Czarny piątek: czy bezpieczne jest przesuwanie karty kredytowej?

Siedzisz w domu, zastanawiając się nad własną działalnością, gdy otrzymasz połączenie z jednostki wykrywania oszustw karty kredytowej, pytając, czy właśnie dokonałeś zakupu w domu towarowym w swoim mieście. To nie ty kupowałeś drogie urządzenia elektroniczne za pomocą karty kredytowej - w rzeczywistości było to w kieszeni przez całe popołudnie. Skąd więc bank wiedział, aby oznaczyć ten pojedynczy zakup jako najprawdopodobniej oszukańczy?

Firmy obsługujące karty kredytowe mają żywotny interes w identyfikacji transakcji finansowych, które są nielegalne i przestępcze z natury. Stawka jest wysoka. Według badania Federal Reserve Payments Study, Amerykanie wykorzystali karty kredytowe do zapłaty za 26,2 mld zakupów w 2012 r. Szacowana strata z tytułu nieautoryzowanych transakcji w tym roku wyniosła 6,1 mld USD. Federalna ustawa Fair Credit Billing Act ogranicza maksymalną odpowiedzialność właściciela karty kredytowej do 50 USD za nieautoryzowane transakcje, pozostawiając operatorom kart kredytowych hak za równowagę. Oczywiście fałszywe płatności mogą mieć duży wpływ na wyniki finansowe firm. Branża wymaga od każdego dostawcy, który przetwarza karty kredytowe, corocznego przeprowadzania audytów bezpieczeństwa. Ale to nie zatrzymuje wszystkich oszustw.

W branży bankowej pomiar ryzyka ma kluczowe znaczenie. Ogólnym celem jest ustalenie, co jest nieuczciwe, a co nie tak szybko, jak to możliwe, zanim nastąpi zbyt wiele szkód finansowych. Jak to wszystko działa? A kto wygrywa wyścig zbrojeń między złodziejami a instytucjami finansowymi?

Zbieranie żołnierzy

Z perspektywy konsumenta wykrywanie oszustw może wydawać się magiczne. Proces wydaje się natychmiastowy, bez widocznych istot ludzkich. To pozornie bezproblemowe i natychmiastowe działanie obejmuje szereg zaawansowanych technologii w dziedzinach od finansów i ekonomii po prawo i nauki informacyjne.

Oczywiście istnieją pewne stosunkowo proste i proste mechanizmy wykrywania, które nie wymagają zaawansowanego rozumowania.Na przykład dobrym wskaźnikiem oszustwa może być niezdolność do dostarczenia prawidłowego kodu pocztowego powiązanego z kartą kredytową, gdy jest używany w nietypowej lokalizacji. Oszuści są jednak biegli w obchodzeniu tego rodzaju rutynowych kontroli - w końcu znalezienie kodu pocztowego ofiary może być tak proste, jak wyszukiwanie w Google.

Tradycyjnie wykrywanie oszustw opierało się na technikach analizy danych, które wymagały znacznego zaangażowania człowieka. Algorytm oznaczałby podejrzane przypadki, by ostatecznie podlegały ścisłej weryfikacji przez ludzi prowadzących dochodzenie, którzy mogli nawet wezwać dotkniętych nimi posiadaczy kart, aby zapytać, czy rzeczywiście dokonali opłat. Obecnie firmy mają do czynienia z ciągłym zalewem tak wielu transakcji, że potrzebują pomocy w analizie dużych zbiorów danych. Nowe technologie, takie jak uczenie maszynowe i przetwarzanie w chmurze, przyspieszają grę wykrywającą.

Uczenie się tego, co Legit, co jest zacienione

Mówiąc najprościej, uczenie maszynowe odnosi się do samodoskonalących się algorytmów, które są predefiniowanymi procesami zgodnymi z określonymi regułami, wykonywanymi przez komputer. Komputer zaczyna się od modelu, a następnie trenuje go metodą prób i błędów. Może wtedy tworzyć prognozy, takie jak ryzyko związane z transakcją finansową.

Algorytm uczenia maszynowego do wykrywania oszustw należy najpierw wyszkolić, podając dane normalnej transakcji wielu i wielu posiadaczy kart. Sekwencje transakcji są przykładem tego rodzaju danych treningowych. Osoba może zazwyczaj pompować gaz raz w tygodniu, iść na zakupy spożywcze co dwa tygodnie i tak dalej. Algorytm dowiaduje się, że jest to normalna sekwencja transakcji.

Po tym procesie dostrajania transakcje kartą kredytową są przeprowadzane przez algorytm, najlepiej w czasie rzeczywistym. Następnie tworzy numer prawdopodobieństwa wskazujący na możliwość oszustwa transakcji (na przykład 97 procent). Jeśli system wykrywania oszustw jest skonfigurowany do blokowania transakcji, których wynik jest wyższy niż, powiedzmy, 95 procent, ocena ta może natychmiast spowodować odrzucenie karty w punkcie sprzedaży.

Algorytm uwzględnia wiele czynników, aby zakwalifikować transakcję jako nieuczciwą: wiarygodność dostawcy, zachowanie zakupowe posiadacza karty, w tym czas i miejsce, adresy IP itp. Im więcej punktów danych, tym dokładniejsza staje się decyzja.

Proces ten umożliwia wykrywanie oszustw w czasie rzeczywistym lub w czasie rzeczywistym. Nikt nie może oceniać tysięcy punktów danych jednocześnie i podejmować decyzji w ułamku sekundy.

Oto typowy scenariusz. Kiedy idziesz do kasy, aby sprawdzić w sklepie spożywczym, przesuń swoją kartę. Szczegóły transakcji, takie jak znacznik czasu, kwota, identyfikator sprzedawcy i okres członkostwa, trafiają do wystawcy karty. Dane te są przekazywane do algorytmu, który nauczył się wzorców zakupów. Czy ta konkretna transakcja pasuje do Twojego profilu behawioralnego, składającego się z wielu historycznych scenariuszy zakupów i punktów danych?

Algorytm od razu wie, czy twoja karta jest używana w restauracji, do której jedziesz w każdą sobotę rano - czy na stacji benzynowej dwie strefy czasowe oddalone o nieparzystej godzinie, np. 3:00. Sprawdza również, czy sekwencja transakcji jest poza Zwyczajne. Jeśli karta zostanie nagle użyta do usług zaliczkowych dwa razy w tym samym dniu, w którym dane historyczne nie wskazują na takie wykorzystanie, zachowanie to zwiększa wynik prawdopodobieństwa oszustwa. Jeśli wynik oszustwa transakcji przekracza pewien próg, często po szybkim przeglądzie ludzkim, algorytm komunikuje się z systemem punktów sprzedaży i prosi o odrzucenie transakcji. Zakupy online przechodzą przez ten sam proces.

W tego typu systemie ciężkie interwencje człowieka stają się przeszłością. W rzeczywistości mogą być na drodze, ponieważ czas reakcji będzie znacznie dłuższy, jeśli człowiek będzie zbyt mocno zaangażowany w cykl wykrywania oszustw. Jednak ludzie mogą nadal odgrywać rolę - albo podczas walidacji oszustwa, albo w przypadku odrzucenia transakcji. Gdy odmawia się karty w przypadku wielu transakcji, osoba może zadzwonić do posiadacza karty przed trwałym anulowaniem karty.

Detektywi komputerowi w chmurze

Sama liczba transakcji finansowych do przetworzenia jest przytłaczająca, naprawdę, w dziedzinie dużych zbiorów danych. Ale uczenie maszynowe rozwija się w górach danych - więcej informacji faktycznie zwiększa dokładność algorytmu, pomagając wyeliminować fałszywe alarmy. Mogą one zostać wywołane przez podejrzane transakcje, które są naprawdę uzasadnione (na przykład karta używana w nieoczekiwanej lokalizacji). Zbyt wiele alertów jest tak samo słabych jak żaden.

Potrzeba dużej mocy obliczeniowej, aby przejść przez tę ilość danych. Na przykład PayPal przetwarza ponad 1,1 petabajta danych na 169 milionów kont klientów w danym momencie. Ta obfitość danych - na przykład jeden petabajt, jest warta ponad 200 000 płyt DVD - ma pozytywny wpływ na maszynowe uczenie się algorytmów, ale może również stanowić obciążenie dla infrastruktury komputerowej organizacji.

Wejdź do przetwarzania w chmurze. Zasoby obliczeniowe poza siedzibą firmy mogą tutaj odgrywać ważną rolę. Chmura obliczeniowa jest skalowalna i nie jest ograniczona przez własną moc obliczeniową firmy.

Wykrywanie oszustw to wyścig zbrojeń między dobrymi i złymi ludźmi. W tej chwili wydaje się, że dobrzy ludzie zyskują na popularności, wraz z pojawiającymi się innowacjami w technologiach informatycznych, takich jak technologie chipów i pinów, w połączeniu z możliwościami szyfrowania, uczenia maszynowego, dużych zbiorów danych i, oczywiście, przetwarzania w chmurze.

Oszuści z pewnością będą nadal próbować przechytrzyć dobrych ludzi i rzucić wyzwanie ograniczeniom systemu wykrywania oszustw. Drastyczne zmiany w samych paradygmatach płatności są kolejną przeszkodą. Twój telefon jest teraz w stanie przechowywać informacje o kartach kredytowych i może być wykorzystywany do bezprzewodowego dokonywania płatności - wprowadzając nowe luki. Na szczęście obecna generacja technologii wykrywania oszustw jest w dużej mierze neutralna dla technologii systemu płatności.

Ten artykuł został pierwotnie opublikowany w The Conversation przez Jungwoo Ryoo. Przeczytaj oryginalny artykuł tutaj.