嘘 etonline: 1. 没注册过却在 Origin 被刷,代表你的信用卡资讯是其 01/09 02:36
→ etonline: 他管道泄漏出去,然后被用到 Origin 上,找银行处理就好 01/09 02:36
→ etonline: EA 也不能证明你是不是持卡人啊... 2.) 帐号被盗,找 01/09 02:37
→ etonline: 客服就好,EA 客服都会退费。 他们没有不处理啊,国外 01/09 02:37
→ etonline: 有发英文公告说他们确信 Origin 帐号数据库没有被入侵。 01/09 02:38
→ etonline: 我也相信没被入侵啦,要不然帐号数据库早就被公开了。 01/09 02:38
→ etonline: 签帐卡就只能跑该跑的救济程序,要不然呢? 01/09 02:41
→ etonline: 救济失败再吵也不迟... 01/09 02:42
这有什么好嘘的,盗刷侦测与诈欺侦测算法(credit card fraud detection
algorithms)已非常普遍,我今天之所以发这篇文章,就是看不惯EA与某些信用卡/金融卡
公司(例如中华邮政VISA) 公司的态度与做事方法,这些集团根本没有花心思在这里,这
次才会出这么大的包,他们应该好好调查盗刷事件发生的原因,并请专业的资料科学家来
建立盗刷侦测系统。现在已经是2015年了,机器学习(machine learning)与资料科学
(data science)技术已经相当成熟,而且早就有信用卡公司利用这些算法来进行盗刷防
治。如果这些公司愿意投资机器学习、资料科学与统计专家建立盗刷侦测系统,很多盗刷
行为都可以被防止,减少旷日废时的救济程序甚至金额损失。以我自己的经验,这次邮局
VISA最可恶,除了是我主动发现以外,反应时间慢,对这次的盗刷事件也只是消极回应,
甚至给我承诺的电话都没打过来.
我稍微解释一下目前现在有什么方法对这类的诈欺或盗刷行为进行防治。
通常我们说信用卡诈欺(credit card fraud),指的是对你的信用卡(credit card)或扣帐
卡(debit card)进行诈欺或盗用,典型区分为两种模式:
离线式诈欺(offline fraud):也就是直接偷取你的实体信用卡诈欺或盗刷。
在线式诈欺(online fraud):也就是透过非过卡交易诈欺,例如透过网站、电话、传真等
购物方法,获取你相关的信用卡资讯。根据VISA公司的研究报告,2008年欧洲国家有50%
的信用卡诈欺行为是发生在此类别。
对于这些诈骗或盗用,常用的资料科学与机器学习的防治方法列举如下:
最基本要做异常侦测(Outlier Detection),也就是找出交易纪录异常或奇怪的地方,有
些交易的模式、行为或数值与大多数的交易并不相同,我们就必须怀疑是有不同的正常交
易的机制(mechanism)导致这样的状况。例如假设今天我为某家信用卡公司加装侦测系统
,侦测到在同一天的某个时段里,有许多客户的信用卡在此时段里被刷卡,而且交易公司
都指向某家公司(或是类似的几家)。但是以往大量的历史纪录并没有这样的情况,我们就
必须怀疑这些交易可能是某集团已经掌握了大量客户的卡号,进行未经授权交易,这时侦
测系统就应该反映。
在机器学习理论中,我们把方法概括地区分为监督学习(supervised learning)与非监
督学习方法(unsupervised learning),套用到侦测信用卡诈欺此例,前者是你必须从过
往的历史数据中,精确地标签哪些行为是正常交易,那些交易是盗刷诈欺,透过机器学习
算法建立一个适当的预测模型后,判断未来的某一笔交易行为是否是正常或盗刷诈欺。
后者则刚好相反,也就是你不需要事先从过往的历史数据,标签那些是盗刷行为,哪一些
是正常交易行为,我们只要给出一个侦测异常行为的侦测机制。
常用的算法:
人工神经网络(Neural Networks):透过数学与计算模型,模仿人类或其他生物的神经网络
结构,进行事件的预测或决策。应用在信用卡诈欺侦测的如E Aleskerov(1997)[1],
Ghosh and Reilly(1994)[2],S Maes(2002)[3]。
决策树算法(Decision Tree algorithm):决策树是机器学习、人工智能与统计中常用的
方法。Y. Sahin and E. Duman(2011)[4]在论文中就采用此法。
支持向量机(Support Vector Machines):支持向量机是一种非常普遍的监督式学习的方
法,透过构造平面或超平面来对对象进行分类。采用此方法来进行信用卡诈欺侦测的论文
如Rong-Chang Chen(2006)[5]。
贝氏信念网络(Bayesian belief networks):一种非常常见的机率图形学习模型
(probabilistic graphical model),也是人工智能与机器学习非常重要的方法之一,发
展此模型的计算机科学家Judea Pearl因为这个成就得到计算机科学界的最高荣誉图灵奖
(Turing Award)。采用此方法来进行信用卡诈欺侦测的论文如S.Maes(1993)[3]
还有很多方法,例如混合的、logistic regression、naïve Bayesian等等,我就懒得列
相关研究了。这些东西不论在学术界还是业界早就有丰富的经验与技术,只是看你的公司
愿不愿意花心思聘请人来做而已。
参考资料:
[1] E. Aleskerov, B. Freisleben, and B. Rao. Cardwatch aneural network based
database mining system for credit card fraud detection. In Pmceedings of
Computational Intelligence for
Financial Engineering, pages 173-200,1997
[2]Ghosh, S. and D. L. Reilly (1994). Credit card fraud detection with a
neural network. In Proc. of the Twenty-Seventh Hawaii Int. Conference on
System Sciences, pp. 621-630. IEEE Computer Society Press.
[3]Sam Maes, Karl Tuyls, Bram Vanschoenwinkel, Bernard Manderick, “Credit
card fraud detection using Bayesian and neural networks,” Interactive
imageguided neurosurgery, pp.261-270, 1993.
[4]Y. Sahin, S. Bulkan, E. Duman, “A cost-sensitive decision tree approach
for fraud detection”, Expert Systems with Applications, vol. 40, issue 15,
pp. 5916-5923
[5]Chen, R.C., Chen, T.S., Lin, C.C.: A new binary support vector system for
increasing detection rate of credit card fraud. International Journal of
Pattern Recognition and Artificial Intelligence (IJPRAI) 20(2), 227–239
(2006)
另外回应你几点宣称:
1.
我当然可以向EA证明我是持卡人,我提供我的信用卡代号,再透过Visa验证服务就可以知
道我是持卡人,甚至我也可以直接拍下我的实体信用卡进行双重验证。
2.我的确没有任何Origin帐号,却仍被盗刷,但是你可以参考[6]发现,一些持有Origin帐
号的人信用卡被盗刷。
[6]http://www.mobile01.com/topicdetail.php?f=283&t=4207002
3.“我也相信没被入侵啦”,你相不相信那是你家的事情,但现实与你的信念是两码子的
事情。你宣称“要不然帐号数据库早就被公开了。”这样的论断毫无逻辑根据,只是你一
厢情愿的观点而已。诚然,有些骇客在骇完某些server之后,为了炫耀会大肆散布得手资
料。但如果你有研究过网络金融诈欺史,会发现许多非常低调且手段高超的犯罪集团,盗
取大量个人资料并用此赚取利益,并没有大肆散布数据库。
现实是,有些人有在Origin上注册帐号且输入新用卡卡号盗刷,而有些从来没有注册
Origin的人也被盗刷,我们可以根据这两个事实建构出可能的两个模型:
a)Origin的服务器被骇客入侵,同时骇客掌握了其他并没有存在Origin服务器上的信用卡
资料(例如入侵其他服务得到),开始大肆刷卡。
b)Origin的服务器没有被骇客入侵,但骇客掌握了大量的信用卡资料,在Origin上大肆刷
卡。那些有存信信用卡卡号在Origin的人被盗刷,只是因为其他途径流出信用卡相关资料
,并不是Origin服务器被入侵导致信用卡外泄。
透过这两个可能的模型,可以知道以现在我们拥有的证据,都无法论断“Origin server
被入侵”这个命题,必须要有更多详细的论据。我再说一次,你宣称:“我也相信没被入
侵啦”,你相不相信那是你家的事情,现实与你的信念是两码子事。