• 快捷搜索
  • 全站搜索
位置:首页 > 管理 > 管理方略

关于银行业反欺诈的思考

2013-05-17 11:27:42作者:中国建设银行电子银行研发中心 何毅勇 余挈编辑:
银行业反欺诈
基于合规考虑和欺诈攻击扩展速度,金融类机构必须摒弃欺诈成本预算观念。与之相反,金融类机构必须考虑主动投资反欺诈的技术手段、防控工具和策略,从而达到有效预防欺诈的效果。

在以前,金融服务机构认为欺诈事件是经营的必要成本之一,基于此,金融机构主要关注如何降低欺诈事件带来的损失。当前金融服务行业的欺诈热点有三个,分别是洗钱、合规和内部金融欺诈。比起之前,欺诈者更倾向于通过秉承以往有效的集团犯罪形式,向金融服务机构的系统漏洞发起攻击。很多金融机构在新产品刚上线的头几天,就被欺诈者迅速攻破,导致这类企业承受巨大经济损失。同时,基于合规考虑和欺诈攻击扩展速度,金融类机构必须摒弃欺诈成本预算这个观念。与之相反,金融类机构必须考虑主动投资反欺诈的技术手段、防控工具和策略,从而达到有效预防欺诈的效果,减少欺诈带来的风险损失和资本损失。

银行面临的主要欺诈类型

        目前金融欺诈分三大类:客户交易欺诈、内部欺诈和洗钱。根据Kroll咨询公司2012年的欺诈报告,内部欺诈是目前金融机构欺诈损失金额最高的欺诈类别,2011年损失金额近900亿美元,其次欺诈损失所占比例最高的是客户交易欺诈类别,2011年损失金额约为735亿美元。客户交易欺诈主要出于欺诈风险较高的产品,包括信用卡、借记卡和电子银行。主要的客户交易欺诈类型包括:

        身份类欺诈。身份类欺诈主要包括申请欺诈以及账户盗取欺诈。申请欺诈是指欺诈者的个人信息不符合金融机构业务的申请要求,通过非法渠道获取正常客户的身份信息,并把身份信息用于金融机构相关业务的申请,从而获得对欺诈者有利的产品、服务或者信用额度的欺诈方式。账户盗取欺诈是指欺诈者通过钓鱼、木马的恶意传播,非法获取客户的账户信息,并利用账户信息进行取款、转账、汇款等非法交易的欺诈方式。

        交易类欺诈。交易类欺诈主要包括伪卡交易以及非面对面伪冒交易。伪卡交易是指欺诈者通过非法渠道复制卡片,并且利用伪冒的卡片进行交易的欺诈方式。非面对面伪冒交易是指客户的卡片被欺诈者非法获取,通过无卡交易(如网上支付等),输入卡片信息进行交易的欺诈方式。

        移动终端欺诈。因为基于网页登录的手机银行和个人电脑会同样带有病毒,因此手机银行和网上银行具有相似的漏洞。同时,近几年来,智能手机逐渐走向成熟化和大众化,客户对智能手机的使用频率和依赖程度也与日俱增,这也逐渐成为欺诈者攻击客户的重要渠道之一。

        除了上述几种欺诈种类之外,洗钱也是金融服务机构需要重点考虑的金融犯罪类型之一,因为洗钱这种行为有自己独特的流程,所以给企业欺诈侦测带来了巨大挑战。通常,专门用于侦测洗钱的工具和软件,也可以用于欺诈识别。然而,这种通用的侦测工具还没有广泛使用。

银行业反欺诈的战略考虑

        根据前面欺诈风险的特征和趋势分析,银行业在全面规划反欺诈体系时,可综合考虑三方面的驱动因素。一是基于内在需求的因素,二是应对威胁的因素,三是应用新技术的因素。

        从基于内在需求的角度看。国际上银行业的先进实践告诉我们,内部的战略需求发生了较大的变化。首先是如美国银行和富国银行等大型银行,已初步建立了企业级的反欺诈管控体系,有效地防止欺诈风险在银行内部业务条线和产品间进行转移。

        在美国有种“基于能力规划”的思路,这也是基于内在需求的一个方面,简单地说就是“我要做什么,我想怎么做,我能怎么做”。总体来说,未来欺诈与反欺诈的博弈由谁来设计和引领。这样,银行自身的责任、使命和任务,以及反欺诈的概念和能力目标就是驱动内在需求发展的重要因素。另外,随着业务的发展和欺诈风险的变化,现有反欺诈体系均可能面临着更新换代的需求,也将是主要内在需求的驱动因素之一。

        从应对威胁的方面考虑。信息系统安全是银行目前面临最大的现实威胁主要来源于全球化和集团化的欺诈犯罪,包括客户信息泄露、伪卡、黑客木马和网络钓鱼等攻击成为当今系统安全的主要欺诈手段。同时欺诈威胁的全球化和集团犯罪趋势,也加大了欺诈犯罪的隐蔽性,增加了欺诈风险识别的难度。近期国际上银行业中发生的洗钱案件也表明,需要加强客户的尽职调查及引入“社会网络”的关联分析措施和手段,才能有效及时地进行欺诈风险的识别和管控。

        从应用新技术的情况分析。可重点关注网络信息安全和客户端安全认证两方面。

        在网络信息安全方面,各国或地区都有具体的合规要求和应用指引,如应用新的密码体系或新的信息安全标准等。如美国联邦金融监管委员会最新发布的《网络安全授权管理规范及补充协议》,我国人民银行发布的《网上银行系统信息安全通用规范(试行)》等。

        在客户端的安全认证方面,各银行除了不断地应用指纹、虹膜及脸部等生物识别技术来改良认证工具(包括USB key, 动态令牌和金融IC卡等)之外,还可能应用非工具化的新认证技术。如微软公司主要针对平板电脑或移动终端开发的Windows 8操作系统,就应用了屏幕图形或笔记本触控板的手势特征识别技术进行验证登录,代替了传统上由客户牢记的静态登录密码,预计可有效地防范对移动终端身份认证进行钓鱼攻击等欺诈,并提升了客户安全体验,可能会成为未来银行反欺诈体系与客户之间进行有效互动联防的主要措施和手段之一。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章