中国银联云闪付部 李 嘉 郑蕊中

  2022 年12 月1 日起，《中华人民共和国反电信网络诈骗法》正式施行，为金融机构贯彻落实党中央严厉打击电信网络诈骗(以下简称“电诈”)的工作任务提供了强有力的法治保障。其中，第三章“金融治理”明确对银行业金融机构和非银行支付机构在账户开立、异常账户与可疑交易监测、可疑交易处置等方面提出了细化要求，进一步压实上述机构的反诈责任。近年来，移动支付市场持续高速发展，移动支付产品已成为居民日常生活不可或缺的一部分，而同时各种形态的电诈案件亦是屡见不鲜、屡防不止，成为支付服务提供方及参与方(以下通称“支付服务主体”)等各类机构在日常工作中的痛点和难点。基于电诈欺诈手法的演变路径，支付服务主体可通过建设数字化反诈防控体系，加强产业联防联控，共同推动反电诈工作取得更大实效。

  一、电诈欺诈路径演变分析

  复盘各类电诈案例来看，从欺诈分子实施电诈到完成受害者资金转移的过程涉及多个环节，至少包括收集(潜在)受害者信息、与受害者建立信任及骗取转移受害者资金三个阶段(如图1 所示)。其中，阶段三即从受害者本人发起支付请求到确认支付的时长相对较短，是整个诈骗流程中较容易的步骤，而受害者往往并不明晰真实支付的场景或目的，因此支付服务主体需重点围绕支付过程的轨迹信息开展事中防控。

图1 欺诈分子实施电诈的基本流程

  欺诈分子主要通过以下五种交易类型引导受害者付款。

  1.ATM 汇款

  以往欺诈分子通常引导受害者前往银行网点通过A T M 向指定账户转账。2016 年12 月，人民银行发布《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》，明确要求发卡银行在受理个人通过自助柜员机转账起24 小时内，应支持个人向发卡银行申请撤销转账。根据人民银行发布的《关于进一步加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》要求，自2019 年4 月1 日起，银行应当在营业网点和柜台醒目位置张贴防范电信网络新型违法犯罪提示，并提醒客户阅知。同时，各商业银行亦对临柜办理转账业务的客户持续加强面对面风险提示，并针对可疑大额转账业务及时进行沟通劝阻。因此，近年来，受害者被欺诈分子引导通过A T M 等线下渠道转账的诈骗案例已逐渐减少。

  2. 线上转账

  欺诈分子引导受害者通过移动客户端(包括各类电子钱包，如银行A p p、微信支付和支付宝等第三方支付工具)发起线上转账完成资金转移，可细分为卡号转账(收款方为银行卡账号)、手机号转账(收款方为移动客户端账户的注册手机号)和其他类型转账(收款方为支付账户或余额账户，红包转账也属于这种类型)。收款方账户由个人向发卡银行或支付机构申请，收款方作为电诈资金的直接受益方或中转方，这种骗取受害者资金并转移的方式也称为“C2C 转账”。2020 年10 月，国务院打击治理电信网络新型违法犯罪工作部际联席会议办公室召开全国“断卡”行动推进会，对打击整治非法开办贩卖电话卡银行卡违法犯罪工作进行再部署再推动，依法清理整治涉诈银行卡、电话卡、物联网卡以及关联互联网账号等，从源头上斩断犯罪分子的信息流和资金流。产业链各方多措并举，如电信企业对“睡眠卡”等高风险电话卡开展二次实人认证和处置，银行及支付机构对长期不动户、“一人多卡”、频繁挂失补换卡等异常银行卡开展清理，开户机构加强核查个人账户开户环节并升级可疑交易监测及管控，公安机构加大案件处置和惩戒等多方治理力度，“断卡”行动成效显著。因此，当前欺诈分子引导受害者通过C2C 转账的方式转移电诈资金已不再是惟一的主流手段。

  3. 条码支付

  国内支付市场中二维码支付普及率极高，二维码可分为主扫收款码和被扫付款码，其中主扫收款码又可分为个人收款码和商户收款码。付款码和收款码的支付流程如图2 所示。欺诈分子自行注册或向他人“租借”收款码，通过远程方式诱导受害者扫码完成付款。欺诈分子也可自行注册或“租借”商户，诱导受害者出示付款码后再扫码完成受害者资金扣款。由于受害者完全习惯扫码支付，在确认支付过程中并不知悉收款码实际对应的个人账户或商户结算账户信息，当其事后发现被骗后难以确认资金去向，需联动公安机关或支付服务主体等机构进行追查。2021 年10 月13 日，《中国人民银行关于加强支付受理终端及相关业务管理的通知》发布并于2022 年3 月1 日起执行，包括条码支付在内的支付受理终端被纳入监管。随着相关工作逐步推进落地，个人收款码及商户收款码被用于违法违规活动的情形亦得到一定程度的控制。

图2 付款码和收款码的支付流程

  4. 线上商户付款

  线上平台类或垂直行业商户由于销售易变现商品(如黄金珠宝、话费充值、不记名票券、购物卡、3C 电子产品等)，亦成为欺诈分子利用作案的媒介。与前述三种交易类型不同，该模式下，欺诈分子在商户平台上选购易变现商品并生成待支付订单，将支付链接包装后发送给受害者，由受害者完成确认支付的最后环节，相当于受害者为欺诈分子支付订单，易变现商品也将直接寄往欺诈分子掌握的地址，在其收货后完成变现。该模式下收款商户本身未直接参与电诈骗局，亦为受害方。该类手法对事中风险防控及事后资金溯源追回等工作都提出了相应的挑战。

  5. 虚拟货币

  虚拟货币具有去中心化、匿名性、全球自由流通兑换、无国界限制和交易便捷等典型特征。欺诈分子利用公众对虚拟货币等新生事物认知较浅，诱导受害者使用虚拟货币进行交易，并利用虚拟货币的特性，将赃款快速在全球进行流转，加剧了资金追踪、挽损难度。2021 年9 月15 日，人民银行等十部门联合下发《关于进一步防范和处置虚拟货币交易炒作风险的通知》，明确虚拟货币不具有与法定货币等同的法律地位，虚拟货币相关业务活动均属于非法金融活动。至此，国内炒作虚拟货币的热度得到一定控制。

  二、电诈风险防范体系实践介绍

  电诈手法随着技术进步亦在持续迭代更新，欺诈团伙如今已进化为有组织、有分工的黑色产业链，能够快速对抗风控手段，对受害者实施精准诈骗。如前文所述，支付服务主体的发力点主要是基于用户通过支付工具在包括支付前、支付中和支付后等环节留存的轨迹，识别用户疑似被骗概率，重点在支付中进行事中分层干预，从而起到劝阻用户被骗以挽回潜在损失的效果。围绕用户通过移动客户端发起的线上转账、条码支付、线上支付等交易类型，建立用户电诈风险防范体系(如图3 所示)，通过在前端即移动客户端采集设备终端环境信息，并通过后台结合用户的行为轨迹、交易对手方关系、资金流向等多元数据流信息，识别用户交易的风险等级，对疑似被骗交易制定多层次的处置措施。

图3 用户电诈风险防范体系

  前端信息采集方面，在遵守用户隐私政策的前提下移动客户端采集各类移动设备信息如设备序列号、M A C 地址和S I M 卡序列号等。其中，设备序列号一般不随设备恢复出厂设置或用户操作而改变，属于不可变更的唯一设备识别码。当用户通过移动客户端登录风险设备或非常用设备时，该体系支持快速识别。而I P、G P S 等与网络或空间位置有关的信息，可辅助分析用户的行为轨迹是否合乎常理。

  后台用户信息方面，用户的行为轨迹囊括了其在多个场景中操作留存的信息数据。行为场景中如注册、登录、绑卡和用户信息变更(如密码更改)等信息，支付场景中如支付方式、交易的对手方(如转账转入卡、消费商户)、资金进出情况等信息，可用于还原用户的交易全貌，形成用户的活跃度、对手方场景偏好等标签。

  以提升风险交易识别准确性、降低对正常交易的打扰度为宗旨，结合前后台的多元数据信息，该体系动态实时提炼用户在不同场景的风险特征，对用户的当前交易计算风险评级，进而实时采取差异化、梯度化的分层处置手段。对于可信交易，可采取提升支付体验的弱验证方式;对于轻度风险交易，可采取弹窗提示、问卷填写、二次确认等方式，对用户进行警示以劝阻用户规避诈骗交易;对于中度风险交易，可采用短信验证码、人脸验证等方式，对用户本人身份进行确认;对于重度风险交易，可采用设置直接拦截、设置交易冷静期窗口、临时冻结账号等多类型阻断交易的方式。另外，若交易对手方命中已知黑名单，可直接拦截交易。黑名单的来源包括用户投诉、黑灰产等线索，可通过产业联防联控的方式实现共享。

  1. 线上转账

  在线上转账场景中，遭遇电诈的用户多被引导向陌生人(骗局直接受益方)发起转账请求。实时计算转账关系在交易网络的存续周期是线上转账电诈风险防范的基本要点，可针对用户维度的异常风险特征，叠加交易强度、交易对手方情况进行布控。如针对新注册用户向陌生人发起多笔转账请求、沉默用户修改密码后立即向陌生人大额转账等情形进行防范。

  2. 条码支付

  在条码支付场景中，欺诈分子往往通过远程方式向受害者提供商户码以转移受害者资金，与正常在线下商户门店扫码场景相比，受害者和交易对手方形成显著的非面对面交易特征。具体来看，受害者的疑似异常特征表现包括短时间内发生跨商户交易、用户常在地与风险交易所在地不一致等;涉嫌收取电诈资金商户的疑似异常特征表现包括入网时间距电诈发生时间较近、历史交易不活跃、商户名称频繁变更、对应的付款用户交易所在地分散等。根据以上特征维度，可重点按非面对面交易特征并结合其他可疑特征进行布控。此外，部分欺诈分子直接前往销售易变现商户的线下门店，通过诱骗受害者的账号信息购买商品实现变现。这可以通过收单机构联系商户，告知收银员警惕用户以截图等形式出示付款码的情形，以及对形迹可疑(如佩戴帽子口罩躲避摄像头、连续购买多台高端型号手机)的用户多加询问等。

  3. 线上支付

  在线上支付场景，欺诈风险向真实商户集中，欺诈分子利用主营易变现商品(充值卡、票券、黄金珠宝、3C 电子产品)的商户，将订单伪冒包装，完成下单、支付、交易、洗钱变现的流程。线上欺诈交易由于涉及真实商户，仅从支付侧入手防控的难度较大，需要在商户侧订单生成到支付订单完成的过程中进行多环节防控。在生成商户侧订单时，通过校验商户密钥确定商户真实性，并通过比对下单方和支付方的身份信息，核实订单有无被篡改。商户自身也可从订单信息出发，对下单人、收货人、收货地址等信息加强核验。商户对于有悖常理的订单，如订单的下单人与收货地址存在异常多对一关系、同用户短时间创建多个待支付订单等，可限制其进入支付环节，以降低被欺诈分子成功利用的概率。在支付侧，加大对欺诈交易暴露出的虚拟商品类商户、易变现商户及缴费充值商户的监测管控力度，对售卖易变现商品的商户进行分类，区分商品性质单一的商户、售卖易变现商品和非易变现商品的综合类商户。针对不同的商户类型，结合用户的行为信息、设备信息等特征部署多层防控机制。

  支付服务主体通过建设数字化反诈防控体系，挖掘发现风险事件、异常交易的特征要素，分析欺诈行为背后的共性规律，赋能事前识别、事中管控、事后处置各风险防控环节，形成基于风险数据的正向迭代体系。同时，也要熟知黑灰产的新技术、新手段，及时跟进防控能力，对抗欺诈团伙，阻断黑色“资金链”，保障用户的支付安全，守护好老百姓的“钱袋子”。

  三、支付服务主体风险防范体系优化建议

  如前文所述，支付服务主体通过开展事中防控可以取得一定的成效，但事前的风险识别能力和事后的溯源打击、案件沉淀能力也同样重要。面对当下技术日新月异、套路层出不穷的电诈攻击方式，需要以攻促防、攻防相长，不仅在支付服务主体内形成有效的风险防范体系，也要由内到外，在多领域、多平台开展联防联控，以形成更加强有力的对抗手段。

  1. 智能监测

  支付服务主体将机器学习、AI 大模型、图计算与知识图谱等前沿科技与传统金融业务场景融合，有助于提升风险防控的精确性。从用户交易行为挖掘用户的交易习惯和行为模式，监测可疑行为、异常变化，及时提醒用户关注潜在风险。当用户行为偏离平时的习惯与模式时，表明其可能正在遭受诈骗或账户已被他人接管。类似地，也可基于黑样本对欺诈分子的交易行为展开挖掘，发现与黑样本关联紧密的灰样本，如关系团伙、社群等，有助于事前的风险识别，构成由点到面的多方位防护屏障。

  2. 信息共享

  欺诈分子往往会通过多个支付服务主体实施诈骗，即试探支付服务主体之间的风险防范洼地，同时为了加大赃款的溯源难度，还会进行跨平台的资金转移。随着《中华人民共和国反电信网络诈骗法》的推出，各类机构“抱团”反诈的意愿更为强烈。

  监管层面推动构建汇聚平台，建立正向的运行机制，借助隐私保护关键技术，鼓励并汇总各机构主动共享的可处置、可解释的黑灰样本，供各机构查询运用，以打破不同平台间的风险数据壁垒，加强跨平台的联合防控能力。

  3. 重点人群精准宣传

  重点人群如老年人、青少年等群体风险防范意识较低、法律意识较薄弱，面对欺诈分子的教唆、恐吓，更容易被突破防线。因此，监管机构、支付服务主体、执法部门等应针对重点人群开设专项的反诈案例教育专栏，以社区、学校为重要宣传阵地开展集中宣传;同时在各个平台针对重点人群可能存在的风险提前布控，及时对其异常交易进行劝阻。

  (文章仅代表个人观点，与作者所在单位无关)