速率检查 (Velocity checks)是一种用于支付处理防止欺诈的一种方法。其工作原理是监控特定时间范围内交易的频率和模式，检查是否有异常活动，例如来自单一账户或 IP 地址的异常大量交易。欺诈行为者通常会在持卡人发现前尽快使用盗来的银行卡信息，因此突然增加的交易尝试可能是欺诈的警告信号。如果交易数量超过某些阈值，速率检查会触发警报或阻止交易，从而帮助企业和客户防范欺诈行为。

随着企业面临的支付欺诈攻击或尝试显著增加（2023 年有 80% 的组织报告经历过此类情况，较 2022 年上升了 15 个百分点），像速率检查这样的防欺诈措施变得越来越重要。接下来，我们将解释速率检查的类型、工作原理、如何实施以及可能面临的挑战。

目录

• 速率检查的类型
  
• 速率检查的工作原理
  
• 速率检查在欺诈检测和防范中的作用
  
• 如何实施速率检查
  
• 速率检查的挑战
  

速率检查的类型

不同类型的速率检查各自关注交易模式的不同方面，以检测潜在的欺诈行为。

• 银行卡速率检查： 监控特定时间段内使用某张卡片进行的交易数量。如果在短时间内频繁使用同一张卡，可能表明该卡已被盗用，盗窃者正在试图在其被锁定前争取最大化使用。

• IP 地址速率检查： 分析特定时间范围内来自同一 IP 地址的交易数量。来自同一 IP 地址的大量交易可能表明欺诈行为者正在使用自动化工具或机器人进行多次购买。

• 设备 ID 速率检查： 检查在某个时间段内使用同一设备进行的交易数量，这有助于识别欺诈行为者使用同一设备进行多次购买的情况。

• 账户速率检查： 监控特定账户在一定时间内的交易数量，尤其对检测账户被盗（欺诈者获取合法账户并进行未经授权的交易）有帮助。

• 配送地址和账单地址速率检查： 分析特定时间内与同一地址关联的交易数量。如果不同卡号的交易都指向同一个地址，可能存在欺诈行为。

• 交易金额速率检查： 监控一定时间内的总消费金额。如果消费金额异常高，可能是欺诈的迹象。

速率检查的工作原理

速率检查通过持续监控多个参数下的交易活动来检测异常模式。它们使用规则或阈值来评估某种支付方式（如信用卡）的行为是否正常或可疑。

以下是这些检查的常见的工作原理：

• 设置阈值： 第一步是根据历史数据确定特定用户、卡或账户的正常交易行为。阈值是针对不同的方面设置的，例如交易频率、金额、IP 地址、使用的设备和地理位置。可以设置这些阈值以适应企业或行业的特定风险状况。

• 监控交易： 当交易发生时，系统会根据这些既定的阈值持续监控它们。它分析特定时间范围内的交易数量、累计花费金额或来自同一 IP 地址或设备的重复使用等因素。

• 检测异常： 当一笔交易或一系列交易超出预设阈值时，系统会将其标记为异常。例如，如果一张通常每天进行三笔交易的卡突然在一小时内进行 10 笔交易，这种异常行为将触发一个标志。

• 采取行动： 一旦检测到异常，自动化系统可以立即采取行动，阻止交易、请求额外身份验证或标记交易以供欺诈分析师手动审核。可以根据异常的严重性和性质自定义响应。

• 完善系统： 为了使速率检查有效，这些检查的结果（无论是真报还是误报）都会反馈到系统中。这些数据有助于优化阈值和规则，使欺诈检测过程随着时间的推移更加准确。

如何在欺诈检测和预防中使用速率检查？

速率检查是一种主动防御，用于限制欺诈的直接影响，并帮助企业了解和适应不断变化的安全挑战。以下是它们在支付处理和账户管理中的一些使用方式：

• 识别高风险交易： 速率检查用于发现偏离用户正常行为模式的交易。例如，如果一张通常每周使用一次的信用卡突然在一天内记录了几笔交易，则此峰值可能会触发审核。

• 防止自动攻击： 自动欺诈尝试（例如使用机器人完成的欺诈尝试）通常涉及从同一 IP 地址或设备进行快速交易或登录。速率检查可以通过识别异常高的速率和活动量来快速检测和阻止这些尝试。

• 触发多因素身份验证 (MFA)： 当速率检查将交易标记为可疑时，它可以触发 MFA 安全措施。该步骤要求用户提供额外的验证（例如发送到其手机的验证码）以继续交易，从而增加一层安全性。

• 分析地理位置： 地理位置检查可以在短时间内检测从物理上不可能的位置发起的交易，这可能表明克隆卡或账户被盗用。

• 交叉引用数据点： 速率检查可以通过整合来自众多来源的数据（例如，交易金额、地理位置、设备使用情况）来更全面地了解客户的行为。这种交叉引用有助于识别在单个数据流中可能不明显的复杂欺诈计划。

• 适应新出现的威胁： 随着欺诈行为者适应和改变他们的策略，速率检查可以根据观察到的欺诈行为的新模式不断更新和完善，帮助企业领先于新出现的威胁。

如何设施速率检查

有效实施速率检查需要识别相关数据，基于此数据建立规则，实时应用这些规则，并在激活触发器时定义适当的响应。速率检查不应给合法用户带来过多的不便，并且系统应设计为最大程度地减少误报。其设计还必须符合有关数据隐私和消费者保护的所有相关法规。

以下是实施过程每个步骤的说明：

识别数据

识别并收集要监控的数据。数据质量和一致性很重要，这样的话，数据的捕获和存储有利于实时分析。

这些数据通常包括：

• 交易详情，如交易金额、交易频率、交易时间、交易类型（如购买、取款、转账）

• 用户信息，例如账号、用户 ID 和历史行为模式

• 设备数据，例如 IP 地址、设备 ID，以及可能的 Cookie 或其他标识符

• 地理信息，例如 IP 地址、GPS 数据或输入的位置详细信息

制定规则

制定规则，定义什么构成可疑活动。这些规则通常基于反映典型用户行为的阈值，并由纵向数据和行业标准提供信息。

例如：

• 每台设备在 24 小时内允许的最大交易次数

• 在特定时间范围内可以从单个账户交易的最大美元金额

• 限制一小时内从同一 IP 地址登录的尝试次数

设置这些规则的过程应包括统计分析，以确定什么是正常行为和异常值。过于严格可能会阻止合法交易，而过于宽松可能无法发现欺诈活动。

设置触发条件

定义触发规则时发生的情况。响应可能因违规的严重性和性质而异，可能包括：

• 提醒系统管理员或欺诈分析师需要人工审核

• 自动拒绝看似欺诈的交易

• 请求额外验证，例如发送一次性密码 (OTP) 或要求用户回答安全问题

• 暂时冻结账户，直到获得进一步验证

应用规则

实时应用已制定的规则。实施可以在交易发生时监控交易的系统，并将每笔交易与既定规则进行比较。使用机器学习算法，这些算法可以根据正在进行的交易模式和新兴趋势动态调整规则，以保持规则的相关性。

速率检查的挑战

尽管速率检查是一种强大的欺诈管理工具，但必须仔细设计、实施和不断完善它们，以平衡安全性、合规性和用户体验。通过投资高级分析、机器学习和用户行为建模，可以解决与速率检查相关的缺点和困难。

以下是速率检查的一些常见挑战：

误报

速率检查存在误报风险，其中合法交易被标记为可疑。这可能由以下原因造成：

• 过于严格的规则，将用户活动的正常峰值（例如假日支出、销售支出）标记为欺诈行为。

• 未针对单个用户或区段的特定模式进行充分定制的规则。客户行为可能因细分市场而异，一刀切的方法可能会导致合法交易被阻止。

漏报

虽然不太常见，但也可能发生漏报，即未检测到欺诈易并被允许继续进行。这可能由以下原因造成：

• 复杂的欺诈技术，例如避免触发速率阈值的有节奏交易。

• 数据不完整或过期，导致监控不足。

对用户体验产生负面影响

严格的速率检查虽然能确保交易安全，但可能会恶化用户体验。每次被标记的交易可能需要额外的验证步骤，延迟交易处理时间，频繁的误报会令客户感到沮丧，甚至可能促使他们转向更友好的替代平台。

监管和隐私问题

速率检查通常需要收集、存储和分析大量数据。企业必须遵守严格的数据隐私法规，例如欧洲的通用数据保护条例 (GDPR) 和 加州消费者隐私法案 (CCPA)。合规性可能很复杂且成本高昂。

资源密集

实施和维护有效的速率检查需要大量资源，要求具备实时处理和分析大批量交易的技术基础设施。同时，速率检查规则需要定期更新，这需要持续的分析工作和技术支持。

系统集成

将速率检查与其他系统集成，如支付网关、防欺诈工具和客户数据库，可能充满挑战。信息可能分散在组织的不同部门或系统中，难以进行全面的速率检查。