Svart fredag: Är det säkert att dra ditt kreditkort?

Du sitter hemma och tänker på ditt eget företag när du får ett samtal från ditt kreditkorts bedrägeringsdetekteringsenhet och frågar om du just har köpt ett varuhus i din stad. Det var inte du som köpte dyra elektronik med ditt kreditkort - det har faktiskt varit i fickan hela eftermiddagen. Så hur kände banken att flagga detta enda köp som troligen bedrägligt?

Kreditkortsföretag har ett intresse för att identifiera finansiella transaktioner som är olagliga och kriminella. Insatserna är höga. Enligt Federal Reserve Payments studie använde amerikanerna kreditkort för att betala för 26,2 miljarder inköp under 2012. Den beräknade förlusten på grund av obehöriga transaktioner det året var 6,1 miljarder dollar. Federal Credit Billing Act begränsar maximibeloppet för en kreditkortsägare till $ 50 för obehöriga transaktioner och lämnar kreditkortsföretag på kroken för balansen. Tydligen kan bedrägliga betalningar få stor inverkan på företagens botten. Branschen kräver att alla leverantörer behandlar kreditkort för att genomgå säkerhetsrevisioner varje år. Men det stoppar inte all bedrägeri.

I banksektorn är mätrisken kritisk. Det övergripande målet är att ta reda på vad som är bedrägligt och vad som inte är så snabbt som möjligt innan alltför mycket ekonomisk skada har gjorts. Så hur fungerar det hela? Och vem vinner i armarna mellan tjuvarna och finansinstituten?

Samla trupperna

Ur konsumentperspektivet kan bedrägeribekämpning verka magisk. Processen förefaller omedelbar, utan att människor är i sikte. Denna uppenbarligen sömlösa och omedelbara åtgärd innebär ett antal avancerade teknologier inom områden som sträcker sig från ekonomi och ekonomi till lag för informationsvetenskap.

Naturligtvis finns det några relativt enkla och enkla detekteringsmekanismer som inte kräver avancerad resonemang.En bra indikator på bedrägerier kan till exempel vara oförmåga att tillhandahålla rätt postnummer som är kopplat till ett kreditkort när det används på ett ovanligt ställe. Men bedrägerier är skickliga för att kringgå denna typ av rutinkontroll. Det kan ju vara så enkelt att ta reda på ett offerts postnummer, som att göra en Google-sökning.

Traditionellt upptäckte bedrägeri sig på dataanalystekniker som krävde betydande mänsklig inblandning. En algoritm skulle flagga misstänkta ärenden som noggrant ska granskas av mänskliga utredare som kanske har ringt de berörda kortinnehavarna att fråga om de faktiskt hade gjort avgifterna. Numera handlar företagen om en ständig översvämning av så många transaktioner som de behöver förlitar sig på stor dataanalys för hjälp. Tillväxtekonomier som maskininlärning och cloud computing ökar upptäcktsspelen.

Lärande Vad är legit, vad är skuggigt

Enkelt uttryckt refererar maskininlärning till självförbättrande algoritmer, vilka är fördefinierade processer som överensstämmer med specifika regler som utförs av en dator. En dator börjar med en modell och tränar den genom försök och fel. Det kan då göra förutsägelser som riskerna i samband med en finansiell transaktion.

En maskininlärningsalgoritm för bedrägeribekämpning behöver först utbildas genom att matas de vanliga transaktionsuppgifterna för massor och många kortinnehavare. Transaktionssekvenser är ett exempel på denna typ av träningsdata. En person kan typiskt pumpa gas en gång i veckan, gå på dagligvaruhandel varannan vecka och så vidare. Algoritmen lär sig att detta är en vanlig transaktionssekvens.

Efter denna finjusteringsprocess drivs kreditkortstransaktioner genom algoritmen, helst i realtid. Den producerar sedan ett sannolikhetsnummer som indikerar möjligheten att en transaktion är bedräglig (till exempel 97 procent). Om systemet för bedrägeribekämpning är konfigurerad för att blockera alla transaktioner vars poäng är över, säg 95 procent, kan denna bedömning omedelbart utlösa ett kortavslag vid försäljningsstället.

Algoritmen anser många faktorer för att kvalificera en transaktion som bedräglig: leverantörens trovärdighet, en kortinnehavarens inköpsbeteende, inklusive tid och plats, IP-adresser, etc. Ju mer datapunkter det finns desto mer exakt blir beslutet.

Denna process gör det möjligt att upptäcka just-in-time eller realtidsbedrägerier. Ingen person kan utvärdera tusentals datapunkter samtidigt och fatta beslut i en delad sekund.

Här är ett typiskt scenario. När du går till kassan för att kolla på mataffären, sveper du ditt kort. Transaktionsuppgifter som tidstämpel, belopp, handelsidentifierare och medlemskapstiden går till kortutgivaren. Dessa data matas till den algoritm som har lärt sig dina inköpsmönster. Passar den här transaktionen i din beteendeprofil, som består av många historiska inköpsscenarier och datapunkter?

Algoritmen vet omedelbart om ditt kort används på restaurangen går du varje lördag morgon - eller vid en bensinstation två tidszoner borta på en udda tid som 3:00. Det kontrollerar också om din transaktionssekvens är borta det vanliga. Om kortet plötsligt används för kontantförskottstjänster två gånger samma dag när de historiska uppgifterna inte visar någon sådan användning, kommer det här beteendet att öka sannolikheten för bedrägerier. Om transaktionens bedrägeripoäng överstiger ett visst tröskelvärde, ofta efter en snabb mänsklig granskning, kommer algoritmen att kommunicera med försäljningssystemet och be om att avvisa transaktionen. Online inköp går igenom samma process.

I denna typ av system blir tunga mänskliga ingrepp en sak av det förflutna. Faktum är att de faktiskt kan vara i vägen eftersom reaktionstiden kommer att vara mycket längre om en människa är för starkt involverad i bedrägeribekämpningscykeln. Men människor kan fortfarande spela en roll - antingen vid valideringen av bedrägerier eller efterföljande transaktioner. När ett kort nekas för flera transaktioner kan en person ringa till kortinnehavaren innan kortet avbryts permanent.

Datordetektiver, i molnet

Det stora antalet finansiella transaktioner som ska behandlas är överväldigande, verkligen i storfältet. Men maskininlärning trivs på berg av data - mer information ökar faktiskt algoritmens noggrannhet, vilket bidrar till att eliminera falska positiva effekter. Dessa kan utlösas av misstänkta transaktioner som är verkligen legitima (till exempel ett kort som används på en oväntad plats). För många varningar är lika dåliga som ingen alls.

Det tar mycket datorstyrka att churn genom denna volym data. Till exempel behandlar PayPal mer än 1,1 petabyte data för 169 miljoner kundkonton vid något tillfälle. Denna överflöd av data - en petabyte är till exempel värd mer än 200 000 DVD-skivor - har ett positivt inflytande på algoritmernas maskininlärning, men kan också vara en belastning för organisationens databasinfrastruktur.

Ange molnberäkning. Off-site databehandling resurser kan spela en viktig roll här. Cloud computing är skalbar och inte begränsad av företagets egna datorkraft.

Bedrägeribekämpning är en armarlek mellan bra killar och dåliga killar. För närvarande verkar de goda gubbarna få nytta, med nya innovationer inom IT-teknik som chip and pin-teknik, kombinerat med krypteringskapacitet, maskininlärning, stora data och, naturligtvis, cloud computing.

Bedrägerier kommer säkert att fortsätta försöka övervaka de goda och utmana gränserna för bedrägeribekämpningssystemet. Drastiska förändringar i betalningsparadigma själva är en annan hinder. Din telefon kan nu lagra kreditkortsinformation och kan användas för att göra betalningar trådlöst - introducera nya sårbarheter. Lyckligtvis är den nuvarande generationen av bedrägeribekämpningsteknik i stort sett neutral för betalningssystemstekniken.

Den här artikeln publicerades ursprungligen på The Conversation av Jungwoo Ryoo. Läs den ursprungliga artikeln här.