旅遊企業如何建造反欺詐的防火線?
【環球旅訊】新一代數字技術的發展使旅客享受到了更多的便利,提升了酒店入住辦理和交易支付等場景下的無縫體驗。但在旅客逐漸掌握控制權、獲得便捷服務的同時,數字化技術也逐漸引發了資料洩露和交易欺詐等威脅。
CyberSource Global Services總監陶偉表示,“簡單便捷的客戶體驗背後需要極其複雜的風險防範過程作為支撐。”
陶偉稱,酒店希望能為客人打造簡單流暢的體驗,但這背後面臨的欺詐和黑客攻擊風險也在上升。
無縫體驗
企業通過讓旅客建立個人賬戶,有針對性地優化使用者的體驗,這也為欺詐份子提供了機會。黑客或欺詐份子盜用線上賬戶後進行非法交易構成了典型的賬戶盜用案例。而酒店或航司網站賬號被盜時就構成了商家賬戶欺詐。
陶偉表示,“欺詐份子的焦點正在轉向對目標賬戶建立的攻擊和盜用。”
賬戶盜用通常伴隨著資料洩露,使用者的個人資訊會被曝光並在網路黑市上被出售。欺詐份子獲取了賬戶資訊後會登入使用者賬戶,進行轉賬、積分盜用等一系列非法變現活動。
陶偉舉例稱,旅客下載酒店App並完成預訂的過程中,賬戶建立和銀行卡資訊儲存可能會引發潛在的欺詐威脅,涉及到的私人資訊包括登入資訊、銀行賬號或信用卡賬號等。此外,使用者在交易中的賬戶資訊存檔(account-on-file)模式—即從過往的交易中呼叫持卡人資訊,自動填充支付細節,也存在一定的風險。如果客人通過App線上辦理入住手續,酒店必須保障移動入住登記過程和電子房卡的安全性。
另一方面,賬戶盜用也可能導致積分場景下的欺詐。積分和里程對欺詐份子有較高的吸引力,因為積分可以抵扣旅程全額或部分的費用,線上購買旅遊輔助產品或其它服務,甚至獲得現金或信用額度形式的訂單返利。此外,消費者可能不會像查詢銀行賬戶那樣頻繁地檢視酒店忠誠度計劃和飛行常客里程積分。
多裝置/多渠道融合
為了提供全方位的服務體驗,旅遊企業為客戶提供了多裝置和多渠道以進行更好的互動。陶偉稱,在多渠道多裝置的場景下,客戶驗證的準確性和異常行為的建模過程也會變得更加複雜。移動端和PC端的交易仍需區分對待。
線上旅遊企業需要深入瞭解移動裝置欺詐的特點。CyberSource強調了行為評估的重要性。相比電腦使用者,移動裝置使用者更能自由活動,在這種情況下IP地理定位的作用有所減弱。此外,防欺詐管理系統將多個裝置登入同一個賬號視為可疑行為,可以大大降低欺詐交易成功率。就目前而言,企業需要收集移動裝置的使用資訊,包括作業系統、瀏覽器配置、無線設定等,以提升反欺詐效率。
做更充分的準備
一位酒店高階管理人士表示,薄弱的酒店內部流程也會引發資料的洩露。
IT人員能輕易訪問並竊取酒店客戶資料庫,前臺工作人員也有機會利用客人信用卡進行非法操作。公司設定了多個關鍵資訊儲存源,當員工訪問了未授權的資料庫時就會引發問題。因此,企業最好根據職能和部門設定訪問授權機制,同時取消永久訪問許可權。針對資料處理和洩露通知等事項的員工培訓極為重要,每位員工都需要確保自身操作不會引發資料洩露問題。
珀林酒店集團CEO王長春表示,酒店前臺工作人員盜用客人信用卡的情況偶有發生,但整體的支付環境仍然十分安全,線上支付擁有非常高的安全度。
從航司的角度來看,東航資料實驗室負責人王學武認為資料安全與乘客安全一樣重要。“東航構建了廣泛的資料安全系統、資料使用規範和網路監控措施,以防止資料洩露並保障資料的安全。”
從消費者的角度出發,CyberSource指出,降低欺詐率的同時需要關注誤判率,即減少對真實的客戶交易進行欺詐誤判。防欺詐企業在指定規則或實行雙重、多重身份驗證時必須十分謹慎。
旅遊企業自身需要更好地控制欺詐風險。
預防欺詐的6大措施:
1. CyberSource強調了全面預防欺詐的重要性,覆蓋賬戶監控(包括賬戶建立、登入和更新等資訊)到交易審查(包括CNP無卡支付風險、里程/積分兌換等)。
2. 隨著新型支付方式的出現,相應的新型欺詐方式也可能出現,旅遊企業必須做好防範措施。欺詐份子可能通過應用克隆和機器學習技術偽造了裝置資訊(將一些真實資訊進行組合以創造假身份),為商家帶來損失。系統將不同交易和登入只視作來自不同裝置的操作,因此黑客等不法分子通過建立大量虛假使用者賬號,可能逃過反欺詐系統的審查。
3. 更有效的防欺詐措施:企業可以採用規則導向引擎,對訂單進行自動篩選和分類。商家必須對防欺詐系統中的規則進行明確的評判,與此同時結合監督式的機器學習或傳統的機器學習方法(通過歷史資料構建精確演算法)。而無監督式學習方法可以讓系統實時收集資料並進行動態學習。機器學習的重要性在不斷加強,但在其中融入現實因素也很重要。僅僅關注歷史資料可能會讓新出現的未知欺詐模式成為漏網之魚。而無監督式機器學習演算法能夠在收集的新資料當中發掘新的模式和關聯,將真實的旅遊消費者與欺詐份子區分開來。除了採用上述方法,酒店和航司還需要減少交易驗證中的人工驗證投入,提升審查過程的自動化水平。
4. 提升消費者的防欺詐意識:旅遊企業應該加強旅客對積分變現價值的認知,鼓勵旅客為各個賬戶設定不同密碼(當一個賬戶遭受欺詐風險時至少不會影響到其它的賬戶),並進行定期更新。
5. 收集資料並制定措施:結合行業資料與企業獨有的使用者資料(比如針對使用者行為的生物識別技術,記錄了使用者使用滑鼠或手機按鍵滑屏等操作方式),能夠提升防欺詐專家的實時識別技術。與此同時還需要有效檢測交易中的異常因素,及時採取防欺詐措施。
6. 身份驗證:近幾年指紋識別、臉部識別等身份識別方式興起,身份驗證應包括使用者姓名、地址等文字、個人語音識別、鍵入模式和數字足跡驗證(Facebook、領英等社交賬戶的關聯資料)等。唯有充分適應並藉助多方位的身份驗證,才能更好地防範欺詐。