CN111566682A - 用于跨境atm欺诈检测的系统和方法 - Google Patents
用于跨境atm欺诈检测的系统和方法 Download PDFInfo
- Publication number
- CN111566682A CN111566682A CN201880086240.4A CN201880086240A CN111566682A CN 111566682 A CN111566682 A CN 111566682A CN 201880086240 A CN201880086240 A CN 201880086240A CN 111566682 A CN111566682 A CN 111566682A
- Authority
- CN
- China
- Prior art keywords
- transaction
- transaction data
- macro
- fraud detection
- atm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 123
- 238000000034 method Methods 0.000 title claims description 67
- 238000003860 storage Methods 0.000 claims description 28
- 230000004931 aggregating effect Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 description 27
- 101100492805 Caenorhabditis elegans atm-1 gene Proteins 0.000 description 26
- 230000000694 effects Effects 0.000 description 20
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 11
- 238000013475 authorization Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 6
- 238000007405 data analysis Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000002547 anomalous effect Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000001932 seasonal effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000003973 irrigation Methods 0.000 description 2
- 230000002262 irrigation Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F19/00—Complete banking systems; Coded card-freed arrangements adapted for dispensing or receiving monies or the like and posting such transactions to existing accounts, e.g. automatic teller machines
- G07F19/20—Automatic teller machines [ATMs]
- G07F19/206—Software aspects at ATMs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
- G06Q20/108—Remote banking, e.g. home banking
- G06Q20/1085—Remote banking, e.g. home banking involving automatic teller machines [ATMs]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/389—Keeping log of transactions for guaranteeing non-repudiation of a transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Computer Security & Cryptography (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
用于检测交易卡自动柜员机(ATM)取款的宏级别欺诈的宏欺诈检测系统包括用于存储数据的存储器设备和处理器。处理器通信地耦合到存储器设备,并且被编程为接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据。处理器还被编程为将第一交易数据聚合到一个或多个参考表中,并且基于聚合的第一交易数据来确定一个或多个阈值。另外,处理器被编程为接收与多个交易卡和至少一个ATM之间的当前金融交易对应的第二交易数据。此外,处理器被编程为将第二交易数据与所述一个或多个阈值进行比较。
Description
相关申请的交叉引用
本申请要求于2017年12月15日提交的编号为15/843,385的美国专利申请的权益和优先权。上述申请的全部公开内容通过引用并入本文。
技术领域
本公开的领域一般而言涉及用于自动柜员机(ATM)的金融交易系统和方法,并且更具体地,涉及用于检测特定国家中和特定发行方的交易卡ATM取款的宏(macro)级别欺诈的系统和方法。
背景技术
交易卡可以包括或也被称为支付卡、金融交易卡、信用卡和ATM卡。交易卡由可以用于在诸如ATM处进行金融交易的金融机构(诸如发行方银行)发行。ATM向持卡人提供在公共场所与发行方银行进行金融交易,而无需与银行职员(诸如银行出纳员)进行面对面的交互。金融交易包括例如存款、现金提取和获得持卡人账户信息。
但是,使用交易卡进行欺诈交易的可能性是金融机构以及账户持有人的主要关注点。关于持卡人的交易卡信息和个人信息很容易被盗窃。例如,欺诈者可能会渗透到合法的公司,并利用其雇用作为获取客户和/或交易卡信息的手段,随后使用该信息进行欺诈。例如,当交易卡信息由合法商家的不诚实员工或代理商获得时,通常会发生一种被称为“偷录(skimming)”类型的欺诈。通常发生的情况是,持卡人在商家处提供他或她的交易卡以进行交易。当偷录者在持卡人的视线之外拥有交易卡时,从交易卡中以电子和/或物理方式复制相关信息,随后该交易卡被复制以创建伪造的交易卡。
近来,“宏”级别欺诈已成为金融机构日益关注的问题。宏级别欺诈通常包括较大规模的攻击,诸如,例如,使用大量受破坏的交易卡来执行相对较小的欺诈交易,以试图防止检测。例如,在过去,欺诈者可能拿单个交易卡并试图利用其$10,000美元或$100,000美元。但是,已经投入使用了欺诈检测模型来检测和防止如此大的欺诈交易。现在,代替拿一张交易卡并试图利用他获得大量美元金额,欺诈者拿大量交易卡并试图利用每个交易卡获得少量美元金额,从而试图保持在当前欺诈检测模型的欺诈检测阈值以下。
因此,需要能够识别和防止宏级别的欺诈活动的欺诈检测系统。
发明内容
在一个实施例中,提供了一种用于检测交易卡自动柜员机(ATM)取款的宏级别欺诈的宏欺诈检测系统。该宏欺诈检测系统包括用于存储数据的存储器设备和处理器,该处理器通信地耦合到存储器设备并且被编程为接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据。该处理器还被编程为将第一交易数据聚合到一个或多个参考表中,并且基于聚合的第一交易数据来确定一个或多个阈值。另外,该处理器被编程为接收与多个交易卡和至少一个ATM之间的当前金融交易对应的第二交易数据。该处理器还被编程为将第二交易数据与所述一个或多个阈值进行比较。
在另一个实施例中,提供了一种用于检测交易卡自动柜员机(ATM)取款的宏级别欺诈的基于计算机的方法。该方法包括接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据。另外,该方法包括将第一交易数据聚合到一个或多个参考表中,并且基于聚合的第一交易数据来确定一个或多个阈值。此外,该方法包括接收与多个交易卡和至少一个ATM之间的当前金融交易对应的第二交易数据。此外,该方法包括将第二交易数据与所述一个或多个阈值进行比较。
在又一个实施例中,提供了一种或多种非暂态计算机可读存储介质,其上实施有计算机可执行指令。当由至少一个处理器执行时,该计算机可执行指令使得处理器接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据。另外,该计算机可执行指令使地处理器将第一交易数据聚合到一个或多个参考表中,并且基于聚合的第一交易数据来确定一个或多个阈值。此外,该计算机可执行指令使得处理器接收与多个交易卡和至少一个ATM之间的当前金融交易对应的第二交易数据。另外,该计算机可执行指令使得处理器将第二交易数据与所述一个或多个阈值进行比较。
附图说明
图1-图10示出了本文描述的方法和系统的示例性实施例。
图1是图示具有宏欺诈检测模块的示例多方自动柜员机(ATM)系统的示意图。
图2是示例交易卡网络系统的简化框图,该示例交易卡网络系统包括图1所示的宏欺诈检测模块和多个计算机设备。
图3图示了由图1所示的用户操作以使用交易卡发起交易的图1的ATM的示例配置。
图4图示了可以与图2所示的交易卡网络系统一起使用的服务器系统的示例配置。
图5是图1所示的示例宏欺诈检测模块的部件视图。
图6是示出由与图1所示的发行方相关联的多个交易卡执行的一系列示例金融交易的图。
图7是指示正常交易活动的图。
图8是表4中所示的交易数据的图。
图9是示出用于使用图1所示的宏欺诈检测模块来检测特定国家中和特定发行方的交易卡ATM取款的宏级别欺诈的处理流程的框图。
图10是用于使用耦合到存储器设备的计算机设备(诸如图1所示的宏欺诈检测模块)来检测多个交易卡的宏级别欺诈的示例方法的流程图。
各图中相同的数字表示相同或功能相似的部件。
具体实施方式
以下具体实施方式以示例而非限制的方式示出了所公开的系统和方法的实施例。该描述清楚地使本领域的技术人员能够制造和使用本公开、描述了本公开的若干实施例、改编、变型、替代和使用,包括目前被认为是执行本公开的最佳模式。本公开被描述为应用于示例实施例,即,用于检测可能指示欺诈的模式外支付卡交易的方法和系统。更具体而言,被称为宏欺诈检测模块的经特殊编程的计算机模块被配置为收集与多个交易卡相关联的交易数据,并选择性地使用应用于该交易数据的一个或多个专用算法来检测宏级别欺诈。
在一个示例实施例中,宏欺诈检测模块被配置为与诸如例如交换网络的交易卡处理网络一起使用。宏欺诈检测模块包括存储器设备和与该存储器设备通信的处理器,并且被编程为与交换网络通信以接收多个交易的交易信息。交换网络被配置为处理持卡人与持卡人的交易卡的发行方银行之间的交易卡交易。交易信息包括与持卡人进行的自动柜员机(ATM)交易(例如,现金提取)相关的数据。具体而言,交易信息包括每个ATM交易的时间戳和位置(例如,国家标识符)。
宏欺诈检测模块使用交易数据来识别和跟踪一个或多个国家中各个发行方的正常或典型交易行为或趋势(例如,交易量、速度等)。在一个示例实施例中,宏欺诈检测模块基于检索到的历史交易信息在任何三十分钟窗口内生成与发行方的正常最大批准美元金额相关联的数字阈值。然后,宏欺诈检测模块可以收集实时交易信息,并将实时交易信息(例如,交易量、速度等)与生成的阈值进行比较,以检测异常活动。在实时交易信息超过预定阈值之后,可以实现各种层次的附加分析、通知和/或警报。随着异常活动变得越来越可疑,可以采取进一步的动作,包括让宏欺诈检测模块拒绝由一个或多个国家中的一个或多个发行方发起的进一步交易。
宏欺诈检测模块使用在特定国家的多个ATM处由多个交易卡进行的金融交易来生成特定于具体交易卡发行方的基本阈值和最大阈值。阈值存储在数据库内。宏欺诈检测模块将交易数据聚合到一个或多个参考表中,并基于交易数据确定基本阈值和最大阈值。特别地,宏欺诈检测模块通过发行方、交易国家和交易渠道(例如,ATM)中的至少一个将交易数据聚合到一个或多个参考表中。在一些实施例中,宏欺诈检测模块基于交易的日期将交易数据排序到每个日期三十分钟区段(bucket)中。宏欺诈检测模块计算每个三十分钟区段的总交易金额,其中区段内的总交易金额被称为相应三十分钟区段的“速度(velocity)”。在其它实施例中,宏欺诈检测模块可以基于每个相应三十分钟区段的最大确定速度将交易数据聚合到一个或多个附加参考表中。附加参考表可以仅使用每个相应三十分钟区段的最大确定速度从最小速度到最大速度进行排序。然后,宏欺诈检测模块可以确定参考表的连续速度之间(即,表中的先前速度与下一速度或当前速度之间)的百分比差。在一些实施例中,基本阈值和最大阈值基于交易数据时段(period)的最大速度。交易数据时段还可以包括例如至少一整年的交易数据、特定月份的交易数据以及三十分钟区段之一的最大速度。
宏欺诈检测模块接收与多个交易卡和ATM之间的当前和/或实时金融交易对应的附加交易数据,并将当前和/或实时交易数据与基本阈值和最大阈值进行比较。特别地,在一个实施例中,宏欺诈检测模块为附加交易数据确定三十分钟滚动速度。在具有三十分钟滚动速度之后,宏欺诈检测模块执行包括多个“门限(gate)”的交易分析处理。宏欺诈检测模块将三十分钟滚动速度与基本阈值(门限1)进行比较。如果三十分钟滚动速度超过基本阈值,那么宏欺诈检测模块将该三十分钟滚动速度与最大阈值(门限2)进行比较。如果三十分钟滚动速度超过最大阈值,那么宏欺诈检测模块确定在第二交易数据中进行交易的唯一主账号(PAN)的数量。将该数量与预定阈值(门限3)进行比较。如果唯一的交易PAN的数量超过阈值,那么宏欺诈检测模块自动向技术响应团队(TRT)生成警报,并限制多个交易卡和至少一个ATM之间的当前金融交易。
本文描述的系统和方法的技术效果通过执行以下步骤中的至少一个来实现:(a)由宏欺诈检测模块接收与多个交易卡和多个ATM之间的多个历史金融交易对应的历史金融交易数据;(b)将历史金融交易数据聚合到一个或多个参考表中;(c)基于历史金融交易数据和确定的速度来确定一个或多个阈值;(d)由宏欺诈检测模块接收与多个交易卡和多个ATM之间的多个当前金融交易对应的当前金融交易数据;以及(e)将当前金融交易数据与一个或多个阈值进行比较。
如本文所使用的,短语“交易卡”、“金融交易卡”和“支付卡”包括任何合适的卡,诸如信用卡、借记卡、预付卡、签账卡、会员资格卡、促销卡、飞行常客卡、身份证、礼品卡、ATM卡和/或可以保持支付账户信息的任何其它设备,诸如移动电话、智能电话、个人数字助理(PDA)、钥匙扣和/或计算机。每种类型的交易卡可以用作执行金融交易的支付方法。
如本文所使用的,术语“处理器”包括任何可编程系统,该可编程系统包括使用中央处理单元、微处理器、微控制器、精简指令集电路(RISC)、专用集成电路(ASIC)、逻辑电路以及能够执行本文所描述的功能的任何其它电路或处理器的系统。以上示例仅是示例,因此不旨在以任何方式限制术语“处理器”的定义和/或含义。
如本文所使用的,术语“软件”和“固件”是可互换的,并且包括存储在存储器中用于执行移动设备、集群、个人计算机、工作站、客户端、服务器和处理器的任何计算机程序,其中存储器包括RAM存储器、ROM存储器、EPROM存储器、EEPROM存储器和非易失性RAM(NVRAM)存储器。以上存储器类型仅是示例性的,因此不限于可用于存储计算机程序的存储器的类型。
此外,如本文所使用的,术语“实时”包括以下中的至少一个:发生相关联事件的时间、收集数据的时间、处理数据的时间以及系统响应事件和环境的时间。在本文中被描述为实时发生的实施例中,这些活动和事件基本上是瞬时发生的。
在一个实施例中,提供了计算机程序,并且该程序被实施在计算机可读介质上。在示例实施例中,系统在单个计算机系统上执行,而不需要连接到服务器计算机。在另一个示例实施例中,系统在
环境中运行(Windows是位于Washington州的Redmond的Microsoft公司的注册商标)。在又一个实施例中,系统在大型机环境和
服务器环境上运行(UNIX是位于New York洲的New York的AT&T的注册商标)。该应用非常灵活并且被设计为在各种不同的环境中运行,而不会损害任何主要功能。在一些实施例中,系统包括分布在多个计算设备之间的多个部件。一个或多个部件可以是实施在计算机可读介质中的计算机可执行指令的形式。系统和处理不限于本文描述的特定实施例。另外,每个处理和每个系统的部件可以独立于并且分离于本文所述的其它部件和处理来实践。每个部件和处理也可以与其它组装包和处理组合使用。
以下具体实施方式通过示例而非限制的方式示出了本公开的实施例。可以预期,所公开的系统和方法具有由第三方在工业、商业和住宅应用中处理金融交易数据的一般应用。
如本文所使用的,以单数形式叙述并且以词语“一”或“一个”开头的元件或步骤应当被理解为不排除多个元件或步骤,除非明确地陈述了这种排除。此外,对本公开的“示例实施例”或“一个实施例”的引用不旨在被解释为排除也包含所述特征的附加实施例的存在。
图1是图示具有宏欺诈检测模块34的示例多方自动柜员机(ATM)系统20的示意图。在示例实施例中,ATM系统20使得能够在ATM 24处进行持卡人交易,其中持卡人22不需要与银行员工有面对面的关系来执行金融交易。宏欺诈检测模块34是经特殊编程的计算机系统,该计算机系统使得当与发行方30相关联的多个交易卡用于执行金融交易(例如,从ATM24取款)时,来自多方ATM系统20的交易数据能够用于确定交易卡欺诈。在一些情况下,持卡人22是发起由ATM系统20处理的交易的账户持有人。在其它情况下,有权访问持卡人交易卡的任何人(例如,拥有伪造和/或被破坏的卡或通过网站或智能电话应用(app)的欺诈者)都可以成为持卡人。宏欺诈检测模块34用多个算法进行特殊编程,该多个算法被配置为接收以例如历史金融交易数据、商家数据以及从其它信息源和/或通信推断出的数据的形式的各种数量的交易卡数据。该数据被组合并被组织到一个或多个参考表中,并且然后用于确定总交易金额、交易时间、交易位置以及与特定交易卡相关联的发行方30的各种阈值。指示超过一个或多个阈值的交易数据可以指示交易卡欺诈。
本文描述的实施例可以涉及交易卡系统,诸如使用
交换网络的信用卡支付系统。
交换网络由是MasterCard国际公司(MasterCardInternational
)颁布的一组专有通信标准,用于在作为MasterCard国际公司的成员的金融机构之间交换金融交易数据和进行资金结算。(
是位于New York洲的Purchase的MasterCard国际公司的注册商标)。如本文所使用的,金融交易数据包括与使用由发行方发行的交易卡的账户持有人相关联的唯一账号、表示持卡人进行的购买的购买数据,其中购买数据包括商家的类型、购买金额、购买日期以及其它数据,这些数据可以在多方ATM系统20的任何方之间传输。
在ATM系统20中,被称为发行方或发行银行30的金融机构向持卡人22发行交易卡,诸如信用卡或借记卡,持卡人22使用该交易卡来从ATM 24发起交易(例如,现金提取)。在一些实施例中,ATM 24与托管(host)银行(未示出)相关联。此外,在一些情况下,持卡人22的交易卡的发行方银行30也是ATM 24的托管银行。在一些情况下,发行方银行30和托管银行是分离的实体。托管银行可以监视和/或服务ATM 24并处理在ATM 24处发起的交易。替代地,托管银行可以与第三方签约以监视和/或服务ATM 24。在示例实施例中,ATM 24的托管银行已经与ATM网络26接合。ATM网络26监视ATM 24和可以与托管银行或另一个托管银行(未示出)相关联的多个其它ATM(未示出)。当持卡人22发起交易时,ATM 24从例如交易卡上的磁条或交易卡内的无线通信设备读取交易卡识别信息,并与ATM网络26进行电子通信。ATM网络26被配置为将交易路由到交换网络28以实现交易的授权。
在一些实施例中,ATM网络26与交换网络28是一体的或者以其它方式相关联。在其它实施例中,ATM网络26不与交换网络28相关联。使用交换网络28,ATM网络26的计算机将与发行方银行30的计算机通信,以确定持卡人的账户32是否有资格完成交易(例如,具有可用资金)。基于这些确定,对授权的请求将被拒绝或接受。如果接受对授权的请求,那么经由授权响应消息将授权码发放给ATM 24。
对于借记卡交易,当发行方银行30批准对个人识别码(PIN)授权的请求时,持卡人的账户32被减少交易的金额。在一些情况下,使用ATM 24会向持卡人的账户32收取附加费用。例如,如果持卡人22使用的交易卡不隶属于ATM 24或ATM 24的托管银行,那么使用ATM24可能收取少量费用。在其它情况下,例如,如果持卡人22使用的交易卡与ATM 24和ATM 24的托管银行中的任一者或两者相关联,那么该费用可以免除或退还给持卡人22。通常,与交易相关联的交易费用被立即过账到持卡人的账户32。然后,交换网络28将授权响应消息中的批准传输到ATM网络26。ATM网络26将该批准传输到ATM 24。如果例如由持卡人22发起的交易是取款,那么被传输到ATM 24的授权响应消息包括用于ATM 24向持卡人22分发现金的指令。
在授权并清算交易之后,在托管银行和发行方银行30之间结算交易。结算是指在与交易相关的托管银行和发行方银行30之间转移金融数据或资金。通常,捕获交易并将其累积成“批(batch)”,将其作为一个组进行结算。更具体而言,通常在发行方银行30与交换网络28之间,然后在交换网络28与托管银行之间结算交易。
图2是示例交易卡网络系统100的简化框图,该示例交易卡网络系统100包括多个计算机设备和宏欺诈检测模块34。在示例实施例中,多个计算机设备包括例如服务器系统112、ATM 24和宏欺诈检测模块34。在一个实施例中,交易卡网络系统100实现处理以检测ATM 24处的交易卡欺诈。更具体而言,宏欺诈检测模块34与服务器系统112通信,并且被配置为接收与例如在ATM 24处和/或在多个商家和持卡人或账户持有人之间执行的金融交易相关的金融交易数据的至少一部分。金融交易数据包括例如历史金融交易数据,诸如现金提取,并且接收到的金融交易数据存储在存储器设备中。
更具体而言,在示例实施例中,交易卡网络系统100包括服务器系统112和连接到服务器系统112的多个ATM 24。服务器系统112还与诸如发行方银行30(图1中示出)之类的交易卡发行方108通信。服务器系统112可以与交换网络28(图1中示出)相关联,或者可以与ATM网络26相关联。
在一个实施例中,ATM 24包括联网的计算机,使得服务器系统112可由ATM 24使用互联网访问。ATM 24通过许多接口互连到互联网,这些接口包括网络(诸如局域网(LAN)或广域网(WAN))、拨入连接、线缆调制解调器和特殊的高速集成服务数字网络(ISDN)线路。ATM 24包括能够与互联网互连的使得交易卡网络系统100能够如本文所述的那样工作的任何计算设备,包括能够从中发放物理货币(“现金”)的任何计算设备。另外,ATM 24还包括被配置为从持卡人的交易卡中读取信息的硬件和/或软件。
在示例实施例中,每个ATM 24收集交易数据。ATM 24可以存储交易数据,并且在特定时间和/或以特定间隔将交易数据发送到服务器系统112。ATM 24可以将交易数据“实时”发送到服务器系统112,并且服务器系统112可以存储交易数据。ATM 24经由诸如例如有线和/或无线网络、卫星网络、无线电、3G和/或4G之类的通信链路将交易数据传送到服务器系统112。ATM 24也可以被配置为将与ATM 24的至少一个位置相关联的物理属性发送到服务器系统112。在示例实施例中,宏欺诈检测模块34是服务器系统112的部件,并且从ATM 24接收和/或访问交易数据以进行处理。在一个示例中,宏欺诈检测模块34实时接收和处理交易数据。
数据库服务器116耦合到数据库120,该数据库120包含并存储关于各种事项的信息,如下面进一步详细描述的。例如,宏欺诈检测模块34和/或服务器系统112可以将接收到的交易数据和/或ATM物理属性存储在数据库120中。数据库120还可以存储宏欺诈检测模块34所使用的操作参数规则或阈值。在一个示例中,集中式数据库120存储在服务器系统112上,并且可以由宏欺诈检测模块34和/或由持卡人通过经由ATM 24中的一个登录到服务器系统112上来选择性地访问。在替代实施例中,数据库120存储在远离服务器系统112和/或宏欺诈检测模块34的位置,并且可以是非集中式的。
数据库120可以包括具有分离的部分或分区的单个数据库,或者可以包括多个数据库,每个数据库彼此分离。数据库120可以存储作为通过处理网络进行的金融活动的一部分而生成的交易数据,包括例如与现金提取、账户持有人、发行方、收单方和所进行的购买相关的数据。数据库120还可以存储账户数据,该账户数据包括账户持有人的姓名、账户持有人的地址、与该账户持有人的姓名相关联的主账号(PAN)以及其它账户标识符中的至少一个。数据库120还可以存储ATM数据,该ATM数据包括例如识别被注册为使用网络的每个ATM的ATM标识符、与每个ATM相关联的托管银行信息、以及用于结算包括托管银行账户信息的交易的指令。数据库120还可以存储与持卡人的交易数据相关联的授权请求数据。
在示例实施例中,宏欺诈检测模块34从例如ATM 24和/或服务器系统112接收交易数据。宏欺诈检测模块34可以处理接收到的交易数据和/或将其与从附加数据库(图2中未示出)接收到的其它数据组合。在一个示例中,附加数据库可以包括例如但不限于来自以下的交易数据:由另一个托管银行托管的ATM、与另一个ATM网络相关联的ATM和/或已知受破坏的ATM。宏欺诈检测模块34可以使用该附加交易数据来生成更新后的操作参数规则。例如,宏欺诈检测模块34可以使用来自已知的正常ATM的交易数据来定义交易卡和/或与发行方相关联的交易卡组的正常活动范围。术语“正常活动范围”在本文中通常用于指代与发行方相关联并且在ATM 24处使用的交易卡和/或交易卡组的已知或可能的正常活动,其中“正常”通常用于表示“未被破坏”。
在示例实施例中,ATM 24中的一个可以与托管银行(未示出)相关联,而ATM 24中的另一个可以与发行方银行30(图1中示出)相关联。如所描述的,服务器系统112可以与交换网络28相关联。在示例实施例中,服务器系统112与诸如交换网络28之类的金融交易处理网络相关联,并且可以被称为交换计算机系统。服务器系统112可以用于处理交易数据。另外,ATM 24可以包括与在线银行、收单方银行、收单方银行处理器、与交易卡相关联的发行方银行和/或发行方处理器中的至少一个相关联的计算机系统。宏欺诈检测模块34可以与交换网络28或与交换网络28具有合同关系的外部第三方相关联。相应地,参与处理交易数据的每一方都与交易卡网络系统100中示出的计算机系统相关联,使得各方可以如本文所述彼此通信。
图3图示了由用户302(例如,持卡人22(图1中示出))操作以例如使用交易卡来发起交易的ATM 24(图2中示出)的示例配置。在示例实施例中,ATM 24包括用于执行指令的处理器305。在一些实施例中,可执行指令存储在存储器310中。处理器305可以包括一个或多个处理单元,例如,多核配置。存储器310是允许存储和检索诸如可执行指令和/或其它数据的信息的任何设备。存储器310可以包括一种或多种计算机可读介质。例如,存储器310可以包括但不限于随机存取存储器(RAM)(诸如动态RAM(DRAM)或静态RAM(SRAM))、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)以及非易失性RAM(NVRAM)。以上存储器类型仅是示例,并且因此不限于可用于存储计算机程序的存储器的类型。
ATM 24还包括用于向用户302呈现信息的至少一个媒体输出部件315。媒体输出部件315是能够向用户302传达信息的任何部件。在一些实施例中,媒体输出部件315包括输出适配器,诸如视频适配器和/或音频适配器(未示出)。输出适配器可操作地耦合到处理器305,并且可操作地耦合到输出设备,诸如显示设备、液晶显示器(LCD)、有机发光二极管(OLED)显示器或“电子墨水”显示器、或音频输出设备、扬声器或耳机(未示出)。
在一些实施例中,ATM 24包括用于从用户302接收输入的输入设备320。输入设备320可以包括例如键盘、定点设备、鼠标、触控笔(stylus)、触敏面板、触摸板、触摸屏、陀螺仪、加速度计、位置检测器或音频输入设备(未示出)。输入设备320还包括用于从用户302的交易卡中读取信息的读卡器(未示出)。例如,输入设备320可以包括磁条读取器、射频识别(RFID)系统、近场通信(NFC)系统或允许ATM 24从交易卡中读取信息的任何其它合适的通信系统。诸如触摸屏之类的单个部件可以既用作媒体输出部件315的输出设备又用作输入设备320。
存储在存储器310中的是例如用于经由媒体输出部件315向用户302提供用户界面并且可选地接收和处理来自输入设备320的输入的计算机可读指令。用户界面除其它可能性外还可以包括web浏览器和客户端应用。web浏览器使用户(诸如用户302)能够显示通常嵌入在来自服务器系统112(图2中示出)的网页或网站中的媒体和其它信息并与其进行交互。客户端应用允许用户302与来自服务器系统112的服务器应用进行交互。
ATM 24还可以包括通信接口325,该通信接口325可通信地耦合到诸如服务器系统112的远程设备。通信接口225可以包括例如有线或无线网络适配器或用于与移动电话网络、全球移动通信系统(GSM)、3G、4G或蓝牙、或其它移动数据网络或全球微波接入互操作性(WIMAX)一起使用的无线数据收发器。
图4图示了可以与交易卡网络系统100(图2中示出)一起使用的服务器系统400的示例配置。服务器系统400可以包括例如但不限于服务器系统112、宏欺诈检测模块34和数据库服务器116(各自在图2中示出)、以及被配置为如本文所述工作的任何其它计算设备。
在示例实施例中,服务器系统400包括用于执行指令的处理器405。指令可以例如存储在存储器410中。处理器405可以包括用于执行指令的一个或多个处理单元(例如,在多核配置中)。指令可以在服务器系统400上的各种不同操作系统(诸如UNIX、LINUX、Microsoft
等)内执行。还应该认识到的是,在发起基于计算机的方法时,各种指令可以在初始化期间执行。为了执行本文描述的一个或多个处理,可能需要一些操作,而其它操作可能更通用和/或特定于特定的编程语言(例如,C、C#、C++、Java或其它合适的编程语言等)。
存储器410可以包括例如但不限于随机存取存储器(RAM)(诸如动态RAM(DRAM)或静态RAM(SRAM))、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)以及非易失性RAM(NVRAM)。以上存储器类型仅是示例,并且因此不限于可用于存储计算机程序的存储器的类型。
处理器405可操作地耦合到通信接口415,使得服务器系统400能够与诸如ATM 24(图1中示出)之类的远程设备或另一个服务器系统400进行通信。例如,通信接口415可以经由互联网从用户系统114和/或服务器系统112接收请求。处理器405也可以可操作地耦合到存储设备425。存储设备425是适合于存储和/或检索数据的任何计算机操作的硬件。在一些实施例中,存储设备425被集成在服务器系统400中。作为示例而非限制,服务器系统400可以包括一个或多个硬盘驱动器作为存储设备425。在其它实施例中,存储设备425在服务器系统400的外部,并且可以由多个服务器系统400访问。作为示例而非限制,存储设备425可以包括廉价盘冗余阵列(RAID)中的多个存储单元,诸如硬盘或固态盘。存储设备425可以包括存储区域网络(SAN)和/或网络附属存储(NAS)系统。
在一些实施例中,处理器405经由存储接口420可操作地耦合到存储设备425。存储接口420是能够向处理器405提供对存储设备425的访问的任何部件。存储接口420可以包括例如但不限于高级技术附件(ATA)适配器、串行ATA(SATA)适配器、小型计算机系统接口(SCSI)适配器、RAID控制器、SAN适配器、网络适配器、和/或向处理器405提供对存储设备425的访问的任何部件。
图5是示例宏欺诈检测模块34(图1中示出)的部件图。在示例实施例中,宏欺诈检测模块34包括数据库502。在一些实施例中,数据库502是服务器系统112的数据库服务器116的部件,诸如数据库120与其它相关服务器部件内的配置。在示例实施例中,数据库502耦合到宏欺诈检测模块34内的执行特定任务的若干单独的部件。
宏欺诈检测模块34包括用于从ATM(例如ATM 24(图1中示出))和/或服务器系统112接收交易数据514的接收部件504,其中交易数据514包括例如总交易金额、交易时间和交易位置。接收部件504还可以从第二ATM(未示出)接收交易数据。第二ATM可以与第二托管银行相关联,其中第二托管银行可以与第二ATM网络进行通信。
宏欺诈检测模块34还包括用于将接收到的交易数据514存储在数据库502中的存储部件506、用于基于接收到的交易数据514来生成交易价值速度518并对其进行排名的生成部件508、以及用于确定生成部件508生成一个或多个交易价值速度518并对其进行排名之后该一个或多个交易价值速度518之间的差的比较部件510。在一些实施例中,存储部件506还可以在数据库502中存储针对欺诈风险管理(FRM)516和交易价值速度518的接收和/或生成的阈值。另外,在一些实施例中,宏欺诈检测模块34还包括用于评估实时交易数据的实时评估部件512,该实时交易数据可以被包括在交易数据514中。
宏欺诈检测模块34还包括用于基于交易价值速度518来发起响应的发起部件520。在一些实施例中,该响应至少包括例如用于由技术响应团队进行手动调查的警报。技术响应团队至少评估交易价值速度518来确定是否应拒绝附加交易。
在一个示例实施例中,数据库502被划分为多个部分,包括但不限于:交易数据部分522、FRM阈值数据部分524和交易价值速度数据部分526。数据库502内的这些部分互连,以根据需要来更新和检索本文描述的信息。
图6是示出由与发行方(诸如发行方30(图1中示出))相关联的多个交易卡执行的一系列示例金融交易602(例如,从ATM 24(图1中示出)提取现金)的图。在示例实施例中,如本文所述,宏欺诈检测模块34被编程为分析多个历史金融交易并生成用于检测宏级别欺诈的一组阈值。通过对历史金融交易执行离线数据分析来生成阈值。这些阈值应用于针对特定国家以及按照交易渠道(例如,ATM取款、销售点设备、无卡购买等)通过发行方银行分组的多个当前和/或实时交易。阈值的目标是确定三十分钟窗口中多个历史交易的“正常”最大批准美元金额是多少。使用阈值作为起始点,宏欺诈检测模块34收集当前和/或实时交易以与阈值进行比较从而检测“异常”活动。如果该比较指示当前和/或实时交易超过阈值,那么可以实现各种通知层。例如,随着“异常”活动变得更加可疑,可以采取进一步的动作,最终导致交换网络28拒绝进一步的交易。
在示例实施例中,在执行离线数据分析时,宏欺诈检测模块34接收历史交易数据,例如交易数据514(图5中示出)。由宏欺诈检测模块34使用的输入数据集至少包括最近三个月的交易数据,加上前一年的即将到来月份的交易数据。例如,如果今天是2016年8月1日,那么宏欺诈检测模块34使用2016年5月1日至2016年7月31日的交易数据加上2015年8月的交易数据。交易数据包括前一年的即将到来月份的数据以便于解释(account for)交易中潜在的季节性增长。例如,持卡人可能在八月份旅行度假,其中他们可能花费得更多,例如,当月增加了约30%。例如,前一年的即将到来月份的数据使得能够提高旅行季节期间的基本阈值。在旅行季节过去之后,阈值随后降低到正常级别。支出的季节性上升在图6中由一系列金融交易602的部分604示出。通过将前一年的即将到来月份的数据包括在内,减少了全年对发行方银行的总敞口(exposure)。可以在初始输入数据集积累时将附加数据附加到其上,例如,直到有至少一年的数据值为止。
在替代实施例中,宏欺诈检测模块34使用的输入数据集至少包括一整年的交易数据值。将一整年的交易数据值包括在内有助于解释一年期间交易的任何季节性增长。可以在初始输入数据集积累时将附加数据附加到其上。附加数据有助于提高欺诈检测模型的准确性,并且还可以有助于解释与发行方相关联的活跃交易卡的数量的增加和/或减少。
交易数据由宏欺诈检测模块34例如从服务器系统112(图2中示出)和/或ATM 24(图1中示出)接收。接收到的交易数据被分组到一个或多个参考表(例如,示例性表1)中,其中每个交易被标记有一个或多个属性。例如,交易数据可以通过以下进行标记:主账号(PAN)、发行方(ID)、“国家”、“渠道”、“日期/时间”、“区段”、“金额”等。在示例实施例中,“国家”包括识别发生交易的国家的国家代码。“渠道”包括发生交易的交易渠道,诸如,ATM、销售点设备(POS)、无卡购物(CNP)购买等。“区段”包括基于例如标准的24小时制的三十分钟窗口。
表1
宏欺诈检测模块34按日期和时间对数据进行排序,并为每个三十分钟窗口(即区段)计算总交易金额,如表2所示。该总计三十分钟窗口被称为与特定区段时段期间的交易相关联的“速度”。
表2
在计算每个区段时段的交易数据的速度之后,宏欺诈检测模块34确定每个区段时段的最大速度。确定每个区段时段的最大速度有助于在区段级别完成的数据分析处理期间提高准确性。另外,宏欺诈检测模块34确定每个区段中的唯一主账号(PAN)的数量。唯一PAN的数量可以用于促进增强欺诈风险管理(FRM)规则,如本文稍后所描述的。在示例实施例中,宏欺诈检测模块34生成第二参考表,例如表3,并且输入具有最大确定速度的特定区段的交易数据。该数据按速度从最小到最大进行排名。
| 区段 | ID | 国家 | 渠道 | UNIQ_PAN | 速度 |
| 6/29/2016 0:30 | 613 | 036 | ATM | 1 | $38.91 |
| 6/25/2016 1:00 | 613 | 036 | ATM | 1 | $75.77 |
| 7/1/2016 3:30 | 613 | 036 | ATM | 1 | $78.14 |
| 7/1/2016 1:00 | 613 | 036 | ATM | 1 | $148.91 |
| 6/29/2016 2:00 | 613 | 036 | ATM | 1 | $149.04 |
| 6/25/2016 3:30 | 613 | 036 | ATM | 1 | $259.67 |
| 7/1/2016 9:00 | 613 | 036 | ATM | 1 | $279.40 |
| 6/24/2016 0:30 | 613 | 036 | ATM | 1 | $302.50 |
| 6/25/2016 23:30 | 613 | 036 | ATM | 1 | $370.01 |
| 6/30/2016 23:00 | 613 | 036 | ATM | 1 | $699.61 |
| 6/30/2016 23:30 | 613 | 036 | ATM | 1 | $1,485.45 |
| 7/1/2016 7:30 | 613 | 036 | ATM | 1 | $42,332.03 |
| 7/1/2016 8:00 | 613 | 036 | ATM | 1 | $279,467.33 |
表3
宏欺诈检测模块34确定排名的最大速度的连续或相邻区段之间的百分比差。表4图示了具有计算出的百分比差的第二参考表。在特定发行方的正常交易活动期间,一旦区段时段被排序,百分比差就应指示当前和先前批准金额之间的批准交易金额的逐渐增加。
| 区段 | ID | 国家 | 渠道 | UNIQ_PAN | 速度 | %差 |
| 6/29/2016 0:30 | 613 | 036 | ATM | 1 | $38.91 | |
| 6/25/2016 1:00 | 613 | 036 | ATM | 1 | $75.77 | 95% |
| 7/1/2016 3:30 | 613 | 036 | ATM | 1 | $78.14 | 3% |
| 7/1/2016 1:00 | 613 | 036 | ATM | 1 | $148.91 | 91% |
| 6/29/2016 2:00 | 613 | 036 | ATM | 1 | $149.04 | 0% |
| 6/25/2016 3:30 | 613 | 036 | ATM | 1 | $259.67 | 74% |
| 7/1/2016 9:00 | 613 | 036 | ATM | 1 | $279.40 | 8% |
| 6/24/2016 0:30 | 613 | 036 | ATM | 1 | $302.50 | 8% |
| 6/25/2016 23:30 | 613 | 036 | ATM | 1 | $370.01 | 22% |
| 6/30/2016 23:00 | 613 | 036 | ATM | 1 | $699.61 | 89% |
| 6/30/2016 23:30 | 613 | 036 | ATM | 1 | $1,485.45 | 112% |
| 7/1/2016 7:30 | 613 | 036 | ATM | 1 | $42,332.03 | 2750% |
| 7/1/2016 8:00 | 613 | 036 | ATM | 1 | $279,467.33 | 560% |
表4
图7是指示正常交易活动702的图700。但是,在百分比差显著增加或出现尖峰(spike)的情况下,指示异常交易活动,这可能指示宏级别欺诈。图8是表4中的交易数据的图800。在示例实施例中,表4和图8示出了交易数据802中存在从1,485.45美元到42,332.03美元的尖峰,百分比增加了2750%。此外,随后的区段时段增加了附加的560%。由此,交易数据802指示异常交易活动。
在计算区段时段的百分比差之后,宏欺诈检测模块34可以将一个或多个过滤器应用于交易数据以移除小于确定的最小阈值的任何速度。例如,在一个实施例中,在特定区段时段中具有最大速度小于例如10,000美元的任何发行方将仅应用一个或多个默认阈值。分析表明,过去90天内属于此交易处理级别的发行方可以通过默认值进行处理。
图9是示出用于使用宏欺诈检测模块34(图1中示出)检测特定国家中并且针对特定发行方(诸如发行方30(图1中示出))的交易卡ATM取款的宏级别欺诈的处理流程900的框图。在示例实施例中,宏欺诈检测模块34被编程为执行ATM交易904的交易分析902。在一个实施例中,宏欺诈检测模块34实时处理交易卡交易。在示例实施例中,宏欺诈检测模块34从ATM(例如ATM 24(图1中示出))和/或服务器系统112接收交易数据,诸如交易数据514(图5中示出)。如本文所述,离线监视部件906针对门限突破(gate breach)监视处理流程900。
当交易卡交易例如通过交换网络28(图1中示出)(诸如
交换网络)实时地进行处理时,宏欺诈检测模块34通过发行方和国家以三十分钟滚动速度聚合交易数据。针对上述离线数据分析中被认为是“正常”的速度来评估滚动速度,并且基于例如但不限于交易数据时段的最大速度、整年的交易数据、特定月份的交易数据和/或特定区段时段的最大速度将该滚动速度与预定基本阈值进行比较。应注意的是,阈值可以基于交易数据中的任何时段,该时段使得宏欺诈检测模块34能够如本文所述地工作。这被认为是门限1,并在方框908处指示。表5是一组示例分层(tiered)阈值的表,包括使用如本文所述的聚合历史交易数据生成的一系列层次(tier)的基本阈值和最大阈值。例如,对于多个区段时段中的每个区段时段,基本层次与交易数据的速度相关联。因此,如上所述,如果特定速度对于特定区段时段约为33,000美元,那么该区段时段将被分配90,000美元的基本阈值和120,000美元的最大阈值。在处理流程900中使用分层阈值,因为发行方的交易量通常例如随着发行方增加其业务和/或客户群、随着某些地理事件和/或假期发生等而波动。
表5
在一个实施例中,基于百分比确定分层阈值,其中百分比值随层次而变化。例如,上述层次1具有从10,000美元到20,000美元的范围。基本阈值和最大阈值被设置为在层次值之上额外增加400%。该百分比随着层次值的增加而降低。变化的百分比值有助于适应较小发行方可能发生的较大有效交易。小发行方的账户持有人进行的大交易可能在无意中被标示为可能的欺诈,因为该购买将在该层次中构成较大的百分比,从而导致速度的较大百分比变化。作为一个示例,对于平均速度约为10,000美元的小发行方,单次3,000美元的购买(例如,购买电视或(一个或多个)其它物品的有效取款)表示平均速度的30%,因此容易导致标示(flag)或警报。因而,此类小速度层次的百分比更高,以适应此类变化。
关于门限1是否被突破来做出确定910。如果门限1未被突破,即,如果实时速度小于与特定区段时段相关联的基本阈值,那么不需要进一步的动作,如方框912所指示的。但是,如果门限1被突破,那么处理流程900继续到方框914所指示的门限2,其中针对与特定区段时段相关联的预定最大阈值来评估速度。
关于门限2是否被突破来做出确定916。如果门限2未被突破,即,如果实时速度小于与特定区段时段相关联的最大阈值,那么不需要进一步的动作,如方框918所指示的。但是,如果门限2被突破,那么处理流程900继续到方框920所指示的门限3,其中分析每个区段中的唯一PAN的数量。如上所述,唯一PAN的数量可以用于促进增强欺诈风险管理(FRM)规则。例如,当门限2被突破时,处理流程900评估在特定国家内多少个PAN正在交易。从历史上看,ATM欺诈包括在短时间段内和在特定国家中使用大量PAN,其中该国家通常与发行方是跨境(cross border)的。由此,如上所述,宏欺诈检测模块34可以将唯一PAN的数量与根据历史交易数据确定的唯一PAN的数量进行比较,以确定922门限3是否被突破。如果PAN的数量低于预定阈值,那么不需要进一步的动作,如方框924所指示的。当交易PAN的数量超过预定阈值时,认为门限3被突破,并且处理流程900继续到处理方框926和方框928所指示的门限4。在示例实施例中,处理方框926和门限4被同时实现,但是在一些实施例中,处理流程可以以顺序的方式流动到一个或另一个。
在示例实施例中,在处理方框926处,宏欺诈检测模块34自动生成警报,诸如例如去往技术响应团队(TRT)的欺诈检测消息。基于警报,TRT开始对由宏欺诈检测模块34标示为确定已突破门限1-门限3的交易进行手动调查。TRT评估交易数据,以进一步评估情况并确定交易是否为真正的欺诈。在一些实施例中,TRT就交易与发行方联系。然后,TRT和/或发行方确定交易是否是真正的,或者是否需要采取进一步措施来限制发行方的敞口,诸如阻止由识别出的交易卡进行的所有进一步的交易和/或来自发行方的卡在该国家的所有交易。
在门限4处,宏欺诈检测模块34开始限制被识别为宏级别欺诈活动的一部分的交易卡的允许的交易。在一个实施例中,宏欺诈检测模块34可以仅允许预定限制的交易。作为示例而非限制,宏欺诈检测模块34可以在识别出的国家中将与发行方相关联的每张交易卡设置为每小时105美元的限制。如果账户持有人需要提取现金,那么该限制将仍然允许单笔取款;但是,如上所述,在TRT进一步调查事件时,它有效地减少了潜在的宏级别欺诈。
图10是用于使用耦合到存储器设备的计算机设备来检测多个交易卡的宏级别欺诈的示例方法1000的流程图。在示例实施例中,方法1000由宏欺诈检测模块34(图1中示出)实现。方法1000是基于计算机的方法,用于基于特定时间段上特定国家中交易卡发行方的历史交易历史来检测交易卡交易的宏级别欺诈,即,基于交易在发行方持卡人的历史交易模式之外来检测利用多个交易卡的欺诈交易。该方法使用与存储器设备耦合的计算机设备或宏欺诈检测模块来实现。宏欺诈检测模块例如通过网络通信地耦合到交换网络。此外,也可以通过网络或通过专用网络(诸如但不限于LAN)将可以作为存储在单独的数据存储装置和检索设备上的单独数据结构的数据分析处理器通信地耦合到交换网络。
在示例实施例中,该方法包括接收1002与多个交易卡和多个ATM之间的多个历史金融交易对应的历史金融交易数据。在一个实施例中,金融交易数据由宏欺诈检测模块通过网络从交换网络接收。在其它实施例中,数据分析处理器直接从交换网络接收金融交易数据。宏欺诈检测模块(诸如宏欺诈检测模块34)使用的输入交易数据至少包括最近三个月的交易数据,加上前一年的即将到来月份的交易数据。在其它实施例中,输入交易数据至少包括整年的交易数据值。
方法1000还包括将历史金融交易数据聚合1004到一个或多个参考表中。特别地,宏欺诈检测模块按发行方、交易国家和渠道将历史金融交易数据聚合到参考表中。在一个实施例中,每个交易日期每个参考表中的数据被排序到三十分钟区段中。例如,宏欺诈检测模块按日期和时间对数据进行排序,并为每个三十分钟区段计算总交易金额,以确定在特定区段时段期间与金融交易相关联的速度。
宏欺诈检测模块基于特定区段时段的最大确定速度将金融交易数据聚合到一个或多个附加参考表中。该一个或多个附加参考表从最小速度到最大速度进行排序。在一个实施例中,宏欺诈检测模块确定连续区段的排序的最大速度之间的百分比差。
方法1000包括基于历史金融交易数据和所确定的速度来确定1006一个或多个阈值。在一个实施例中,宏欺诈检测模块可以将一个或多个过滤器应用于交易数据以移除小于确定的最小阈值的任何速度。在其它实施例中,宏欺诈检测模块基于例如但不限于交易数据时段的最大速度、整年的交易数据、特定月份的交易数据和/或特定区段时段内的最大速度来确定至少一个基本阈值。另外,宏欺诈检测模块确定至少一个最大阈值。使用分层阈值,因为发行方的交易量可能例如随着发行方增加其业务和/或客户群、随着某些地理事件和/或假期发生等而波动。
方法1000还包括接收1008与多个交易卡和多个ATM之间的多个当前金融交易对应的当前金融交易数据。例如,在一个实施例中,宏欺诈检测模块接收实时金融交易数据。宏欺诈检测模块按发行方和国家聚合当前金融交易数据,并确定当前金融交易数据的三十分钟滚动速度。
方法1000包括将当前金融交易数据与所述一个或多个阈值进行比较1010。特别地,评估三十分钟滚动速度并将其与预定基本阈值进行比较;该预定基本阈值被认为是门限1。如果门限1被突破,那么针对与特定区段时段相关联的预定最大阈值评估当前金融交易数据;该预定最大阈值被认为是门限2。宏欺诈检测模块确定门限2是否被突破,如果是,那么分析每个区段中正在交易的唯一PAN的数量,并将其与预定阈值进行比较;该预定阈值被认为是门限3。
在一个实施例中,如果门限3被突破,那么宏欺诈检测模块自动向技术响应团队(TRT)生成警报。基于该警报,TRT开始对当前金融交易进行手动调查。此外,宏欺诈检测模块开始限制被识别为宏级别欺诈活动的一部分的交易卡的允许的交易。在一个实施例中,宏欺诈检测模块可以仅允许预定限制的交易。
如基于前述说明书将认识到的,可以使用包括计算机软件、固件、硬件或其任何组合或子集的计算机编程或工程技术来实现本公开的上述实施例。可以在一种或多种计算机可读介质内实施或提供具有计算机可读和/或计算机可执行指令的任何这种所得程序,从而根据本公开的所讨论的实施例制作计算机程序产品,即,制造品。计算机可读介质可以是例如固定(硬盘)驱动器、软盘、光盘、磁带、半导体存储器(诸如只读存储器(ROM)或闪存等)、或者任何发送/接收介质(诸如互联网或其它通信网络或链路)。可以通过直接从一种介质执行指令、通过将代码从一种介质复制到另一种介质或通过在网络上传输代码来制作和/或使用包含计算机代码的制造品。
通过执行以下步骤中的至少一个来实现本文所述的系统和方法的技术效果:(a)由宏欺诈检测模块接收与多个交易卡和多个ATM之间的多个历史金融交易对应的历史金融交易数据;(b)将历史金融交易数据聚合到一个或多个参考表中;(c)基于历史金融交易数据和确定的速度来确定一个或多个阈值;(d)通过宏欺诈检测模块接收与多个交易卡和多个ATM之间的多个当前金融交易对应的当前金融交易数据;以及(e)将当前金融交易数据与一个或多个阈值进行比较。
如本文所使用的,术语“非暂态计算机可读介质”旨在表示在用于短期和长期存储信息的任何方法或技术(诸如计算机可读指令、数据结构、程序模块和子模块或任何设备中的其它数据)中实现的任何基于有形计算机的设备。因此,本文描述的方法可以被编码为实施在有形、非暂态计算机可读介质(包括但不限于存储设备和/或存储器设备)中的可执行指令。当由处理器执行时,这样的指令使得处理器执行本文描述的方法的至少一部分。此外,如本文所使用的,术语“非暂态计算机可读介质”包括所有有形的计算机可读介质,包括但不限于非暂态计算机存储设备,包括但不限于易失性和非易失性介质,以及可移动和不可移动介质,诸如固件、物理和虚拟存储装置、CD-ROM、DVD和任何其它数字源(诸如网络或互联网)、以及尚未开发的数字方式,其中唯一的例外是暂态传播信号。
如本文所使用的,术语“计算机”和相关术语(例如“计算设备”)不限于本领域中被称为计算机的集成电路,而是广泛地指微控制器、微型计算机、可编程逻辑控制器(PLC)、专用集成电路和其它可编程电路,并且这些术语在本文可互换使用。
如本文贯穿整个说明书和权利要求书中所使用的,近似语言可以用于修改可允许变化的任何定量表示,而不会导致与之相关的基本功能的改变。因此,由诸如“大约”和“基本上”的一个或多个术语修饰的值不限于所指定的精确值。在至少一些情况下,近似语言可以对应于用于测量值的仪器的精度。在这里以及贯穿整个说明书和权利要求书中,范围限制可以被组合和/或互换。除非上下文或语言另外指出,否则这样的范围被识别为并且包括其中包含的所有子范围。
本书面描述使用示例来描述包括最佳模式的本公开,并且还使得本领域的任何技术人员能够实践本公开,包括制作和使用任何设备或系统以及执行任何结合的方法。本申请的专利范围由权利要求书限定,并且可以包括本领域技术人员想到的其它示例。如果这样的其它示例具有与权利要求的字面语言没有差别的结构元件,或者如果它们包括与权利要求的字面语言没有实质性差别的等效结构元件,那么这样的其他示例旨在权利要求的范围内。
Claims (20)
1.一种用于检测交易卡自动柜员机(ATM)取款的宏级别欺诈的宏欺诈检测系统,所述宏欺诈检测系统包括:
用于存储数据的存储器设备;以及
通信地耦合到所述存储器设备的处理器,所述处理器被编程为:
接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据;
将第一交易数据聚合到一个或多个参考表中;
基于聚合的第一交易数据来确定一个或多个阈值;
接收与所述多个交易卡和所述至少一个ATM之间的当前金融交易对应的第二交易数据;以及
将第二交易数据与所述一个或多个阈值进行比较。
2.根据权利要求1所述的宏欺诈检测系统,其中将第一交易数据聚合到一个或多个参考表中包括按发行方、交易国家和渠道中的至少一个将第一交易数据聚合到所述一个或多个参考表中。
3.根据权利要求1所述的宏欺诈检测系统,其中所述处理器被编程为通过以下操作将第一交易数据聚合到一个或多个参考表中:
基于第一交易数据的相应交易的日期将第一交易数据排序到每个日期的三十分钟区段中;以及
计算每个三十分钟区段的总交易金额,其中所述总交易金额是相应三十分钟区段的速度。
4.根据权利要求3所述的宏欺诈检测系统,其中所述处理器还被编程为基于每个相应三十分钟区段的最大确定速度将第一交易数据聚合到一个或多个附加第二参考表中。
5.根据权利要求4所述的宏欺诈检测系统,其中所述处理器还被编程为:
对于每个相应三十分钟区段,从最小速度到最大确定速度对所述一个或多个附加第二参考表进行排序;以及
确定所排序的一个或多个附加第二参考表的连续速度之间的百分比差。
6.根据权利要求4所述的宏欺诈检测系统,其中所述处理器还被配置为基于第一交易数据和第一交易数据的最大确定速度来确定所述一个或多个阈值。
7.根据权利要求3所述的宏欺诈检测系统,其中确定所述一个或多个阈值包括基于三十分钟区段的至少一个速度来确定至少一个基本阈值和至少一个最大阈值。
8.根据权利要求7所述的宏欺诈检测系统,其中所述至少一个基本阈值基于以下中的一个:交易数据时段的最大速度、至少整年的交易数据、特定月份的交易数据和三十分钟区段之一的最大速度。
9.根据权利要求1所述的宏欺诈检测系统,其中将第二交易数据与所述一个或多个阈值进行比较包括将第二交易数据的三十分钟滚动速度与所述一个或多个阈值进行比较。
10.根据权利要求1所述的宏欺诈检测系统,其中所述处理器还被编程为实时接收第二交易数据。
11.根据权利要求10所述的宏欺诈检测系统,其中所述处理器还被编程为:
按发行方和国家聚合第二交易数据;以及
确定第二交易数据的三十分钟滚动速度。
12.一种用于检测交易卡自动柜员机(ATM)取款的宏级别欺诈的基于计算机的方法,所述方法包括:
接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据;
将第一交易数据聚合到一个或多个参考表中;
基于聚合的第一交易数据来确定一个或多个阈值;
接收与所述多个交易卡和所述至少一个ATM之间的当前金融交易对应的第二交易数据;以及
将第二交易数据与所述一个或多个阈值进行比较。
13.根据权利要求12所述的方法,其中确定所述一个或多个阈值包括基于第一交易数据来确定至少一个基本阈值和至少一个最大阈值。
14.根据权利要求13所述的方法,其中将第二交易数据与所述一个或多个阈值进行比较包括:
确定第二交易数据的三十分钟滚动速度;以及
将三十分钟滚动速度与所述至少一个基本阈值进行比较。
15.根据权利要求14所述的方法,还包括:当三十分钟滚动速度超过所述至少一个基本阈值时,将三十分钟滚动速度与所述至少一个最大阈值进行比较。
16.根据权利要求15所述的方法,还包括:当三十分钟滚动速度超过所述至少一个最大阈值时:
确定第二交易数据中的唯一主账号(PAN)的数量;以及
将唯一PAN的数量与预定阈值进行比较。
17.根据权利要求16所述的方法,还包括:当唯一PAN的数量超过所述预定阈值时:
自动向技术响应团队(TRT)生成警报;以及
限制所述多个交易卡和所述至少一个ATM之间的所述当前金融交易。
18.一种或多种非暂态计算机可读存储介质,其上实施有计算机可执行指令,其中当由至少一个处理器执行时,所述计算机可执行指令使得所述处理器:
接收与多个交易卡和至少一个ATM之间的历史金融交易对应的第一交易数据;
将第一交易数据聚合到一个或多个参考表中;
基于聚合的第一交易数据来确定一个或多个阈值;
接收与所述多个交易卡和所述至少一个ATM之间的当前金融交易对应的第二交易数据;以及
将第二交易数据与所述一个或多个阈值进行比较。
19.根据权利要求18所述的非暂态计算机可读存储介质,其中所述计算机可执行指令还使得所述处理器:
基于第一交易数据的相应交易的日期将第一交易数据排序到每个日期的三十分钟区段中;以及
计算每个三十分钟区段的总交易金额,其中所述总交易金额是相应三十分钟区段的速度。
20.根据权利要求19所述的非暂态计算机可读存储介质,其中所述计算机可执行指令还使得所述处理器:
基于每个相应三十分钟区段的最大确定速度将第一交易数据聚合到一个或多个附加第二参考表中;
对于每个相应三十分钟区段,从最小速度到最大确定速度对所述一个或多个附加第二参考表进行排序;以及
确定所排序的一个或多个附加第二参考表的连续速度之间的百分比差。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/843,385 | 2017-12-15 | ||
| US15/843,385 US10977653B2 (en) | 2017-12-15 | 2017-12-15 | Systems and methods for cross-border ATM fraud detection |
| PCT/US2018/059325 WO2019118087A1 (en) | 2017-12-15 | 2018-11-06 | Systems and methods for cross-border atm fraud detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111566682A true CN111566682A (zh) | 2020-08-21 |
| CN111566682B CN111566682B (zh) | 2023-11-28 |
Family
ID=66814606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880086240.4A Active CN111566682B (zh) | 2017-12-15 | 2018-11-06 | 用于跨境atm欺诈检测的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10977653B2 (zh) |
| CN (1) | CN111566682B (zh) |
| WO (1) | WO2019118087A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190220841A1 (en) * | 2018-01-12 | 2019-07-18 | Wells Fargo Bank, N.A. | Dynamic micropayment fee selector |
| US11030624B2 (en) * | 2018-10-04 | 2021-06-08 | Capital One Services, Llc | Techniques to perform computational analyses on transaction information for automatic teller machines |
| US11093310B2 (en) * | 2018-12-31 | 2021-08-17 | Paypal, Inc. | Flow based pattern intelligent monitoring system |
| JP6813711B1 (ja) * | 2019-06-26 | 2021-01-13 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| CN114270388A (zh) * | 2019-08-13 | 2022-04-01 | 维萨国际服务协会 | 用于实时自动柜员机欺诈检测和预防的系统、方法和计算机程序产品 |
| US11941633B2 (en) | 2019-09-06 | 2024-03-26 | U.S. Bancorp, National Association | System for identifying points of compromise |
| US11468447B2 (en) * | 2019-09-06 | 2022-10-11 | U.S. Bancorp, National Association | System for identifying points of compromise |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090089175A1 (en) * | 2007-10-02 | 2009-04-02 | Nir Platek | Product evaluation system and product evaluation method |
| US20090265211A1 (en) * | 2000-07-13 | 2009-10-22 | May Jason W | Method and system for detecting fraud |
| US20100228580A1 (en) * | 2009-03-04 | 2010-09-09 | Zoldi Scott M | Fraud detection based on efficient frequent-behavior sorted lists |
| US20150073981A1 (en) * | 2014-10-28 | 2015-03-12 | Brighterion, Inc. | Data breach detection |
| US20160012503A1 (en) * | 2014-07-08 | 2016-01-14 | Alibaba Group Holding Limited | Method and system for providing a transaction platform for pre-owned merchandise |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5884289A (en) | 1995-06-16 | 1999-03-16 | Card Alert Services, Inc. | Debit card fraud detection and control system |
| US6094643A (en) | 1996-06-14 | 2000-07-25 | Card Alert Services, Inc. | System for detecting counterfeit financial card fraud |
| US6450407B1 (en) * | 1998-04-17 | 2002-09-17 | Viztec, Inc. | Chip card rebate system |
| WO2007041709A1 (en) | 2005-10-04 | 2007-04-12 | Basepoint Analytics Llc | System and method of detecting fraud |
| US20080288382A1 (en) | 2007-05-15 | 2008-11-20 | Smith Steven B | Methods and Systems for Early Fraud Protection |
| US8600872B1 (en) | 2007-07-27 | 2013-12-03 | Wells Fargo Bank, N.A. | System and method for detecting account compromises |
| US8185457B1 (en) | 2007-10-25 | 2012-05-22 | United Services Automobile Association (Usaa) | Transaction risk analyzer |
| US20100169792A1 (en) | 2008-12-29 | 2010-07-01 | Seif Ascar | Web and visual content interaction analytics |
| US10115153B2 (en) * | 2008-12-31 | 2018-10-30 | Fair Isaac Corporation | Detection of compromise of merchants, ATMS, and networks |
| US20110016052A1 (en) | 2009-07-16 | 2011-01-20 | Scragg Ernest M | Event Tracking and Velocity Fraud Rules for Financial Transactions |
| US10242540B2 (en) | 2009-09-02 | 2019-03-26 | Fair Isaac Corporation | Visualization for payment card transaction fraud analysis |
| US8458069B2 (en) * | 2011-03-04 | 2013-06-04 | Brighterion, Inc. | Systems and methods for adaptive identification of sources of fraud |
| US20130024358A1 (en) | 2011-07-21 | 2013-01-24 | Bank Of America Corporation | Filtering transactions to prevent false positive fraud alerts |
| US9652772B1 (en) * | 2011-08-10 | 2017-05-16 | Jpmorgan Chase Bank, N.A. | Systems and methods for fraud detection |
| US20160364794A1 (en) | 2015-06-09 | 2016-12-15 | International Business Machines Corporation | Scoring transactional fraud using features of transaction payment relationship graphs |
| US20170161745A1 (en) | 2015-12-03 | 2017-06-08 | Mastercard International Incorporated | Payment account fraud detection using social media heat maps |
-
2017
- 2017-12-15 US US15/843,385 patent/US10977653B2/en active Active
-
2018
- 2018-11-06 CN CN201880086240.4A patent/CN111566682B/zh active Active
- 2018-11-06 WO PCT/US2018/059325 patent/WO2019118087A1/en active Application Filing
-
2021
- 2021-04-12 US US17/228,447 patent/US11403645B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090265211A1 (en) * | 2000-07-13 | 2009-10-22 | May Jason W | Method and system for detecting fraud |
| US20090089175A1 (en) * | 2007-10-02 | 2009-04-02 | Nir Platek | Product evaluation system and product evaluation method |
| US20100228580A1 (en) * | 2009-03-04 | 2010-09-09 | Zoldi Scott M | Fraud detection based on efficient frequent-behavior sorted lists |
| US20160012503A1 (en) * | 2014-07-08 | 2016-01-14 | Alibaba Group Holding Limited | Method and system for providing a transaction platform for pre-owned merchandise |
| US20150073981A1 (en) * | 2014-10-28 | 2015-03-12 | Brighterion, Inc. | Data breach detection |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019118087A1 (en) | 2019-06-20 |
| US20210233083A1 (en) | 2021-07-29 |
| US20190188721A1 (en) | 2019-06-20 |
| US10977653B2 (en) | 2021-04-13 |
| CN111566682B (zh) | 2023-11-28 |
| US11403645B2 (en) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230385841A1 (en) | Systems and methods for detecting out-of-pattern transactions | |
| US11403645B2 (en) | Systems and methods for cross-border ATM fraud detection | |
| US8458069B2 (en) | Systems and methods for adaptive identification of sources of fraud | |
| US11250431B2 (en) | Systems and methods for enhanced fraud detection based on transactions at potentially compromised locations | |
| US11741474B2 (en) | Systems and methods for early detection of network fraud events | |
| US11727407B2 (en) | Systems and methods for detecting out-of-pattern transactions | |
| US20110016041A1 (en) | Triggering Fraud Rules for Financial Transactions | |
| US11151569B2 (en) | Systems and methods for improved detection of network fraud events | |
| US11157913B2 (en) | Systems and methods for improved detection of network fraud events | |
| US20110016052A1 (en) | Event Tracking and Velocity Fraud Rules for Financial Transactions | |
| US20200234307A1 (en) | Systems and methods for detecting periodic patterns in large datasets | |
| US20200234268A1 (en) | Systems and methods for recommending financial instruments | |
| CN110633987B (zh) | 在受监管环境中认证在线用户的系统和方法 | |
| US9858571B2 (en) | Methods and systems for mitigating fraud losses during a payment card transaction | |
| CN111344729A (zh) | 识别欺诈性共同购买点的系统和方法 | |
| CN109150952B (zh) | 用于异步整合和发送数据的系统和方法 | |
| WO2021202222A1 (en) | Systems and methods for message tracking using real-time normalized scoring | |
| US20230137734A1 (en) | Systems and methods for improved detection of network attacks | |
| US20210201313A1 (en) | Methods and systems for verification of operations of computer terminals and processing networks | |
| CN110633986B (zh) | 用于认证在线用户的系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |