网络诈骗“黑色产业”市场规模高达1100亿元,网络反欺诈路在何方?
随着中国互联网高速发展, 网络欺诈 也愈演愈烈。
公开数据显示, 自2015下半年至2016上半年,我国个人隐私信息泄露总计60.5亿条,其中8.6亿条个人信息被明码标价售卖,造成的总体经济损失达915亿元。
据《2016年国内银行卡盗刷 大数据 报告》不完全统计, 2016年全网统计银行卡盗刷共7095次,累计造成客户损失1.83亿元 。运营商黑卡数量超过1.3亿张,用于垃圾注册、 薅羊毛 、刷单等欺诈行为,网络欺诈的不法分子数量超过 160万人,网络诈骗“黑色产业”市场规模高达1100亿元,已成为中国第三大“黑色产业”。
“网络欺诈已经形成了‘黑色产业链’、‘灰色产业链’,其产业链的特征如何?存在哪些监管‘空子’?如何提高欺诈的犯罪成本?如何教育消费者?这些问题均是网络反欺诈上层设计的关键。”4月13日,中央网信办信息化发展局巡视员、副局长秦海在由《财经国家周刊》和瞭望智库共同举办的“网络反欺诈亟待上层设计”闭门会上,提出了一系列疑问。
同时与会的,还有来自公安部、中国人民银行、国家信息中心、中国互联网金融协会、中国支付清算协会等相关部委、协会人士,以及易宝支付、同盾科技等从事网络反欺诈业务的前沿企业,就如何完善反欺诈的上层设计和企业联动机制,进行了深入探讨。
网络欺诈五大新趋势
“随着网络和移动通讯技术在金融领域的广泛应用,网络欺诈也日益复杂多样。”中国人民银行支付结算司司长谢众表示。
趋势之一,是欺诈精准化。 欺诈团伙对于人们的个人信息了如指掌,以各种名目实施诈骗。受骗人覆盖各年龄层次,甚至还包括大学教授等高级知识分子。
趋势之二,是欺诈团伙追踪分析政策规章等监管动态,及时更新欺诈方式。 “曾经扫除的几个窝点中,甚至拥有专人整理、教授学习资料,对政府文件的各方各面分析得清楚透彻,能做到政策稍一调整,马上转变策略。”谢众说。
趋势之三,是为了提高诈骗效率,诈骗对象从个人向单位转移。 诈骗人员紧盯并潜入公司QQ群、微信群等沟通工具,重点关注财务人员,假冒总经理或董事长名义下令转账以牟取高额收益。
趋势之四,是欺诈团伙的开户机构目标逐渐从大型银行转向中小银行和第三方支付机构。
“大型银行技术和资金实力强,模型建设和体制机制上有着天然的优势,而其他机构对反欺诈工作的重视程度常不够,人力、物力、技术、数据等储备不足,反欺诈工作尚处于起步摸索阶段,为犯罪分子有选择地攻击相对薄弱的系统和环节提供了可乘之机。”中国支付清算协会副秘书长王素珍说。
趋势之五,是欺诈分子资金转移过程快,层级环节复杂。
公安部网络安全保卫局副局长钟忠感同身受:“一是诈骗行为跨行业,跨领域,跨国际,公安部甚至打到了东南亚、非洲、欧洲等境外国家;二是网络诈骗犯罪总体是碎片化而非体系化的,上下环节可能相互割裂,很难靠一次专项的、集中的、短期的行动把网络诈骗完全打掉。”
同盾科技联合创始人祝伟表示,欺诈行为已渗透到人们生活的方方面面:虚假点击骗取推广费用、注册账号骗婚骗招聘、刷单炒信进行虚假交易、组织黄牛秒杀营销抽奖、转发评论散布流言色情,等等。同时,欺诈的产业链条缜密完整:卡商搜集黑卡废卡、开发者提供黑产工具、下游人员进行黑产攻击。
“场景多样化、分工精细化、团伙集中化、全网流窜成为了欺诈行为的新特征。”祝伟说。
官民合力打出“组合拳”
当前,相关部门和民间各方都在探索着网络反欺诈的有效措施。
首要一点是提高技防能力。
“当前所面临的欺诈问题伴随互联网、新技术而来,因此也需要引进新技术来解决。”易宝支付总裁余晨表示。深耕B端市场多年的易宝支付,为此引进了 人工智能 等高科技手段,通过自主开发及与第三方合作,建构了机器学习和人工智能相结合的模型来进行风险预警,将欺诈交易的识别率提高了一个数量级。
同样,同盾科技也探索出了一套闭环:事前卧底欺诈团伙暗网、提前发现欺诈风险,事中围绕规则经验或机器模型识别指标异常,并在不同平台实时追踪拉黑,事后用图数据库、语义分析、知识图谱等方式做可视化调查。
其次,留存证据便于事后维权。
国家信息中心信息与网络安全部副主任叶红建议,众多机构和个人应提高意识,在交易的全过程中寻求帮助,留存证据。国家信息中心的司法鉴定中心能帮助受害人和受害机构在事前评估证据的真实性、合法性,以保证将来系统数据作为证据的有效性。事中,对交易合同的签署时间、签署人身份、交易数据等证据进行固定,保全重要数据。事后,则提供数据给公检法机关及仲裁机构,打击网络犯罪。
第三,要利用协会等组织机构的力量,为反欺诈行动建立共享机制。
中国互联网金融协会秘书长助理吕罗文介绍,协会成立了申诉(反不正当竞争)委员会,并上线运行了互联网金融举报信息平台,建立举报信息协同处理机制,定期统计和分析举报信息,搭建并持续完善互联网金融行业信用信息共享平台。
“中国支付清算协会也建成运行了支付行业风险信息共享系统,对符合风险类型特征的商户和个人实行黑名单管理,提升反欺诈能力。”王素珍说道。
第四,政府部门应予以高度重视,构筑起反欺诈的顶层设计。
钟忠介绍,公安部发起了多次打击信息犯罪的专项行动。2016年,公安部侦破网络侵犯公民个人信息犯罪案件1600多起,抓获4千多名犯罪嫌疑人,涉及公民个人信息40亿条。在ATM转账延时制度实行之后,公安部门建立了止付冻结平台,先冻结后立案,并建立全国反电诈中心,邀请互联网企业协调自有资源来提供支持,共同打击电信网络诈骗。
“电信业务存在诸多风险点,手机支付、短信营业厅等渠道风险层出不穷,工信部正着手进行跨行业信息评估,推进针对新业务、新渠道的风险防范措施。”工信部电信研究院通信信息安全研究所所长杨剑锋说。
反欺诈工作仍多方受阻
但尽管官民联合围追堵截,反欺诈工作仍因机制、体制和技术革新等障碍,进展缓慢。
首先,信息滥用现象普遍,民众个人信息保护意识差。
余晨从事反欺诈工作多年,他观察到人们日常生活中的服务办卡、问卷填写等诸多环节中,欺诈分子能轻而易举地攫取个人信息并在黑市上公开买卖。同时,网络域名注册门槛低导致大量钓鱼网站出现,种种疏漏为欺诈行为提供了温床。
“网络欺诈是网络犯罪和社会问题的结合,一方面具备技术性,另一方面是将传统诈骗活动迁移到网上的表现,单纯从某一方面考虑很难完全解决问题”钟忠指出。
其次,相比于欺诈行为缜密、高效的集团军作战,反欺诈行动停留在碎片化、各自为战的游击阶段,打击力度显得相形见绌。
“即便商业银行发现了可疑的资金交易,也无法实现对资金流的完整追溯,无法辨识跨行资金的风险,缺乏政策性和行业性的机制安排。”王素珍说。
中国人民银行征信中心副研究员刘新海对此表示,金融领域的欺诈几乎涉及到业务流程的每一个环节,人民银行的征信系统往往只能解决申请过程中的欺诈问题,且数据有限、更新速度慢,所以需要多部委、全方位的联防联控。
再次,市场上的打码数据、炒作信用等行为缺少法律依据,普遍存在违法成本低、执行周期长、执行费用高、事后处置难等问题,个人信息保护的制度环境亟待改善。
中国人民大学法学院副院长杨东教授表示,当前我国电子支付执法所依据的规章制度,仅有人民银行早前颁布的部门规章而非法律法规。且《电子商务法》中尚未授予人民银行相关行政许可,常造成执法困难。
“不论是业务监管还是市场巡查、处置,我国均未设立专门的队伍来执法,受害者向企业客服举报后的后端处理并不通畅。而且,相关法律的缺失使得监管层还大多停留在事后惩处量刑上,缺乏事前预防和事中监测。”杨剑锋说出了当前的主要困境。
跨部门、跨行业联防联控
“互联网新经济打破了传统业态和网络的界限,应该建立打击防范网络犯罪的动态感知平台和机制,便于发现新招数并及时通报,制止和防范网络犯罪,提升打击犯罪的能力。”钟忠表示。
余晨对此深有感触,称金融欺诈形成了涉及消费者、银行、商家、第三方平台等诸多环节的完整链条,要部委协调、官民合力,反欺诈工作才会有成效。
对此,祝伟提出了构建反欺诈网络体系的建议, “各行各业的数据不互通、信息不对称,为信息黑产提供了可趁之机,因而构建跨行业的智能网络体系是当务之急。”
这其中,行业协会等机构是建立共享平台的天然选择,吕罗文提议,整合行业机构、软硬件厂商、学院组织等,针对行业共性问题,推动个人信用信息的数据指标和技术接口标准的建立,解决行业机构个人信用信息共享的联通问题。
“应从顶层设计上建立行业或领域的反欺诈数据共享平台,设计不同平台之间的信息共享机制。”刘新海说。
余晨进一步认为,除联防联控外,还须从法治、消费者教育上加速工作。
法治方面,加强和完善个人信息和数据的立法保护,提高相关法规层级,从制度上和执法上切实保护个人信息安全。消费者教育方面,互联网企业及大型电商也应加入培育队伍,事前向消费警示风险,提升其安全意识。信息采集方面,各相关部门应设立信息收集边界,形成高效、无缝的监管链。
“在具体的监管安排中,无论政府机构还是企业、社会组织都应负起责任,欺诈是整个社会诚信和市场秩序的破坏者,不仅仅是几个政府部门的工作。”秦海认为,这是当前各方必须建立的共识。