Schwarzer Freitag: Ist es sicher, Ihre Kreditkarte zu streichen?

Sie sitzen zu Hause und kümmern sich um Ihr eigenes Geschäft, wenn Sie von der Betrugserkennungsstelle Ihrer Kreditkarte angerufen werden und gefragt werden, ob Sie gerade in einem Kaufhaus in Ihrer Stadt gekauft haben. Es war nicht Sie, der mit Ihrer Kreditkarte teure Elektronik gekauft hat. Tatsächlich war er den ganzen Nachmittag in Ihrer Tasche. Woher wusste die Bank, dass sie diesen einzelnen Kauf als höchst betrügerisch kennzeichnen sollte?

Kreditkartenunternehmen haben ein berechtigtes Interesse daran, unrechtmäßige und kriminelle finanzielle Transaktionen zu identifizieren. Es geht um viel. Laut der Federal Reserve Payments Study haben Amerikaner im Jahr 2012 mit Kreditkarten 26,2 Milliarden Käufe getätigt. Der geschätzte Verlust aufgrund nicht autorisierter Transaktionen in diesem Jahr betrug 6,1 Milliarden US-Dollar. Das Federal Fair Credit Billing Act begrenzt die maximale Haftung eines Kreditkarteninhabers für nicht autorisierte Transaktionen auf 50 US-Dollar, so dass Kreditkartenunternehmen am Haken bleiben. Offensichtlich können betrügerische Zahlungen einen großen Einfluss auf die Gewinne der Unternehmen haben. Die Branche verlangt von Anbietern, die Kreditkarten verarbeiten, jährlich Sicherheitsüberprüfungen. Aber das stoppt nicht jeden Betrug.

In der Bankbranche ist die Risikomessung kritisch. Das allgemeine Ziel besteht darin, herauszufinden, was betrügerisch ist und was nicht so schnell wie möglich ist, bevor zu viel finanzieller Schaden entstanden ist. Wie funktioniert das alles? Und wer gewinnt im Wettrüsten zwischen Dieben und Finanzinstituten?

Die Truppen sammeln

Betrugserkennung kann aus Verbrauchersicht magisch erscheinen. Der Prozess erscheint augenblicklich, ohne dass Menschen in Sicht sind. Diese scheinbar nahtlose und sofortige Aktion umfasst eine Reihe hochentwickelter Technologien in Bereichen, die von Finanzen und Wirtschaft über Recht bis zu Informationswissenschaften reichen.

Natürlich gibt es einige relativ unkomplizierte und einfache Erkennungsmechanismen, für die keine fundierten Überlegungen erforderlich sind.Ein guter Indikator für Betrug ist beispielsweise die Unfähigkeit, die korrekte Postleitzahl anzugeben, die mit einer Kreditkarte verbunden ist, wenn sie an einem ungewöhnlichen Ort verwendet wird. Betrüger können diese Routineüberprüfung jedoch umgehen - schließlich kann das Erkennen der Postleitzahl eines Opfers genauso einfach sein wie eine Google-Suche.

Die Aufdeckung von Betrug beruhte traditionell auf Datenanalysetechniken, für die ein erheblicher menschlicher Eingriff erforderlich war. Ein Algorithmus weist darauf hin, dass verdächtige Fälle letztendlich von menschlichen Ermittlern eingehend geprüft werden, die möglicherweise sogar die betroffenen Karteninhaber angerufen haben, um zu fragen, ob sie die Gebühren tatsächlich erhoben haben. Heutzutage befassen sich die Unternehmen mit einer ständigen Flut von so vielen Transaktionen, dass sie zur Unterstützung auf Big Data-Analysen angewiesen sind. Aufkommende Technologien wie Machine Learning und Cloud Computing verstärken das Erkennungsspiel.

Was ist Legit ?, Was ist schattig?

Einfach ausgedrückt bezieht sich maschinelles Lernen auf sich selbst verbessernde Algorithmen, bei denen es sich um vordefinierte Prozesse handelt, die bestimmten Regeln entsprechen, die von einem Computer ausgeführt werden. Ein Computer beginnt mit einem Modell und trainiert es anschließend durch Ausprobieren. Es kann dann Vorhersagen treffen, beispielsweise die Risiken, die mit einer Finanztransaktion verbunden sind.

Ein maschineller Lernalgorithmus zur Betrugserkennung muss zuerst trainiert werden, indem die normalen Transaktionsdaten von Lots und Lots von Karteninhabern eingespeist werden. Transaktionssequenzen sind ein Beispiel für diese Art von Trainingsdaten. Eine Person kann normalerweise einmal pro Woche Gas pumpen, alle zwei Wochen einkaufen und so weiter. Der Algorithmus lernt, dass dies eine normale Transaktionssequenz ist.

Nach diesem Feinabstimmungsprozess werden Kreditkartentransaktionen durch den Algorithmus durchgeführt, idealerweise in Echtzeit. Daraufhin wird eine Wahrscheinlichkeitszahl erzeugt, die auf die Möglichkeit einer betrügerischen Transaktion (beispielsweise 97 Prozent) hinweist. Wenn das Betrugserkennungssystem so konfiguriert ist, dass es Transaktionen blockiert, deren Score beispielsweise über 95 Prozent liegt, könnte diese Bewertung sofort eine Kartenabweisung an der Verkaufsstelle auslösen.

Der Algorithmus betrachtet viele Faktoren, um eine Transaktion als betrügerisch zu qualifizieren: Vertrauenswürdigkeit des Verkäufers, Kaufverhalten des Karteninhabers, einschließlich Zeit und Ort, IP-Adressen usw. Je mehr Datenpunkte vorhanden sind, desto genauer wird die Entscheidung.

Dieses Verfahren ermöglicht eine Just-in-Time- oder Echtzeit-Betrugserkennung. Keine Person kann Tausende von Datenpunkten gleichzeitig auswerten und in Sekundenbruchteilen eine Entscheidung treffen.

Hier ist ein typisches Szenario. Wenn Sie zu einem Kassierer gehen, um im Supermarkt zu checken, ziehen Sie Ihre Karte durch. Transaktionsdetails wie Zeitstempel, Betrag, Händlerbezeichnung und Mitgliedschaft werden an den Kartenaussteller weitergeleitet. Diese Daten werden dem Algorithmus zugeführt, der Ihre Kaufmuster gelernt hat. Passt diese Transaktion zu Ihrem Verhaltensprofil, das aus vielen historischen Kaufszenarien und Datenpunkten besteht?

Der Algorithmus weiß sofort, ob Ihre Karte in einem Restaurant verwendet wird, in das Sie jeden Samstagmorgen gehen - oder an einer Tankstelle, die zwei Zeitzonen zu einem ungeraden Zeitpunkt (z. B. 3:00 Uhr) entfernt ist. Außerdem wird überprüft, ob Ihre Transaktionssequenz abgelaufen ist das Gewöhnliche. Wenn die Karte plötzlich zweimal am selben Tag für Cash-Advance-Services verwendet wird, wenn die historischen Daten keine solche Verwendung zeigen, erhöht dieses Verhalten die Wahrscheinlichkeitswahrscheinlichkeit für Betrug. Wenn der Betrugsscore der Transaktion, oft nach einer schnellen Überprüfung durch einen Benutzer, über einem bestimmten Schwellenwert liegt, kommuniziert der Algorithmus mit dem Kassensystem und fordert das Geschäft auf, die Transaktion abzulehnen. Online-Einkäufe durchlaufen denselben Prozess.

In dieser Art von Systemen gehören schwere Eingriffe des Menschen der Vergangenheit an. Sie könnten tatsächlich im Weg stehen, da die Reaktionszeit viel länger ist, wenn ein Mensch zu stark in den Betrugserkennungszyklus eingebunden ist. Menschen können jedoch immer noch eine Rolle spielen - entweder bei der Feststellung eines Betrugs oder bei der Weiterverfolgung einer abgelehnten Transaktion. Wenn eine Karte für mehrere Transaktionen abgelehnt wird, kann eine Person den Karteninhaber anrufen, bevor sie die Karte endgültig storniert.

Computer-Detektive in der Cloud

Die schiere Anzahl der zu verarbeitenden Finanztransaktionen ist im Bereich der Big Data wirklich überwältigend. Aber maschinelles Lernen lebt von den Datenbergen - mehr Informationen erhöhen die Genauigkeit des Algorithmus und helfen dabei, Fehlalarme zu eliminieren. Diese können durch verdächtige Transaktionen ausgelöst werden, die wirklich legitim sind (z. B. eine Karte, die an einem unerwarteten Ort verwendet wird). Zu viele Warnungen sind so schlecht wie gar keine.

Es erfordert viel Rechenleistung, um diese Datenmenge zu durchlaufen. Zum Beispiel verarbeitet PayPal zu einem beliebigen Zeitpunkt mehr als 1,1 Petabyte Daten für 169 Millionen Kundenkonten. Diese Datenfülle - beispielsweise ein Petabyte - ist mehr als 200.000 DVDs wert - hat einen positiven Einfluss auf das maschinelle Lernen der Algorithmen, kann jedoch auch die Rechnerinfrastruktur eines Unternehmens belasten.

Betreten Sie Cloud Computing. Off-Site-Computing-Ressourcen können hier eine wichtige Rolle spielen. Cloud Computing ist skalierbar und nicht durch die eigene Rechenleistung des Unternehmens begrenzt.

Fraud Detection ist ein Wettrüsten zwischen Guten und Bösen. Momentan scheinen sich die Guten durch die aufkommenden Innovationen bei IT-Technologien wie Chip- und Pin-Technologien, kombiniert mit Verschlüsselungsfunktionen, maschinellem Lernen, Big Data und natürlich dem Cloud-Computing, durchzusetzen.

Betrüger werden sicherlich weiterhin versuchen, die Guten zu überlisten und die Grenzen des Betrugserkennungssystems zu hinterfragen. Drastische Änderungen in den Zahlungsparadigmen selbst sind eine weitere Hürde. Ihr Telefon kann jetzt Kreditkarteninformationen speichern und kann dazu verwendet werden, Zahlungen drahtlos zu tätigen, wodurch neue Sicherheitslücken entstehen. Glücklicherweise ist die derzeitige Generation der Betrugserkennungstechnologie weitgehend neutral gegenüber den Zahlungssystemtechnologien.

Dieser Artikel wurde ursprünglich bei The Conversation von Jungwoo Ryoo veröffentlicht. Lesen Sie hier den Originalartikel.