卡片不在现场欺诈(Card-Not-Present fraud,CNP fraud) 是指信用卡和持卡人均不在销售终端,欺诈分子以非法方式,如黑客攻击、拷贝他人消费收据信息、销售终端员工非法记录他人信用卡信息等,盗取信用卡信息,继而通过线上渠道实施的盗刷行为。随着我国互联网金融的迅猛发展,卡片不在现场欺诈案件也随之剧增,给银行和持卡人的资金安全带来严重威胁。本文通过剖析卡片不在现场欺诈风险防控面临的形势,总结欺诈特征,分析信息泄露渠道,对卡片不在现场欺诈案件的防控提出相关建议。
一、卡片不在现场欺诈风险防控面临的形势
随着移动支付业务的发展以及新兴支付方式的迭代更新,卡片不在现场欺诈案件持续高发,预计未来风险防控形势将日趋严峻。
1.信用卡欺诈由线下向线上转移
近年来,线上支付持续保持快速增长势头,2017年,线上支付业务笔数为375.52亿笔,2018年增长到605.3亿笔,涨幅高达61.19%,业务规模的增长势必引发更高的欺诈损失概率。此外,由于线上盗刷具有隐蔽性、非接触的特点,公安机关侦破难度大,犯罪成本低,所以随着移动支付的发展,线上盗刷案件日益增多。如图1所示,伪卡欺诈金额自2017年以来占比逐渐缩减,而卡片不在现场(非面对面)欺诈金额自2019年以来占比不断增加,信用卡欺诈形势呈现出由线下向线上逐渐转移的趋势。
2.信息泄露源隐蔽性特征明显
据统计,2018年全球发生信息安全事件超过5.3万起,其中有4.3万起(81.1%)是黑客攻击事件。黑客通常会将攻击目标锁定为大型国际连锁商户,一旦攻击成功,信息泄露量少则数以百万条计,多则几亿条。而大型国际连锁商户背后交易错综复杂,销售网络接口众多,银行方仅凭有限的商户编号等信息无法精准锁定信息泄露源,并确定信息泄露卡片范围,所以无法及时采取有效管控措施阻止持续发案。信息泄露源的隐蔽性给银行风控带来巨大压力。
3.卡片不在现场欺诈案件将持续高发
2018年下半年以来,卡片不在现场欺诈案件持续增加,主要受无卡钱包类App信息泄露影响。2018年,卡片不在现场案件中疑似因无卡钱包类App信息泄露产生的欺诈卡片数量占比约为12.19%,2019年第一季度,该数值已达25.33%。目前,市场上无卡钱包类App种类繁多,此类App中存在非法经营、非法截留客户信息、管理松散等问题,有的甚至无照经营,一旦发生信息泄露,后果不堪设想。预计未来卡片不在现场类欺诈案件将持续高发。
二、卡片不在现场欺诈的特征
随着卡片不在现场欺诈形势的日趋严峻,为有效控制欺诈风险,银行需深入了解犯罪分子作案手法,分析欺诈特征。
1.交易呈小额多笔特征
受网络交易习惯以及卡组织、银行等金融机构单笔交易金额限制等风控策略影响,卡片不在现场欺诈一般表现为单笔交易金额较小的特征。犯罪分子为了追求利益最大化,会在短时间内连续进行多笔交易,直至卡片被冻结无法继续交易为止。
2.集群性信息泄露事件对欺诈案件数量影响较大
因集群性信息泄露事件涉及卡片数量多、盗刷金额大,所以对卡片不在现场欺诈案件数量影响较大。犯罪分子若通过不法手段获取较完整的信用卡信息(含卡号、有效期、CVV2等),即可在游戏网站、电商网站、航空公司订票网站等网络消费平台实施盗刷;犯罪分子若获取的信息残缺不全,则会采取“撞库”、定向木马植入等方式获取完整卡片信息,进而对持卡人的支付账户、银行卡资金安全产生威胁。以2017年7月发生的某航空公司批量信息泄露事件为例,当月欺诈案件数量呈爆发式增长,欺诈金额涨幅达70.41%,欺诈卡片数量增加近5倍。
3.盗刷商户集中为境外商户
犯罪分子通过不法手段窃取的信用卡信息一般为静态信息(如卡号、有效期、CVV2等),不包括支付密码信息,受持卡人交易习惯、网站风控措施影响,境内商户交易大多需验证密码,而境外的金融机构为持卡人便利考虑,多数商户无需密码即可完成交易。不法分子获取的信息无法在境内商户交易,则将目标转移至境外商户。另外,国内银行发行的信用卡一旦在境外被盗刷,公安机关跨境调查更加费时费力,犯罪分子有足够的时间进行资金转移、销毁犯罪证据。因此,境外商户成为滋生信用卡犯罪的“沃土”。
三、银行卡信息泄露渠道盘点
卡片不在现场欺诈得以成功实施的关键在于不法分子获取的银行卡敏感信息,所以对信息泄露渠道进行研究和分析,有利于银行采取有效管控措施,防止损失扩大。
1.卡厂信息泄露
客户申请信用卡,信用卡中心审批通过后会进入制卡环节,国内银行信用卡中心一般会将制卡业务外包给制卡公司,制卡公司完成制卡再邮寄给客户。外包公司在制卡过程中会接触到客户的卡面信息,一旦外包公司管理疏漏,工作人员即可盗取卡面信息实施盗刷,发生信息泄露事件。
2.商户信息泄露
客户前期交易时,商户被黑客恶意攻击盗取银行卡信息,或商户管理不善导致客户的交易信息被员工非法记录,都会导致持卡人信息泄露。如2018年11月某国际酒店集团官方发布声明,承认其旗下酒店的客房预订数据库被黑客入侵,2018年9月之前曾在该酒店预定的约5亿名客人的信息或被泄露,其中包括银行卡号、银行卡有效期等信息。黑客获取该批数据后,对持卡人的支付账户和银行卡资金安全造成极大威胁。
3.无卡钱包类App信息泄露
2016年3月,发改委和人民银行发布了《关于完善银行卡刷卡手续费定价机制的通知》,对银行卡收单业务的收费模式和定价水平进行了重要调整,于2016年9月6日正式实施。自此之后,线下套利空间不断压缩,无卡钱包类App发展势头迅猛。用户注册此类App时,仅提供姓名、本人手持身份证照片,绑定手机号码、储蓄卡信息即可完成,注册完成后在交易环节输入信用卡卡号、有效期、CVV2等敏感信息即可进行套现或通过循环额度进行还款。无卡支付交易全程操作方便快捷、费率低,市场上很多此类App甚至采用多级分销的分润模式,追求用户裂变,涉及用户人数众多。而一旦账户信息安全管理不到位,即存在信息泄露风险,影响范围甚广。
四、卡片不在现场欺诈防控建议
基于以上对于卡片不在现场欺诈未来形势的预判、卡片不在现场欺诈特征的分析以及对信息泄露渠道的盘点,建议银行可从以下方面进行风险管控。
1.建立欺诈交易商户监控机制
由于欺诈分子在很多情况下并不掌握信用卡的全面信息,所以交易时验证要素越多越能在一定程度上防控卡片不在场欺诈的发生,如验证“卡号+有效期”或“卡号+有效期+CVV2”。对于欺诈高发商户,银行可尝试主动出击,与卡组织、商户进行沟通,建立欺诈交易商户监控机制,增加交易验证要素,防止欺诈案件持续高发。
2.建立信息泄露点侦测模型
银行应加强对信息泄露点的排查,将信用卡生命周期的各个环节纳入监控范围,包括申请信用卡环节、交易商户、收单机构、无卡钱包类App的排查。其中大型商户、收单机构、无卡钱包类App本身交易规模较大,业务范围广范,甚至有些是跨国交易,无卡钱包类App每天的交易量更是数以亿计。对于这些海量数据,通过简单的数据比对很难查出信息泄露源。
基于此,交通银行已启动“猎鹿计划”,旨在通过建立信息泄露点排查模型,对于卡片交易环节和申请环节进行全环节排查,将数据与情报相结合,系统化、自动化全面排查信息泄露点,以提升案件处理时效,及时预知风险,从而采取有效防控措施。具体排查思路如图2所示。
3.申请欺诈不容忽视
近年来,信用卡相关欺诈案件呈现出多种欺诈类型相互交织的特点。如无卡钱包类App信息泄露引发的境外网络盗刷,此类案件具有卡片不在现场和套现欺诈特征,同时,部分客户存在中介办卡或信息虚假等情况。这对反欺诈工作人员提出了更高的要求,排查信息泄露源时不仅需排查客户前期交易商户,也需对客户办卡途径、制卡环节、邮寄卡片等环节进行排查,一旦确定信息泄露源,除了及时止损外,必要时可利用警方的侦破力量对欺诈团伙进行有力打击。
4.加强对无卡钱包类App的排查与管控
无卡钱包类App的运行环节涉及银行、卡组织、收单机构、支付通道、中介平台、App平台等多方渠道,背后权责关系纷乱复杂,银行方面可获取的数据有限,通过商户编号无法判断背后的渠道方。而且上送给银行的商户编号普遍存在“跳码”现象,这进一步增加了银行确定信息泄露点的难度,使其难以采取有效措施防控潜在风险。具体情况如图3 所示。
因银行方面可获取的信息有限,可见的商户编号又普遍存在“跳码”现象,处理此类案件,银行需加强与监管机构、第三方收单机构的合作,一旦出现违法违规情况,应及时采取有效措施,必要时可采取法律手段。
5.与境外卡组织、商户合作建立货物拦截机制
欺诈分子利用非法获取的信用卡信息在境外网站购物,一般会购买奢侈品、电子产品等易于变现的商品,银行可尝试与境外卡组织、商户进行联系,建立货物拦截机制,在盗刷发生后第一时间联系商户,阻止货品的发送,可以有效阻止欺诈分子获得不法利益,从而减少银行和持卡人的损失。
卡片不在现场欺诈风险防控形势将日趋严峻,银行应在此方面加强监控。卡片不在现场欺诈风险防控受外部宏观环境、银行风控制度、持卡人安全用卡意识等众多因素的影响,其中,银行的作用举足轻重。银行应在发卡前认真履行审慎审核义务;在贷后加强风险防控,履行风险交易预警义务;在欺诈交易发生后及时采取有效止损措施,以减少和避免经济损失。