支付欺诈是一个大问题,而且在未来几年只会变得更糟。据平台称,到 2027 年,仅使用支付卡进行的欺诈交易预计将增加至 385 亿美元。
因此,预防支付欺诈对于企业及其客户至关重要,不仅是为了遵守反洗钱 (AML) 规定,而且为了保护资产和商业声誉。然而,这并不是最简单的任务,因为欺诈者不断寻找新的方法来实施支付欺诈,无论是使用社会工程还是创建相似的域名来冒充合法供应商。
什么是付款欺诈?
支付欺诈是窃取支付信息以进行未经授权的交易。有两大类:
- “持卡”欺诈是指犯罪分子使用偷来的或伪造的银行卡亲自购物(例如在 ATM 机或实体店)时发生的欺诈行为。然而,这种情况已不再常见,因为犯罪分子大多将注意力转向在线欺诈。
- “无卡”欺诈,发生在网上。此类欺诈通常涉及未经授权使用支付信息(卡号、账单地址、CVV 和有效期)在线购买产品(例如通过电子商务网站)。
网上支付诈骗是如何进行的?
第 1 步:欺诈者窃取您的个人信息
诈骗者实施支付诈骗首先需要的是个人信息。他们可以通过以下一些方式来获得它:
社会工程学
这是一种操纵技术,涉及欺骗人们泄露他们的敏感数据。这可能是犯罪分子冒充银行代表(使用一种称为欺骗的技术)给受害者打电话,并要求他们确认账户详细信息,包括付款信息。
网络钓鱼
社会工程最常见的方法是网络钓鱼,它使用电子邮件、电话、短信和社交媒体从毫无戒心的受害者那里收集敏感的个人数据。犯罪分子可能会发送一封假装来自合法在线服务的电子邮件,其中包含恶意链接,欺骗受害者输入登录凭据,从而导致帐户被盗用和身份盗用。
商业电子邮件泄露 (BEC)
这是一种复杂的网络钓鱼形式,针对企业的敏感信息和财务。目标包括人力资源部门、会计部门,甚至首席财务官等高级管理人员。其目标是使用社会工程技术来诱骗组织成员共享高度敏感的信息或进行未经授权的付款。
枚举
欺诈者还可以使用一种称为枚举的技术。此时,黑客会使用暴力破解软件确定登录凭据,该软件会测试多种组合以通过身份验证过程。一旦帐户被盗,黑客就可以获取敏感的个人信息,尤其是付款详细信息。
第 2 步:欺诈者使用您的个人信息进行未经授权的购买
一旦欺诈者掌握了个人信息,他们就有多种方式实施支付欺诈:
信用卡诈骗
如果某人的信用卡信息全部泄露,欺诈者就可以简单地实施信用卡欺诈,即使用他人的支付信息进行未经授权的购买,通常目的是获取和转售产品。
卡片测试
欺诈者并不总能获得完整的付款详细信息,这为其他付款欺诈技术(例如卡测试)打开了大门。此时,欺诈者(在本例中称为“持卡人”)会测试被盗的信用卡号,看看哪些卡号可用于进行未经授权的购买。这可以手动完成,欺诈者通过小额购买来检查卡的有效性,也可以使用特殊的机器人在短时间内测试大量卡,这称为梳理。适当的交易监控工具可以帮助提前发现卡和卡测试攻击。
三角欺诈
三角欺诈涉及三方——不知情的顾客、网上商店和作为中间人的欺诈者。通常发生的情况如下:毫无戒心的客户在合法市场(例如亚马逊)向欺诈性卖家下订单。然后,欺诈性卖家使用被盗的信用卡从合法卖家处订购实际产品。
网络游戏诈骗
欺诈者可以开发一款在 App Store 或 Google Play 上架的在线游戏。然后,游戏玩家被要求支付少量费用才能继续玩游戏,这使得欺诈者最终能够从与其 Apple ID 关联的卡中提取更多金额。
要在 App Store 上提供游戏,必须有一个银行帐户。在这种情况下,欺诈者会在新型银行和 MSB 开设银行账户,而不是在传统金融机构开设银行账户。因此,金融科技公司需要高质量的业务验证服务(KYB)。
退款欺诈(又名“友好欺诈”)
并非所有支付欺诈都涉及通过社交工程等窃取个人信息。友好欺诈是指某人有意在网上进行购买,然后联系银行谎称交易无效,对收费提出异议。为了识别这种欺诈行为,监控客户的行为模式非常重要。
可靠的交易监控工具可以让企业设置触发器来检测可疑交易,例如同一客户同时进行的购买、异常大的交易(高于反洗钱阈值)以及高风险国家/地区。
网上支付诈骗统计
根据摩根大通发布的《法新社 2022 年支付欺诈和控制报告》:
71% 的调查受访者表示,他们的组织在 2021 年曾成为支付欺诈攻击的受害者。
2021 年,68% 的组织成为商业电子邮件泄露 (BEC) 的目标。
支票 (66%) 和 ACH 借记卡 (37%) 是受支付欺诈活动影响最大的支付方式。
应付账款 (AP) 部门仍然最容易受到 BEC 的影响,58% 的调查受访者表示,他们的 AP 部门因电子邮件诈骗而受到损害。
2022 年全球电子商务因在线支付欺诈造成的损失预计将达 410 亿美元,高于上一年。预计到 2023 年,这一数字将进一步增长至 480 亿美元。
付款欺诈和洗钱
支付欺诈是洗钱 (ML) 的上游犯罪。换句话说,支付欺诈的收益最终需要由欺诈者进行洗钱。这意味着支付欺诈是洗钱案件的直接促成因素。
危险信号和防止支付欺诈的方法
以下危险信号通常表示付款欺诈:
- 异常交易金额
- 不寻常的跨境或国际交易
- 交易频率异常
- 异常交易类型
- 经常性退款
- 未知退款
- 陌生的送货地址
- 送货地址与 IP 地址相差太远
- 身份证件错误
- 交易超出账户余额或信用额度。
以下是如何在为时已晚之前发现上述危险信号的方法:
- 对客户资料、合作伙伴和供应商采取基于风险的方法
- 网络安全措施和政策,例如使用安全 VPN 等。
- 定期进行员工培训
- 使用可靠的 KYC 解决方案仅吸引值得信赖的用户
- 在异常活动的情况下请求面部验证
- 使用可靠的 KYB 解决方案来了解并信任与您合作的合作伙伴和企业客户
- 使用交易监控工具快速检测异常交易
- 加密交易
- 使用最新的软件。