近年来,平台关于“网络欺诈事件”陆陆续续接到客户反馈和警方要求协助办案,平台运营人员也积极配合处理,但被暴露出来的往往是九牛一毛,大多数网络欺诈受害者迫于心理压力往往不敢反馈平台或报警。
本文就“小型电商平台应对网络欺诈的一些措施”做一些分享。
2.1.1 诱导
网络欺诈者通过游戏买卖账号、刷单返利、兼职等多种方式,诱导被害者登录指定账户进行充值。
2.1.2 胁迫
网络欺诈者通过色情luo聊等方式,获取被害人的不雅视频及照片,并在被害人手机中安装恶意软件,读取通讯录,胁迫被害人登录指定账户进行充值。
2.2.1 买卖余额
平台特性:主要服务于内部员工,会有部分补助及奖金通过平台发放到员工,所以会有“余额”的概念,并且为了方便内部员工资金流通,为内部员工开通了“扫码转账”,“发红包”等功能。
通过在咸鱼等二手平台低价折扣售卖余额,通过扫码转账、发红包等方式进行变现。
2.2.2 购买数码、电子卡券
数码产品、电子卡券具有易变现等因素,属于网络欺诈者下单最多的产品,购买后通过线下或咸鱼等二手平台进行变现。
由于小型电商平台资金及人员不足,未能投入很大力度及资源进行整治,通常是反馈一例协助处理一例。且由于多数资金来源是胁迫的方式,导致有很多异常资金账户其实并未被发现。
由于大量案件的积累,领导开始重视起来,产品经理一声令下,火速关闭了扫码转账及发红包功能。
关闭了其中一个通道虽然减少了网络欺诈者的变现方式,但是依然不能阻断金钱的诱惑,网络欺诈者通过大量下单数码产品、电子卡卷等产品,陆陆续续还是有零零星星的案件反馈,且反馈后一查,账户流水已经十分巨大了。
且由于平台及店铺运营者每天订单较多,通常是经过判断订单收货地址是否是曾经的诈骗者收货地址来判断订单是否异常,无法通过其它方式主动识别订单或账户异常。
开始主动思考网络欺诈者的行为方式,寻找异常资金账户的共同点,通过设备唯一码、账户创建时间、金额充值时间、订单消费类型等多因素寻找异常资金账户,进行主动排查及防御。
从以下多个维度分析大量日志及数据查询进行排查。
4.1.1 登录设备数
通过猜测网络欺诈人员的行为方式,多数欺诈行为需被害者登录其指定账户,那欺诈账户的登录设备数必定会超过正常的范围。
4.1.2 充值与消费设备是否相同
正常用户消费时,进行充值并消费,或直接用支付渠道支付,不充值余额。
网络欺诈者会要求受害者登录其指定账户充值,并修改密码后自己消费,那充值设备和消费设备必定不同。
4.1.3 充值时间
通过分析大量网络欺诈账户,发现多数充值时间在凌晨(可能是耐不住寂寞吧),而这个时间多数正常用户是不会进行充值行为的。
4.1.4 充值资金
通过分析大量网络欺诈账户,发现其充值金额及频率都较高,多数外部用户是不会进行大额充值的,因为平台拒绝提现。
4.1.5 消费类型
在关闭“扫码支付”及“发红包”功能前,多数异常资金的流出渠道都是流入内部员工,关闭后,异常资金的消费类型主要是数码产品、电子卡卷等易变现产品。
4.1.6 单笔消费金额
网络欺诈账户为快速变现,通常是在欺诈成功的短时间内通过几笔大金额订单进行消费。
4.1.7 创建时间
多数网络欺诈账户为了避免被发现,通常会经常创建账户及更换账户。
从以上多维度,可绘画出网络欺诈者画像。
需要启用排查,系统首先需具备以下条件。
4.3.1 审计日志
需要从审计日志中排查登录设备数、充值与支付设备是否相同等相关维度信息。
用户ID | 时间 | 操作行为 | 设备唯一识别码 | 关联单号 | ... |
登录 | |||||
充值 | |||||
支付 | |||||
... |
就审计日志来说,纠正一个常见的误区,并不是操作成功才需要记录,操作失败的也需要记录,可用于审计账户安全、越权访问等问题。
4.3.2 数据库_用户表
需要从用户表中排查用户创建日期等相关维度信息。
用户ID | 用户名 | 用户创建日期 | 用户类型 | 是否禁用 | ... |
4.3.3 数据库_资金表
需要从资金表中排查充值金额、消费金额等相关维度信息。
用户ID | 累计充值金额 | 累计消费金额 | 消费订单数 | ... |
4.3.4 数据库_订单表
需要从订单表中排查订单消费类型等相关维度信息。
用户ID | 订单ID | 订单金额 | 消费店铺名称 | ... |
从以上多个表或记录的数据中联合查询并筛选,输出符合“网络欺诈者画像”的异常账户。
示例排查结果数据:
通过相关策略的实施,实现主动发现异常资金账户,主动执行限制策略,避免诈骗事件的继续实施。
从“事后处理”到“事前预防”,从“被动接收”到“主动识别”,减少平台的诈骗资金流入,减少刑事案件安全问题。
启用定时任务对关键信息排查,通过“排查策略”-“触发策略”-“执行策略”,输出“账户--执行策略”的报表。对于账户在充值、支付等敏感行为的操作时,从报表中信息排查该次交易的安全性,执行相应措施。
流程图如下:
5.3.1 排查策略
排查维度:资金,创建时间,登录设备数,消费商品类别等
1.单账户登录设备数超过3台;
2.通过支付渠道充值资金累计大于1万;
3.通过支付渠道单次充值资金大于1万;
4.消费商品类别在3c数码,电子卡卷类别,占比超过80%;
5.创建时间较短(3个月内)。
5.3.2 执行策略:
1.禁止大金额流通:禁止大金额充值,禁止大金额消费(金额超过5000)
2.禁止高频率资金流通:禁止短时间充值多次,禁止短时间消费多次(1天内3次)
3.禁止特殊商品类别消费:禁止消费手机、电子卡卷等产品
4.自动冻结账户:禁止一切行为
5.3.3 触发策略:
1.满足任意一条排查策略,自动对该账户启用1、2、3执行策略,进行记录
2.满足任意两条排查策略,自动对该账户启用1、2、3执行策略,进行记录并告警;
3.满足任意三条,自动对该账户执行4执行策略,进行记录并告警。
5.3.4 其它:
1.基于业务需求,需建立账户白名单,对于账户白名单的账户不进行“排查-触发-执行”策略;
2.对于误封禁相关行为的账户,联系客服,需提供“支付渠道充值流水明细”、“支付渠道身份信息”、“身份信息”来证明资金来源合法及安全,验证正常的情况下进行解封。
此文档主要是针对小型电商平台解决网络欺诈事件的一些措施,且各种小型电商平台业务场景不同,需针对业务场景去具体修改相关策略。
解决该类事件的重要步骤是:思考其行为方式和利用路径,通过大量已知的异常账户分析其共同点,精准绘画出网络欺诈者画像,再通过其画像去进一步排查和封禁。
以上内容仅为提供帮助企业安全建设及运营的一点思路,请忽分析本文章具体所指电商平台。