揭秘银行反欺诈“招术”：网络安全专家教你如何防被骗

“道高一尺魔高一丈”用在互联网时代的网络行骗再合适不过了。不知网购达人和资深游戏玩家被网络江湖的骗子骚扰过没?

小编曾在淘宝购买一部录音电话座机后的第二天接到自称“卖家”电话，对方能详细说明本人购物留下的基本信息，并称货源不足要退款，而支付宝正在系统升级无法使用，直接退款到银行账户，在获得本人银行卡号后，对方要求小编尽快加其QQ，来进行在线转账。小编最初被对方掌握的信息蒙蔽信以为真，而当对方一再迫切要求本人立刻上网，感觉其中必有蹊跷，索性挂掉了电话，逃过了网络欺诈一劫。

这是典型的网络欺诈企图获取银行账户存款未遂的案例。而网络欺诈一旦得手，造成的经济损失是巨大的。普华永道2015全球信息安全状况事件调查报告显示，2014年在中国大陆与香港地区，检测到的网络犯罪事件导致企业平均财务损失增至240万美元，同比去年增长33%，而全球这一数值为270万美元，增长34%。

银行反欺诈“招数”

不仅个人和企业要加强防范意识，也对商业银行的风险管理提出了更高要求。因此，“反欺诈”在电子银行内部应运而生。

“反欺诈实际上是风险管理。”建行电子银行业务中心反欺诈团队主管赵智松对《第一财经日报》记者表示，银行注重风险管理，与传统银行信贷风险管理不一样，反欺诈更多是对客户交易风险度进行监控。传统银行安全是需要在柜台进行验证，客户与银行的验证是面对面场景。在互联网时代，传统银行业需要解决网上非面对面交易背景下，如何确保安全，将对执行交易的本人进行验证。

“随着技术应用的发展，欺诈也在不断升级。”赵智松表示，一直以来，银行非常重视网上非面交易的风险控制。2000年第一代网银U盾的推出，致力于解决非面交易的验证问题，网银U盾本质上是一种非见面对本人身份进行验证的交易协议。

赵智松进一步表示，随着互联网金融的发展，欺诈和获取不正当利益的手段越来越多，依靠传统U盾安全证书设置密码使得客户体验并不好，银行在技术上不断加固前端锁，而同质化渠道加锁安全等级没有提升，安全等级要在同步渠道多渠道进行控制，PC渠道、网上U盾和手机动态令牌。

为此，要选择客户安全和体验的平衡点，目的是将安全管控交给银行反欺诈团队来做，在后台为客户提供更多的保护，在前端展示则为提供客户更便捷安全的服务。

事实上，金融业不同客户在网络安全级别是不同的，而且不同规模的银行对网络安全的需求是不一样的。

北京谷安天下科技有限公司副总经理刘敬国对《第一财经日报》记者分析，银行网络安全大体分为三个阶段：第一，是安全作为基础设施建立安全体系的阶段;第二，初步建立体系后，股份制银行要求管理精细化、流程化、考核指标化的;第三，在基础设施基础上，实现业务与安全融合，通过业务与用户行为分析，为客户挽回损失，实现网络安全为业务创造价值。

赵智松表示，建行正在打造联防联控的合作机制。结合风控大数据，创新研发第三方合作支付商户风险评级模型，对与建行合作的第三方支付商户进行风险等级评估;根据等级评估情况，采取一户一策差异化策略，规范合作商户的风险管控工作;总行、分行、网点共同打造建行、合作商户、公安机关在内的联防联控合作机制，力求构建一个以建行为核心的应对互联网欺诈犯罪的防护生态圈。

事实上，反欺诈作为银行网络安全防控的最后一道防火墙，也避免了客户的直接经济损失。以建行为例，截至5月19日，该行互联网反欺诈累计帮助客户避免损失约4.93亿元，有效保障了客户资金安全。

互联网和移动端欺诈成新的风险点

近年来，随着互联网金融的风起云涌，倒逼传统银行更开放的融入互联网，传统金融与互联网金融形成强大的对冲力量。

对此，北京谷安天下科技有限公司总经理李华对《第一财经日报》记者表示，在银行互联网化和互联网金融过程中，网络安全也在升级。银行网络安全由传统内部系统和数据的保护，升级到所有数据开放过程中，银行电子银行或网络金融部门的安全压力。

“以前网络安全是内部保护为主，现在来自外部的威胁;以前是数据安全性，现在业务及诈骗问题更加突出，互联网诈骗带来的社会问题也在显现。”李华表示，目前信息安全更多跟业务、管理与治理相结合，目前传统银行主要在IT系统投入，而新兴互联网金融公司往往在风险防控没有做到位，造成很大的安全缺失。

因此，网络业务欺诈也需要新的方法。李华进一步表示，传统反欺诈是按照固定规则进行识别，在互联网金融时代，既有规则会失效，反欺诈需要新的方法识别网络欺诈和恶意骗贷，比如采用大数据和反自动的技术发现异常行为，通过这些行为判断是否存在异常风险，将是反欺诈新的方向。

普华永道中国网络安全服务合伙人冼嘉乐则对《第一财经日报》记者表示，互联网金融和移动设备是网络安全的新风险点。其中，用户安全意识不高也是重要诱因，比如公共场所的免费wifi可能是黑客入侵的渠道。新的科技随之带来新的风险，对移动端的风险要重点把握。

2014年以来，移动端风险层出不穷，成为反欺诈的关注重点。赵智松也认为，移动端需要更智能的风控技术，新兴技术通过系统风控进行识别，先进技术一般在前端识别，而对手机端识别风险难度更大，因为PC端位置是固定的，移动端使用场景更复杂，手机木马传播效率更高。

为此，建行采取的措施是推进智能化事中控制：一方面，通过典型欺诈案例特征研究并结合客户历史交易行为习惯，部署相应的控制策略和措施;另一方面，通过位置服务、终端识别等新技术应用，持续优化提高规则控制有效性，将高命中率的监控模型应用系统智能化自动防控。

那么，个人如何增强防范意识，进行反欺诈呢?对此，赵智松建议，第一，网络安全的往往是信息泄露太多造成的，木马病毒不断翻新，不管用户收到哪种信息，涉及资金往来要小心;第二，来历不明的短信、QQ对话，安全防范意识要有，双通道核实当事人确认，不明链接不能点击，手机最好装杀毒软件;第三，登陆官网要注意识别有官网认证的标志;第四，支付短信验证码不能告诉任何人;第五，有关资金和支付的密码设置，要与社交密码相区别。