两跳之外的欺诈

Source: Dev.to

在凌晨 2:17，一条付款请求进入我们的系统。
一切看起来很干净：新手机号、新邮箱、新卡。任何普通的欺诈系统都会立即批准。我们的系统也差点这么做，但在交易完成之前，我们的图引擎执行了关系遍历——在 50 毫秒 内发现了令人惊讶的情况。这个“干净”的交易实际上通过两跳与一个 已知欺诈案件 相连，交易被拦截。

The Problem With Traditional Fraud Systems

大多数欺诈系统将交易视为 isolated events。一笔付款进来时，我们会提出以下问题：

• 这张卡以前是否被报告过？
• 这个邮箱是否曾用于欺诈？
• 这个电话号码是否可疑？

如果一切看起来都是新的，交易通常会通过。欺诈者知道这一点，所以他们不会重复使用 exact same details。相反，他们会构建 networks，在不同交易中重复使用部分身份信息——有时是电话号码，有时是邮箱，有时是设备。单个交易看似无害，但整体上却讲述了不同的故事。

在关系中思考，而非行

为了发现隐藏的关联，我们开始使用 Amazon Neptune 将交易建模为 关系图。

• 每笔 交易 是一个节点。
• 每个 实体（电话、电子邮件、卡片、设备）也是一个节点。
• 关系将它们连接起来。

示例

T1
├── Phone: P1
└── Email: E1

如果另一笔交易使用相同的电话号码，它会连接到同一个节点：

P1
├── T1
└── T2

随着时间推移，交易不再是孤立的记录，而是成为 身份网络 的一部分。

欺诈很少单独发生；它通常存在于一个关系网络中。

第一个欺诈案例

之前发生了一笔交易 T1，使用了：

• 电话 → P1
• 电子邮件 → E1

客户随后报告此交易为欺诈，因此我们在图中将 T1 标记为欺诈。

可疑但被允许的交易

随后出现了另一笔交易：

• 交易 T2
• 电话 → P1
• 电子邮件 → E2

它与欺诈交易共享相同的电话号码，但我们并未阻止它。对所有具有 单一关联 的情况进行阻止会产生过多误报，因此系统在记住该关联的同时允许了这笔交易。

揭露网络的交易

一个第三笔交易出现了：

• 交易 T3
• 电话 → P3
• 邮箱 → E2

乍看之下它似乎毫不相关：电话不同，邮箱与欺诈案件不同，卡片也不同。然而，图引擎执行了一次遍历，找到了以下路径：

T3 → E2 → T2 → P1 → T1 (Fraud)

T3 与已确认的欺诈交易相距 两跳，因此触发了阻断。

为什么这样有效

欺诈者很少仅使用单一身份进行操作。他们利用以下方式构建欺诈基础设施：

• 临时手机号码
• 一次性电子邮件
• 共享设备
• 代理账户

每笔交易单独看可能显得合法，但其背后的网络揭示了真实情况。图谱情报让我们能够检测：

• 欺诈团伙
• 共享基础设施
• 隐蔽身份关联
• 多跳欺诈关系

全部在毫秒级完成。

实时欺诈检测

当有新交易到达时：

1. 将其插入图中。
2. 系统探索附近的关系。
3. 检查该交易是否与已知欺诈模式相连。

决策在授权之前进行，通常约为50 毫秒，足够快以在付款完成之前阻止欺诈。

Final Thought

欺诈不仅仅是可疑交易；它还涉及可疑关系。最危险的交易并不总是直接与欺诈相关的那笔。有时它是相隔两跳的那笔。除非你查看网络，否则永远看不到它。