【环球旅讯】新一代数字技术的发展使旅客享受到了更多的便利,提升了酒店入住办理和交易支付等场景下的无缝体验。但在旅客逐渐掌握控制权、获得便捷服务的同时,数字化技术也逐渐引发了数据泄露和交易欺诈等威胁。
CyberSource Global Services总监陶伟表示,“简单便捷的客户体验背后需要极其复杂的风险防范过程作为支撑。”
陶伟称,酒店希望能为客人打造简单流畅的体验,但这背后面临的欺诈和黑客攻击风险也在上升。
无缝体验
企业通过让旅客创建个人账户,有针对性地优化用户的体验,这也为欺诈份子提供了机会。黑客或欺诈份子盗用在线账户后进行非法交易构成了典型的账户盗用案例。而酒店或航司网站账号被盗时就构成了商家账户欺诈。
陶伟表示,“欺诈份子的焦点正在转向对目标账户创建的攻击和盗用。”
账户盗用通常伴随着数据泄露,用户的个人信息会被曝光并在网络黑市上被出售。欺诈份子获取了账户信息后会登录用户账户,进行转账、积分盗用等一系列非法变现活动。
陶伟举例称,旅客下载酒店App并完成预订的过程中,账户创建和银行卡信息存储可能会引发潜在的欺诈威胁,涉及到的私人信息包括登录信息、银行账号或信用卡账号等。此外,用户在交易中的账户信息存档(account-on-file)模式—即从过往的交易中调用持卡人信息,自动填充支付细节,也存在一定的风险。如果客人通过App在线办理入住手续,酒店必须保障移动入住登记过程和电子房卡的安全性。
另一方面,账户盗用也可能导致积分场景下的欺诈。积分和里程对欺诈份子有较高的吸引力,因为积分可以抵扣旅程全额或部分的费用,在线购买旅游辅助产品或其它服务,甚至获得现金或信用额度形式的订单返利。此外,消费者可能不会像查询银行账户那样频繁地查看酒店忠诚度计划和飞行常客里程积分。
多设备/多渠道融合
为了提供全方位的服务体验,旅游企业为客户提供了多设备和多渠道以进行更好的交互。陶伟称,在多渠道多设备的场景下,客户验证的准确性和异常行为的建模过程也会变得更加复杂。移动端和PC端的交易仍需区分对待。
在线旅游企业需要深入了解移动设备欺诈的特点。CyberSource强调了行为评估的重要性。相比电脑用户,移动设备用户更能自由活动,在这种情况下IP地理定位的作用有所减弱。此外,防欺诈管理系统将多个设备登录同一个账号视为可疑行为,可以大大降低欺诈交易成功率。就目前而言,企业需要收集移动设备的使用信息,包括操作系统、浏览器配置、无线设置等,以提升反欺诈效率。
做更充分的准备
一位酒店高级管理人士表示,薄弱的酒店内部流程也会引发数据的泄露。
IT人员能轻易访问并窃取酒店客户数据库,前台工作人员也有机会利用客人信用卡进行非法操作。公司设置了多个关键信息储存源,当员工访问了未授权的数据库时就会引发问题。因此,企业最好根据职能和部门设定访问授权机制,同时取消永久访问权限。针对数据处理和泄露通知等事项的员工培训极为重要,每位员工都需要确保自身操作不会引发数据泄露问题。
珀林酒店集团CEO王长春表示,酒店前台工作人员盗用客人信用卡的情况偶有发生,但整体的支付环境仍然十分安全,在线支付拥有非常高的安全度。
从航司的角度来看,东航数据实验室负责人王学武认为数据安全与乘客安全一样重要。“东航构建了广泛的数据安全系统、数据使用规范和网络监控措施,以防止数据泄露并保障数据的安全。”
从消费者的角度出发,CyberSource指出,降低欺诈率的同时需要关注误判率,即减少对真实的客户交易进行欺诈误判。防欺诈企业在指定规则或实行双重、多重身份验证时必须十分谨慎。
旅游企业自身需要更好地控制欺诈风险。
预防欺诈的6大措施:
1. CyberSource强调了全面预防欺诈的重要性,覆盖账户监控(包括账户创建、登录和更新等信息)到交易审查(包括CNP无卡支付风险、里程/积分兑换等)。
2. 随着新型支付方式的出现,相应的新型欺诈方式也可能出现,旅游企业必须做好防范措施。欺诈份子可能通过应用克隆和机器学习技术伪造了设备信息(将一些真实信息进行组合以创造假身份),为商家带来损失。系统将不同交易和登录只视作来自不同设备的操作,因此黑客等不法分子通过创建大量虚假用户账号,可能逃过反欺诈系统的审查。
3. 更有效的防欺诈措施:企业可以采用规则导向引擎,对订单进行自动筛选和分类。商家必须对防欺诈系统中的规则进行明确的评判,与此同时结合监督式的机器学习或传统的机器学习方法(通过历史数据构建精确算法)。而无监督式学习方法可以让系统实时收集数据并进行动态学习。机器学习的重要性在不断加强,但在其中融入现实因素也很重要。仅仅关注历史数据可能会让新出现的未知欺诈模式成为漏网之鱼。而无监督式机器学习算法能够在收集的新数据当中发掘新的模式和关联,将真实的旅游消费者与欺诈份子区分开来。除了采用上述方法,酒店和航司还需要减少交易验证中的人工验证投入,提升审查过程的自动化水平。
4. 提升消费者的防欺诈意识:旅游企业应该加强旅客对积分变现价值的认知,鼓励旅客为各个账户设置不同密码(当一个账户遭受欺诈风险时至少不会影响到其它的账户),并进行定期更新。
5. 收集数据并制定措施:结合行业数据与企业独有的用户数据(比如针对用户行为的生物识别技术,记录了用户使用鼠标或手机按键滑屏等操作方式),能够提升防欺诈专家的实时识别技术。与此同时还需要有效检测交易中的异常因素,及时采取防欺诈措施。
6. 身份验证:近几年指纹识别、脸部识别等身份识别方式兴起,身份验证应包括用户姓名、地址等文本、个人语音识别、键入模式和数字足迹验证(Facebook、领英等社交账户的关联资料)等。唯有充分适应并借助多方位的身份验证,才能更好地防范欺诈。
评论
未登录
游客
2019-12-15
希望数据安全法规越来越成熟
游客
2019-04-18
香港快运(Hongkong Express))注意到业务运营指标上出现的问题:虽然数万个航空公司的座位通过他们的在线网站被预留(hold),但实际上最后却只有一个很低数量被真正预订。他们发现是一种复杂的新型大容量机器人((high-volume bot attack)对他们进行攻击 单请求攻击(Single Request Attack),目的是通过他们的在线系统预留座位,导致阻止了真正的用户购买门票。