ACH fraud 101: How these scams work and how to prevent them

Payments
Payments

提供面向各类企业的全方位支付解决方案,满足从初创公司到跨国企业的多维度需求,助力全球范围内线上线下付款。

了解更多 
  1. 导言
  2. ACH 欺诈类型
    1. 欺诈性 ACH 交易类型
    2. 常见的 ACH 欺诈手段
  3. 如何追踪 ACH 支付
    1. 收集信息
    2. 联系银行
    3. 启动追踪
    4. 审查结果
  4. ACH 欺诈的法律责任
    1. 未经授权的借记
    2. 商业电子邮件诈骗 (BEC)
    3. 账户接管
    4. 数据盗窃
    5. 网络钓鱼诈骗
    6. 内部威胁
    7. ACH 空头支票欺诈 (ACH Kiting)​
    8. 虚假支付
  5. ACH 欺诈检测
    1. 交易监控
    2. 审查程序
    3. 了解你的客户 (KYC) 实践
    4. 信息共享
    5. 欺诈应对方案
  6. ACH 欺诈预防

ACH(自动清算所)支付是利用美国的 ACH 网络在银行账户之间移动资金的电子支付。该系统由 Nacha 管理,为各种付款类型提供便利,包括雇主直接存款、向承包商付款、自动账单支付和点对点转账。

与其他类型的电子支付一样,ACH 转账也容易受到欺诈。据报告,2022 年有 30% 的组织面临此类欺诈活动,高于 2021 年的 24%。本指南介绍了您需要了解的 ACH 欺诈相关知识,包括常见的欺诈方法、发生 ACH 欺诈时的法律责任以及如何预防和检测 ACH 欺诈。

本文内容

  • ACH 欺诈类型
  • 如何追踪 ACH 支付
  • ACH 欺诈的法律责任
  • ACH 欺诈检测
  • ACH 欺诈预防

ACH 欺诈类型

ACH 欺诈包括利用 ACH 网络内电子资金转账流程的各种手段。以下是不同类型的 ACH 欺诈和实施 ACH 欺诈的常用方法。

欺诈性 ACH 交易类型

大多数类型的 ACH 欺诈都发生在欺诈者利用 ACH 借记向他们控制或可以访问的账户发起转账时。他们通过未经授权访问受害者的银行数据或操纵现有的支付系统,将未经授权的资金转入自己的账户。欺诈者还可能采用长期策略来避免被发现,​逐渐潜伏渗透到金融工作流程或系统中。

未经授权的借记

欺诈者获得受害者的银行账号和银行路径号码后,即可发起未经授权的借记,从而从该账户中提款。他们可以通过网络钓鱼攻击、数据泄露或截获支票等实物文件来获取这些信息。

  • 执行:一旦掌握了账户详情,欺诈者便可冒充账户持有人或其他被授权提款的合法实体来发起 ACH 借记。此类交易金额通常较小,以期避开监测。

  • 检测和预防:客户和银行可以使用 ACH 过滤和阻止等工具,让账户持有人指定哪些个人和实体有权进行借记。客户应定期监测账户是否有任何未经授权的交易。

账户接管

当欺诈者未经授权访问银行账户的数字平台时,就会发生账户接管。网络犯罪分子可能使用恶意软件、网络钓鱼或键盘记录来窃取登录凭证。

  • 执行:欺诈者可以使用窃取的登录凭证登录银行账户,发起 ACH 转账到他们控制的其他账户。

  • 检测和预防:通过实施访问银行平台的多因素身份验证 (MFA) 和行为生物识别等高级安全措施,并对员工进行网络安全实践培训,以最大限度地降低账户被接管的风险。

ACH 空头支票欺诈 (ACH Kiting)​

ACH 空头支票欺诈是指欺诈者利用 ACH 发起转账与资金借记或贷记之间的时间延迟,来制造虚假余额。

  • 执行:欺诈者在由其控制、但属于不同银行的账户之间转账,在交易清算前人为地虚增(某个账户的)余额,从而能够提取或支取并不存在的资金。

  • 检测和预防:银行可以利用工具分析可能存在“套取”行为的模式,例如频繁的跨行整笔转账。它们还可以对资金的发放实施强化验证。

虚假支付

该骗局涉及向公司发送欺诈性发票,或操纵现有支付指令,将付款转移至欺诈者控制的账户。

  • 执行:通过冒充合法供应商或伪造订单,欺诈者说服企业向错误的账户发起 ACH 支付。

  • 检测和预防:应通过安全独立的通信渠道,与已知联系人验证支付信息的变更。对员工进行定期培训,仔细审查发票和支付请求,可预防此类欺诈。

常见的 ACH 欺诈手段

欺诈者可以利用以下方法获取实施欺诈所需数据,或说服授权方向相关账户发起借记交易。欺诈者还可能利用跨系统漏洞(银行系统、电子邮件、数据存储),策划多方位协同攻击,使商家和银行更难追踪和预防欺诈

数据盗窃

欺诈者拦截或窃取客户发起的信息,用于发起欺诈交易。这可能涉及入侵公司数据库、实物盗窃(如窃取文件)或使用社会工程技术收集敏感数据。

  • 执行:一旦获得信息,​欺诈者便可利用其进行未经授权的访问和交易,包括发起欺诈性 ACH 交易。

  • 检测和预防:商家可通过加密敏感数据、维持严格的 IT 安全规范、定期执行安全审计来防范数据窃取。同时,应确保实体文件得到安全的存储与销毁。

网络钓鱼诈骗

网络钓鱼指诈骗者通过冒充合法实体的电子邮件或网站,诱骗目标泄露登录凭证、账户号码等敏感信息。

  • 执行:一旦信息被获取,诈骗者即可利用其进行未经授权的访问和交易(包括 ACH 借记)。

  • 检测和预防:通过教育用户识别钓鱼企图并验证敏感信息请求的真实性,可降低风险。商家还应实施电子邮件过滤器及安全协议,以检测和拦截钓鱼邮件。

商业电子邮件诈骗 (BEC)

在这类复杂骗局中,诈骗者利用网络钓鱼策略冒充公司高管或供应商。

  • 执行:诈骗者可能截获或伪造指示财务人员更改 ACH 付款(自动清算系统支付)账户信息的邮件,将付款重定向至其控制的账户,或要求其向欺诈账户发起转账。

  • 检测和预防:验证程序(如增设另一员工的二次审批)有助于防范此类欺诈。员工应具备识别网络钓鱼的能力,并对仅通过邮件传达的付款信息变更保持警惕。

内部威胁

有时,组织内部人员(如员工或承包商)可能滥用其特权谋取私利。

  • 执行:内部人员可能发起未经授权的交易,或通过篡改账户信息转移资金。

  • 检测和预防:定期审计、职责分离和异常活动监控有助于降低此类风险。建立安全与道德行为文化同样重要。

如何追踪 ACH 支付

追踪ACH支付有助于解决未收到资金、错误或疑似欺诈等问题。越早启动追踪,越能准确获取交易详情。

收集信息

追踪 ACH 支付时,首先收集所有相关交易信息,包括:交易金额、日期、交易 ID 或参考号、发起方与接收方的账号及银行名称。

联系银行

联系发起交易的银行(如果您是汇款人)或接收资金的银行(如果您是收款人)。对于紧急问题,电话可能比邮件更有效。向银行提供所有交易详情。

启动追踪

您的银行可能会要求您填写一份追踪申请表以正式提出请求。银行会通过 ACH 网络将此申请发送给参与该交易的另一家银行,以核实以下几点:各家银行是否都正确处理了该交易、交易的当前状态、以及任何差错或错误出现于哪个环节。部分银行可能会对此项追踪服务收取费用。

ACH 追踪可能需要几个工作日才能完成。定期跟进检查追踪进度。

审查结果

追踪完成后,相关银行将提供一份报告,​详细说明交易的流转流程及出现的任何问题。如果存在错误,银行可以通过重新处理交易或对账户余额进行必要的调整来纠正错误。​记录所有的沟通内容和追踪结果。这些书面记录有助于解决争议,并在有必要采取法律行动时作为证据。

ACH 欺诈的法律责任

ACH 欺诈的法律责任问题取决于每个案件的具体情况。尽管法律通常对消费者较为有利,但对商家和银行的要求更为严格。美国的《电子资金转账法》(EFTA) 等法律大幅限制了消费者对未经授权电子交易的责任,前提是账户持有人在规定时限内采取相应行动。若商家无法证明已实施足够的控制措施,则需承担欺诈损失;若银行的安全程序被认定不完善或未遵守约定协议,则银行可能承担责任。

在许多情况下,解决 ACH 欺诈的法律责任问题需要涉事各方进行协商,并可能需通过法律介入来确定过错。实施强有力的预防措施,并维护清晰且文档完善的电子交易处理程序,有助于组织降低风险并在发生欺诈时明确责任划分。

以下是未经授权借记、BEC 或账户接管等常见情境下的责任分配方式。

未经授权的借记

美国 EFTA 等法规要求客户的银行赔偿​(或偿付)客户未经授权的借记,条件是客户在显示借记的对账单发出后 60 天内报告未经授权的交易。

商业电子邮件诈骗 (BEC)

在 BEC 案件中,责任往往由授权员工进行欺诈性转账的商家承担,特别是如果该员工疏忽大意,没有遵守内部安全程序。

账户接管

如果客户及时通知银行,则通常不需要对账户接管导致的欺诈性交易承担责任。如果银行未能采取合理的安全措施,则可能要承担赔偿责任。

数据盗窃

当公司发生数据泄露时,如果该公司在数据保护方面存在过失,则可能需要承担法律责任。​​​过失可能包括未能遵守行业安全标准或未采取足够的预防措施。

网络钓鱼诈骗

如果客户成为网络钓鱼诈骗的受害者,并及时报告了未经授权的交易,银行通常会承担损失。如果客户存在重大过失(例如,分享了 PIN 码或密码),则可能需要承担部分或全部损失。​

内部威胁

内部人员所在的组织通常需要为此类损失承担责任,如果控制措施或监管不力进而助长了欺诈行为,则尤其如此。在某些情况下,银行可能会对个体犯罪者采取法律行动。​

ACH 空头支票欺诈 (ACH Kiting)​

ACH 空头支票欺诈的实施者可能被追究欺诈法律责任。若银行因缺乏完善的监控系统而未能及时发现和阻止可疑活动,同样可能承担相应赔偿责任。

虚假支付

若因未核实支付请求或发票真实性而导致问题(尤其是未履行尽职调查义务时),相关实体可能需承担责任。银行若已按收到指令处理交易,通常不承担责任。

ACH 欺诈检测

检测 ACH 欺诈需要持续监控、审查和共享信息。以下是您应该了解的内容。

交易监控

实施专业软件,持续根据既定基线和历史模式分析您的 ACH 交易。机器学习和人工智能技术可以掌握商家的典型支付行为,并基于人类可能忽略的复杂模式标记潜在的可疑交易。以下可能是潜在欺诈的迹象。

  • 与交易相关的异常 IP 地址或设备

  • 交易笔数或交易金额相较于历史平均值的异常波动

  • 向新的受益人付款,特别是向位于高风险工作地区的受益人付款

  • 交易时间异常(不在标准营业时间内)

  • 紧急请求(如要求立即采取行动的电子邮件或电话),催促商家加快付款或向不熟悉的账户汇款

  • 支付请求中的姓名、账户号码或其他详情不一致

审查程序

  • 对高风险交易进行人工审查:__仔细检查监控工具标记出的交易。专职人员应核查受益人详情、支付历史和相关通信记录中的异常。

  • 抽查审计:__对 ACH 交易进行随机审计。即使未发现任何欺诈行为,若欺诈者知悉企业随时在严密审查交易,其行为也可能受到震慑。

  • ACH 退单分析:密切监控 ACH 退单。高退回率可能表明存在未经授权的借记或欺诈性受益人信息。分析退单原因并识别模式。

了解你的客户 (KYC) 实践

  • 客户验证:在启动定期付款或添加新的受益人之前,进行尽职调查。核实地址和商家的合法性,并筛查制裁名单和欺诈数据库。

  • 关系监控:定期检查收款人行为、沟通风格或更新的银行账户信息是否出现变化,​这些变化可能表明账户已遭泄露。

信息共享

  • 银行合作:与银行的欺诈预防部门保持沟通渠道畅通。他们可以提醒你注意新出现的欺诈形式,并合作开展调查。

  • 行业网络:积极参与行业协会和欺诈预防网络。分享威胁情报和最佳实践助力各方领先欺诈分子一步。

欺诈应对方案

​​不要等到安全事件发生后才决定该怎么做。积极主动地制定包括以下步骤的方案。

  • 银行联系人

  • 内部报告和调查规程

  • 减少进一步损害的步骤(例如冻结账户、更改凭证)

  • 执法参与的要求

ACH 欺诈预防

ACH 欺诈对企业构成重大威胁,包括资金损失和声誉受损。下面介绍如何加强防御,预防 ACH 欺诈企图。

  • 多因素身份验证 (MFA):对所有登录和金融交易强制执行 MFA。除了用户名和密码外,还要求额外的验证步骤。这样即使登录凭据泄露,也能降低未经授权访问的风险。

  • 预授权支付:该 ACH 借记验证系统允许企业对合法收款人和金额进行预授权。任何与预授权信息不符的交易都会触发警报,以便在处理前进行审查,防止欺诈性提款。

  • 员工培训:培训员工识别网络钓鱼企图、社会工程学策略以及与 ACH 欺诈相关的危险信号。教育他们处理 ACH 交易和报告可疑活动的正确程序。

  • 职责分工:建立一种制度,让不同的员工处理发起支付、批准交易和执行账户核对等任务。这样可以降低单一员工为欺诈目的操纵系统的风险。

  • 实时监控:使用实时交易监控工具来识别异常和可疑活动,并在其被处理执行之前予以阻止。

  • 对账程序:建立完善的对账程序,以比对预期付款与实际发生的借项和贷项。需定期审查银行对账单,​排查任何可能表明欺诈活动的差异。

  • 数据加密:确保所有敏感数据,包括账户信息和金融记录,在静态和传输过程中都经过加密。这样,即使欺诈者入侵了你的系统,他们也很难窃取有价值的信息。

  • 访问控制:对财务数据和 ACH 处理系统实施严格的访问控制。只在需要知道的情况下授予访问权限,并使用强密码策略,定期更改密码。

  • 欺诈预防服务:考虑与提供高级威胁情报和监控服务的欺诈预防专家合作。这些服务可以提供更多层次的安全保障,以及检测复杂欺诈企图的专业知识。

  • 参与 ACH 网络:参与 ACH 网络风险缓解计划。这些倡议提供资源和工具,以确定新出现的威胁和打击 ACH 欺诈的最佳实践。

本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Payments

Payments

借助为各种企业打造的支付解决方案,实现全球范围线上线下收款。

Payments 文档

查找 Stripe 的付款 API 集成指南。