18亿美元。这一数字并不包括额外的劳务费、稽查费及对商户的罚款。消费者也受到连累。在每6位网上购物者中,就有1位是信用卡诈欺的受害者;每12位人中,就有1位的身份被窃。更令人担忧的是,网络系统构造的日趋复杂和技术的不断更新,为乐于挑战的罪犯提供了更多的可乘之机,可谓道高一尺,魔高一丈。2002年,在美国联邦调查局立案的有关网络诈欺的投诉就比一年前多出2倍。
日益嚣张的网上诈欺案受到信用卡联盟和政府的关注,网上购物的安全性与诈欺防范则是网上商户确保日常经营的底线。如果商户不出面保护自己的家园,令商务毁之一旦的不是凶猛的市场竞争,而是关不严的防盗门。
甘苦与共 同舟共济
在竞争白热化的信用卡业,唯一令诸多对手携手共计的便是反诈欺业务。目前,各大银行和银联都在力促能有效地阻止网上信用卡诈欺案的发生。万事达与VISA各自推出了“新型买方验证规程”(New Buyer Authentication),分别为“保险码”(Secured Code)和“VISA举证”(Verified by Visa)。其原理如同在用ATM卡支付时必须输入个人密码(PIN)一样,当购物方使用信用卡付款时,提请持卡人与信用卡发卡商共享密码。这样,在交易中消费者向发卡商验明证身,有效地将责任方由商户转移给发卡商。从2003年4月1日起,大凡在“新型买方验证规程”下受理的交易,一旦出现诈欺,商户概不负责。
花旗银行在反身份诈欺方面领先于其它银行,它于2003年10月推出Citi Identity Solutions。对于花旗持卡人来说,它只是一个免费号为800的电话。其背后却是一个由反身份诈欺特工人员组成的支持项目,全天候向花旗信用卡客户中遭受身份诈欺的受害者提供及时的支持服务,帮助他们逐一解决蒙受诈欺后的细节问题,并恢复信用记录。具体来说,这一号为800电话的直接受理人仍是普通的顾客服务人员。在投诉的疑案得到证实后,该案便转入反身份诈欺特工组。这些特工人员一旦接到投诉电话,便立即联络信用局,查核诈欺活动并向三大信用局(Trans Union、Experian、 Equifax)发出联合警报,提供有关信息、协助其它信贷方关闭未授权的账户,帮助受害者了解报案手续、填写必要的书面报告(比如报警报告等),并继续追踪直到结案。
鉴于信用卡诈欺的时效性和繁衍性,及时堵截诈欺行为、防止蔓延,是所有发卡商的共同利益。
逐层监护 迎头防范
尽管对商户来说,网上信用卡诈欺的威胁与日俱增,但目前已有多种手段能够极大地提高商户对诈欺侵入的抵御程度。归纳起来,商户在互联网上用信用卡付款时暴露给诈欺分子的机会主要在具体交易中、介入付款网关账户期间和进入网络时出现。保护业务经营不受诈欺干扰的有效方式,就是不能对其中任一环节放松警惕,并将这三大环节整合。
■ 交易环节
在确保所受理的每一项交易有效性的同时,也必须谨慎地防止误拒看似可疑实为有效的交易。核实交易的有效性可以从以下三方面着手:
首先,在所有可能的情况下反复查核购买方身份。这就要求商户了解自己产品和服务的回头客。这一信息不仅有助于分析消费者的购买行为、建立对商户的诚信度,还有助于控制欺诈行为。必须严格对消费者的信息加密,并确保信息储存的严密性。此外,充分利用万事达和VISA的“新型买方验证规程”,在验证买方的同时,将责任方移交给发卡方。
其次,甄别定单内容,寻找诈欺行为形式。每一项交易其实都含有大量的信息,对了解相关的风险程度有一定的帮助。此类手段包括核实持卡人地址和信用卡保险号(信用卡背面16位卡号的后3位数)等。就新客户而言,甄别IP地址、收货地址等也有助于降低诈欺风险。反诈欺的举动和诈欺行为一样是动态的,商户须保持一份不断更新的诈欺交易“黑名单”,并将每一项生成的新交易与“黑名单”核对,以便提高结账效率。有效管理交易风险需引入决策引擎,决策引擎使交易甄别过程自动化,可以尽快履行良好客户的定单,同时积极阻止风险定单。
最后,审查可疑交易。如前所述,网上商户因缺乏人力、信息与时间分辨交易真伪,不得不丢失全部可疑交易。此项占全部交易量的5%。一项潜在交易出现时,对商户的挑战首要的是确认交易的另一方是合法的客户。要做到这一点,商户必须建立并维持良好的客户信息数据库、树立审核规程、设置足够的人力资源,方能在高速、大密度网上交易中分辨真伪,从可疑交易中挽救出可靠的销售额。
■ 付款网关账户环节
商户无时无刻要牢记,只有经授权的用户方能介入付款网关账户,要留意可疑的介入形式并给予预警。有关保护措施如下:
锁牢管理性介入。出于账户管理的需要,设置对高风险交易管理的介入权是难免的,比如发放信贷业务等。但必须严格限制介入授权,并定期强制更换密码。在此,商户必需考虑将这一界面与其它反诈欺功能软件整合,以实现高效率。
监控网关账户活动,寻找可疑方式。如前所述,如果网关账户被网贼接管,商户就门户大开。在此,商户不仅面临外贼的冲击,更有家贼难防之隐患。去年以来美国出现的几起案例多涉及内部雇员或合同雇员假公济私,导致消费者信息泄漏或网关被截等严重后果。因此,网关账户必须监控,及早发现未授权介入的迹象以免发生网关被接管的后患。同时,要持续对参与商户进行滚动特征分析,以便发现可疑特征信号。
■ 网络环节
网络须志在壁垒森严。防范未授权介入的有效措施包括:
1:将网络准入严格控制在指定的IP地址。
2:及时升级服务器和操作系统的所有嵌板,定期对系统进行安全审计或端口扫描,以便及时发现网络的薄弱点。
3: 监视防火墙的一切活动,从网络周边的非常活动中发现诈欺疑点。
商户反守为攻
很长时间以来,阻止网上信用卡付款的最大障碍是持卡人的接受程度,其中至关重要的是网上信用卡付款的安全性。持卡人如何看待网上信用卡购物的安全,似乎成为商户能否在网上开拓市场的敏感点。是否持卡人更惧怕网上用卡呢?
美国较有权威的民意调查研究公司Ipsos-Insight2004年初发表了最新的调查报告。尽管美国消费者一般来说非常担心信用卡使用的安全性,唯恐使用信用卡会出现卡信息被盗及遭受诈欺使用带来的后果。然而,当问及网上信用卡使用安全感时,调查对象却表示出较为清淡的担忧。
在由943人抽样的调查对象组中,76%回答对信用卡的使用安全甚为担忧,而只有69%表现出对网上信用卡使用安全较为担心。当问及你或你知道的人中是否有信用卡被盗的事件时,42%的人回答有。然而,当针对信用卡在网上被盗问及同样问题时,却只有18%回答确有此事。当然,信用卡在网下的使用历史已逾半个世纪,用于网上支付尚属新生事物。出于这一原因,网上诈欺的出现率也许还处于上升阶段。然而,就这一历史断面来看,持卡人因信用卡安全而产生的用卡阻力,网上并不比网下大。也就是说,当持卡人对信用卡的使用风险有一定认识后,对在网上使用信用卡并非谈虎色变。
可见,信用卡支付的双方对网上支付的态度迥然有别。从商户接受信用卡支付来看,网上、网下确是别有洞天;对持卡人用信用卡支付来说,网上、网下差别不太显著。但上述调查结果是就网上信用卡使用安全的一般情况而论。网上购物更为安全的网站自然更吸引客户。因此,网上反诈欺自然是商户那头更热。若成效卓著,则不仅是对诈欺罪犯的自卫反击,还能成为吸引客户的比较优势。
【资料1】
网上信用卡付款诈欺主要方式
(1)盗用消费者身份
罪犯在网上一般以黑客身份盗入用户数据库,窃取用户身份。突破点一般是网络的薄弱部分,如错误设定的网络基础构造及其它网络中的脆弱部分,如网上购物篮或主机服务器等。黑客不断借用最新技术,以自动编码程序寻找网络的薄弱点。罪犯一旦接触信用卡用户信息,便用来购物或转售。这一行为被称作“产品剽窃”。信用卡信息还可连同其它剽窃来的信息如社会保险号码、地址等,以罪犯的姓名、地址用来申请新的信用卡。这一行为构成对消费者的“身份剽窃”,有可能诋毁原信用卡消费者的信用记录。
(2)剽窃商户身份
网上罪犯可以破入虚拟付款机,窃取商户的网络登录信息,之后模拟商户行为。此类行为便是典型的商户“身份剽窃”。付款网关账号与密码一旦被劫,罪犯便接管商户的账户,直接向罪犯提供信用或支付,公然骗取商户的钱财。
(3)切入付款网络
罪犯切入付款网络的两大渠道是:商户网站内的付款页和付款网关账户。付款页是公开网址,用来方便向全球客户全天候地提供服务。然而,这一便利客户的特色服务也为心怀叵测的网贼提供了可乘之机。常见的方式有,网贼在付款页试用偷来的信用卡号,看是否仍有效。这一举动通称为“洗卡”(Carding)。另一计谋是使用自动程序生成的信用卡号蒙试付款页直到中标为止,蒙中的号码则是有效的信用卡号码。最复杂也是最致命的诈欺方式就是接管付款网络的基础结构。此类情况一旦发生,网贼便已获取系统的管理权,反客为主,犯罪行为便被“合理化”。
【资料2】
反诈欺两大
脊梁技术
反诈欺的管理与操作,主要由神经网络系统和决策律本位系统两大脊梁技术支撑。
■ 神经网络系统:
它本身是一个信息处理器,既可以是某种算法也可以是实际硬件。它基于生物神经系统的设计、结构与功能。数量上,它是统计工具,用来计算某一交易的概率距已发生诈欺案例平均率的标准差。基本方法是通过寻找数据形式建立预测模型以便对新数据予以分类。有关数据包括用户的IP地址、在某一网址的定单量及是否用户要求快递等。系统生成的最终结果通常是一组概率或称打分。较高的数字意味着较高的诈欺发生或然率。
■ 决策律本位系统:
通过预先确定的属性或定律来淘汰诈欺的候选人。由于多数定律可以由简单的“如果...则...”计算机语句实现,这一方法对已识破规律的、非常有针对性的诈欺案例尤为有效。
不少反诈欺软件提供商通常将神经网络系统与决策律本位系统的结果综合起来,以便提供更为准确的诈欺预警打分。
|
