加速度增強的信用卡詐欺早期預警規則

1. 亞太工商管理研究所：資訊管理個案 加速度增強的信用卡詐欺早期預警規則 陶幼慧 國立高雄大學資管系 ytao@nuk.edu.tw

2. 大綱 • 網路行銷簡介 • 網路廣告

3. 網路行銷

4. 緒論-信用卡詐欺 • 信用卡詐欺嚴重，銀行抑制因詐欺而導致的獲利率降低 • 詐欺基本上分為兩大類[1]： • 信用卡遺失或被竊 • 或僅卡號被偷而被盜用

5. 緒論-發卡銀行的處理方式 • 傳統的詐欺調查主要在處理被舉發可疑的案子 • 然而隨著資料倉儲與資料探勘技術的成熟 • 詐欺行為的偵調逐漸的進入應用於資訊科技的早期預警(early warning)的層次 • 以分析客戶的資料來發掘可疑的詐欺模式(fraud patterns)，詐欺調查處在主動調查的地位，可將詐欺偵破時間推前，愈早發現愈可降低剩餘信用額度(available credit limit)被盜用的損失。」

6. 緒論-詐欺偵測系統 • 現今發卡銀行的詐欺偵測系統往往整合不同的技術[1]，且多以具自我學習能力的類神經網路(neural-networks)為主[1-4]，成功的商業軟體的例子有PRISM [8]、Falcon[9]及Darwin[10]。 • 一般的發卡銀行亦會自行輔以簡單的專家系統來補強詐欺偵測模式的完整與即時性，例如萬恩銀行(Bank One)信用卡以自行開發以規則為基礎的(rule-based)專家系統輔助外購的PRISM詐欺偵測系統。

7. 緒論-詐欺偵測資料來源 • 早期的詐欺偵測軟體由於資料取得不易的困難，所以偵測所用的資料往往僅以前一日的銷售終端機(Point of Sale，POS)交易資料為主。 • 而最近因資料倉儲環境的成熟，很多發卡銀行也逐漸擁有線上的歷史資料可運用。

8. 目的 • 提出一個加速度(acceleration)觀點的規則增強模式，利用歷史資料來加強早期僅使用前一日資料的rule-based詐欺偵測的成效[5]。 • 並以一發卡銀行實際的執行結果來說明以加速度增強的終端跟蹤系統(POS-track system)與傳統的以前一日資料的終端警告(POS-alarm system)系統的績效比較。

9. 章節的編排 • 第二節介紹詐欺偵測系統的一般作業方式 • 第三節定義並比較POS-alarm與加速度增強的POS-track的規則 • 第四節以一實際的個案兩年下來實施POS-alarm與POS-track系統的成效作說明 • 第五節則就詐欺偵測作業流程的改善建議作討論 • 以第六節作簡短的結論與建議

10. 詐欺偵測系統與作業 • 以發覺比對交易資料的詐欺型態(pattern)為最有效 • 信用卡交易資料 • 信用卡刷終端機所產生的授權(authorization)資料 • 簽名於收據帳單的簽單(draft)資料 • 簽單大多則於數日後才會寄到發卡銀行輸入資料庫中，授權資料比較有即時性 • 同時適用於授權資料與簽單資料，一個詐欺個案經由授權資料偵破會比透過簽單資料偵破的損失減少很多 • 很多行業(如郵購或網路購物)或商家並不刷卡而直接簽單，所以授權與簽單資料同時使用才具有雙重保障

11. 詐欺偵測系統與作業 (續) • 規則產生[5] • 已結案的詐欺個案中所分析歸納出 • 有些則是從詐欺偵查或早期預警專員的經驗產生的 • 規則中的判斷事件又分兩種：發生之次數與金額 • 詐欺早期預警系統則將每個帳號的所有紀錄讀入並嘗試去對照所有的判斷事件的真假，然後檢查那些規則可被列舉(referred)可疑，被列舉的帳號會連同該規則的資料送到待處理的佇列(queue)中。 • 規則中判斷事件的臨界值(threshold)選定會影響規則本身應用的效力 • 一般而言，可取自專家的經驗或歷史資料的分析結果 • 相關的模糊理論(Fuzzy Theory)技術即多半採專家的經驗來設定其臨界值，而類神經網路則多半透過歷史資料自我學習並動態的調整其臨界值

12. 詐欺偵測系統與作業 (續) • 信用卡公司因為經由詐欺偵測系統產生的可疑個案數量很大，會成立一個詐欺早期預警處理單位來篩選佇列中的案子 • 如果可疑度高的話，就會打電話至持卡人家查證，一旦查證屬實，詐欺早期預警專員則會停止該卡的使用權並將案子轉往詐欺偵查單位做後續的處理 • 評估成效有兩種： • 命中率(hit rate)是個案確認詐欺的命中比例 • 節省的損失避免(loss avoidance)則以剩餘信用額度的金額為上限

13. 加速度增強的詐欺偵測規則 假設一個POS-alarm的規則如下： • If(自動提款機(ATM) 預借現金的授權次數大於1 #/hr and ATM預借現金的總金額大於200$/hr)or(ATM預借現金的總金額大於299 $/hr)then將該帳號列為可疑待查 • If(Rb#/R > N and Rb$/R > D1)or (Rb$/R > D2) then列舉可疑，其中b = ATM預借現金，N = 1 #/hr，D1=200 $/hr，D2=299 $/hr ---- (1)

14. 加速度增強的詐欺偵測規則(續) • Rb# = 最近R區間內某項消費行為b的次數# • Rb$ = 最近R區間內某項消費行為b的金額$ • Pb# = 歷史P區間內某項消費行為b的次數# • Pb$ = 歷史P區間內某項消費行為b的金額$ • R = 最近R區間內最早與最晚消費的交易時間差距 • P = 歷史P區間內最早與最晚消費的交易時間差距

15. 加速度增強的詐欺偵測規則(續) • 調查員訪談及實際資料檢視歷史資料中的相同的消費模式可用來提高以前一日資料檢驗出可疑待查的命中率 • 可用歷史資料過濾掉一些經常性或間歇性高消費的帳號減低因誤判而造成的效率問題。 • 所以POS-track規則是利用POS-alarm中的速度資料與前一年中最大的的速度資料作比較

16. 加速度增強的詐欺偵測規則(續) 式(1)加入歷史資料後以加速度表示如下： • If ((Rb#/R)/Max( Pb#/P) > N and (Rb$/R)/Max(Pb$/P) > D1) or (Rb$/R)/Max(Pb$/P) > D2) then 舉發可疑

17. 表一 POS-alarm與POS-track系統的案例比較

18. 加速度增強的詐欺偵測規則(續) • 前一日的消費行為與過去一年的消費行為中最大值來做一比較，如果比值超過某一臨界值則列舉可疑待查 • 原因是為了消弭季節性的因素且又不想與太老久以前的歷史資料相比 • 有些季節則需用較鬆的臨界值來決定列舉可疑的行為；例如從感恩節到聖誕節到新年期間，通常消費者的行為變化很大，如果用正常的臨界值則會造成命中率的降低，適當的調整臨界值則可維持加速度增強的的成效

19. 加速度增強的詐欺偵測規則(續) • 規則的臨界值亦因採購商品的種類不同而有較大的變異，例如到百貨公司消費，很容易就比去吃飯或看電影的單位時間交易筆數高。 • 一個解決的方式是依商品的大類再細分不同的臨界值，也就是一條規則可延伸出許多子規則，這在系統程式的處理是很容易達成的 • 臨界值的儲存空間會因此彈性處理規則的需求，而以倍數的成長，因此規則的臨界值數目與其儲存空間的需求，是需要時間與經驗去調整的

20. 個案的實際成效 • 個案對象是美國萬恩銀行(Bank One)信用卡子公司1994至1997年中的詐欺偵測技術的演進 • 萬恩銀行信用卡於 • 1994年的刷卡總金額排行全美7至9名 • 1997年中併購First USA後排名升至第3 • 1998併購First Chicago NDB銀行後，排名升至第1 • 萬恩銀行在1990年初遭受到詐欺數量劇增的呆帳影響，不僅損失超越全美銀行的平均而且嚴重影響公司獲利率

21. 個案的實際成效(續) • 1993年底起找專才於引進PRISM類神經網路系統 • 同時規劃一套以rule-based的專家系統來早期預警可疑詐欺的帳號，希望藉由主動地調查可疑的詐欺的行動嚇阻詐欺者並減少詐欺的損失 • 該專家系統是 • 兩位資訊人員在SUN Sparc2000 Server以UNIX/C環境中開發的 • 草創之初由歷史資料中找出了12個規則(規則的產生可參閱[5]) • 期初的硬體投資約60萬美元 • 每年其他的直接成本約30萬美元

22. 個案的實際成效(續) • 資料的來源是不很健全的Informix資料倉儲的下載資料，所以1994年的的詐欺偵查 • 以前一天的交易資料來找出可疑的帳號 • 借調部分詐欺調查員的時間來支援早期預警的偵調 • 1995年起 • 沿用加速度增強來改善列舉的命中率 • 成立了早期預警調查單位，成員從成立的三位到後來的完整九人小組 • 規則數目也增加到20多個 • 有些規則是有季節性、地域性或主觀決策的考量，因此並非一直使用的

23. 個案的實際成效(續) • 我們以命中率及避免的損失來比較在使用加速度增強之前與之後的差別 • 因為比較的兩個環境相差很多，所以我們以使用加速度增強之前的環境為主，將使用加速度增強之後的數字以平均早期預警調查個人單位的產值乘上適當的倍數來相比 • 由表二a與b得知，1994年與1995年早期預警的命中率從4.30%增加到7.67%及避免的損失總金額從2,732,444美元增加到3,520,127美元

24. 表二、(a) Hit Rate 與 (b) Loss Avoidance的於1994及1995的比較

25. 個案的實際成效(續) 萬恩銀行對此感到非常滿意的原因有三 • 這個加速度以總金額來看的確是有其增強的效果 • 萬恩銀行因此增強的效果，使得詐欺損失低於同業水準 • 詐欺集團的詐欺比例似乎有降低的跡象，真正的達成嚇阻慣盜的功能。 • 對於萬恩銀行1994年度的公司策略，1994與1995兩年的詐欺偵測系統達成了預期的目標，因此1996與1997年有持續的投資於詐欺偵測的資訊科技應用

26. 詐欺偵測程序的改善建議 萬恩銀行對此感到非常滿意的原因有三 • 這個加速度以總金額來看的確是有其增強的效果 • 萬恩銀行因此增強的效果，使得詐欺損失低於同業水準 • 詐欺集團的詐欺比例似乎有降低的跡象，真正的達成嚇阻慣盜的功能。 • 對於萬恩銀行1994年度的公司策略，1994與1995兩年的詐欺偵測系統達成了預期的目標，因此1996與1997年有持續的投資於詐欺偵測的資訊科技應用

27. 圖一. 交易資料的前置處理

28. 詐欺偵測程序的改善建議

29. 詐欺偵測程序的改善建議 萬恩銀行對此感到非常滿意的原因有三 • 這個加速度以總金額來看的確是有其增強的效果 • 萬恩銀行因此增強的效果，使得詐欺損失低於同業水準 • 詐欺集團的詐欺比例似乎有降低的跡象，真正的達成嚇阻慣盜的功能。 • 對於萬恩銀行1994年度的公司策略，1994與1995兩年的詐欺偵測系統達成了預期的目標，因此1996與1997年有持續的投資於詐欺偵測的資訊科技應用

30. 結論與建議 • 台灣的詐欺損失已躍居亞洲第二僅次於日本，成為信用卡詐欺集團的樂園，因此臺灣發卡機構有關詐欺偵測的應用是值得關切的 • 一份對臺灣發卡機構的調查指出[7]，只有兩成的機構有詐欺偵測系統的建置而近六成的機構正在規劃中 • 由報紙新聞得知，臺彎最大發卡機構之一的中國商業銀行，也開始引進國外類神經網路的軟體作可學習式的詐欺偵測 • 綜而言之，臺灣的發卡機構因歷史較短，高成本自行開是不符合經濟效益，絕大多皆應是引進現成的類神經網路[8-10]來作可學習式的詐欺偵測。 • 類神經網路雖然是詐欺偵測的主流，與一般的統計應用的結果比較並不見得較有效[6]；萬恩銀行內部的比較結果是各種方法皆有利敝，詐欺偵測結果交叉比對反而有互補的效果，因此本文建議以規則為基礎的專家系統輔助類神經網路詐欺系統，增加國內發卡銀行早期預警的含括率

31. 結論與建議 • 台灣的詐欺損失已躍居亞洲第二僅次於日本，成為信用卡詐欺集團的樂園，因此臺灣發卡機構有關詐欺偵測的應用是值得關切的 • 一份對臺灣發卡機構的調查指出[7]，只有兩成的機構有詐欺偵測系統的建置而近六成的機構正在規劃中 • 由報紙新聞得知，臺彎最大發卡機構之一的中國商業銀行，也開始引進國外類神經網路的軟體作可學習式的詐欺偵測 • 綜而言之，臺灣的發卡機構因歷史較短，高成本自行開是不符合經濟效益，絕大多皆應是引進現成的類神經網路[8-10]來作可學習式的詐欺偵測。 • 類神經網路雖然是詐欺偵測的主流，與一般的統計應用的結果比較並不見得較有效[6]；萬恩銀行內部的比較結果是各種方法皆有利敝，詐欺偵測結果交叉比對反而有互補的效果，因此本文建議以規則為基礎的專家系統輔助類神經網路詐欺系統，增加國內發卡銀行早期預警的含括率

32. 結論與建議 • 實際建構詐欺偵測系統時，類神經網路常需要六個月以上的歷史資料，才能有效的學習產生初步運作的模式 • 建議至少六個月以上的資料來開發以規則為基礎的專家系統 • 而臨界值的設定在缺乏專家經驗狀況下，運用統計分析的方法決定初始值是較為快速有效的 • 規則與其臨界值往往因時間的演進而必須做適當的調整，才能打擊不同詐欺手法的翻新，此情形由有經驗的預警調查員輔以適當的統計分析工具，才能即時的動態調整規則及臨界值，以應付日漸複雜的信用卡遊戲規則或智慧型的詐欺集團

33. 參考資料 電子商務概論 第二章 劉文良著 碁峰 財團法人中華民國電腦技能基金會 總策畫 2004 簡報結束