在當今的網路化生活中,個人資訊幾乎無處不在,存在於交易支付、電子商務、社交等生活的每乙個場景中。 這些個人資訊蘊含著越來越重要的經濟價值,但它也成為網路攻擊、電信網路詐騙、敲詐勒索等網路犯罪的目標。
據公安部訊息,截至11月21日,緬甸北部當地相關執法部門已向我方移交3名電信網路詐騙犯罪嫌疑人10000,在國家的強力打擊下,電匯詐騙犯罪活動明顯減少。
支付系統作為儲存大量使用者身份資訊和交易資訊的平台,也是資金劃轉的重要渠道,是防範電信詐騙的關鍵作用。 支付系統有責任、有能力也應該做更多的事情來防止電信欺詐,並為使用者的資產提供更有力的保護。 以下部分將從業務角度介紹支付系統的功能設計,以防止資料洩露和處理可疑交易。
01|防止資料洩露
詐騙團夥利用非法獲取的公民個人資訊對詐騙受害者進行畫像畫像,並利用這些畫像進行各種詐騙活動,如網購退稅詐騙等。 由於詐騙團夥能夠準確描述被害人的個人身份資訊和購物交易資訊,往往符合官方客服人員的特點,從而獲得被害人的信任。
這說明了防止資料洩露和保護使用者私隱資訊在打擊電信詐騙方面的重要性。 接下來,我們將解釋密碼保護機制加強、敏感資料訪問控制、敏感資料動態遮蔽和敏感頁面截圖禁止。
1.加強密碼保護機制
案前,沈某就職於某國際信託公司,採用“撞庫”手段獲取某銀行徵信系統使用者名稱和密碼,通過信託公司與銀行專線互聯終端非法查詢、**、留存他人信用報告1000餘份。
密碼是使用者資料的防盜門,支付管理平台在操作人員設定密碼和更改密碼的過程中,有一系列增強的保護機制,如不使用重複或連續的數字作為密碼,不使用生日作為密碼,密碼必須包含大小寫字母, 數字和符號。後台操作員必須在管理員配置的時間段內更新一次密碼。 當連續錯誤輸入密碼的次數達到上限時,賬戶將被自動鎖定,系統將立即通過簡訊等方式通知賬戶持有人,並記錄輸入錯誤密碼的終端IP位址。 此外,支付系統禁止瀏覽器記錄使用者的帳戶名和密碼。
2.敏感資料的訪問控制
防止“內部幽靈”竊取使用者資訊是支付系統功能設計的重要考慮因素。 支付系統結合業務、資料保護、安全合規等維度的需求,制定運營商獲取使用者資訊的許可權,許可權由低到高包括:查詢個人使用者資訊、批量查詢使用者資訊、批量匯出使用者資訊。 根據“業務必要、最小特權、職責分離”的原則,只向操作員提供必要的資料。 禁止特權賬號訪問業務資料,也禁止業務系統賬號未經授權訪問。
3.敏感資料被動態遮蔽
根據業務應用的使用者名稱和訪問路徑,配置不同的脫敏策略,靈活滿足業務需求和監管要求。 例如,支付系統向內部員工展示的敏感資料需要脫敏,操作員需要經過授權人的批准才能檢視使用者的敏感資訊,BI資料分析和資料包表根據需要自動對敏感資料進行脫敏處理。
4.禁止使用敏感頁面的螢幕截圖
使用螢幕共享進行詐騙是犯罪分子常用的策略。 他們冒充平台客服、公安執法機關工作人員等,要求受害人**會議軟體,開啟螢幕共享功能,誘使受害人輸入驗證碼、密碼等銀行賬戶資訊,盜取受害人繫結的銀行卡。
支付系統的消費類APP對使用者個人身份資訊頁面、支付收款頁面、繫結銀行卡資訊頁面等敏感頁面進行了單獨處理,使用者在通過會議軟體、社交軟體共享螢幕時無法分享這些頁面,也無法截圖。 防止不法分子誘騙使用者共享螢幕或截圖,導致使用者洩露敏感資訊。
02|處理可疑交易
無論是電匯詐騙受害人向犯罪分子轉移或支付資金,還是犯罪詐騙行為轉移或洗錢,都有可能追查蹤跡。 因此,支付系統的風險控制和反洗錢模組應盡可能識別可疑交易並管理風險交易。 客服模組還應支援優先受理客戶欺詐相關投訴,及時處理疑似欺詐交易。
1.可疑交易識別
支付系統的風險控制與反洗錢模組,可支援支付機構根據《反洗錢法》和機構的反洗錢交易監控標準配置多維度引數,包括資金**、金額、交易型別、時間、頻率、流向和性質等,建立監控指標。
支付機構可以將監控指標與相應的操作指令相結合,形成風控規則,並配置這些規則的自動執行時間,建立風控任務。 一旦風控任務按時啟動,系統將能夠自動識別達到監控指標的交易。
2.可疑交易管理
在支付系統中,一旦發現可疑交易,系統將按照命中的風控規則中配置的操作指令採取相應行動。 以下是如何處理具有不同風險級別的交易的說明:
低風險交易:對於低風險交易,系統會自動向使用者傳送風險提示。 確認無風險後,使用者可繼續進行交易操作;
中等風險交易:對於中等風險的交易,系統會自動實施加強身份驗證的措施,如人臉識別、簡訊驗證等。 使用者通過驗證後,即可釋放交易;
高風險交易:對於高風險交易,系統會自動觸發通知機制,通知風控和反洗錢專家進行干預。 他們可以進一步調查和分析交易情況,並採取適當的行動。 這可能包括攔截交易、勸阻使用者、觸發冷靜期等,以進一步確保使用者的資金安全。
同時,支付系統將抓取觸發風控規則的交易資料,生成可疑交易報告。 反洗錢官員可以進一步分析系統中的這些可疑交易,以排除錯誤或確認是否存在洗錢風險。 如果確認有可疑交易,將向監管機構報告相關資料,以支援反洗錢監管。
通過這樣的風控和反洗錢機制,支付系統可以及時發現和處理可疑交易,確保使用者資金安全,最大程度降低電信詐騙風險。
3.交易賬戶凍結
在支付系統中,如果可疑交易被判定為涉嫌違反法律法規,主管機關可以要求支付機構凍結相關可疑賬戶。 當支付系統收到凍結請求時,運營商可以通過一鍵操作凍結涉案賬戶,防止非法資金轉移。
如果消費者發現自己被騙或被盜,支付應用程式應支援消費者向平台提出客戶投訴。 消費者可提交相關證明材料,經平台核實後,可暫停結算涉及欺詐或欺詐的支付交易或凍結支付系統中的賬戶,以保護消費者資金安全。
支付系統依託靈活的監控指標和強大的風控規則,形成完整的防詐化和打擊機制,包括事前預警教育、事中提醒攔截、事後懲戒處置等。 這種全鏈條機制可以幫助支付系統保護使用者資金安全,防止和打擊欺詐行為。
03|總結。
魔法是一尺高,路是一尺高。 在國家的強力打擊下,電匯詐騙、洗錢犯罪得到遏制,但支付機構不能坐以高枕無憂,支付系統的設計者也不能掉以輕心,鑑於犯罪分子的老伎倆和新手段,我們必須不斷公升級風控模式, 積極運用大資料、人工智慧等技術,提前拓展風險資訊獲取維度,加強風險度量、模型研發、特徵提取等能力建設,事後通過數位化手段強化應對措施,推動風險管理從“人防”到“技防”“智慧型防禦”,提公升風險處置的及時性和準確性。