电商欺诈再度升级？怎么办？！

       早在19世纪初，跨境贸易出现时，就衍生出了全球化这一概念。随着新兴技术和互联网的出现，全球化进程的现实阻碍大大减少，电子商务更是让跨境交易实现了突破性发展，消费者只需指尖轻点就可以在全世界范围内消费商品或服务。在线购物巨头Shopify预计，到2024年，全球电商收入将突破6.3万亿美元。

       与此同时，电商欺诈也在不断突破安全防线，网络钓鱼诈骗、账户接管和身份盗窃等欺诈行为持续胁线上交易安全。Juniper Research的专家曾预测，到2023年，网络欺诈造成的损失将达到480亿美元。

       本文将聚焦电商欺诈的类型，趋势，以及科学的预防方法展开讨论。

什么是电商欺诈？

       电子商务欺诈是指利用网上购物平台和支付方式进行的各种未经授权的活动，即欺诈者通过操纵数字系统欺骗企业和消费者，获取隐私信息谋取经济收益的行为。这是对电商安全性的极大挑战，因为这会给企业造成重大财务损失，损害公司声誉和客户信任度，增加运营成本，影响企业业务发展，破坏客户基础。

哪种企业要尤其警惕电商欺诈？

       所有线上企业，不论规模和行业，都需要警惕电商欺诈攻击。这其中，有个别企业一旦遭受攻击，引发的不良后果更严重，所以，需要在欺诈预防方面尤为重视。

个人在线零售商（大商户）：很多零售商会通过在线平台和网站开展企业对客户（B2C）的业务，其中大型零售商因其交易量更大，所持有的用户信息更多而受到欺诈者的青睐。

支付服务提供商（支付网关、数字钱包等）：他们可以采用多种方法处理包括信用卡和电子钱包在内的支付问题，保证这一流程的安全，可以很大程度规避非法交易和数据被盗风险，促进在线买卖交易。也因此，他们一旦受到欺诈攻击，其影响将是非常广泛而严重的。

银行（传统银行、新银行等）：无论是传统银行还是新银行，都是电商交易的金融支柱，参与交易授权和支付流程，因而强化自身防御能力是重中之重。

旅游及活动预订网站：即提供航班、酒店和活动服务预定的在线平台，其交易额高，用户敏感数据储存量大，也是欺诈者十分关注的点。

订阅服务：此类服务会定期向用户收取费用，以便用户能够继续使用相关产品或享受特定服务，例如Spotify高级版、YouTube高级版以及迪士尼+等。为确保用户能够持续获得无缝的体验，这些服务会存储用户的支付信息，以便于后续进行自动收费。然而，这也可能带来一定的风险。在遭受欺诈攻击的情况下，可能会出现欺诈性订阅或非法使用相关产品或服务的情况。

拍卖和市场清单网站：一种专为卖家和买家之间提供物品交易服务的在线平台，物品种类繁多，包括别致孤品、二手物品和手工制品等。然而，该平台也存在欺诈风险，一些欺诈者会发布虚假的清单内容或销售假冒伪劣物品，进行欺诈交易。

       上述所列只是部分，并不全面。但可以肯定的是，随着在线支付的普及，企业将面对的欺诈风险会越来越高。

电商欺诈的最新趋势

       Juniper Research指出电商欺诈在飞速飙升，其造成的损失从2021年的200亿美元跃升至2023年的480亿美元。北美是重灾区，对欺诈收益贡献高达42%，欧洲，尤其是德国和法国，贡献了26%。拉丁美洲在打击欺诈方面存在诸多障碍，因此造成的收益损失达到了20%，电商交易欺诈率高达3.7%。

       据统计，美国已有34%的消费者成为了电商欺诈的受害者，欺诈者的手段层出不穷，例如身份盗窃、网络钓鱼和账户接管等。《2023年全球电子商务支付和欺诈报告》（2023 Global E-commerce Payments and Fraud Report）中指出了如下一些常见的电商欺诈类型。

网络钓鱼/域欺骗/捕鲸：去年，全球43%的企业都遇到了这一攻击。欺诈者会通过电子邮件、虚假网站，短信或电话，诱使人们在不经意间泄露隐私信息，如账号密码、银行账户或身份证号。

友善欺诈：也称为退款欺诈，是指个体在进行网络购物时针对收费向银行提出争议，而非直接向商户提出退款请求。卖家可能因为后悔下单，或是中间有误解而发起退款，甚至有些买家是蓄意欺骗商户。据统计，仅去年一年，全球就有34%的电商经历了友好欺诈。

信用卡测试：即未经授权使用信用卡或借记卡信息进行交易的行为，又被成为“无卡”（CNP）欺诈，欺诈者只需要获得被盗卡信息就可以实施欺诈，无需盗取实体银行卡。无卡欺诈的影响在全球范围的电商欺诈类型中占比33%，排名第三。

身份盗窃：犯罪分子利用被盗的个人信息，如身份证号、居住地址，来冒充受害者身份，进行非法购买或开设新账户，其在印度（27.2%）和美国（13.5%）最为常见（Statista）。这类欺诈会导致直接的经济损失，损害受害者的信用评分，一旦发生就需要花费大量时间和资源补救。

账户接管：黑客通过获得用户的登录凭证来控制其在线账户时，就可称为账户接管。一旦获得账户访问权限，欺诈者就可以在未经授权的情况下发起交易，将账户信息更改为自己的账户，或将账户内资金转出。在全球范围内，27%的电商平台都遭遇过这类攻击，有报告指出拉丁美洲是账户接管攻击最严重的地区。

       在网络技术不断发展之时，电商欺诈的策略也在快速升级变化。因此，相关机构需要采用并及时调整欺诈预防方案和策略，有了强大完善的防御机制才能更好应对千变万化的安全威胁。

电商欺诈的未来展望

       在对电商欺诈发展趋势和助力因素有足够的了解后，企业才可以对症下药，做好欺诈预防工作，避免欺诈攻击导致的恶果。结合众多研究结果，我们为您总结出了适用企业的战略措施，具体如下。

网络钓鱼、域欺骗和捕鲸式攻击愈演愈烈

       网络钓鱼、域欺骗和捕鲸式攻击在2022年和2023年连续两年都是全球电商面临的头号威胁，2023年43%的商户都遭受了此类攻击，相比前一年（2022年）的35%上升了8%，呈现出大幅上升的趋势（《2023年全球电商支付和欺诈报告（2023 Global E-commerce Payments and Fraud Report）》）。

       如今，随着生成式人工智能工具的问世，如ChatGPT、谷歌Gemini等，网络犯罪分子无疑如虎添翼，攻击能力大大提升。

数据安全法规日益完善

       人们数据隐私和安全意识的提高，推动了相关法规的完善，也对企业合规提出了更高要求，包括通用数据保护条例（GDPR）和支付服务指令2（PSD2）在内的众多法规为数据处理和支付安全设定了更高标准。

       此外，为应对日益复杂的网络安全挑战，众多安全框架和协议的出台为欺诈预防工作提供了有力的支持和指导。例如，零信任架构，其本质是一种安全框架，核心理念在于不信任网络内外的任何未经验证的实体。通过实施这一原则，可以显著增强组织对数据泄露和欺诈行为的防御能力，从而确保信息资产的安全性和完整性。这种架构要求对所有访问请求进行严格验证，以确保只有授权实体才能访问敏感数据，从而降低了安全风险并提高了整体安全性。

生物验证兴起

       用户名和密码系统诞生于1961年，初衷是为了进行计算机多用户管理。然而，随着web服务（Web 2.0）用户的爆炸式增长，无限扩大的在线环境也暴露出了诸多漏洞。弱密码、密码被盗和密码重复成为了安全的一大核心威胁。2022年，80%的数据泄漏都是因为密码被盗，同年，被盗密码量达到了惊人的240亿。

       为了提高系统安全性，优化用户体验，谷歌、微软和苹果等科技巨头合作开发并采用了一种名为快速身份在线（FIDO）的全球认证解决方案。该方案将公钥密码学和指纹、面部识别等生物特征技术结合，成功取代了传统的用户名和密码系统。FIDO不仅让账户访问过程更加流畅，其多因素验证模式还提高了系统安全性，显著降低了非法访问的风险。

人工智能欺诈预防

       基于风险的身份验证（RBA）可以通过深度分析用户的地理位置、设备信息以及交易历史记录等多重属性，识别出潜在可疑行为，已成为确保在线支付安全的一大有效选择。但是，在保护用户信息安全方面发挥积极作用的同时，RBA也给用户带来了一定不便。例如，当用户在进行支付时，系统可能会要求他们通过手机短信接收一次性密码（OTP）进行二次验证。这一额外步骤无疑增加了结账流程的复杂性，可能会引发用户的潜在不满。更为严重的是，在某些情况下，如果OTP的等待时间过长，用户甚至会选择放弃支付，导致交易失败。由此可见，这一不便会对转化率和收入产生负面影响。

       为此，解决方案提供商积极运用人工智能（AI）与机器学习（ML）技术，在保证电商活动安全的同时，提高用户体验流畅度。然而，人工智能和ML的崛起是一把双刃剑。当企业可以依靠他们分析大量数据集，有效确定欺诈模式时，欺诈者也可以利用这些工具发起更复杂、针对性更强的攻击。

       企业在升级技术手段以期更好锁定欺诈行为的同时，诈骗团伙也在精进其手段策略。这种攻击与防守的往来较量宛如一场猫捉老鼠游戏，警惕性和灵活应变能力是制胜关键。与此同时，双方持续演变的博译，也使得网购环境的安全保障工作愈发棘手。

解决方案：人工智能欺诈检测和预防

       欺诈检测和预防常常混合使用，但其内涵并不一样。欺诈预防是第一道防线，旨在欺诈发生前主动阻止。欺诈检测则是作为一个预警系统，利用AI/ML技术基于大量历史数据分析进行自我训练，提高识别不同行为模式的准确性，从而给出合理操作建议，有效防止欺诈发生，电商和金融平台可根据自身业务需求，灵活采用欺诈预防和欺诈检测方案。

       HiTRUST深耕支付行业25载，就此专门研发出了Veri-id方案，该方案可在人工智能技术的加持下，检索用户设备上一百个数据点，如位置、潜在的机器人活动、浏览行为等等，可帮助您有效打击欺诈。

       Veri-id的AI风险评分引擎会分析每笔交易，并给出风险级别划分：

• 低风险——直接授权，免验证。
• 中风险——需要额外身份验证，进行挑战。
• 高风险——直接拒绝，防止欺诈。

       Veri-id不仅功能强大，其操作界面对用户还非常友好，可以让相关人员轻松掌握系统规则设定和系统管理方法。

       想继续探索Veri-id吗？快来联系HiTRUT吧！我们的专业团队将随时待命，为您提供精准而高效的服务。