在台灣,幾乎人人都接過要你投資、說會「報飆股」,或者假冒網路購物、銀行,要民眾到 ATM 轉帳的詐騙電話和簡訊。在數位支付、網路購物普及的當今消費環境中,各種詐騙手法也隨之增加。其中,前三大類型為投資詐騙、解除分期付款、以及假冒網拍交易等。
根據金管會統計,2023年前11月接獲民眾陳情投資詐騙案件達710件,已超越2022年全年的636件。台灣刑事局的最新統計數據也指出,台灣詐騙案件數量和財務損失,2023年 1 月至 4 月的財損攀升至 21 億元,目前又以投資詐騙最猖獗,2023上半年達1,066件、財損金額逾6.7億元,詐騙集團無所不用其極,造成民眾財產損失甚鉅。金融詐騙受害人數愈來愈多,儼然成為民怨之首。
拜金融科技服務創新,民眾在享受金融便利服務的同時,金融詐騙的風險和危機也潛藏在你我的日常生活中。 警方案件偵辦的速度無法追趕金融詐騙的速度,以追查金流為例,報導指出詐騙集團僅需17分鐘就能完成人頭帳戶轉移,相對地,偵辦金流的溯源卻需要一至兩個月的時間。這凸顯了一個現實,即儘管警方與金融機構共同努力阻擋詐騙活動,但卻難以跟上詐騙集團騙錢的速度。 如果不從根本上改善金融帳戶監管,打擊詐騙將仍然充滿困難和挑戰。我們需要在金融科技應用和金融監管改善方面取得更進一步的進展,以更有效地保護民眾免受金融詐騙的威脅。
除了常見的簡訊、電話投資詐騙之外,我們日常生活中常見的金融服務,若沒有適當的配套措施,也經常成了不法份子的詐騙工具,以下舉幾個金融詐騙案例:
近年來,數位帳戶在台灣越來越普及,因此也有不肖人士,詐取受害人的雙證件和個資後,冒名向銀行申辦數位存款帳戶,並提前要求受害人將實體銀行帳戶電話、地址,變更為詐騙集團提供的人頭電話與地址,藉以躲避銀行身分驗證關卡。刑事局也曾發現,詐騙集團在短短半年內就冒用近2百個人頭帳戶,後續再進行投資詐騙,不法獲利2,000多萬元。為了防堵類似狀況,金管會要求銀行公會檢討數位存款帳戶的異常態樣,研擬未來一併增修納入「數位存款帳戶作業範本」中。
根據金管會統計,截至2023年9月底,國人開立數位存款帳戶數,在36家銀行中已經高達1,877.7萬戶,因開戶驗證方式方便,台灣平均每千個成年人就開立了940個數位帳戶,等同於每位成年人都擁有數位存款帳戶,這也突顯出身分認證強度低,身分遭冒用的風險機率提高。
2021年,日本最大電信公司 NTT DOCOMO 公司的「DOCOMO 帳戶」服務也曾發生被非法提取存款的問題,該公司承認在激烈的市場競爭下,爲增加顧客人數,而簡化了開設帳戶的手續,在確認用戶身份方面做得不夠充分,無法阻止用戶冒用身分。由於這一情況,連結到該DOCOMO 帳戶服務的銀行存款帳戶遭到盜領,損失金額高達1800萬日元。這次事件不僅使公司聲譽受損,公司還必須提供用戶全額補償。
早在 2016 年,當時台灣第一銀行的ATM 發生盜領案,主嫌透過手機就能讓銀行 ATM 吐鈔,魔術般的手法,讓台灣民眾瞠目咋舌。
在銀行實體交易過程中,若遇到臨櫃行員判斷失誤,或者在ATM取鈔時未能確認是否為帳戶或卡片所有人,就容易發生盜領的狀況。
2023年五月在台灣出現的「金融卡盜刷手」歹徒,則是利用金融機構提供客戶免簽名的「小額自動加值」便利功能,以及不少民眾未多注意查看消費簡訊及加值簡訊的通知的機會,也忽略定期檢查帳戶交易紀錄,給了歹徒盜刷的機會。歹徒利用竊取大量的金融卡交互使用,進行小額盜刷,在持卡人自動充值後又繼續使用,不少持卡人卻渾然不覺。
因此,安全機制絕對是金融服務的首要工作,這些機制如同「鎖」一般,越是安全的鎖,通常便利性就相對較差,而維護和實施的成本也較高。然而有可靠的安全機制,才能有效地阻擋非法者,金融機構必須在方便性和安全性上取得一個最佳平衡,才能保障客戶的財產安全。
現今,數位支付、線上刷卡和轉帳都很方便,幾乎只要手指敲敲鍵盤或滑一下手機,就可以做到。不過這個交易過程中,有很多網路銀行、支付 APP 業者在完成開戶、建立帳號驗證後就結束身分驗證的工作,但後續有可能會有人頭戶、偽冒身分等些問題浮現,進而產生詐欺跟洗錢的不法事件。
《聯合報》指出,數位支付中又以「第三方支付」的亂象及漏洞最多,因設立第三方支付公司門檻較低,民眾開戶也不會被要求身分驗證。橋頭地檢署檢察官鄭子薇曾表示,2021年橋檢接獲廿多起詐騙案件,從中分析發現,人頭公司透過第三方支付公司取得虛擬帳號,協助詐騙集團洗錢,後來專案小組在第三方支付公司查扣兩億七千多萬元,協助詐騙集團、賭博網站洗錢的不法金流更超過百億新台幣。
另外,也有詐騙集團,會吸收金融業的內部員工,內神通外鬼,運用業者內部權限控管的漏洞,進行不法行為。
2023年5月,就發生某銀行朱姓女行員被詐騙集團首腦林姓女子吸收,涉嫌協助詐騙集團將人頭帳戶每日轉帳額度調高,從50萬元甚至調高到3000萬元,方便林女洗錢。
桃園地檢署調查,朱女等人造成被害人損失金額超過3億3000萬元,危害民眾財產、破壞金融秩序,已依法對朱女、林女等22人提起公訴。
雙因子或多因子身分驗證近年來不僅成為金融機關對外保護客戶帳戶安全所採用的必要手段外,也逐漸成為企業內部為加強資訊安全、權限控管的重要方式傳統的身份驗證方式通常僅使用單一因子進行驗證,例如使用者帳號和密碼,但這些因子非常容易被破解或盜用。因此,雙因子或多因子驗證使用多個因素組成,以增加安全性。多因子身分驗證通常包含以下兩種或更多種因素:
透過同時使用多個身份驗證因素,可以有效減少身份驗證受到攻擊、破解或冒用的風險。
金管會在2023年10月公布「金融服務業辦理數位身分驗證指引」,指出金融業者可以導入多因子身分驗證,以促進金融創新服務的同時兼顧客戶的財產安全。透過強化身分驗證,能夠有效防範詐騙者冒用身分,盜取民眾的財產。提高金融系統的安全性,確保使用者在參與創新金融服務時能夠享受到更為可靠的保護措施。
許多金融機構對於反賄賂和合規管理非常重視,並可能會尋求遵從國際標準以提高其業務的透明度和風險管理的水準。為防治內部權限控管破口,以臺灣銀行為例,內部也積極強化反賄賂管理機制,並在2023年取得 ISO 37001:2016 反賄賂管理國際標準認證,成為台灣金融業首例。臺灣銀行也表示,希望藉由國際標準之指引,全面提升對賄賂風險與不誠信行為管理機制之強度,落實銀行誠信經營之理念。
ISO 37001:2016 反賄賂管理國際標準認證是一套專注於反賄賂風險評估與整體管理機制的國際標準,全名為《ISO 37001:2016 反賄賂管理體系標準》(ISO 37001:2016 Anti-bribery management systems)。這個標準制定了一套反賄賂管理體系的指南,協助企業建立及實施合適的反賄賂管理制度,透過以流程活動中有關的行為風險辨識,將誠信、透明和合理的管理制度融入到企業現有的日常作業,也同時兼顧利害關係人之相關期待。
另外,在 2023 年六月,金管會也翻修民眾檢舉金融違法案件規定,拉高重大金融不法案件檢舉獎金,將 2021 年所制定的檢舉獎金 400 萬元增加到 500 萬元,鼓勵民眾多檢舉重大案件。該修正規定除提高獎金外,也包含對業者處以廢照、人員減薪或停職、限制資金運用等等,旨在鼓勵全民吹哨,有效防堵金融業者內控的漏洞。
「約定轉帳」原本是銀行為方便客戶付款、繳費或進行交易而提供的便利措施。然而,這項服務卻成為詐騙集團的利用對象,漸漸成為詐騙的溫床。
針對防範「約定轉帳」金融詐騙案件,金管會在2023年4月也發函給各銀行,要求民眾申請非本人的約定轉帳時,銀行可視風險評估將生效日,從申請後「次一日」改為「次二日」,延長約定轉帳到非本人帳號的生效時間。也同步要求銀行將警示帳戶或衍生管制帳戶,禁止設為約定轉入帳戶。
根據資料指出,包括玉山銀、永豐銀、第一銀行、華南銀等都已全面增設相關規定。銀行主管也表示,民眾通常第一時間並不會發現自己被騙,延長生效時間,爭取多兩天緩衝,對銀行來說可加強查核帳戶並進一步關懷客戶匯款原因,對民眾而言也因延長了等待期,增加察覺異狀而終止約定匯款的機會。
除此之外,部分銀行也對網銀、行動銀行的非約定轉帳交易限額做出了調整,從目前每日10萬元,調整為每筆5萬元、每日10萬元、每月20萬元,降低金融詐騙風險。
KYC (Know Your Customer)為一套用來進行驗證客戶身分的強制標準程序,銀行會查驗客戶的身分證、出生日期、居住地址等基本資訊,用以確保客戶身分之合法性。而數位身分認證 eKYC,則是透過數位識別和生物辨識,讓傳統的身分驗證流程更加安全、快速,且適用於遠端作業。
身份驗證對於金融機構來說,是相當重要的流程,交由成熟、通過國際認證測試的數位系統和人工智慧執行,可以減低風險並強化安全性,降低金融詐騙。其中,較為常見的技術包含了以下幾種:
由於發展技術成熟,且兼具了低硬體成本與辨識快速、精準等優點,人臉辨識的技術經常被廣泛應用於諸多金融場景中,以 FaceMe® eKYC 為例,經由手機、平板或個人電腦的鏡頭拍攝本人照片後,可以進行本人與證件1:1的相似度比對,達成精準的鏡頭前客戶身分驗證,目前已由元大人壽所導入,用於客戶遠距投保使用。
除此之外,FaceMe® 經美國國家標準暨技術研究院(National Institute of Standards and Technology/ NIST)臉部辨識技術基準測試(Face Recognition Vendor Test/ FRVT)表現優異,具備高達99.83%的辨識率,可準確進行人證比對及身分辨識。
精準的活體辨識與防偽技術,在需要遠端認證用戶身分,如使用網路銀行、刷臉付款等服務時,尤為重要,因其可防範有心人士透過偽冒身分的方式通過KYC驗證。以FaceMe ®活體防偽技術為例,該技術已通過iBeta的ISO/PAD測試(Presentation Attack Detection,活體冒用攻擊測試)Level 2認證。該認證是透過高精度的3D面具進行人臉辨識技術活體冒用攻擊,為人臉辨識防偽技術的全球產業公認標準。
此外, NIST在 2023 年也公布了一份最新的 Face Analysis Technology Evaluation (FATE) PAD 防偽測試報告 NISTIR 8491,針對來自全球 82 個演算法進行偽冒攻擊測試。報告結果顯示FaceMe® 在 NIST 的被動式活體冒用攻擊,以影片為輸入形式的便利性測試結果中榮登全球第一,充分展示 FaceMe® 在防止生物偽造和欺騙的絕佳效能。 證明其適用於金融、網路交易、遠距身分認證等安全係數要求較高的生物辨識認證。
於金融及保險應用中,身分證是辨識身分不可或缺的一環,一般現行應用程式大多採用上傳身分證照片做為驗證流程,但也因為缺少了防偽機制,以證件照片翻拍做驗證也容易成為身分冒用的破口。以 FaceMe® eKYC 為例,客戶可透過手機或平板,依照指示掃描證件正反面,FaceMe® eKYC可利用 AI 辨識證件上浮雕圖案、雷射穿孔、金屬安全線、變色油墨與七彩雷射標籤等特徵,以確保身分證為真,減少人為的誤判率。
如今在AI深偽技術(Deepfake)濫用的情況下,業者對於人臉辨識中取得的影像是否受到冒用也同樣存有疑慮。深偽技術係指利用深度學習(Deep Learning)的人工智慧圖像合成技術,常被用於人像或影片的偽造中,是近年來人工智慧發展中最具爭議的技術。 雖然在一般有人接待或職守的場合,不太可能發生拿著印刷照片或影片企圖冒用身分的場景;然而在無人的場域,如自助結帳機台、提款機或手機應用服務等情境,深偽技術生成的照片或影片攻擊就成為一種低成本又容易執行的攻擊手段。 FaceMe® 的活體防偽技術,可以有效避免有心人士透過AI生成之深偽照片、影片等方式攻擊,進行不法行為,有效杜絕身份冒用的狀況發生。
除此之外,也可使用人臉辨識加上資料庫的組合應用,以實體銀行和金融機構為例,對於進出銀行的外部人員。銀行通常有一份禁止進入的黑名單,用來辨識已知的行為不良者、車手或罪犯等。
FaceMe® Security可透過廣域的IP攝影機或監視器對視訊影像進行分析,在既有的監控系統上,將提取的人臉特徵值與名單的人臉資料進行搜尋比對,可快速、準確的辨識人員身分,並實行黑名單的監控。當黑名單臨櫃時,就可以即時示警通知,或透過影像分析系統如 People Tracker,加速事件調查,大幅縮短辦案時間,提前預防可能的不法行為並降低金融損失風險。
為了正視日益增加的網路金融詐欺威脅,銀行及保險 (BFSI) 產業多採用KYC和反洗錢(AML, Anti-Money Laundering)標準來預防詐騙、洗錢、冒用數位身分認證等非法行為。許多銀行保險業亦對金融科技 (Fintech) 持開放態度,逐步導入 AI 臉部辨識技術藉此防範付款詐騙、嚇阻金融犯罪,並加強客戶辨識和認證流程。
有鑑於人臉辨識因為其安全性、易用性及客戶體驗優化 ,其技術已普遍落地於許多智慧金融場景,讓我們為您介紹金融保險業導入使用人臉辨識的四大優勢:
訊連科技FaceMe® eKYC為金融保險業者提供了多樣化的模組,如eKYC、視訊會議、身分證件 OCR 文字識別及 語音辨識等。除了可以透過eKYC SDK進行證件真偽辨識、活體防偽、人臉辨識外,FaceMe® eKYC 亦提供了OCR 模組,用作掃描證件上之文字、或語音辨識模組用來強化認證之可靠度。此外,針對遠距開戶、遠距投保等應用,FaceMe® eKYC 解決方案也提供了可架設於私有雲之視訊會議模組,可協助金融、保險業者導入以視訊會議為基礎的遠距開戶、投保等服務。
金融詐騙在網路蓬勃發展下如疫情般蔓延,愈來愈多國家不再僅靠刑罰來做「治標」的金融詐騙嚇阻,漸漸轉往新興科技與研擬相關的金融法規來「治本」。如人臉辨識這些成熟的AI工具也可以幫助金融機關更精準識別不同類型的詐騙手法,制定應對策略。對金融機構而言,借助先進技術如人臉辨識的應用,不僅提高了詐騙檢測的精準度,也使得反制手段更具有效性。這不僅是一種「治本」的方法,更是在數位時代下金融業務發展的必然趨勢。對於民眾而言,這樣的應對措施意味著更安全的金融環境,減少了受騙的風險,同時避免了不必要的煩惱和損失。因此,金融業借助新興科技的進步,尤其是AI 人臉辨識的應用,為打擊金融詐騙提供了更為全面和可行的解決方案。
與業務團隊
