 |
曹明,Visa大中华区风险管理部总经理 |
全球新冠疫情客观上推动了资金流动的数字化,但随着数字交易的增长,线上支付欺诈也随之扩大。网络犯罪也随数字化交易的增长而增加。数据显示,美国网络犯罪造成的损失在2019年至2021年间几乎翻了一番1。与此同时,全球支付生态体系也面临着安全威胁。犯罪分子正不断尝试各种方式,攻击支付生态体系中的组织和机构,从而达到欺诈的目的。此外,数据泄露仍然是支付生态体系需要面对的一大现实问题。
2023年支付安全趋势的演变
2023年已经过半,世界正在走出新冠疫情的阴霾。三年的疫情加速了数字支付的发展,数字钱包和数字银行的数量也加速增长。有数据显示,全球使用数字钱包的人数有望从2022年的35亿增长到2026年的52亿。2
当前,全球支付安全也相应地发生演变并呈现以下五个趋势:
01 欺诈门槛降低
卡片不出现交易的增加,导致可被用于欺诈攻击的链条的不断扩大。同时,欺诈分子可用的技术变得更多更复杂且更容易获得。
02 欺诈分子进入交易周期早期阶段
随着对支付环节欺诈管控的加强,犯罪分子正在转向交易周期的更早阶段。例如在北美,储蓄账户和信用卡申请的欺诈损失年均增长分别达到了10%和14%3。欺诈分子正在打一场持久战,他们不再简单地使用窃取来的身份信息申请信用额度,而是转为先捏造虚假身份,接着为“自己”经营出多年的“合法”历史,最后才通过获取到的最高信用额度完成欺诈。
03 人工智能增加了社交工程的复杂性
今天,犯罪分子可以很容易获得先进的技术,如人工智能技术就被欺诈分子用来模仿亲密的家人或朋友,从而让欺诈犯罪行为难以辨识。
04 消费者和金融机构期待更加顺畅的支付流程
在数字商业环境下,无论是消费者还是金融机构都对支付的便捷性抱有更大的期待,大家都希望在尽可能短的时间内完成无缝流畅的支付,而这种对便捷性的高度要求给支付安全带来了挑战。事实上,Visa一直倡导并推行负责任的创新,即在支付的安全性和便捷性之间取得平衡,避免单纯地为了便捷而盲目牺牲安全。
05 新兴支付创新面对层层阻力
随着支付方式的多样化,欺诈分子正在转向新兴的不成熟的支付渠道。例如在卡片不出现的电子商务场景下,欺诈攻击链路的延展、社交工程(social engineering)的增加都给欺诈分子提供了实时获取实际资金的机会。此外,对加密区块链的监管滞后也给欺诈分子带来了可乘之机。
威胁攻击呈多样化和持续演变趋势
针对全球支付生态体系面临的安全威胁,Visa坚持开展半年一次的深入研究,近期的研究发现:全球的威胁实施者继续使用各种久经考验的方法来攻击支付生态体系中的相关机构,这些攻击方式包括支付账户枚举攻击、数字和实体信息窃取以及与恶意软件相关的活动等。值得关注的是,威胁实施者们对这些方法进行了创新,开发了针对加密货币和数字支付的新策略,以提高欺诈攻击的有效性4。针对网络的安全威胁所涉及的领域主要包括以下几个方面:
● 技术配置错误:威胁实施者们越发关注如何利用目标企业的技术配置错误及如何规避 OTP(One Time Password, 一次性密码)来尝试各种诈骗手段,包括自助加油机欺诈、攻击无法验证动态交易数据的发卡机构、枚举攻击和接管商户POS终端等。同时,针对电子商务平台和第三方代码集成商的攻击也越来越频繁,这说明威胁实施者正在将供应链和第三方服务提供商作为攻击目标,以窃取支付账户数据和个人身份信息(PII)。
● 加密货币和数字支付:面对全球对加密货币持续增长的兴趣和交易量,威胁实施者们利用网络钓鱼活动和社交工程(social engineering) 策略来窃取个人数据和资金,这也成为加密货币生态系统的新威胁。
● 枚举攻击呈多样化:支付账户枚举攻击始终是支付生态体系所面临的重要威胁。账户枚举攻击是通过在电子商务交易中对常见支付数据元素进行测试,以猜测出完整有效的卡号、CVV2 和/或卡片有效期。随着技术发展,枚举攻击出现利用程序通过在多家商户的多个支付环节进行自动测试的趋势。发卡机构应使用 Visa定期发布的安全警示资讯中的相关信息来识别和防止前沿的枚举攻击方式。
● 数字窃取:威胁实施者将恶意代码部署到商户网站上,以商户的结算页面为目标,在消费者输入结算信息时,窃取相应的支付账户数据,例如卡号、CVV2 和卡片有效期,以及个人身份信息(PII)。数字窃取攻击通常是商户环境中配置错误或缺乏安全管控措施导致的结果,这使得犯罪分子能够利用此类错误配置成功部署恶意窃取代码。
● 社交工程、网络钓鱼工具包和用于获取OTP的机器人:使用社交工程获取卡片数据或盗取账户仍然是个人消费者面对的重要威胁。在这些欺诈威胁中,攻击者通常会致电或发送短信给持卡人,伪装成银行员工或伪冒银行网站链接以博取信任,提示持卡人回拨所提供的电话号码或通过伪冒的银行链接提供敏感信息。其后果就是用户的账户敏感数据(例如银行登录用户名/密码等)或交易的一次性验证码被窃取或泄露。
● 数据泄露:数据泄露是支付生态体系一直面临的现实问题。对于金融机构来说,数据泄露的主要原因在于第三方机构受到外部网络的攻击,如供应商、商户、支付处理商甚至政府数据库都有可能成为目标。例如从2022年末以来,Visa观察到全球各地发生多起引人注目的数据泄露事件,包括大型电信运营商、廉航公司、征信机构、政府门户网站等。而消费者的数据泄露后,不择手段的欺诈分子者往往会利用这些数据实施欺诈。
Visa认为,以上种种趋势未来仍将持续并不断演变,威胁实施者将继续追踪支付账户的数据、寻找并攻击风险管理的薄弱环节。
面对日益复杂且快速变化的数字商业环境,为了保障支付生态体系的安全,降低欺诈网络威胁和数据攻击造成损失,Visa多层次多维度的安全策略也在不断迭代和优化。Visa的安全策略遵循以下主要原则:
● 防范潜在威胁:通过制定和实施行业标准,应用全面的风控技术和产品,配合经验丰富的风控团队来贯彻以安全为前提的产品设计理念,为客户提供高效且可信赖的安全支付产品和解决方案,抵御潜在安全威胁。
● 抵御当前攻击:帮助支付生态体系的参与者监控安全薄弱环节,尽可能做到Visa网络层面及早发现,通过实时/准实时的干预,降低欺诈攻击造成的损失。此外,Visa还通过风险管理项目来督促会员机构及时采取措施,对高风险的欺诈、争议,或违法交易等情况进行整改。
● 迭代竞争能力:Visa的安全策略随着技术及市场的演变而与时俱进,确保通过新支付渠道和支付方式交易的安全性。同时依托面向消费者的安全教育,提升普通消费者的安全意识,确保支付生态体系得到有效保护。
● 定制风控方案:针对不同会员机构的不同需求,Visa将提供一整套涵盖风险管理价值链的监控、预警、防御和修复的能力,会员机构依此进行自助式服务,或委托Visa风险运营中心或Visa咨询部门展开相关的风险管理服务。
从落地实施层面来看,Visa采用三位一体的措施,协助生态体系内的参与方识别、缓解、防范威胁。这三大支柱是:人才、技术、流程。
● 人才:Visa风险部门拥有优秀人才,以打击支付生态体系面临的各种威胁为己任。Visa风险部门在全球范围内进行7x24小时全天候不间断地甄别、归类和分析欺诈事件,确保准确识别并缓解威胁。通过这种实时在线的监控,Visa能够主动识别并及时防止欺诈攻击带来的灾难性损失。此外,Visa风险部门还为客户提供关于支付生态体系威胁的信息和舆情,通知相关方了解这些威胁以及提出实践方案和建议,从而达到减轻和防范威胁的目的。为了得到威胁情报,Visa风险部门成员会深入分析交易数据,监控网络犯罪和地下暗网市场,并对支付生态体系遭受的网络威胁和欺诈攻击中使用的恶意软件、工具和硬件设施进行技术分析。这些情报也被用于开发稳固、创新、有效的技术和流程,代表支付生态体系打击相关威胁。Visa还拥有一支全球化的咨询分析团队(Visa Consulting & Analytics,VCA),由分布在全球的数百名支付顾问、数据科学家和经济学家组成。他们与客户合作,通过情报分析和人工智能技术,协助确定网络安全战略、风险治理和合规性评估,并提供网络安全相关的培训、认知提升和教育,旨在为客户提供网络安全经验,帮助他们应对不断变化的商业环境,同时保护客户免受新兴的网络安全威胁攻击。
● 技术:Visa大力投资安全技术,力图防范、监测和消除支付数据和基础设施面临的威胁。过去六年间,Visa在技术和创新方面投资了100亿美元,利用人工智能技术和机器学习的强大能力有效地抵御了潜在的欺诈攻击。例如电商威胁干预(eCommerce Threat Disruption,eTD),通过扫描电商的硬件设施识别数字窃读行为,保护电商交易渠道。再例如Visa账户攻击情报(Visa Account Attack Intelligence,VAAI),对Visa支付网络上的枚举攻击进行实时监控,及时通知受影响的收单机构/商户,拦截和阻止支付账户枚举攻击。此外,还部署应用其他Visa风险防控技术,监控无卡/电商交易、ATM和POS渠道交易的异常情况。Visa持续开发新技术,通过生物识别技术和其他身份认证技术的组合,建立更加可靠的身份认证方式,防止拦截OTP和规避身份认证的攻击。仅2022年,Visa就成功帮助会员机构防范了270亿美元的欺诈损失。
● 流程:Visa风险部门将人才与技术紧密结合,开发出一系列流程,缓解和防范针对支付生态体系的攻击。例如,在发现恶劣的欺诈攻击后,Visa通过多种流程,包括对攻击交易、授权信息、整体支付量和攻击影响等进行详细分析,研判出精准阻断方式,既可以防范后续欺诈,同时力求将对合法交易的影响降至最低。
作为全球商业的关键引擎,Visa对安全的坚定承诺催生了新的创新,为可信赖的数字支付的未来提供动力——为每一次、每一笔交易。
本文作者:
曹明,Visa大中华区风险管理部总经理
参考资料:
1.MIT Technology Review Insights
2.Juniper Research, PYMNTS
3.Aite-Novarica; Application Fraud: How Do You Solve a Problem Like Identity
4.信息来源:2022年6月Visa发布的《安全威胁年度中期度报告》
*本文刊发在财新promotion频道,不代表财新网编辑部观点
