Origin盜刷事件自力救濟團 - 信用卡

這有什麼好噓的，盜刷偵測與詐欺偵測演算法(credit card fraud detection
algorithms)已非常普遍，我今天之所以發這篇文章，就是看不慣EA與某些信用卡/金融卡
公司(例如中華郵政VISA) 公司的態度與做事方法，這些集團根本沒有花心思在這裡，這
次才會出這麼大的包，他們應該好好調查盜刷事件發生的原因，並請專業的資料科學家來
建立盜刷偵測系統。現在已經是2015年了，機器學習(machine learning)與資料科學
(data science)技術已經相當成熟，而且早就有信用卡公司利用這些演算法來進行盜刷防
治。如果這些公司願意投資機器學習、資料科學與統計專家建立盜刷偵測系統，很多盜刷
行為都可以被防止，減少曠日廢時的救濟程序甚至金額損失。以我自己的經驗，這次郵局
VISA最可惡，除了是我主動發現以外，反應時間慢，對這次的盜刷事件也只是消極回應，
甚至給我承諾的電話都沒打過來.

我稍微解釋一下目前現在有什麼方法對這類的詐欺或盜刷行為進行防治。

通常我們說信用卡詐欺(credit card fraud)，指的是對你的信用卡(credit card)或扣帳
卡(debit card)進行詐欺或盜用，典型區分為兩種模式：

離線式詐欺(offline fraud)：也就是直接偷取你的實體信用卡詐欺或盜刷。

在線式詐欺(online fraud)：也就是透過非過卡交易詐欺，例如透過網站、電話、傳真等
購物方法，獲取你相關的信用卡資訊。根據VISA公司的研究報告，2008年歐洲國家有50%
的信用卡詐欺行為是發生在此類別。

對於這些詐騙或盜用，常用的資料科學與機器學習的防治方法列舉如下：

最基本要做異常偵測(Outlier Detection)，也就是找出交易紀錄異常或奇怪的地方，有
些交易的模式、行為或數值與大多數的交易並不相同，我們就必須懷疑是有不同的正常交
易的機制(mechanism)導致這樣的狀況。例如假設今天我為某家信用卡公司加裝偵測系統
，偵測到在同一天的某個時段裡，有許多客戶的信用卡在此時段裡被刷卡，而且交易公司
都指向某家公司(或是類似的幾家)。但是以往大量的歷史紀錄並沒有這樣的情況，我們就
必須懷疑這些交易可能是某集團已經掌握了大量客戶的卡號，進行未經授權交易，這時偵
測系統就應該反映。

在機器學習理論中，我們把方法概括地區分為監督學習(supervised learning)與非監
督學習方法(unsupervised learning)，套用到偵測信用卡詐欺此例，前者是你必須從過
往的歷史數據中，精確地標籤哪些行為是正常交易，那些交易是盜刷詐欺，透過機器學習
演算法建立一個適當的預測模型後，判斷未來的某一筆交易行為是否是正常或盜刷詐欺。
後者則剛好相反，也就是你不需要事先從過往的歷史數據，標籤那些是盜刷行為，哪一些
是正常交易行為，我們只要給出一個偵測異常行為的偵測機制。

常用的演算法：

人工神經網路(Neural Networks):透過數學與計算模型，模仿人類或其他生物的神經網路
結構，進行事件的預測或決策。應用在信用卡詐欺偵測的如E Aleskerov(1997)[1]，
Ghosh and Reilly(1994)[2]，S Maes(2002)[3]。

決策樹演算法(Decision Tree algorithm):決策樹是機器學習、人工智慧與統計中常用的
方法。Y. Sahin and E. Duman(2011)[4]在論文中就採用此法。

支持向量機(Support Vector Machines)：支持向量機是一種非常普遍的監督式學習的方
法，透過構造平面或超平面來對對象進行分類。採用此方法來進行信用卡詐欺偵測的論文
如Rong-Chang Chen(2006)[5]。

貝氏信念網路(Bayesian belief networks):一種非常常見的機率圖形學習模型
(probabilistic graphical model)，也是人工智慧與機器學習非常重要的方法之一，發
展此模型的計算機科學家Judea Pearl因為這個成就得到計算機科學界的最高榮譽圖靈獎
(Turing Award)。採用此方法來進行信用卡詐欺偵測的論文如S.Maes(1993)[3]


還有很多方法，例如混合的、logistic regression、naïve Bayesian等等，我就懶得列
相關研究了。這些東西不論在學術界還是業界早就有豐富的經驗與技術，只是看你的公司
願不願意花心思聘請人來做而已。

參考資料：

[1] E. Aleskerov, B. Freisleben, and B. Rao. Cardwatch aneural network based
database mining system for credit card fraud detection. In Pmceedings of
Computational Intelligence for
Financial Engineering, pages 173-200,1997

[2]Ghosh, S. and D. L. Reilly (1994). Credit card fraud detection with a
neural network. In Proc. of the Twenty-Seventh Hawaii Int. Conference on
System Sciences, pp. 621-630. IEEE Computer Society Press.

[3]Sam Maes, Karl Tuyls, Bram Vanschoenwinkel, Bernard Manderick, “Credit
card fraud detection using Bayesian and neural networks,” Interactive
imageguided neurosurgery, pp.261-270, 1993.

[4]Y. Sahin, S. Bulkan, E. Duman, “A cost-sensitive decision tree approach
for fraud detection”, Expert Systems with Applications, vol. 40, issue 15,
pp. 5916-5923

[5]Chen, R.C., Chen, T.S., Lin, C.C.: A new binary support vector system for
increasing detection rate of credit card fraud. International Journal of
Pattern Recognition and Artificial Intelligence (IJPRAI) 20(2), 227–239
(2006)


另外回應你幾點宣稱：

1.
我當然可以向EA證明我是持卡人，我提供我的信用卡代號，再透過Visa驗證服務就可以知
道我是持卡人，甚至我也可以直接拍下我的實體信用卡進行雙重驗證。

2.我的確沒有任何Origin帳號，卻仍被盜刷，但是你可以參考[6]發現，一些持有Origin帳
號的人信用卡被盜刷。

[6]http://www.mobile01.com/topicdetail.php?f=283&t=4207002

3.「我也相信沒被入侵啦」，你相不相信那是你家的事情，但現實與你的信念是兩碼子的
事情。你宣稱「要不然帳號資料庫早就被公開了。」這樣的論斷毫無邏輯根據，只是你一
廂情願的觀點而已。誠然，有些駭客在駭完某些server之後，為了炫耀會大肆散佈得手資
料。但如果你有研究過網路金融詐欺史，會發現許多非常低調且手段高超的犯罪集團，盜
取大量個人資料並用此賺取利益，並沒有大肆散佈資料庫。

現實是，有些人有在Origin上註冊帳號且輸入新用卡卡號盜刷，而有些從來沒有註冊
Origin的人也被盜刷，我們可以根據這兩個事實建構出可能的兩個模型：

a)Origin的伺服器被駭客入侵，同時駭客掌握了其他並沒有存在Origin伺服器上的信用卡
資料(例如入侵其他服務得到)，開始大肆刷卡。

b)Origin的伺服器沒有被駭客入侵，但駭客掌握了大量的信用卡資料，在Origin上大肆刷
卡。那些有存信信用卡卡號在Origin的人被盜刷，只是因為其他途徑流出信用卡相關資料
，並不是Origin伺服器被入侵導致信用卡外洩。

透過這兩個可能的模型，可以知道以現在我們擁有的證據，都無法論斷「Origin server
被入侵」這個命題，必須要有更多詳細的論據。我再說一次，你宣稱：「我也相信沒被入
侵啦」，你相不相信那是你家的事情，現實與你的信念是兩碼子事。

--