旅遊企業如何建造反欺詐的防火線？

簡單流暢的旅遊用戶體驗背後需要強大的反欺詐調控措施。

【環球旅訊】新一代數字技術的發展使旅客享受到了更多的便利，提升了酒店入住辦理和交易支付等場景下的無縫體驗。但在旅客逐漸掌握控制權、獲得便捷服務的同時，數字化技術也逐漸引發了數據洩露和交易欺詐等威脅。

CyberSource Global Services總監陶偉表示，“簡單便捷的客戶體驗背後需要極其複雜的風險防範過程作為支撐。”

陶偉稱，酒店希望能為客人打造簡單流暢的體驗，但這背後面臨的欺詐和黑客攻擊風險也在上升。

無縫體驗

企業通過讓旅客創建個人账戶，有針對性地優化用戶的體驗，這也為欺詐份子提供了機會。黑客或欺詐份子盜用在線账戶後進行非法交易構成了典型的账戶盜用案例。而酒店或航司網站账號被盜時就構成了商家账戶欺詐。

陶偉表示，“欺詐份子的焦點正在轉向對目標账戶創建的攻擊和盜用。”

账戶盜用通常伴隨著數據洩露，用戶的個人信息會被曝光並在網絡黑市上被出售。欺詐份子獲取了账戶信息後會登錄用戶账戶，進行轉账、積分盜用等一系列非法變現活動。

陶偉舉例稱，旅客下載酒店App並完成預訂的過程中，账戶創建和銀行卡信息存儲可能會引發潛在的欺詐威脅，涉及到的私人信息包括登錄信息、銀行账號或信用卡账號等。

此外，用戶在交易中的账戶信息存檔（account-on-file）模式—即從過往的交易中調用持卡人信息，自動填充支付細節，也存在一定的風險。如果客人通過App在線辦理入住手續，酒店必須保障移動入住登記過程和電子房卡的安全性。

另一方面，账戶盜用也可能導致積分場景下的欺詐。積分和裡程對欺詐份子有較高的吸引力，因為積分可以抵扣旅程全額或部分的費用，在線購買旅遊輔助產品或其它服務，甚至獲得現金或信用額度形式的訂單返利。此外，消費者可能不會像查詢銀行账戶那樣頻繁地查看酒店忠誠度計劃和飛行常客裡程積分。

多設備/多渠道融合

為了提供全方位的服務體驗，旅遊企業為客戶提供了多設備和多渠道以進行更好的互動。陶偉稱，在多渠道多設備的場景下，客戶驗證的準確性和異常行為的建模過程也會變得更加複雜。移動端和PC端的交易仍需區分對待。

在線旅遊企業需要深入了解移動設備欺詐的特點。CyberSource強調了行為評估的重要性。相比電腦用戶，移動設備用戶更能自由活動，在這種情況下IP地理定位的作用有所減弱。

此外，防欺詐管理系統將多個設備登錄同一個账號視為可疑行為，可以大大降低欺詐交易成功率。就目前而言，企業需要收集移動設備的使用信息，包括作業系統、瀏覽器配置、無線設置等，以提升反欺詐效率。

做更充分的準備

一位酒店高級管理人士表示，薄弱的酒店內部流程也會引發數據的洩露。

IT人員能輕易訪問並竊取酒店客戶數據庫，前台工作人員也有機會利用客人信用卡進行非法操作。公司設置了多個關鍵信息儲存源，當員工訪問了未授權的數據庫時就會引發問題。

因此，企業最好根據職能和部門設定訪問授權機制，同時取消永久訪問權限。針對數據處理和洩露通知等事項的員工培訓極為重要，每位員工都需要確保自身操作不會引發數據洩露問題。

珀林酒店集團CEO王長春表示，酒店前台工作人員盜用客人信用卡的情況偶有發生，但整體的支付環境仍然十分安全，在線支付擁有非常高的安全度。

從航司的角度來看，東航數據實驗室負責人王學武認為數據安全與乘客安全一樣重要。“東航構建了廣泛的數據安全系統、數據使用規範和網絡監控措施，以防止數據洩露並保障數據的安全。”

從消費者的角度出發，CyberSource指出，降低欺詐率的同時需要關注誤判率，即減少對真實的客戶交易進行欺詐誤判。防欺詐企業在指定規則或實行雙重、多重身份驗證時必須十分謹慎。

旅遊企業自身需要更好地控制欺詐風險。

預防欺詐的6大措施：

1. CyberSource強調了全面預防欺詐的重要性，覆蓋账戶監控（包括账戶創建、登錄和更新等信息）到交易審查（包括CNP無卡支付風險、裡程/積分兌換等）。

2. 隨著新型支付方式的出現，相應的新型欺詐方式也可能出現，旅遊企業必須做好防範措施。欺詐份子可能通過應用克隆和機器學習技術偽造了設備信息（將一些真實信息進行組合以創造假身份），為商家帶來損失。系統將不同交易和登錄隻視作來自不同設備的操作，因此黑客等不法分子通過創建大量虛假用戶账號，可能逃過反欺詐系統的審查。

3. 更有效的防欺詐措施：企業可以採用規則導向引擎，對訂單進行自動篩選和分類。

商家必須對防欺詐系統中的規則進行明確的評判，與此同時結合監督式的機器學習或傳統的機器學習方法（通過歷史數據構建精確算法）。而無監督式學習方法可以讓系統實時收集數據並進行動態學習。

機器學習的重要性在不斷加強，但在其中融入現實因素也很重要。僅僅關注歷史數據可能會讓新出現的未知欺詐模式成為漏網之魚。而無監督式機器學習算法能夠在收集的新數據當中發掘新的模式和關聯，將真實的旅遊消費者與欺詐份子區分開來。

除了採用上述方法，酒店和航司還需要減少交易驗證中的人工驗證投入，提升審查過程的自動化水準。

4. 提升消費者的防欺詐意識：旅遊企業應該加強旅客對積分變現價值的認知，鼓勵旅客為各個账戶設置不同密碼（當一個账戶遭受欺詐風險時至少不會影響到其它的账戶），並進行定期更新。

5. 收集數據並制定措施：結合行業數據與企業獨有的用戶數據（比如針對用戶行為的生物識別技術，記錄了用戶使用滑鼠或手機按鍵滑屏等操作方式），能夠提升防欺詐專家的實時識別技術。與此同時還需要有效檢測交易中的異常因素，及時采取防欺詐措施。

6. 身份驗證：近幾年指紋識別、臉部識別等身份識別方式興起，身份驗證應包括用戶姓名、地址等文本、個人語音識別、鍵入模式和數字足跡驗證（Facebook、領英等社交账戶的關聯資料）等。唯有充分適應並借助多方位的身份驗證，才能更好地防範欺詐。