第三方支付业务的反欺诈措施与技术探析

【摘要】第三方支付发展迅速，但支付交易的欺诈行为频繁发生。本文立足于第三方支付机构风险控制的实践，对第三方支付机构和监管机构均提出了六个反欺诈措施或技术，重点分析了支付机构风险控制平台技术与模型在反欺诈中的应用。

【关键词】第三方支付反欺诈措施 技术

受发放《支付业务许可证》的积极刺激和消费需求的拉动，第三方支付的交易用户和交易规模不断扩大，2011年交易额已超过2万亿元。在第三方支付高速增长的同时，支付欺诈频繁发生，方式多种多样。据中国反钓鱼网站联盟公布的数据显示：2011年上半年，有3880万网民在网上遭遇了支付欺诈；截至2011年10月，累计认定并处理了钓鱼网站68925个；认定并处理钓鱼网站2565个；电子支付、快递、网上银行成为当前钓鱼网站扎堆排名前三的领域。根据支付机构风险控制部门对欺诈案例的总结，欺诈犯罪主要通过木马、盗号、假币、虚拟交易、信用卡套现、盗卡、伪造卡、钓鱼网站等手段；受害者之中也不乏高学历、高智商的人群。当欺诈发生时，受害者可能是买家、卖家、也包括支付机构。因此，政府、监管机关、行业协会和第三方支付机构都有责任和义务宣传反欺诈、建立联合反欺诈机制，增强反欺诈措施和革新反欺诈技术、共同促进支付行业的安全与公正、维护合法权益和减少损失。

一、支付机构的反欺诈措施

在支付业务反欺诈中，支付机构承担了主要责任，但仍需健全风险管理机制、提高反欺诈技术，以促进支付交易公平进行、保障客户权益。

（1）执行实名制与认证。首先必须加强把关意识，按监管部门的要求对卖家入网资格严格把控，以及验证客户身份，如按人民银行反洗钱要求进行身份识别。每一笔申请尽量做到亲访客户，仔细审核申请人的情况，确保每一笔申请都是申请人本人意愿，且由本人填写、本人签名。申请人提供尽量完整的资料和必要的证明文件。必须细致地核实申请人的身份证件原件，确定其真实。对消费者举报过的企业进行关注和复审，甚至关闭与其合作的通道。其次在绑定和交易时要验证支付结算工具的合法性(如：银行卡号与支付账号同名，卡没有过期、卡没有挂失记录、在账户中有钱)。

（2）加强技术安全保障。在技术上使用NetScreen硬件防火墙、MD5数字签名、PCI-DSS认证、SSL数字证书加密以及密码安全控件相结合的金融级别的安全控制体系，以此确保通过支付机构的每一笔支付均能够获得最高级别的安全保障，不断完善风险控制硬件基础设施。

（3）完善支付风险控制。重点内容包括风险评级和信用评级，黑白名单制度，欺诈监控管理与报告，可疑欺诈交易监测，由专业的风险团队分析处理欺诈事件。

（4）对客户（包括买家和卖家）建立保障措施。客户保障是用来保护买家和卖家避免遭受欺诈、促进公平交易的是一种交易保障。对买家和卖家都列举各种适用的情形。例如，当交易是由被盗信用卡或者被盗支付账号完成的，经过损失方举证和支付公司核实，作为服务承诺的一部分，支付公司将偿还被盗款项，以及偿还与欺诈相关的费用。

（5）建立风险控制平台。这是一个复杂的反欺诈系统工程。通过这一系统平台，用户在网上交易中如果遇到问题，可以在第一时间得到解决或引导，同时也保证了一旦客户遭遇网络欺诈可将损失降到最低。风险控制平台能７*24小时提供事前、事中和事后的风险分析。

建立业务风险规则引擎是最直接有效预防欺诈交易和发现欺诈行为的手段。最简单的业务规则示例：用户的注册地ID与登录地ID跨省，拒绝该账户的订单，列入人工审核队列，由人工审核确认后再提交交易。通过业务风险规则引擎可实时监测到可疑欺诈交易，平台一旦发现可疑欺诈交易，可立即通知客服人员和风险控制专员。风险控制平台“交易单冻结与交易账户限制”功能，对控制欺诈交易意义重大。

在风险控制平台上建立基于统计学的“风控模型”。并保障模型的可扩展性。利用先进的数理统计技术，如神经网络模型，进行深度的数据挖掘，发展申请欺诈风险评分模型和交易欺诈风险评分模型，来预测信用卡申请或交易为欺诈的概率大小，为制定智能型反欺诈策略提供科学的依据。但任何模型建立的基础是有大量历史数据积累，通过海量数据及科学的模型才能得出结论。模型的参数需在实际交易中不断总结和修订。

使用风险控制平台的角色有：风控运营人员、风控分析人员、风控模型研究员、风控系统管理员。

（6）借鉴反欺诈经验。学习国际上反欺诈的IT技术和管理，借鉴银行业的反欺诈经验，对欺诈风险控制也有极大的促进作用。

二、政府、监管机关、行业协会的反欺诈措施

保障支付安全是一项社会系统工程。政府、监管机关、行业协会和支付机构需要共同努力，不断提升广大消费者的信息安全意识，构建安全的支付环境，切实有效地保护用户资金安全，推动第三方支付业务健康发展。

（1）建立风险事件联动协查机制。在人民银行领导下，支付机构统一协调，不断采用先进技术、管理手段，积极防范支付欺诈行为。通过建立支付机构之间的联系人网络，各支付机构在第一时间进行联动调查并及时采取有效防范措施，提高对支付欺诈案件的追查效率，减少用户损失，遏制支付欺诈犯罪。

（2）建立风险事件通报机制。在共享联动协查机制的基础上，强化第三方支付机构之间的信息沟通。

（3）建立风险事件信息共享机制。建立风险事件资料库，实现风险事件信息在第三方支付行业间共享，共同采取积极措施，保障支付安全。强化风险预防机制，组织召开支付风险防范研讨会，密切关注国内外安全技术发展动态，不断引入国内外最新的反欺诈技术手段，防患于未然。

（4）推动建立全国的第三方支付诚信体系。支付清算协会领导和推动建立全国的第三方支付诚信体系。针对实施欺诈的客户将其列入诚信体系黑名单，永久终止向行骗者提供支付公司服务，并将通过数据共享向所有合作伙伴传达，对其使用很多金融服务造成影响。

（5）第三方支付机构与反钓鱼网站联盟合作。第三方支付行业与反钓鱼网站联盟合作增强沟通，分享反钓鱼经验和信息，双方联合共同抵御网络钓鱼不法行为。

（6）第三方支付机构与银行联合反欺诈。加强与金融机构合作，借鉴各自反欺诈经验，对风险事件联查，共同打击欺诈行为，保障网络交易安全。

参考文献

[1]艾瑞资询.中国移动支付行业研究报告，2011.

[2]黄益建.企业风险管理[M].机械工业出版社，2011.

[3]孙书林.支付宝诈骗模式及其防范策略[J].江苏警官学院学报，2009(03).

作者简介：陈建增（1972-），男，会计师，高级审计师，杭州银通数码信息技术有限公司（第三方支付机构）合规与风险管理部总监。

（责任编辑：陈岑）