作者:中国工商银行软件开发中心副总经理 张 旻

当前,各地各部门不断加大打击治理电信网络诈骗违法犯罪的力度,多措并举,在一定程度上遏制了电信网络诈骗案件快速上升的势头。《中华人民共和国反电信网络诈骗法》的颁布,将反电信网络诈骗工作的意义提升到新的高度。然而,不断翻新的诈骗形式和作案手段,及其背后不断迭代更新的欺诈技术,仍让广大群众蒙受大量的资金财产损失。为应对网络风险新态势,工商银行将金融科技与反诈工作深度融合,以设备指纹技术为基础,创新应用机器学习、知识图谱、智能决策引擎等前沿技术,经过不断探索,构建了覆盖全渠道的设备风险态势感知、风险识别、风险处置、团伙挖掘等新型设备反欺诈防控系统,有效提升了工商银行电信网络诈骗防控能力,以实际行动守护人民群众的“钱袋子”。

一、金融黑灰产风险概述

金融数字化转型的加快给商业银行风险管理带来新的机遇,也带来了新的挑战。在商业银行积极推进数字化转型、促进金融服务更加灵活便捷的同时,金融黑灰产不法分子也在挖空心思寻找机会,移动端成为其重点攻击目标。2020年疫情以来,金融黑灰产呈现出高度专业化、产业化、隐蔽化和场景化的特点,且从业人员规模持续攀升。黑灰产团伙通过掌握核心攻防技术,不仅能够快速、低门槛地进行设备群控、远程控制以达到规模化远程诱导作案目的,还能够快速进行手机设备的信息修改,快速伪造地理位置或者直接伪造成新设备,绕开银行的各类风控措施并躲避追踪,甚至通过手机定制ROM以绕开银行各类关键身份认证手段。伪造设备往往会通过正常交易、正常业务进行掩护,使得欺诈交易的识别难度更高。面对金融黑灰产专业化、产业化的新特性和风险管控面临的新挑战,商业银行急需在设备风险防控的主动性和预测性上寻求新的突破。

二、设备反欺诈的主要内容

在防范治理电信网络诈骗的新形势下,工商银行积极履行大行担当和责任,认真贯彻落实习近平总书记关于打击治理电信网络诈骗犯罪工作的重要指示精神,积极响应《电信网络诈骗和跨境赌博“资金链”治理工作方案》的要求,坚持“精准研判、精细操作、精准打击”的原则,全方位开展风险防范工作。自2022年以来,工商银行个人涉案账户数、信用卡涉案账户防控水平一直保持同业领先,以实际行动守护人民群众的“钱袋子”。工商银行多年来持续对金融黑灰产动向和攻击技术进行跟踪和研究,就反欺诈过程中如何“在安全合规的基本要求下,快速、准确识别设备风险”的问题进行技术攻关和提前布局。《中华人民共和国反电信网络诈骗法》第十八条规定“银行业金融机构、非银行支付机构依照第一款规定开展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息”,为设备反欺诈提供了根本的法律支持。

工商银行设备反欺诈体系包含了设备指纹、设备风险画像以及设备风险态势感知全景视图等主要内容。

1. 设备指纹

众所周知,人的指纹具有唯一性,可以作为人的身份识别标识。对于设备而言,也有可以用于识别的特征。设备指纹(Device Fingerprint)是指可以用于唯一标识出某一设备的特征或者独特的设备标识,具有固定性、较难篡改性、唯一性等特质。为了识别和对抗金融黑灰产规模化、产业化、工具化的各类攻击手段,工商银行在满足隐私合规要求的前提下,通过采集设备本身的基础软硬件信息,应用人工智能算法对设备进行唯一标识。设备指纹通过算法的稳定性保证每台设备生成一个稳定、防篡改、全局唯一的设备ID,精准标识访问工商银行互联网金融业务的手机设备,其基本工作原理如图1所示。目前,工商银行已经利用设备指纹打通了手机银行、工银e生活、融e联等多个移动端应用渠道,使用同一套设备ID对全行客户访问设备进行风险画像和风险联防联控,即使金融黑灰产分子使用改机工具对设备信息进行深度篡改,大概率也能被识别出来。

2. 设备风险画像

欺诈设备往往有别于正常客户设备,工商银行设备反欺诈体系会对当前客户端设备的风险状况进行评估,从不同维度发现设备的潜在风险和威胁,充分发挥大数据和人工智能的算法优势进行设备风险评分,形成设备风险画像,沉淀多维设备黑灰名单。设备风险画像不仅可有效评估设备本身的风险程度,还可以结合客户金融交易的各要素特征,在业务办理的事前、事中、事后全流程中发挥重要风控作用。在事前,根据设备的历史评分发现当前交易的既往风险,预判当前交易风险;在事中,毫秒级实时识别当前交易设备的异常特征和异常运行环境,对转账汇款等重要动账交易进行防控;在事后,选取设备指纹中特异性较强的特征,构建智能分类模型,进行全量风险挖掘,可有效识别黑灰产攻击设备。

3. 设备风险态势感知

基于设备指纹技术,工商银行建立起对移动互联网持续性和主动性的监测能力,能够对移动互联网恶意应用、移动智能终端漏洞、安全攻击等安全状况进行感知检测,对风险设备历史接入信息进行回溯和分析,掌握其攻击方法和机制,准确把握终端安全风险发生的规律、动向、趋势,以便于及时对移动终端安全进行监测预警和应急处置,助力工商银行安全风险和欺诈风险的数字化运营。

三、设备反欺诈的工作成效

在工商银行反欺诈体系中,设备反欺诈这支特种兵部队不断开拓欺诈防控新高地,基于设备指纹技术对业务数据进行充分挖掘,利用知识图谱、无监督算法、半监督算法、有监督算法等技术和方式多角度充分挖掘,结合应用场景在近年来的工商银行多次重大风险对抗中,精确识别欺诈设备和被欺诈客户设备的风险特征,以短平快的战术精准打击各类金融黑灰产,高效保护了工商银行客户资金财产安全。设备风险防控流程如图2所示。

1. 有效防控金融黑灰产规模化工具

工商银行基于设备反欺诈系统对各类金融黑灰产工具的识别能力,已经建立起全行统一的设备风险识别服务,在手机银行、工银e生活等App中实现各类设备风险的识别,有效防控ROOT、越狱、改机、模拟器、多开、群控等高风险行为。目前,工商银行已基于设备反欺诈系统发现了超百种黑灰产工具,能有效检测到设备终端环境和运行风险并阻止恶意调试银行App,精准识别是否为机器、脚本发起的请求,有效防范一机多人、一人多机等风险。目前,工商银行已初步构建了与金融黑灰产正面对抗的能力,整体提高了行内App的安全基线,对于产业化、工具化及规模化的黑灰产团伙欺诈有较好的防范作用,设备反欺诈系统功能投产以来已经拒绝高风险设备近百万台。

2. 精准识别金融黑灰产团伙欺诈风险

设备反欺诈系统将设备环境的关键信息与客户、账户、行为等信息联结,构建百亿级反欺诈知识图谱,深度挖掘团伙犯罪的关联性并识别潜在欺诈风险,实现对犯罪团伙以点带面的精准打击。2023年以来,工商银行根据反欺诈知识图谱,从设备相似性和关联性出发,找出黑灰产设备的内在特征和规律性,把看似不相关的欺诈行为关联起来,发现了拥有上千台设备的欺诈团伙若干个。工商银行立即对该批设备进行了全量封禁,并对此设备上登录的客户采取了及时的保护措施,有效阻止了风险的继续蔓延和扩大,帮助客户避免了近亿元的资金损失。

3. 有效保护被诱导转账的受害人

近年来,大量欺诈分子冒充电商客服、银行工作人员、监管工作人员,以消除征信不良记录、降低利率、关闭贷款等为名,通过电话、网络等方式对金融客户进行引诱、威胁、恐吓等,在骗取信任后,诱骗客户主动转账,甚至诱导客户从银行借款后再主动转账。由于该类电信网络诈骗是客户本人使用自己手机发生的交易,且为客户本人主动发起,银行很难从客户、账户的维度找到有效的识别特征,一度成为银行最难防控的电信网络诈骗类型。工商银行通过设备反欺诈系统对类似的案例进行分析,分析其被骗过程中的设备使用表现,构建人工智能模型精准识别被害人,并对其进行有效保护。2023年6月以来,仅通过该项设备识别技术,工商银行就有效避免了客户上亿元的资金损失。

4. 精准打击“高精尖”金融黑灰产

当前,金融黑灰产越来越多地使用最新的攻击技术。2023年以来,人脸识别技术面临的攻击威胁持续增高,基于“定制ROM的视频替换”攻击(如图3所示)成为当前最“高精尖”的攻击方式,目前除了三色光线活检技术以外,业界并无其他有效的识别和防护手段。工商银行基于设备反欺诈系统,利用人工智能技术打造了针对定制ROM攻击的监控识别模型,通过机器学习模型对黑灰产定制ROM攻击及正常客户设备的特征进行模型训练,从近千项特征中提炼出数十维有效特征,实现了黑灰产攻击设备的分类识别。目前,工商银行已从设备反欺诈中找到了一条识别通过定制ROM进行AI人脸攻击对抗的新路径,攻克了定制ROM识别的业界难题,截至目前已经识别近十款定制ROM。

四、展望未来

工商银行基于设备反欺诈系统已在封禁“坏人/坏设备”方面建立起了强大的防御能力,全面提升全行设备安全防控能力。未来,工商银行还将应用设备反欺诈系统进一步在识别“好人/好设备”的方面持续发力,将基于设备指纹技术建设全行客户可信设备体系,通过结合客户行为和设备的主要特征,评估客户在指定设备上的行为可信程度,将客户行为划分为不同的可信等级(高、中、低、不可信),在不同业务场景根据可信等级进行个性化的客户体验提升,尝试为手机银行找到一条安全性和易用性双提升的创新之路,在提高应用产品安全性的同时更好地提升客户体验,践行以人民为中心的服务理念。

总之,金融黑灰产防控是一个持续对抗的过程,黑与白的博弈永远在路上。工商银行将基于设备反欺诈系统持续防御金融黑灰产攻击,有效保护客户资金安全,使传统的银行风险防控从“千人一策”转向“一客一策”,努力践行国有大行“数智风控、为民反诈”的社会责任和使命担当。

本文刊于《中国信用卡》2023年第12期

声明:本文来自中国信用卡,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。