01 什么是欺诈
在《互联网反欺诈体系漫谈》一文中,曾经就欺诈与反欺诈做过一些简单的讨论。(点击标题可查看原文)
何为欺诈:
“用狡猾奸诈的手段骗人”——《现代汉语词典》
“一方以欺诈、胁迫的手段或者乘人之危,使对方在违背真实意思的情况下订立的合同,受损害方有权请求人民法院或者仲裁机构变更或者撤销。”——《中华人民共和国合同法》
“一方以欺诈、胁迫的手段或者乘人之危,使对方在违背真实意思的情况下所为的为无效行为”——《中华人民共和国民法通则》
“一方当事人故意告知对方虚假情况,或者故意隐瞒真实情况(保持沉默者),诱使对方当事人作出错误意思表示的,可以认定为欺诈行为。”——《最高人民法院关于贯彻执行《中华人民共和国民法通则》若干问题的意见》
“内部欺诈:故意欺骗、盗用财产或违反规则、法律、公司政策的行为。外部欺诈:第三方故意欺骗、盗用财产或违反法律的行为。”——《新巴塞尔协议》
因此,欺诈必不可少的三要素为欺诈人、欺诈目的和欺诈方法。判断一个行为是否为欺诈,需要包含两个基本构成要件:
-
欺诈人具有主观上的欺骗意愿,即存在误导他人的主观意愿;
-
欺诈人执行了使他人做出错误认知的行为,如撒谎、虚构、伪造等行为;
然而这两个基本构成要件也仅仅是一个必要不充分条件,符合这两个基本构成要件的行为最终是否认定为欺诈,需要结合组织的商业模式和业务需要给出判断标准。
例,某网站为营销推广,补贴推出4000元购iPhoneX的活动。为了提高活动覆盖度,该网站规定每个用户仅能享受一次补贴价。而用户A为了能够多次参与活动,使用两个手机号先后注册两个帐号参与活动。
在这个案例中,用户A其既有欺骗网站的意愿(多买一部特价手机),也采取了使网站误判多行动(换手机号注册)。但是对于这一行为,平台模式的电商因为其最终目的是为了吸引流量,故而在一定程度上可以容忍;但自营模式的电商可能会将其认定为欺诈。(以上案例纯属杜撰,请勿对号入座)
02 互联网欺诈的分类
对于互联网欺诈的分类方式有很多。根据欺诈三要素的不同,可以将欺诈分类如下图:
可以确认的是,由于互联网业务形态千变万化,欺诈方式五花八门,互联网欺诈的形式和种类也必然会不断更新,这一点恰恰是互联网反欺诈最具有挑战性的地方。
03 互联网反欺诈体系
综上,我们可以将互联网反欺诈体系定义为:“为防范恶意用户采取欺诈行为谋求额外利益而建立方针和目标,以及为实现这些目标所用方法的体系。”
从定义中可以看出:
-
互联网反欺诈体系的针对对象是恶意用户的欺诈行为;
-
互联网反欺诈体系的目标是防止恶意用户采取欺诈行为获取额外利益;
-
互联网反欺诈体系涵盖方针、目标、方法;
在互联网反欺诈体系的建设过程中,需要秉持如下原则:
-
恶意用户很多,应当将有限的资源聚焦于采取了欺诈行为的恶意用户;
-
反欺诈体系建设的难点在于如何区分正常行为和欺诈行为,包括从业务逻辑上的界定和从技术手段上的界定;
-
反欺诈体系建设一定要整体、全局的规划和协作,而非反欺诈团队或相关部门的单兵作战,对于欺诈风险的处置也应当结合组织的战略方向和发展需要,综合平衡业务发展和风险管控的需求;
后续我们将针对如何建立和维护一个完整的互联网反欺诈体系进行深入的探讨,欢迎感兴趣的同仁后台联系我一起讨论,以期形成一套尽量完整的互联网反欺诈体系标准。
互联网安全实务,欢迎关注和分享公众号
我对欺诈方法的分类有一些不同意见,可以参见谷安的反欺诈报告:)