近日×××支付结算司发布《关于加强II、III类银行结算账户风险防范有关事项的通知》(以下简称II、III类户)。通知要求:
一、全面开展风险排查。银行业金融机构对网上银行、手机银行、直销银行、手机app等电子渠道办理II、III类户业务的相关系统及后台系统开展全面的自查,对存在安全隐患的银行采取责令整改,暂停II、III类户业务等监管措施。并且详细罗列了II、III类户可疑风险特征方面,两大异常需要排查,一是开户行为异常,二是开户后交易行为异常。支付结算司还针对这两类异常列举了12种具体情形。详情如下:
(一) 开户行为异常

  1. 客户使用同一身份(包括同一×××号码,或同一绑定账户,或同一手机号码等情况)连续开立多个Ⅱ、Ⅲ类户。
  2. 不同客户使用同一终端设备(包括同一设备ID、同一网络地址等情况)、同一绑定账户或手机号码开立多个Ⅱ、Ⅲ类户。
  3. 客户使用的手机号码属于网络销售的虚拟运营商手机号码。
  4. 在一段时间内,多个新增Ⅱ、Ⅲ类户呈现出集中性特征,包括但不限于绑定账户开户行集中在少数几家银行,开户时间集中于凌晨等异常时间段,客户集中在同一或相似年龄段,客户集中在相近的网络地址或地理位置,客户×××号码集中在少数几个地区,客户×××地址为相同或相近的地址且与×××号段对应地区不一致,客户手机号码集中在少数几个归属地区,客户手机号码呈现连号或集中在相同号段等。
  5. 客户申请开户过程中的信息填写、程序交互等操作速度过快,超出手动操作速度的合理范围。
  6. 银行新增开户频率异常增高、数量激增,新增开户时间间隔较短或呈现一定规律,新增开户频率和数量与本身业务规模、客户群体特征等不符。
    (二) 开户后交易行为异常
  7. Ⅱ、Ⅲ类户开立后,连续发生交易失败情况,或短时间内发生身份验证、绑定或签约等非资金变动类交易。
  8. Ⅱ、Ⅲ类户开立后,在未发生过入金的情况下收到身份验证请求。
  9. Ⅱ、Ⅲ类户开立后,发生交易的终端设备ID、网络地址、地理位置与申请开户时有明显差异。
  10. Ⅱ、Ⅲ类户开立后,客户立即或多次修改手机号码、绑定账户。
  11. 多个不同身份的Ⅱ、Ⅲ类户在同一终端设备或网络地址进行登录或操作使用。
  12. 多个不同身份的Ⅱ、Ⅲ类户的身份验证交易发起方集中于某一银行,或身份验证交易时间集中于凌晨等异常时间段。
    二、健全风险监测和处置机制。要求建立健全II、III类户开户和交易风险监测机制,参照II、III类户可疑风险特征完善风险监测模型,重点防范并及时阻隔中断集中、批量开户II、III类户的异常情形,持续开展风险监测和预警。银行监测发现II、III类户风险情形的,应立即排查和上报,并于发现之日起30日内暂停办理II、III类户开户业务,直至完成风险监测和漏洞整改。
    三、强化账户业务监督管理。开户严格核查×××和联网核查系统的一致性,并对电子渠道开立后未发生入金的II、III类户,处于未激活、只收不付、不收不付、已冻结、已注销等非正常状态的银行账户及信用卡附属卡,不得作为其他银行的绑定账户。出现II、III类户风险情形的银行,应切实维护客户合法权益,稳妥做好客户解释说明和投诉处置工作,应密切关注舆情信息并及时应对。

综上所述,本次通知重点描述了银行互联网端系统中II、III类户的相关风险和用户异常行为等,要求银行系统拥有风险自查、监测和处置机制,并强化账户业务监督管理。而针对本次通知涉及的问题,InfoBeat团队早在一年前就开始了这些方面的系统研究,并且推出了InfoBeat威胁态势感知系统和InfoBeat智能数据平台,来进行互联网移动应用的危险行为感知以及通过行为的数据分析,通过数据应用智能闭环所感知的威胁以及采取对应的策略及时反馈给各应用产品的运维管理人员。
下面重点描述一下,InfoBeat是如何解决上述问题:
第一、开户行为异常,InfoBeat通过探针实时采用户的在注册前所处在的环境,并且留下相应的记录。然后根据各核心数据搭建开户行为异常的分析模型,让实时数据的时间段内与分析模型进行比对,一旦出现相似可疑行为,通过预先设置的快速响应策略中断和闭环该开户用户的操作。从而避免开户行为的异常,并且实时提报数据报告给应用的运维管理人员。
第二、开户后交易行为异常,则是采集开户后的所有行为路径数据,然后建立与开户后交易行位异常的分析模型进行比对,类似开户行为异常的相关操作,来进行此类异常的闭环和数据上报。
第三、可根据行为异常的上报数据,可对该应用相对应的功能模块进行风险监测,并提出预警报告给应用管理者,进行应用系统的优化操作。
第四、InfoBeat除了能实时采集各用户的开户环境数据和用户使用行为数据之外,也可以接入第三方的数据资料进行分析。就可以对于已经开户的用户所处于的状态进行检测,可以有效的反映以往用户的真实目的。
第五、进行可疑用户数据的分析模型比对后,提取出现危险异常的用户,进行隔离,并且提报数据报表,以供运营方及时通知这些用户做好风险防范,将损失降低,保护用户的合法权益。

InfoBeat团队致力于研究移动应用的相关安全与运营,并匹配多种数据应用的分析模型,进行落地智能运营的工具,为银行、政企、新媒体、汽车、电力等行业应用优化产品运营以及安全护航。目前,国内已有多家银行金融机构和政企单位与我司开展了合作,比如:包商银行、贵州银行、天津银行、光大证券和国家电网等。