支付欺诈新克星：面向反欺诈团队的独特威胁情报

目标读者

银行、支付处理机构和金融机构的首席技术官、首席信息安全官和威胁情报团队；寻求威胁情报集成的欺诈、风险管理、反洗钱和合规团队。

引言

检测和预防欺诈已成为金融机构持续面临的挑战。仅2024年，就有超过400亿美元的加密货币被洗钱，其中大部分通过标准合规系统无法追踪的钱包和混币服务进行。与此同时，法币洗钱构成更大威胁，全球每年估计规模在2.2万亿至5.5万亿美元之间。这些活动大多流经即使先进防御系统也无法检测的支付基础设施。

考虑以下场景：银行的欺诈系统标记了可疑的出站交易模式，但接收方账户通过了所有标准合规检查。三个月后，您发现该交易是欺诈性的，且第三方机构的同一接收账户一直作为钱骡处理勒索软件支付或非法赌博收益。

这只是其中一种可能场景。犯罪资金也可能从外部来源流入您银行的合法账户，或者您的某个客户账户可能被犯罪分子操作作为洗钱计划的一部分——所有这些都在您现有系统的监控之外。每种情况都可能导致客户关系受损、需要接受监管审查，以及最终远高于安全投资的操作成本。

Group-IB的新可疑支付详情（SPD）模块弥补了检测能力与实际犯罪支付网络之间的脱节。如何实现？请继续阅读。

威胁情报团队了解但您的欺诈团队不知道的信息

大多数威胁情报提供商擅长提供服务于安全运营中心和事件响应团队的妥协指标和漏洞评估。然而，这些数据流并非为解决金融机构在实时交易处理中面临的支付验证挑战而设计。

威胁情报团队作为威胁行为者归因和去匿名化工作的一部分，定期分析支付基础设施。然而，这些关键支付数据（包括有关非法赌博平台、勒索软件支付处理器和暗网交易所的详细信息）仍然孤立在安全运营中，很少到达欺诈团队。

当您的SOC团队收到有关恶意软件家族和攻击向量的详细报告时，您的欺诈团队在没有了解接收账户是否由勒索软件操作者或钱骡网络控制的情况下做出瞬间支付批准决策。威胁情报与支付情报之间的脱节是该行业最昂贵的盲点。

什么是可疑支付详情模块？

可疑支付详情（SPD）是Group-IB威胁情报中首创的模块，提供与活跃犯罪操作相关的支付标识符：欺诈者用于变现其攻击的银行账户、加密货币钱包和支付详情。

其他提供商告诉您有关威胁的信息，我们告诉您资金流向何处。

收集方法和来源

我们的收集方法延伸到传统安全供应商无法访问的犯罪支付基础设施。我们分析通过勒索软件操作、恶意软件命令与控制服务器、外泄端点、地下论坛、诈骗页面和非法赌博平台暴露的支付详情。此外，Group-IB专家在日常威胁行为者监控活动中收集支付详情。

可疑支付详情提供跨多个支付类别的全面情报：

银行标识符：来自确认洗钱操作和钱骡网络的国际银行账号、账号、路由号和卡号
加密货币钱包：与勒索软件组织、剪贴板恶意软件和混币服务相关的BTC、ETH、XMR及其他加密货币地址
额外支付标识符：在各种系统中用作支付ID的电话号码和电子邮件地址，这将欺诈覆盖范围扩展到严格与账号相关的转账之外

每条记录可能包括上下文标签（赌场、电子钱包、剪贴板劫持）、服务名称和源类型及检测元数据、威胁行为者和恶意软件归因、通过API估计犯罪使用可能性的数字非法评分，以及带有首次发现和最后发现时间戳的透明证据。

团队如何使用SPD阻止犯罪支付

SPD模块通过两种操作方法提供可操作情报，解决支付安全中最紧迫的挑战：

对于欺诈和交易监控团队： 该模块通过实现实时交易标记和升级来支持出站保护。欺诈引擎可以在处理电汇或其他出站支付之前，根据犯罪支付情报交叉引用接收方详情。可疑支付详情提供按目标标识符（包括国际银行账号、分类代码、钱包地址和电话ID）索引的高容量丰富数据。

当SPD识别出与勒索软件操作、非法赌场计划或地下交易网络相关的账户时，交易可以立即被标记并升级以进行即时手动审查。合规团队随后可以在法定的"报告并等待"窗口内暂停转账，并提交可疑活动报告。这可以防止损失，确保监管一致性，并将合规性转化为竞争优势。

对于风险、反洗钱和合规团队： 该模块通过持续账户审计和监控支持入站检测和内部风险识别。合规团队可以系统地根据犯罪支付情报交叉检查现有客户账户，以识别为洗钱设立或被用于非法活动的账户。

如果标记的外部账户向银行的合法客户发起转账，您的团队可以触发增强尽职调查，更新了解您的客户文档，并调查为何干净账户接收标记资金。

如果模块显示银行的某个客户账户由威胁行为者操作，您的团队可以冻结该账户，启动内部审查，分析连接的设备或交易对手，并向监管机构提交报告。

该模块提供实时API访问、灵活的集成和导出功能，使团队能够实施预定义的响应协议，包括账户冻结、信用拒绝或启动增强尽职调查。通过威胁情报的早期检测能够实现快速补救，减少监管风险，并防止因不知情地促进犯罪操作而造成的声誉损害。

向网络-欺诈融合的转变

欺诈团队使用可疑支付详情模块的方式反映了一个更大的行业趋势，称为网络-欺诈融合。现代威胁行为者不再在传统边界内操作。他们无缝地融合网络安全攻击与金融欺诈变现。单个犯罪操作可能部署恶意软件以窃取凭证，使用社会工程学绕过身份验证，然后利用钱骡网络兑现被盗资金。这种演变要求同样集成的防御方法。

什么是网络-欺诈融合？ 它是网络安全威胁情报与欺诈检测和反洗钱操作的战略整合。网络-欺诈融合不是将网络威胁和金融欺诈视为由不同团队处理的单独问题，而是统一这些传统上孤立的功能，以创建犯罪操作的全面视图。

为什么这很重要？ 根据Gartner的数据，到2028年，20%的大型企业将转向网络-欺诈融合团队以打击内部和外部对手，高于目前的不到5%。这凸显了银行和支付提供商重新思考组织孤岛并拥抱统一威胁视图的紧迫性。

欺诈情报作为桥梁： 在网络-欺诈融合中，欺诈情报充当网络威胁数据与金融犯罪预防之间的关键连接器。Group-IB客户已经受益于欺诈保护中的全面欺诈情报，该情报使用行为模式、地理位置数据、设备指纹和击键模式来分析欺诈者行为。然而，传统欺诈情报侧重于欺诈尝试本身的攻击模式。

这种融合还得到Group-IB的欺诈矩阵的支持——这是一个受MITRE ATT&CK®框架启发的欺诈策略、技术和应对措施的视觉杀伤链。它帮助分析师解构计划，定制响应，并构建基于规则的防御。凭借其清晰的视觉界面、报告功能和定制选项，欺诈矩阵是现代网络-欺诈融合工作流的基石。

可疑支付详情模块通过提供在欺诈交易完成前进行主动干预所需的情报，扩展了欺诈情报能力。该模块补充了威胁情报客户 already 可用的其他金融情报模块，例如受损卡数据和银行凭证。

对金融机构的战略价值

Group-IB提供全面的威胁情报，改变金融机构做出支付决策的方式。可疑支付详情模块提供有关传统安全供应商无法访问或验证的犯罪支付基础设施的情报，创造可衡量的长期优势：

操作清晰度： 我们的集成情报生态系统将支付详情与更广泛的犯罪操作和威胁行为者活动联系起来，允许做出明智决策而非被动响应。当您知道加密货币钱包属于特定勒索软件组织，或国际银行账号与洗钱操作相关时，支付决策成为战略优势。
通过客户保护实现市场差异化： 每一笔阻止支付到犯罪账户的交易都增强了客户信任和机构信誉。当客户认识到您的组织积极保护他们免受其他银行往往忽视的不断演变的威胁时，您的欺诈预防能力成为竞争优势。
通过主动合规实现监管定位： 向监管机构展示犯罪支付情报将您的组织定位为金融犯罪预防中的主动而非被动方。这种方法将监管关系从合规义务转变为行业领导地位的合作伙伴机会。

实施

对于现有的Group-IB威胁情报客户，可疑支付详情模块立即可用，并且在当前合同下无需额外费用。集成很简单：实时API访问允许欺诈预防系统获取标识符，并在处理之前自动标记可疑交易，而批量导出选项支持偏好计划检查和审计的团队。

为了使采用更加容易，该模块还原生可用在领先平台中，包括Splunk ES/Cloud/SOAR、Google SecOps、ThreatConnect和IBM QRadar。

下一步及如何开始

我们的开发重点是通过增强的评分模型扩展源覆盖和分析能力，以实现超越二元可疑确定的更细致风险评估，以及包括非法货币兑换商和新兴支付平台在内的额外地下来源。

犯罪金融生态系统迅速发展，要求我们不断调整收集和分析方法。组织现在可以利用有关犯罪支付的情报进行实时操作决策，这显示了威胁情报的战略演变，将安全重点情报扩展到金融犯罪预防。

威胁情报团队多年来一直拥有这种可见性。借助可疑支付详情模块，欺诈和反洗钱团队最终能够访问相同的地下情报，并适应其工作流程。