公開數據顯示,自2015下半年至2016上半年,我國個人隱私信息泄露總計60.5億條,其中8.6億條個人信息被明碼標價售賣,造成的總體經濟損失達915億元。
據 《2016年國內銀行卡盜刷大數據報告》不完全統計,2016年全網統計銀行卡盜刷共7095次,累計造成客戶損失1.83億元。運營商黑卡數量超過 1.3億張,用于垃圾注冊、薅羊毛、刷單等欺詐行為,網絡欺詐的不法分子數量超過160萬人,網絡詐騙“黑色產業”市場規模高達1100億元,已成為中國 第三大“黑色產業”。
“網絡欺詐已 經形成了‘黑色產業鏈’、‘灰色產業鏈’,其產業鏈的特征如何?存在哪些監管‘空子’?如何提高欺詐的犯罪成本?如何教育消費者?這些問題均是網絡反欺詐 上層設計的關鍵。”4月13日,中央網信辦信息化發展局巡視員、副局長秦海在由《財經國家周刊》和瞭望智庫共同舉辦的“網絡反欺詐亟待上層設計”閉門會 上,提出了一系列疑問。
同時與會的,還有來自公安部、中國人民銀行、國家信息中心、中國互聯網金融協會、中國支付清算協會等相關部委、協會人士,以及易寶支付、同盾科技等從事網絡反欺詐業務的前沿企業,就如何完善反欺詐的上層設計和企業聯動機制,進行了深入探討。
網絡欺詐五大新趨勢
“隨著網絡和移動通訊技術在金融領域的廣泛應用,網絡欺詐也日益復雜多樣。”中國人民銀行支付結算司司長謝眾表示。
趨勢之一,是欺詐精準化。欺詐團伙對于人們的個人信息了如指掌,以各種名目實施詐騙。受騙人覆蓋各年齡層次,甚至還包括大學教授等高級知識分子。
趨勢之二,是欺詐團伙追蹤分析政策規章等監管動態,及時更新欺詐方式。“曾經掃除的幾個窩點中,甚至擁有專人整理、教授學習資料,對政府文件的各方各面分析得清楚透徹,能做到政策稍一調整,馬上轉變策略。”謝眾說。
趨勢之三,是為了提高詐騙效率,詐騙對象從個人向單位轉移。詐騙人員緊盯并潛入公司QQ群、微信群等溝通工具,重點關注財務人員,假冒總經理或董事長名義下令轉賬以牟取高額收益。
趨勢之四,是欺詐團伙的開戶機構目標逐漸從大型銀行轉向中小銀行和第三方支付機構。
“大 型銀行技術和資金實力強,模型建設和體制機制上有著天然的優勢,而其他機構對反欺詐工作的重視程度常不夠,人力、物力、技術、數據等儲備不足,反欺詐工作 尚處于起步摸索階段,為犯罪分子有選擇地攻擊相對薄弱的系統和環節提供了可乘之機。” 中國支付清算協會副秘書長王素珍說。
趨勢之五,是欺詐分子資金轉移過程快,層級環節復雜。
公安部網絡安全保衛局副局長鐘忠感同身受:“一是詐騙行為跨行業,跨領域,跨國際,公安部甚至打到了東南亞、非洲、歐洲等境外國家;二是網絡詐騙犯罪總體是碎片化而非體系化的,上下環節可能相互割裂,很難靠一次專項的、集中的、短期的行動把網絡詐騙完全打掉。”
同 盾科技聯合創始人祝偉表示,欺詐行為已滲透到人們生活的方方面面:虛假點擊騙取推廣費用、注冊賬號騙婚騙招聘、刷單炒信進行虛假交易、組織黃牛秒殺營銷抽 獎、轉發評論散布流言色情,等等。同時,欺詐的產業鏈條縝密完整:卡商搜集黑卡廢卡、開發者提供黑產工具、下游人員進行黑產攻擊。
“場景多樣化、分工精細化、團伙集中化、全網流竄成為了欺詐行為的新特征。”祝偉說。
官民合力打出“組合拳”
當前,相關部門和民間各方都在探索著網絡反欺詐的有效措施。
首要一點是提高技防能力。
“當前所面臨的欺詐問題伴隨互聯網、新技術而來,因此也需要引進新技術來解決。”易寶支付總裁余晨表示。深耕B端市場多年的易寶支付,為此引進了人工智能等高 科技手段,通過自主開發及與第三方合作,建構了機器學習和人工智能相結合的模型來進行風險預警,將欺詐交易的識別率提高了一個數量級。
同樣,同盾科技也探索出了一套閉環:事前臥底欺詐團伙暗網、提前發現欺詐風險,事中圍繞規則經驗或機器模型識別指標異常,并在不同平臺實時追蹤拉黑,事后用圖數據庫、語義分析、知識圖譜等方式做可視化調查。
其次,留存證據便于事后維權。
國家信息中心信息與網絡安全部副主任葉紅建議,眾多機構和個人應提高意識,在交易的全過程中尋求幫助,留存證據。國家信息中心的司法鑒定中心能幫助受害人和 受害機構在事前評估證據的真實性、合法性,以保證將來系統數據作為證據的有效性。事中,對交易合同的簽署時間、簽署人身份、交易數據等證據進行固定,保全 重要數據。事后,則提供數據給公檢法機關及仲裁機構,打擊網絡犯罪。
第三,要利用協會等組織機構的力量,為反欺詐行動建立共享機制。
中國互聯網金融協會秘書長助理呂羅文介紹,協會成立了申訴(反不正當競爭)委員會,并上線運行了互聯網金融舉報信息平臺,建立舉報信息協同處理機制,定期統計和分析舉報信息,搭建并持續完善互聯網金融行業信用信息共享平臺。
“中國支付清算協會也建成運行了支付行業風險信息共享系統,對符合風險類型特征的商戶和個人實行黑名單管理,提升反欺詐能力。”王素珍說道。
第四,政府部門應予以高度重視,構筑起反欺詐的頂層設計。
鐘忠介紹,公安部發起了多次打擊信息犯罪的專項行動。2016年,公安部偵破網絡侵犯公民個人信息犯罪案件1600多起,抓獲4千多名犯罪嫌疑人,涉及公民 個人信息40億條。在ATM轉賬延時制度實行之后,公安部門建立了止付凍結平臺,先凍結后立案,并建立全國反電詐中心,邀請互聯網企業協調自有資源來提供 支持,共同打擊電信網絡詐騙。
“電信業務存在諸多風險點,手機支付、短信營業廳等渠道風險層出不窮,工信部正著手進行跨行業信息評估,推進針對新業務、新渠道的風險防范措施。”工信部電信研究院通信信息安全研究所所長楊劍鋒說。?
反欺詐工作仍多方受阻
但盡管官民聯合圍追堵截,反欺詐工作仍因機制、體制和技術革新等障礙,進展緩慢。
首先,信息濫用現象普遍,民眾個人信息保護意識差。
余晨從事反欺詐工作多年,他觀察到人們日常生活中的服務辦卡、問卷填寫等諸多環節中,欺詐分子能輕而易舉地攫取個人信息并在黑市上公開買賣。同時,網絡域名注冊門檻低導致大量釣魚網站出現,種種疏漏為欺詐行為提供了溫床。
“網絡欺詐是網絡犯罪和社會問題的結合,一方面具備技術性,另一方面是將傳統詐騙活動遷移到網上的表現,單純從某一方面考慮很難完全解決問題”鐘忠指出。
其次,相比于欺詐行為縝密、高效的集團軍作戰,反欺詐行動停留在碎片化、各自為戰的游擊階段,打擊力度顯得相形見絀。
“即便商業銀行發現了可疑的資金交易,也無法實現對資金流的完整追溯,無法辨識跨行資金的風險,缺乏政策性和行業性的機制安排。”王素珍說。
中國人民銀行征信中心副研究員劉新海對此表示,金融領域的欺詐幾乎涉及到業務流程的每一個環節,人民銀行的征信系統往往只能解決申請過程中的欺詐問題,且數據有限、更新速度慢,所以需要多部委、全方位的聯防聯控。
再次,市場上的打碼數據、炒作信用等行為缺少法律依據,普遍存在違法成本低、執行周期長、執行費用高、事后處置難等問題,個人信息保護的制度環境亟待改善。
中國人民大學法學院副院長楊東教授表示,當前我國電子支付執法所依據的規章制度,僅有人民銀行早前頒布的部門規章而非法律法規。且《電子商務法》中尚未授予人民銀行相關行政許可,常造成執法困難。
“不論是業務監管還是市場巡查、處置,我國均未設立專門的隊伍來執法,受害者向企業客服舉報后的后端處理并不通暢。而且,相關法律的缺失使得監管層還大多停留在事后懲處量刑上,缺乏事前預防和事中監測。”楊劍鋒說出了當前的主要困境。
跨部門、跨行業聯防聯控
“互聯網新經濟打破了傳統業態和網絡的界限,應該建立打擊防范網絡犯罪的動態感知平臺和機制,便于發現新招數并及時通報,制止和防范網絡犯罪,提升打擊犯罪的能力。”鐘忠表示。
余晨對此深有感觸,稱金融欺詐形成了涉及消費者、銀行、商家、第三方平臺等諸多環節的完整鏈條,要部委協調、官民合力,反欺詐工作才會有成效。
對此,祝偉提出了構建反欺詐網絡體系的建議,“各行各業的數據不互通、信息不對稱,為信息黑產提供了可趁之機,因而構建跨行業的智能網絡體系是當務之急。”
這其中,行業協會等機構是建立共享平臺的天然選擇,呂羅文提議,整合行業機構、軟硬件廠商、學院組織等,針對行業共性問題,推動個人信用信息的數據指標和技術接口標準的建立,解決行業機構個人信用信息共享的聯通問題。
“應從頂層設計上建立行業或領域的反欺詐數據共享平臺,設計不同平臺之間的信息共享機制。”劉新海說。
余晨進一步認為,除聯防聯控外,還須從法治、消費者教育上加速工作。
法治方面,加強和完善個人信息和數據的立法保護,提高相關法規層級,從制度上和執法上切實保護個人信息安全。消費者教育方面,互聯網企業及大型電商也應加入 培育隊伍,事前向消費警示風險,提升其安全意識。信息采集方面,各相關部門應設立信息收集邊界,形成高效、無縫的監管鏈。
“在具體的監管安排中,無論政府機構還是企業、社會組織都應負起責任,欺詐是整個社會誠信和市場秩序的破壞者,不僅僅是幾個政府部門的工作。”秦海認為,這是當前各方必須建立的共識。