近年来,电子商务迅速发展令网上交易量呈现惊人的增长,同时也见网路罪案的数量不断上升。不良商户以及犯罪组织正在透过越来越复杂精密的方法,利用互联网去隐藏违规甚至非法所得的利益。对于支付业界而言,网站交易跳转并不是什么新奇陌生的概念,但它近年毫无疑问对银行、收单机构和支付公司构成重大威胁。随着电子商务活动每年以倍数增长,各类五花百门的支付系统无疑令侦测违规交易变得更困难重重。
美国食品及药物管理局 (FDA) 瞄准网站交易跳转
2018年10月,美国FDA与国际的监管和执法机构合作,针对465个非法销售危险和未经批准的处方药物的网站开展了一项全球行动。而行动的其中一个关键,是FDA针对性地调查网站交易跳转以破获整个复杂的网上药物销售网络。
网站交易跳转是犯罪组织用来掩饰非法药物交易的常见手段。事实上,大部份的非法网上信用卡交易都是通过网站交易跳转进行。非法商人通常会设立一些与他们实际销售的商品完全无关的空壳网站如时装网站,来处理从非法商品和药物赚得的利益。为了打击支撑着非法药物交易的基础设施,FDA对涉及网站交易跳转的支付公司进行了一系列调查。 FDA这一次的行动向支付业界明确地展示了监控网站交易跳转为何如此重要,以及执法机构如何看待支付公司在非法交易中的角色。
中国内的网站交易跳转
在另一边厢,中国对网站交易跳转的监管也进行得如火如荼。中国人民银行过去几年一直在收紧对支付行业的监管,而「二清」是其中一个被重点整顿和处罚的问题。
二清是指一些公司从事未经许可的支付结算业务,其中一个做法是商家帐户拥有人把其他商家的交易非法聚集到一个帐户中,然后在从持牌结算机构收到结算资金后将相应资金转回给其他商家。换句话说,这类二清公司利用了其商家帐户进行违规的支付业务。二清公司在中国非常普遍,因为这些违规的支付公司通常提供一个非常容易注册的程序、相对弹性的结算安排,而更重要的是他们并不在乎「了解你的客户」(KYC) 的商户审核程序。因此,它们吸引了大量在正常情况下会被银行拒绝批出帐户的高风险或非法的业务使用他们的支付服务。但问题是,由于这些二清机构没有从事支付业务所需的执照或资格,所以它们的存在令银行和商户承担了极高的风险。在很多情况下,当这类无牌支付公司的交易额累绩了可观的结算资金后,它们就会卷款跑路,令银行和商户损失惨重。例如在2018年7月,一家无牌支付公司在运营两周后便卷款潜逃,涉及约200家商户。
不良商户很擅于伪装成合规商户
现今的网站交易跳转操控者非常狡猾,他们很清楚如何可以暪骗银行,例如建立一些表面看来非常专业的网站、伪造虚假的经营记录,以及非常小心地不在他们的空壳网站和非法业务之间留下任何可追查的线索等等。在获得商家帐户后,这些不良商户也很警剔地密切监控自己帐户的诈骗率,以避免令银行产生任何怀疑和警号。很常见的是,银行和支付公司是在收到卡组织的通知或因收到持卡人的扣款要求 (Chargeback Request) 时,才发现其支付网络中原来存有网站交易跳转的问题。因此,银行可能已经在不知情下处理了不计其数的不良交易,并因而遭受巨额罚款。
在一个涉及一间名为MNF公司的欺诈案中,该公司共欺骗了超过700万美元,并透过交易跳转隐藏这些骗款和交易,结果诈骗公司和涉案的支付公司一同被美国联邦贸易委员会( FTC) 起诉。 FTC很明确地表示他们的调查不仅限于罪犯本身,还会延伸至「关闭那些处理并隐藏可疑交易的组织」。因此,支付业界应该像处理其他严重的违规问题一样严厉地监察网站交易跳转。
用于检测网站交易跳转的常用技术
为了履行如Visa GBPP和Mastercard BRAM等卡组织的要求,银行和支付公司都采取了不同的措施去防范网站交易跳转,例如网站内容监控、使用SEO分析工具、利用测试交易或直接在Google搜索等等。但是,他们在控制网站交易跳转的风险时仍然面临着非常大的挑战。
如前文所述,当一个不良商人提交一个空壳网站给银行审批时,该网站通常都会伪装得非常专业,不会显露什么异常状况。因此,在大多数情况下,检查该空壳网站并不会揭发到任何隐藏的业务。 SEO分析工具偶尔可能会提供到一些背后隐藏业务的蛛丝马迹,但即使银行发现到例如一些赌博网站把人流带到该商户的网店,这也不足以证明该商户有牵涉那些赌博网站的交易,商户可以否认任何的交易关系并要求银行提供证据。因此,这些依赖于开放资料的技术通常都无助于检测网站交易跳转。
以下是一个假设场景让银行用来测试一下他们当前的风控程序:如果一个不良商人在早上建立了一个售卖非法物品的网店,并在一小时后暗中把那些非法交易通过一个已被批核的合规网站渗入到银行的支付系统。在这情况下,该非法网站是新建的,Google或SEO分析工具上基本上不会有该网站的任何数据,而该网站的确正在使用银行的支付系统进行网站交易跳转。那么银行目前的程序是否能够发现这个隐藏的非法网站?如果答案是「不能」的话,则代表银行可能需要重新审视当前的网站交易跳转检测程序。
2019年,是时候检讨目前的网站交易跳转检测策略
相比使用上述传统的商户监察方法,在交易层面进行监察更能主动和可靠地保护银行免受不良交易的影响。监察每个交易能够提供大量实时和有用的数据给风控人员作分析和调查,不论那些隐藏的网站是刚刚建立又或跟那些空壳网站没有任何可见的连系,只要确实有交易进行,那些隐藏网站便会立即无所遁形。银行也因而能收到即时的警告和掌握到有力的证据,把对银行的影响减至最低。
只要落实使用合适的方法,网站交易跳转的问题是可以有效控制的,所以业界应该在未有财务和商誉损失前尽早采取行动。当网上购物的交易量已经大得不容忽视时,现在正是适当的时候去建立一个更安全的支付基础设施。
(文章首先载于PressLogic – BusinessFocus)