Skimming vereiteln mit Hilfe von künstlicher Intelligenz
20.05.2019
Schützen Sie Ihre Kunden vor Betrug am Geldautomaten
Berichte über Skimming, das Stehlen von Karten- und PIN-Informationen während der Bankautomatentransaktion mit dem Ziel, damit gefälschte Karten zu erstellen und Geld abzuheben, verunsichern Kunden und erschüttern deren Vertrauen in ihre Bank. Das Problem ist, dass Skimming-Aktivitäten meist erst auffallen, wenn Abschöpfungstransaktionen erkannt werden. Bestehende Hardware-Lösungen helfen nur bedingt vor dem Stehlen der Karten- und PIN-Informationen.
Erfahren Sie im folgenden Artikel, wie Skimming-Attacken erkannt und vereitelt werden können, um Bankkunden vor Betrug zu schützen.
Inhalte der Publikation
- Die Lösung: Eine schnelle Erkennung manipulierter Geldautomaten auf Basis täglicher Transaktionsdaten.
- Modellierung mit klassischen Methoden
- Erkenntnisgewinn durch Embeddings
- Resultate
- Was CINTELLIC für Sie tun kann
Die Lösung: Eine schnelle Erkennung manipulierter Geldautomaten auf Basis täglicher Transaktionsdaten.
Skimming-Aktivitäten werden erst entdeckt, wenn Abschöpfungs-Transaktionen in den Transaktionsdaten erkannt werden. Der Identitätsdiebstahl geschieht bei einer normalen Bargeldabhebung des Kunden. Oft nur wenige Tage später sind dann betrügerische Bargeldabhebungen anhand auffälliger Verhaltensmuster an verdächtigen Geldautomaten identifizierbar. Der Modellierungsansatz: Im ersten Schritt werden die Abhebungen analysiert. Dann sind Ähnlichkeiten aufzufinden. Manipulierte Geldautomaten und Zeitfenster der Skimming- Attacken werden über Ähnlichkeiten in Transaktionshistorien betrogener Kunden erkannt. Schließlich kann man den Kunden vor weiterem Betrug schützen, indem alle Karten gesperrt werden, die am manipulierten Geldautomaten im identifizierten Zeitfenster genutzt wurden.
Zur täglichen Verarbeitung der Transaktionsdaten wird eine Data Science Pipeline benötigt. Transaktionsdaten werden zur Modellberechnung angereichert. Features, die für das Entlarven von Skimming-Aktivitäten herangezogen werden können, sind dann beispielsweise der Saldo aller Abhebungen, kumulierte Bargeldabhebungen für den aktuellen Monat oder Transaktionen von demselben Konto innerhalb kurzer Zeiträume.
Modellierung mit klassischen Methoden
Um reguläre von betrügerischen Transaktionen am Geldautomaten unterscheiden zu können, kann man sich klassischer Methoden bedienen. Diese haben jedoch ihre Grenzen: Da sich Kunden nicht immer nachvollziehbar verhalten, sind z.B. Modelle zur Ausreißer-Erkennung nicht wirksam. Die Anzahl an False/Positives ist eine große Herausforderung. Features fokussieren zudem oft auf Fehler, welche die Betrüger gewöhnlich machen. Sobald diese ihr Verhalten ändern, verlieren die Modelle an Präzision. Nicht zuletzt sind Verhaltensmuster über Kundengruppen hinweg sowie Verknüpfungen zwischen verschiedenen Geldautomaten nur schwer abbildbar.
Wenn Abschöpfungstransaktionen zweifelsfrei erkannt und die betrogenen Kunden identifiziert sind, durchforstet man die Transaktionshistorien dieser Kunden, um gemeinsame „Hot Spots“ aufzuspüren: die manipulierten Geldautomaten und die Tat-Zeitfenster. Dabei gibt es zwei Aspekte, die den Fahndungserfolg zu Nichte machen können: Zum einen lassen sich viele Abschöpfungstransaktionen in kurzer Zeit an einem Geldautomaten oft auf verschiedene Skimming-Attacken zurückführen. Zweitens sind die Zeitfenster der Skimming-Attacken sehr kurz und bleiben oftmals unentdeckt. Die fehlende Evidenz erschwert die Entscheidungsfindung, da valide Ergebnisse fehlen, an denen man ein Modell trainieren könnte.
Erkenntnisgewinn durch Embeddings
Die Nutzung von Embeddings bietet sich an, um ungewöhnliche, neue Verhaltensmuster zu erkennen. Bankkunden präferieren für gewöhnlich eine bestimmte Anzahl an Geldautomaten. Die Erfassung ähnlicher Nutzungsmuster bestimmter Geldautomaten über alle Kundenhistorien hinweg erzeugt ein Beziehungsnetzwerk zwischen den Geldautomaten. Ein Embedder reduziert dabei die Relationen eines Geldautomaten auf einen sehr viel kleiner dimensionierten Vektor reeller Zahlen. Geldautomaten, die gemeinsam häufiger in verschiedenen Kundenpfaden erscheinen, sollten eine engere Relation haben. So lassen sich Zusammenhänge erkennen und im Bestfall der Weg der Kriminellen identifizieren.
‚Word Embeddings‘ kommen aus dem Natural Language Processing und sind mächtige Modelle um latente, semantische Strukturen innerhalb einer Sprache zu erkennen. Anstatt mit Wörterfolgen wurde hier ein Embedder mittels Transaktionshistorien trainiert, um latente Verhaltensmuster erkennen zu können.
Resultate
Damit die in der Praxis verwendeten Modelle nicht nur auf die Fehler der Betrüger abzielen, sind folgende Aspekte zu berücksichtigen:
- Die Informationen aus klassischen Scorings (Features) und Embeddings müssen verheiratet werden.
- Ein kontinuierliches Trainieren der Modelle ist in die Pipeline zu integrieren.
- Ungewöhnliches wie Urlaubsperioden oder das Verhalten von Power-Nutzern muss genau untersucht und berücksichtigt werden.
- Dem Datenmanagement kommt eine hohe Bedeutung zu.
Über ein automatisiertes Decision Support Tool für das tägliche Monitoring ist es heute möglich, spezielle Transaktionen aufzufinden, Muster zu erkennen, verdächtige Vorgänge zu identifizieren, False/Positives zu minimieren und damit Skimming-Zeitfenster nach konzentrierten Attacken zuverlässig zu erkennen. Analysten dürfen sich darüber freuen, dass die manuelle Kontrolle und Datensammlung erheblich reduziert werden kann. Abschöpfungsaktionen können auf diese Weise signifikant schneller erkannt werden – oft, bevor der Kunde selbst etwas merkt.
Hier können Sie die Publikation kostenfrei als PDF herunterladen:
PDF jetzt herunterladen