宋妍,中国邮政储蓄银行网络金融部高级业务专家
宋爽,中国邮政储蓄银行网络金融部处长
刘万里,中国邮政储蓄银行网络金融部副处长
郑金纲,中国邮政储蓄银行网络金融部产品研发经理
王夕萌,中国邮政储蓄银行网络金融部产品研发经理
据统计,2022年银行业非柜面交易占比为97%,践行了“支付为民”的业务发展理念。然而在此过程中带来的电子银行交易安全问题也尤为突出,愈加严峻复杂的欺诈形势表明,优化电子银行服务和防控风险工作具有长期性、艰巨性和复杂性。其中,提高智能风控模型能力是商业银行电子银行防控欺诈风险的重要研究内容。
图12021年中国前十大电信网络诈骗手法损失金额占比
一、电子银行交易六大高发电诈类型剖析
1.1网络刷单返利类诈骗
网络刷单返利诈骗是目前衍生类型最多、变化速度最快的电诈类型,这主要归结于其“引流成功率较高、返利周期较短”的特性。并且网络刷单返利诈骗较容易被“融合”在其他电信网络诈骗手法当中,该结合体已经成为电信网络诈骗的主要引流方式,犯罪流程如图2所示。
图2网络刷单返利诈骗犯罪流程示意图
1.2虚假投资理财类诈骗
虚假投资理财诈骗手法多呈现出“杀猪盘”模式,这是一种通过网络交友,诱导受害者进行虚假投资理财、赌博等类型的诈骗方式。起初,“杀猪盘”诈骗多通过网恋方式,诱导受害者转账或投资,又骗感情又骗钱;而近年来,A股“杀猪盘”频现,诈骗分子通过“炒股大V”等虚假身份骗取受害者信任,诱导其投资虚假产品,目前已逐渐演变成一种常见的收割散户的方式。虚假投资理财类诈骗的犯罪流程如图3所示。
图3虚假投资理财类诈骗犯罪流程示意图
在犯罪场景方面,诈骗分子主要通过前期引流、建立感情获取信任、推荐投资理财产品、切断联系并完成诈骗四个步骤实施整个犯罪过程。前期通过聊天等手段建立信任或感情基础的过程十分重要,因此诈骗分子精心准备聊天剧本等“猪饲料”并着重建立感情/信任的“养猪”过程,这关系到其能否完成“杀猪”诈骗环节。在资金流方面,此诈骗类型涉及多种诈骗场景,受害者与诈骗分子的账户交易特点根据受骗场景的不同而呈现各自的交易特点;不过,投资理财类产品多具备金额大、回款周期较长等特点,因此虚假投资理财类诈骗的平均交易金额较大、且短时账户交易频率低。
1.3虚假网络贷款类诈骗
近年来,虚假网络贷款类诈骗方式花样百出,诈骗分子主要针对做生意需要资金周转、看病急需大笔费用、买车/房需要大量贷款等情景,自翊为知名贷款集团公司,利用放贷条件容易等诱饵引受害者入骗局,并通过提前收取手续费或保证金等各种名义费用行骗。等到受害者转账完毕后,随即断联,全程不与贷款人面谈任何贷款事宜,仅远程联系。虚假网络贷款类诈骗的犯罪流程如图4所示。
图4虚假网络贷款类诈骗犯罪流程示意图
1.4冒充客服类诈骗
冒充客服类诈骗主要针对经常网购的人群下手,并且案件数量随着近几年网络电商平台的飞速发展而逐步增加。这类诈骗手法并不高明,但犯罪分子却屡屡得手,主要是因为其事先非法购买或窃取了受害者的各类信息,导致受害人放松警惕而上当受骗,犯罪流程如图5所示。
图5冒充客服类诈骗犯罪流程示意图
在犯罪场景方面,诈骗分子主要通过前期获取私人网购信息、诱导下载贷款App或获取银行卡等私密信息、诱导转账支付、诱骗贷款并完成诈骗四个步骤实施整个犯罪过程。前期诈骗分子事先非法获取网购者的各项信息,是获取受害者信任的重要前提;随后,诈骗分子一步步以各种理由诱骗受害者转账汇款,直至受害者申请贷款并汇人特定银行账户。在资金流方面,受害者账户交易金额差异较大,主要取决于受害者发现骗局的所在阶段——申请网贷前识破骗局则诈骗金额相对较小,申请网贷后识破骗局则诈骗金额相对较大,且根据受害者信用评级变化。
1.5冒充公检法类诈骗
图6冒充公检法类诈骗犯罪流程示意图
在犯罪场景方面,诈骗分子主要通过前期窃取私人信息并获取信任、诱导转账并远程获取银行卡等个人信息、切断联系并完成诈骗三个步骤实施整个犯罪过程。此类诈骗类型具备两大特点:迷惑性强一一诈骗分子利用公检法对于普通人的威信力,恐吓其涉嫌犯罪,并且利用事先非法购买的公民信息伪造公文文件等迷惑受害者,使得受害者容易被操控并完成诈骗活动;作案手法隐蔽一一诈骗分子紧跟社会热点,编造各种虚假事由实施连环诈骗,且作案手法不断变化。在资金流方面,此诈骗类型涉及多种诈骗场景,受害者与诈骗分子的账户交易特点根据受骗场景的不同而呈现各自的交易特点。
1.6银行卡盗刷类诈骗
图7银行卡盗刷犯罪流程示意图
二、电子银行交易高发电诈类型的新特征
在对近几年的电信网络诈骗案件进行梳理后发现,电信网络诈骗案件呈现出高发多发态势,诈骗手法紧跟社会热点不断推陈出新,犯罪行为更加隐蔽化,并且逐步形成完善的电诈黑色产业链。这些新变化让受害者防不胜防的同时,也对反电诈工作造成巨大压力。具体而言,当前电信网络诈骗案件已呈现出以下新特征。
一是犯罪团伙公司化、分工专业化。根据近年来侦破的电信网络诈骗案的报道等资料,犯罪团伙越来越呈现出集团公司化、分工专业化的发展趋势,如图8所示。除了传统的话务组、卡商组、资金组之外,最新出现了法务组、技术组、策划组等,甚至在2018年以后还出现了将话务组、策划组、网站运营优化、群发诈骗短信等工作外包的发展趋势。此外,为了维系整个诈骗集团的正常运营,诈骗团伙内还有专门的类似后勤保障组、物资采购组、看护组、安全组等属性小组,“集团”内部分工明确、管理脉络严格清晰。
图8电信网络诈骗团伙“组织架构图”
五是电信网络诈骗黑灰产业链化。电信网络诈骗犯罪分工逐步趋向于技术化、精细化,由此催生出大量为犯罪分子实施诈骗提供支持并从中牟利的黑灰产业链,如图9所示。这种现象加速了电信网络诈骗的泛滥,导致此类犯罪持续高发。2019年司法大数据显示,电信网络诈骗案例中有19.16%的案件是精准诈骗,也就是说犯罪分子在实施诈骗之前会通过各种渠道获取受害者个人信息,并针对性地进行电诈,大大提高了诈骗的成功率。此外,为了加大诈骗资金的追查难度和隐蔽性,犯罪团伙设计出跑分平台等洗钱模式,使得诈骗资金经过多个账户层层流转,频繁操作转入转出,以期达到混淆视听的效果。
图9电信网络诈骗团伙黑灰产业链简图
六是犯罪成员年轻化、低学历化。在逮捕的犯罪团伙中,涉案人员多为青壮年,这些犯罪分子大多学历低,初入社会后未找到满意的工作,同时受到不良消费观念的影响,如追求名牌、爱慕虚荣,因此在自身经济条件不允许情况下,铤而走险走上犯罪道路。此外,朋友圈、社交圈也是引其误入歧途的重要因素。很多成员都是熟人拉拢入伙作案,发展身边人为下线成员,逐渐形成诈骗小团伙。
三、电信网络诈骗监测模型梳理
3.1基于机器学习的欺诈监测模型
3.2.1洗钱新客风险识别模型
3.2.2涉诈中转账户识别模型
通过挖掘手机银行客户在开户、交易、对手方等领域的多种特征,并收集曾经发生过的电信诈骗案例作为模型黑样本标签,以XGBoost模型为基础,建立电子渠道涉诈账户识别模型,主要用于在手机银行渠道快速识别电信诈骗风险客户。将该模型识别出的疑似风险账户与公安下发涉案账户、司法查冻扣账户进行比对,精确率可达到48%左右。
3.2.3电诈团伙识别模型
电诈团伙识别模型利用图神经网络方法挖掘社区和网络之间的异常,对客群风险情况进行分析,建立涉诈团伙识别能力。具体而言,该模型基于20万个账户节点、43万条连边和262个节点特征,构建GraphSAGE模型,针对度中心性前几名账户,进行交易行为关联性分析,识别电诈风险团伙型交易,识别电诈中转账户和收款账户。
3.2.4电诈受害人风险识别模型
3.2.5黑产社区客群标签染色模型
黑产社区客群标签染色模型是基于标签传播算法的社区客户分类模型。涉案账号一般存在多账号局部关联情况,从而形成账号群,包含犯罪分子和受害者的多个账号。客群标签染色模型分别构建账号和设备号序列,对黑白样本设备与序列号之间的关系进行映射,使用LPA算法构建社区,得到账号与设备号的社区,结合涉诈团伙聚集情况,对与被电诈客户同一社区内的其他客户进行染色处理,并进行风险提示。
3.2.6位置网络信息模型
根据涉案案例分析,部分涉案卡在犯罪过程中有短时多频更换IP设备的情况,因此,地理位置和网络信息对于电诈风险评估具有重要意义。通过分析银行卡交易地址、IP地址、入网设备型号等信息,并结合客户的社交网络信息,以GBDT为模型基础,构建基于位置和网络信息的模型。该模型通过将地理位置和网络信息相结合,能够更好地识别和控制风险,提高风控效果。
四、防范电信网络诈骗工作建议
此外,银行网点也是强化预警劝阻的重要一环,当前众多商业银行在开户审核、转账查询等多个业务方面加强网点工作人员反电诈培训工作,提高网点人员反电诈意识和甄别能力,及时发现潜在受害群众,采取劝阻措施。央行支付结算司公布的数据显示,2021年银行网点累计协助公安机关发现可疑涉诈开户人员线索8872个,网点银警协同反诈效果明显。