中国银行安全实践案例:为何你能放心用手机银行转账 500 万

雷锋网编者按:科技的发展由量变到质变,带来了客户行为的变化,其实也带来了商业模式的剧烈变化。中国银行作为百年老店,有历史的传承,有很多经验,也有很多惯性。要适应这个时代的转换,它面对了更多挑战。在第五届互联网安全领袖峰会(CSS 2019)上,中国银行总行网金部总经理郭为民介绍了中国银行的安全实践案例,为银行业提供了借鉴。

以下为郭为民的演讲文稿,雷锋网略有删节和整理。

--

中国银行安全实践案例:为何你能放心用手机银行转账 500 万

[郭为民]

我们面临风险和体验的矛盾。

银行原来要保证交易风险还是信用风险,最擅长用的手段是给你增加条件,“你不要做我就最安全”。我们做手机的交易认证,原来要双因子认证,要密码,密码要有大小写字母,还要有 8 位数字,三个月还要换一次,这还不行,我们需要你带着你的动态令牌,转帐时输入一个OTP 6位实时在变的数字密码。这些措施都是为了保证交易安全,但给客户带来了极大的不便。所以,我们怎么能够在保证客户体验的同时,又能有效防范风险?

我们必须要应用新科技。

安全是木桶原理,木桶最重要的是不能有短板,短板决定了能装多少水。但是木桶对于客户体验而言,还有一个更重要的点,就是木桶不能有长板。如果木桶有一块板子非常长,对于这个木桶能装多少水其实没有任何影响,但是对使用的便利性有巨大的影响。怎么才能保证安全,同时又能够提升体验,这其实是永恒的话题。   

金融科技与金融安全如何能够解决体验和风控的矛盾?就像解决任何一个我们在新时代遇到的矛盾一样,必须利用新科技。新科技不仅仅是一种科技,一定是多种科技相互融合的结果才更有效。如人工智能、大数据、云计算、物联网、移动互联技术,如果能把它们有效结合,效果才是最大的。

我要分享一则案例分享,人工智能助力反洗钱。

大家对现在大经济环境比较了解,在中美之间的矛盾下,很多涉及美国的金融业务受到了影响,尤其是以美元清算、结算相关的金融业务受到了很大的挑战,有一段时间我们纽约分行里面坐满了做反洗钱的员工,因为实在太多了,我们有一年就新增了 70 位员工,他们没有工位,最后只能坐到食堂做反洗钱的工作。

反洗钱很简单,就是做一个模式识别,有一定规则,根据这些规则看这笔交易有多少交易风险,然后再做相应的核查,再评估风险。如果风险满足我们的要求,这笔交易就可以做。

但是,这有两个非常大的问题:第一,成本太高;第二效率太低。用人工智能来解决这个问题,还是用大数据来解决这个问题,还是用其他什么方法来解决这个问题?后来经过实践,其实用任何单一的技术都解决不了这个问题,只有充分运用现在手里掌握的各种先进科技的有机融合,才能解决这个问题。这个案例也非常成功,替代了原来坐在食堂里的 70 位员工。

认证方面,以前认证因子需要动态令牌,最近我们与中国移动合作,包括其他一些认证机构,可以把令牌、证书都装到手机盾里,能够有效防范风险。但是,这些其实对客户都是有一定影响的,就像我们手机盾,要求客户要换 SIM 卡,里面装证书,或者软证书,都牵涉到软件升级问题。有没有一种办法能够让客户无感,但同时我们也能有效防范风险?这就是今天我们最重点的案例,即我们与腾讯公司合作的网御系统(交易反欺诈)。

首先,它是一个事中交易监控系统,就是在交易进行的过程中做的风险防控,不是事后,不是发生了再解决,这是第一个特点。

第二,不仅解决了确认客户身份的问题,同时也解决了原来没有任何办法解决的电信欺诈问题。有的客户被犯罪分子欺诈,哭着喊着要转钱,网点员工说你可能被骗钱了,不要转这个钱,他还要转。在线上有的客户被钓鱼,他的动态令牌被钓了 20 多次,犯罪分子说又给你发了一个短信验证码,拿你的动态令牌看看新的验证码,现在这个系统能够有效防范电信欺诈风险。

首先我们不是从一个维度解决这个问题,我们是从多维度解决这个问题,如加入了客户的行为指纹。行为指纹如果是静态的,就是在某一个片断的行为,如现在是用你家里的WiFi,还是用公共的WiFi,还是用4G的网络通讯,风险等级不一样,更重要的是结合了动态的维度,比如握手机的姿势,是左手握还是右手握,按键轻重和快慢,这些因子能够更好地证明是否客户本人在使用这个应用、这个 App 在做这笔金融交易,而不是随身携带的 OTP,也不是靠你输入的密码,因为那些都有可能被钓鱼,但你的行为是不可能被钓鱼的。在客户认证环节,我们结合了有时序的、多维度的认证因子能认证这个客户的行为,这样就不需要有任何认证工具。

现在中国银行能够让你利用手机银行向任何一个人转 500 万,国内国外的其他银行都是做不到的,因为风险太大,不需要双因子,就让客户可以转 500 万,不需要到柜台去签约收款账户,就是因为具备了我们非常有信心的身份认证。

电信欺诈怎么防范?确实是客户本人在做这笔交易,怎么能够阻断这笔交易?分析收款账户。收款账户的风险模型依靠原来中国银行的数据手段是做不到的,因为腾讯拥有海量的黑灰产数据,同时又积累了很多黑产对抗经验的模型,它对很多客户账户的风险等级有非常精准的定义,把这个因子引入进来,当客户做一笔交易时,我们就能有效地分析这笔交易是不是这个客户本人做的,是不是这个客户应该做的,我们能知道是不是他应该转一笔钱到某某某,这就非常重要,这比原来“不管多少因子的认证”往前迈进了一大步。

运用这种新科技的手段,不仅结合大数据,更重要的是有人工智能、云计算、云网端安全防护体系,中国银行在过去一年累计监测超过 30 亿笔交易,其中阻断了超过 100 亿的交易金额。什么概念?100 亿也许是客户误操作或者理由不充分,我们阻断了。我们随机抽样打电话回访,是不是你做这笔交易,应不应该做这笔交易?90% 的客户最后都选择了放弃交易,其中有 3000 多笔,金额是 6000 多万,客户说“谢谢你,我真不应该做这笔交易”。其他放弃交易的我们认为都是有问题的,不会是一个正常交易,有人打电话过来验证就不做了,放弃了就说明肯定有很多问题。虽然不能确认这 100 亿是被欺诈的,但是我们相信其中很大一部分比例的阻断是非常有效的。

这个成绩来之不易,作为银行在防范尤其交易风险方面投入非常多。到 ATM 去转帐,要看那个密码比登天还难,要把头凑过去,很简单,就是怕犯罪分子装摄像头把你的密码摄下来。如果我们用单一的手段去做,其实最后就像 ATM 转帐一样要求延时 24 小时,把密码键盘藏得连用户自己都找不到,但是如果我们用新科技,中国银行的手机银行不需要携带动态令牌,直接可以转 500 万,而且实时到账,这就是科技带来的力量。不仅有效地提升了效率,更重要的是更有效地防范了风险。

信用风险防控方面,运用大数据也非常有收获,中银 E 贷产品是我们一款秒贷产品,所谓“秒贷”就是客户不需要申请,我们主动授信,可以金额达到30万,而且利率非常低。客户省去了以前繁琐要提交贷款资料,包括申请信用卡要提交收入证明、提交是否有共债,是否有其他借贷等,现在中国银行有能力给每一位客户预授信。

通过我们的大数据分析,不需要申请,就像不需要你告诉我你住在哪里,你的电话号码是什么,你只要是我们的客户,你原来可能填错了,都会帮助你纠错,对每个用户进行预授信,这样我们的客户使用金融服务时就会享受到极大的便利。

通过使用包括人工智能、大数据、云计算等等先进技术,现在中国银行有能力给每一个客户提供个性化的产品和服务。中国银行有 4 亿客户,以前这是不可想象的,一个产品可能是为某一个客群,这个客群可能都是资产超过 20 万或超过 50 万,只能针对客群定制产品,因为新技术,我们现在有能力给每一个客户量身定制产品和服务,这就是新技术给我们带来的能力。

最后跟大家分享的案例是网络安全防御。安全的防控其实不是靠某一项技术,也不是靠某一个系统,是一个安全的防护体系,包括规章制度、系统硬件软件、平台、专业的安全防护软件,要保证真正的安全,再回到木桶原理,不能有短板。现代科技又给了我们一个新的选择,如果通过系统的眼光,体系化地去解决安全问题,就像我们的网御系统,不是某一项技术,是一个安全防控体系,结合了大数据、人的行为数据、人的时序数据,也结合了其他数据标签,用多维的方法、体系化的手段来解决安全防控问题。

via 雷锋网(公众号:雷锋网)

雷锋网版权文章,未经授权禁止转载。详情见转载须知

中国银行安全实践案例:为何你能放心用手机银行转账 500 万

(完)