整合网络欺诈情报和支付风险决策的系统和方法与流程

本发明总体上涉及用于识别潜在欺诈性支付请求的系统和方法，并且更具体地涉及聚合支付信息和网络欺诈情报指示符以生成风险分数或其他欺诈确定的系统和方法。

背景技术：

由于社会工程、商业电子邮件泄露(bec)、恶意软件和对美国和外国银行的网络入侵，各种实体和法人已经发现欺诈性批发支付尝试的增加。特别是，报道bec骗局已经导致数十亿的国内和国际损失。2015年1月至2016年5月之间，据报道亏损额增加了$1300％，总计31亿美元。

在bec骗局中，诱骗员工发起或授权电汇，提供财务敏感和机密信息或支付虚假发票。攻击者从诸如社交媒体、公司网站、sec文件等来源获取信息，以识别潜在受害者。攻击者使用受害者的配置文件内容来识别受害者的角色，并且可能是其主管，并且然后使用此信息来计划和发起攻击。bec消息的复杂程度和目标各不相同，一些试图诱骗用户进行资金转移，其他一些试图诱骗受害者提供信息。当前系统集中于来自请求实体，例如来自公司的员工的支付数据。因此，这样的系统不能准确地识别和解决bec骗局和其他社会工程行为。

这些和其他缺点当前存在。

技术实现要素：

根据一个实施例，本发明涉及一种组合支付数据和网络欺诈指示符以识别来自客户端的支付请求中的潜在欺诈的计算机实施的系统。该系统包括：存储器，其存储和维持已知欺诈特性和网络欺诈指示符的列表；以及耦合到存储器的计算机处理器，其被编程为：经由电子输入接收来自客户端的支付指令；识别与支付指令相关联的一个或多个网络欺诈指示符；应用支付决策以将一个或多个网络欺诈指示符合并到支付指令；基于支付决策生成风险分数，以确定是否应执行支付指令；并且将支付决策自动应用到支付指令。

该系统可以包括特定编程的计算机系统，该计算机系统包括一个或多个计算机处理器、移动设备、电子存储设备和网络。

本发明还涉及一种组合支付数据和网络欺诈指示符以识别来自客户端的支付请求中的潜在欺诈的计算机实施的方法。该方法包括以下步骤：在存储器中存储和维持已知欺诈特性和网络欺诈指示符的列表；经由电子输入接收来自客户端的支付指令；经由编程的计算机处理器识别与支付指令相关联的一个或多个网络欺诈指示符；经由编程的计算机处理器应用支付决策，以将一个或多个网络欺诈指示符合并到支付指令；经由编程的计算机处理器，基于支付决策生成风险分数，以确定是否应当执行支付指令；并且经由编程的计算机处理器将支付决策自动应用到支付指令。

根据本发明的各种实施例，本文描述的计算机实施的系统、方法和介质为金融机构、银行客户端和其他实体提供了独特的优势。通常，批发支付风险决策是基于支付指令中包含的信息做出的。这通常包括支付金额、货币、收款人、汇款人、时间、日期等。当请求支付的一方是欺诈来源时，此信息通常很有用。然而，在支付请求者是第三方欺诈者欺诈的目标的情况下，仅支付信息将不足以准确地检测欺诈。本发明的实施例涉及将支付指令信息与网络欺诈指示符合并以增强支付风险决策过程。其他优势包括银行业客户端和客户的忠诚度和保留率，这是因为在处理欺诈方面改进的满意度。这些和其他优点将在下面的详细描述中更充分地描述。

附图说明

为了促进对本发明的更全面理解，现在参考附图。附图不应被解释为限制本发明，而仅旨在说明本发明的不同方面和实施例。

图1示出了根据示例性实施例的将网络欺诈情报整合到支付风险决策中的系统的示意图。

图2是示出根据本发明的实施例的用于识别潜在欺诈性支付请求的方法的示例性流程图。

图3表示根据本发明的实施例的支持自助服务功能的示例性用户接口。

具体实施方式

以下描述旨在通过提供具体实施例和细节来传达对本发明的理解。然而，应理解，本发明不限于这些仅是示例性的具体实施例和细节。还应理解，根据已知系统和方法，本领域的普通技术人员将认识到根据特定的设计和其他需要，将本发明用于其预期目的和在任何数量的替代实施例中的益处。

从银行或金融机构的角度来看，当由客户端的授权代表发起支付时，所有指示符都将确认该请求是正确的。因此，银行将把支付指令视为合法，并发起资金转移。本发明的实施例解决了在客户端向银行或金融机构发起请求之前发生的对客户端的欺诈或攻击。由于欺诈和恶意活动是与客户端(而不是银行或金融机构)一起发生的，因此支付信息通常将不包含任何欺诈指示符。例如，欺诈者可以通过社会工程和其他策略来针对客户端，这将说服员工或客户端代表提出支付请求，然后由金融机构发起该请求。在这种情况下，客户端将对不正确的信息采取行动，而金融机构将不具有对其的任何可见性。

本发明的实施例涉及将支付指令信息与网络欺诈指示符合并以增强支付风险决策过程并识别高风险支付。例如，网络欺诈指示符可以包括ip地址、自治系统编号(asn)、恶意软件指示符、自动编号标识(ani)、相似域和/或其他与网络相关的数据。asn可以代表唯一编号，该编号在全球范围内可用以标识自治系统，并使该系统能够与其他相邻的自治系统交换外部路由信息。ani可以代表用于自动确定始发电话号码的电信网络的特征。例如，ani可以代表对从中进行支付指令的电话号码的引用以及对现有指令的修改。然后，系统可以基于这些指示符中的一个或多个指示符的存在，为交易分配风险分数。作为示例，相比于源自客户的家用计算机的交易，源自与高风险相关联的asn的交易(该高风险先前未被来自与先前附于欺诈的ani的帐户上接收到的电话查询耦合的设备所有者访问)可以接收较高的风险分数。

根据本发明的实施例，系统可以将相似域注册用作与商业电子邮件泄露和其他欺诈行为有关的欺诈指示符。在2016年12月8日提交的共同在审专利申请美国序列号15/372,797(代理人案卷号：72167.001156)中提供了细节，其全部内容通过引用合并到本文。根据本发明的实施例，域名分析可以用作基于风险的决策的一部分。例如，通过将相似域名用作欺诈指示符，实体可以确定是否发布交易或进行交易，并且进一步确定请求的域名是否已经被潜在地泄露。

本发明的实施例可以涉及在基于风险的支付决策中应用网络欺诈指示符以生成风险分数或其他指示符。例如，由客户端发起并指定给与其他业务部门相关联的收款人帐户的支付的单独且不同的风险分数可能包含由消费者和社区银行(ccb)中的基于风险的认证和授权决策(rbaad)和普通客户认证(cca)提供的特征，以及国际私人银行在线(ipb)，ipb代表高净值客户端的银行门户，以经由在线银行应用程序移动金钱。例如，rbaad和cca可以制定基于风险的认证和支付决策。这可以根据商业和法人客户端的银行门户经由在线银行应用程序或去往资产和财富管理(awm)、商业银行(cb)和ccb收款人帐户的其他支付移动金钱的需要执行。本发明的实施例可以在线上、通过电话和经由其他形式的通信来识别帐户触摸。系统还可以应用设备打印图案等。例如，如果ccb帐户分数高于阈值，则可能会提高其风险分数。

本发明的实施例可以包括客户端侧代码检测。虽然有多种检测技术可用于仅使用http日志来识别泄露的客户，但存在固有的局限性，即仅依靠客户的系统与网络服务器之间的http流量。例如，当受害者将这些值输入到网页中时，网络注入可以通过读取用户名、密码和(如果适用)令牌代码来捕获凭据。如果随后将这些值发送到欺诈者的服务器，则在日志中可能看不到异常的网络流量。因此，需要增加可见度。通过实施客户端侧代码，本发明的实施例可以利用在网络服务器日志中使用的许多相同的检测技术，并进一步开辟用于泄露的客户检测的附加途径。例如，客户端侧代码可以被实施为javascript，其可以被链接和/或嵌入到关键页面(例如，登入页面和登录页面)中以及跨平台内的多个页面或每个页面。

本发明的实施例涉及将网络事件与支付事件相关，并且进一步使用跨同一客户端的用户的相关性以及还使用跨不同客户端的相关性。例如，可以跨相同、相似、关联、相关和/或其他相关联的客户端应用该相关性。在示例性情况下，客户端abc的用户1可以使用计算机进行支付，其中计算机可以与网络事件相关联。本发明的一个实施例可以将用户1与执行一定规模的金钱移动的同一abc公司的用户2连接。在此示例中，用户2的金钱移动可能会突出显示为问题。可以针对潜在欺诈进一步分析用户2的请求。该系统还可以监视用户2的请求，并确认支付请求是否是欺诈性的。如果确认用户2的请求是欺诈的，则系统可以将预期收款人识别为欺诈性收款人，然后可以将该欺诈性收款人应用到同一客户端以及其他客户端的其他支付请求。客户端xyz可能会遭受相同(相似或相关)的欺诈性活动，在该欺诈性活动中，资金去往用户2的请求中识别的相同收款人。在此示例中，可以基于与客户端abc的用户1相关联的相关信息来停止或标记客户端xyz的活动。

本发明的实施例涉及以有意义的方式跨用户和/或跨客户端将信息元素连接在一起；并进一步识别风险交易。评分特征可以基于二进制规则的组合，例如已知有问题的不良收款人，以及其他考虑因素。例如，系统可以识别同一客户端的另一用户，并且进一步认出该金钱将流向之前从未支付过的国家。本发明的实施例可以进一步应用建模和优化。当成功检测到欺诈时，该数据然后可以用作监督学习的训练集，在最佳情况下，该训练集可以允许算法正确地识别不会被二进制规则识别的欺诈的未见实例。

本发明的实施例涉及基于风险的认证以及基于风险的支付决策。创新系统可以聚合数据元素以确定风险分数或概况。例如，如果风险分数超过某个数值阈值，则本发明的实施例可以识别超过风险级别的客户端，并因此将客户端识别为要放手的客户端。因此，系统可以在发起支付和/或其他动作之前识别并应用预防措施和验证措施。

以下描述根据示例性实施例提供了不同的配置和特征。尽管描述了应用程序/硬件的某些命名法和类型，但是其他名称和应用程序/硬件的使用也是可能的，并且提供的命名法仅通过非限制性示例来完成。此外，尽管描述了特定实施例，但是应当理解，每个实施例的特征和功能可以以本领域普通技术人员能力范围内的任何组合进行组合。附图提供了关于本发明的附加示例性细节。还应当理解，这些示例性实施例仅作为非限制性示例提供。

本文通过示例的方式提供了各种示例性方法。这些方法是示例性的，因为存在多种方式来执行根据本公开的方法。所描绘和描述的方法可以由各种系统和模块中的一个或组合执行或以其他方式实行。方法中显示的每个框代表在示例性方法中执行的一个或多个过程、决策、方法或子例程，并且这些过程、决策、方法或子例程不一定按方法中概述的特定顺序执行，也不一定需要执行他们中的每一个。

图1示出了根据示例性实施例的将网络欺诈情报整合到支付风险决策中的系统的示意图。如图所示，网络102可以与由110和112代表的各种支付人实体通信耦合。例如，支付人实体110可以代表金融机构客户端，该客户端是法人、小型企业和/或进行支付和/或接收支付的实体。支付人实体110可以代表拥有由120、122代表的员工的公司。附加支付人实体可以由拥有各种员工124、126的112代表。受款人实体114可以代表由支付人实体110发起的支付的接收者或收款人。受款人实体可以是金融实体130的客户或客户端。受款人实体也可以与另一个金融机构、银行、实体等相关联。

本发明的实施例可以认识到，金融机构的客户端可以是各种欺诈攻击的目标，包括bec和其他类型的欺诈。如图所示，支付人实体110可以代表雇佣由120、122代表的各种员工的公司。其他实体可以与支付人实体110相关联，其可以包括承包商、子公司、协会等。在bec欺诈的示例中，支付人实体110(或支付人实体或其他授权实体的员工)可能接收到欺诈性通信，该欺骗性通信诱骗支付人实体进行交易、支付和/或其他类型的动作、通信、信息共享、信息访问、支付等等。由于支付是授权支付，因此常规欺诈系统将不会被警告。本发明的实施例应用网络欺诈情报指示符来确定涉及看似授权交易的情况的支付风险。

网络102可以与由110、112、114代表的各种实体进行通信。另外，网络102与提供各种与支付有关的服务和/或其他特征的金融实体130进行通信。

金融实体130可以包括实施逻辑规则142的欺诈分析引擎140，以识别欺诈性和潜在欺诈性场景和动作。根据本发明的示例性实施例，欺诈分析引擎140可以应用网络欺诈情报来识别支付风险。根据另一个实施例，欺诈分析引擎140可以从包括外部源的各种源接收数据和输入。例如，外部源可以包括其他金融机构、客户端、具有相应或类似欺诈数据的实体。

欺诈分析引擎140还可以包括学习引擎143。例如，本发明的实施例可以涉及将学习算法应用到用户关于客户端的行为。用户的行为(基于学习算法)可以应用到同一客户端的另一用户。例如，客户端abc的用户可能感染了恶意软件，并且因此表现出某些标记或指示符。同样，用户可以与已知欺诈者已经使用的或者与先前的欺诈事件有某种关系的ip地址相关联。另外，ip地址可以由已经使用过的或与一个或多个已知欺诈者(例如，普通家庭、相同地理位置)相关联的公共或相关指示符相关联或连接。

网络数据库150可以存储和维持来自客户端、过去的欺诈事件和/或网络相关数据的其他各种来源的网络数据。例如，网络数据库150可以包括ip地址、地理位置、设备数据等。网络数据库150还可以维持客户端数据，包括客户端行为、趋势、已知良好行为、已知良好指示符、良好收款人等。例如，欺诈数据库152可以存储和维持来自已知欺诈事件的欺诈特性和数据。欺诈数据库152可以存储与欺诈事件、目标(例如，目标人员/小组/团队)、金额(例如，货币、阈值金额等)、欺诈请求的类型(例如，电汇)、目标的类型(例如，通信渠道、电子邮件等)和/或其他特性或因素有关的数据。欺诈数据库152还可以识别已知不良和已知良好欺诈指示符，包括不良/良好收款人、不良/良好账户等。分析/报告数据库154可以存储和维持分析、报告、趋势和/或其他数据等。金融实体130和/或由132代表的第三方提供商可以提供本文所述的支付风险分析和处理，其中，例如，提供商132可以与金融实体130一起操作。

图1的系统100可以以多种方式实施。系统100内的架构可以被实施为一个或多个网络元件内的硬件部件(例如，模块)。还应当理解，系统100内的架构可以在位于一个或多个网络元件内的计算机可执行软件中(例如，在有形非暂时性计算机可读介质上)实施。系统100内的架构的模块功能可以位于单个设备上或跨包括一个或多个集中式服务器以及一个或多个移动单元或终端用户设备的多个设备分布。系统100中描绘的架构意在是示例性且非限制性的。例如，尽管描绘了系统100的元件之间的连接和关系，但是应当理解，其他连接和关系也是可能的。通过示例的方式，以下描述的系统100可以用于实施本文的各种方法。可以在解释本文描述的示例性方法时参考系统100的各种元件。

网络102可以是无线网络、有线网络或无线网络和有线网络的任何组合。例如，网络102可以包括互联网网络、卫星网络、广域网(“wan”)、局域网(“lan”)、自组织网络、全球移动通信系统(“gsm”)、个人通信服务(“pcs”)、个人区域网(“pan”)、d-amps、wi-fi、固定无线数据、ieee802.11a、802.11b、802.15.1、802.11g、802.11n、802.11ac或用于传输或接收数据信号的任何其他有线或无线网络中的一个或多个。而且，网络102可以支持互联网网络、无线通信网络、蜂窝网络、蓝牙等或其任何组合。网络102可以进一步包括一种或任意种上述示例性类型的网络，它们作为独立网络操作或彼此协作。网络102可以利用其通信耦合到的一个或多个网络元件的一个或多个协议。网络102可以转换为其他协议或从其他协议转换为网络设备的一个或多个协议。尽管为简单起见将网络102描绘为一个网络，但是应当理解，根据一个或多个实施例，网络102可以包括多个互连的网络，例如服务提供商网络、互联网、蜂窝网络、法人网络、甚至家庭网络，或上述任何类型的网络。

可以使用标准联网协议或标准电信协议经由网络102传输和接收数据。例如，可以使用会话发起协议(“sip”)、无线应用协议(“wap”)、多媒体消息服务(“mms”)、增强消息服务(“ems”)、短消息服务(“sms”)、基于全球移动通信系统(“gsm”)的系统、基于码分多址(cdma)的系统、传输控制协议/互联网协议(“tcp/ip”)、超文本传输协议(“http”)、安全的超文本传输协议(“https”)、实时流协议(“rtsp”)或适用于传输和接收数据的其他协议和系统来传输数据。数据可以以无线方式传输和接收，或者在某些情况下可以使用线缆网络或电信连接，诸如以太网rj45/category5以太网连接、光纤连接、缆线连接或其他有线网络连接。

尽管图1示出了单独的设备或部件，但是应当理解，可以有若干这样的设备来执行各种示例性实施例。金融实体130可以使用任何移动或计算设备(诸如膝上型计算机、个人数字助理、智能手机、智能手表、智能眼镜、其他可穿戴设备或能够发送或接收网络信号的其他计算设备)，经由通信接口144与各种实体进行通信。通信接口144可以代表用户接口和/或其他交互式通信门户。

金融实体130可以通信地耦合到数据库150、152、154。数据库150、152、154可以包括任何合适的数据结构以维持信息并允许访问和检索信息。例如，数据库150、152、154可以以有组织的方式保持数据，并且可以是oracle数据库、microsoftsqlserver数据库、db2数据库、mysql数据库、sybase数据库、面向对象的数据库、分层数据库、平面数据库和/或本领域中已知用于如本文所述的存储和组织数据的另一类型的数据库。

数据库150、152、154可以是任何合适的一个或多个存储设备。相对于数据库150、152、154，存储装置可以是本地的、远程的或其组合。数据库150、152、154可以利用磁盘冗余阵列(raid)、条带化磁盘、热备用磁盘、磁带、磁盘、或其他计算机可访问的存储装置。在一个或多个实施例中，存储装置可以是存储区域网络(san)、互联网小型计算机系统接口(iscsi)san、光纤通道san、公共互联网文件系统(cifs)、网络附加存储装置(nas)，或网络文件系统(nfs)。数据库150、152、154可以具有内置的备份能力。与数据库150、152、154的通信可以通过网络进行，或者通信可以涉及数据库150、152、154与金融实体130之间的直接连接，如图1所示。数据库150、152、154也可以代表云或其他基于网络的存储装置。

图2是示出根据本发明的实施例的用于识别潜在欺诈性支付请求的方法的示例性流程图。在步骤210处，可以接收支付指令。在步骤212处，可以应用将网络欺诈情报指示符与支付指令数据合并的支付决策。在步骤214处，可以应用逻辑规则和/或学习分析。在步骤216处，可以生成风险分数。在步骤218处，基于风险分数，可以确定一个或多个动作。在步骤220处，可以确定对支付指令的批准。在步骤222处，系统可以存储并应用反馈分析以进一步完善。图2所示的顺序仅是示例性的。尽管图2的过程示出了以特定顺序执行的某些步骤，但是应当理解，可以通过向过程添加一个或多个步骤，省略过程内的步骤和/或改变执行一个或多个步骤的顺序来实践本发明的实施例。这些步骤将在下面更详细地描述。

在步骤210处，可以接收支付指令。支付指令可以由支付人实体或支付人实体的代表发起。支付处理器可以接收支付指令，该支付处理器可以与欺诈分析引擎通信。根据本发明的另一个实施例，支付指令可以代表对信息的请求或对信息的访问。可以接收其他类型的请求。

在步骤212处，可以应用将网络欺诈情报指示符与支付指令数据合并的支付决策。欺诈分析引擎可以应用支付决策，该支付决策可以包括使用网络欺诈指示符、生物识别和/或其他欺诈指示符来分析支付数据。例如，本发明的实施例可以为通过电话发起的支付实现语音生物识别。该系统可以利用由(一个或多个)卖方代表其他业务部门维持的已知不良声纹的库。可以应用其他负面指示符的来源。

如本发明的各个实施例所认识到的，主要在商业银行以及法人和投资银行领域中的实体已经面临日益增长的欺诈趋势。其中之一就是企业电子邮件泄露(bec)，它对全球的公司和金融机构具有重大影响，造成数十亿美元的损失。本发明的实施例将网络情报指示符和/或数据元素合并以执行基于风险的决策，以确定支付是否可能合法。本发明的实施例考虑了网络指示符，诸如ip地址、金融恶意软件指示符、与任何指令相关联的电话号码等。本发明的实施例还应用相似域注册，其高度指示了商业电子邮件泄露和其他欺诈行为。

在步骤214处，可以应用逻辑规则和/或学习分析。本发明的实施例可以认出涉及与客户端相关联的一个用户(客户端a的用户1)的潜在欺诈性活动，并且使用公共客户端信息，系统可以识别另一用户(客户端a的用户2)。例如，本发明的实施例可以认出同一客户端的另一用户正试图移动金钱或执行另一支付动作。然后，系统可以将从其他用户学到的应用到当前或其他金钱移动活动中。本发明的实施例可以从客户端abc的用户1获得网络指示符，并且在相同客户端abc的用户2上使用那些网络指示符。

本发明的实施例可以认出并应用与关联于实体的有效(以及无效)支付和行为相关联的特性和/或指示符。例如，本发明的实施例可以认出客户端已经并且继续在长时间内向收款人支付。系统可以承认收款人是合法或良好收款人。此情报可以应用到客户端abc和其他客户端。因此，本发明的实施例跨多个不同的客户端应用网络情报。本发明的实施例还可以将分析应用到相关联的、关联的以及其他相关的实体。该系统可以进一步认出公共联系人，例如两个客户端处的相同承包商。

本发明的实施例可以识别已知不良收款人，以及识别用于以后确认的不良收款人。例如，系统可以识别已经实施欺诈事件(或被怀疑欺诈)的欺诈者。系统还可以识别要在模型或分析中捕获的新的不良行为者。因此，该系统保护客户端免受已知不良行为者的侵害，该不良行为者可以从各种相关或不相关的渠道中被识别出来。此信息可以用于风险评分或其他欺诈分析。

例如，可以从先前的交易中识别出不良行为者，该交易可能是欺诈性的，也可能不是。对于将交易方识别为欺诈性交易的一部分的客户端，系统随后可以应用交易方的名称或标识符(或与交易方相关联的一组特性)以触发涉及已识别交易方的下一潜在欺诈性交易。

本发明的实施例可以考虑收款人信息，包括收款人是否被认为是不良收款人或负面收款人。例如，可以跨行业收集不良收款人信息，并且将其与信息共享同行组共享。例如，信息可以跨各个行业与同行共享，以实现互惠互利，因为此类欺诈者通常针对多个金融机构。本发明的实施例还可以采用在银行的零售方面获得或识别的不良收款人账户，并进一步利用法人投资银行领域中的那些，因为欺诈者通常针对不同类型的欺诈或不同级别或规模的欺诈。

在步骤216处，可以生成风险分数。本发明的实施例基于支付指令做出基于风险的决策，并且将附加数据元素整合到该决策中以做出更准确和知情的基于风险的决策。虽然将越多的数据元素纳入风险分数中，风险分数越准确，但效率可能无法允许考虑所有可用数据。本发明的实施例可以确定在确定针对特定支付请求或特定类型的支付请求的风险分数时要应用的指示符的最佳数量和质量。本发明的实施例还可以确定多少个指示符和/或哪种类型的指示符最优以做出基于置信风险的决策。指示符的数量和质量可以基于关于支付请求、实体请求、地理位置等的初始阈值查询。根据本发明的另一实施例，该决策可以应用到所有交易请求。另外，可以在预定时间段内，在地理位置等内将决策应用到交易请求。可以应用其他变型。

本发明的实施例可以在做出支付决策和/或做出支付风险确定时利用各种类型的网络指示符。例如，本发明的实施例可以合并网络欺诈情报指示符，诸如从其发起支付指令的ip地址。该系统还可以观察客户端是否展现出表明感染金融恶意软件的签名。例如，可能需要努力伪装或模仿银行凭据。通过组合各种网络情报指示符，本发明的实施例可以聚合各种网络情报指示符以生成风险分数。

此外，基于关于指示符的置信度的某些考虑，可以在生成(例如，更新、增加、降低)风险分数时应用不同的权重。例如，系统可以基于特定类型的欺诈指示符来识别新兴趋势。这可能涉及对去往外国城市的交易的特定攻击。作为结果，可以将较高的权重应用到涉及该欺诈指示符的确定，例如涉及外国城市的交易。而且，系统可以将较高的风险级别应用到高于特定阈值量的交易。这可以通过将较高的权重应用到较高的交易金额来捕获。可以应用其他变型。

本发明的实施例可以进一步利用基于收款人账户数据元素(由地理位置、基础设施成熟度、攻击率等引起的国家风险)生成的单独且不同的风险分数。

本发明的实施例还可以在评估检测技术的有效性时考虑与网络欺诈杀伤链有关的数据。网络欺诈杀伤链可以贯穿攻击的各个阶段(例如泄露前(pre-compromise)活动、泄露后(postcompromise)/滥用前(pre-abuse)活动和滥用后(postabuse)活动(例如犯罪货币化))提供对受害者的状态的洞察力。通常，金融机构对泄露前和泄露后/滥用前阶段的可见性有限，并且这种技术的目的是通过增强对欺诈的检测来增加可见性。因此，通过采用“左移”方法，金融机构的目标是在网络欺诈杀伤链的各个阶段尽早检测到欺诈性活动，并通过将其“滥用后”阶段中的欺诈的检测“转移”到较早的阶段来评估其控制的有效性，从而减少关于欺诈影响的损失。

网络欺诈杀伤链还提供了网络和支付控制的统一视图，例如，攻击的初始阶段本质上可能是网络，而滥用是金融行为，并增加了金融机构在网络欺诈攻击早期的可见度。

网络欺诈杀伤链可能涉及若干阶段，包括外部侦察(例如，目标研究和对选定目标的信息收集)、交付(例如，将有效载荷传输到选定目标)、开发(例如，通过系统漏洞，社会工程等执行所交付的有效载荷)、定位(例如，攻击者将自己定位以完成其目标，同时限制暴露)、滥用(例如，攻击者对实现采取初始动作)和获利(例如，攻击者完成目标)。本发明的实施例可以在做出风险确定并进一步识别潜在欺诈攻击时考虑来自各个阶段的数据。这种附加洞察力允许实体在过程的早期识别攻击者，从而减少此类攻击的影响。例如，系统可以认出某个目标是从各种请求者接收数据请求的外部研究的重点。该系统还可以经由各种来源(包括社交媒体资料、专业网站等)识别可供公众使用的信息类型和详细程度。此类信息可能有助于欺诈者做出追求特定目标的决策。

在步骤218处，基于风险分数，可以确定一个或多个动作。系统可以基于风险分数来识别允许的动作。例如，如果确定风险低，则可以继续交易。如果涉及某些风险，则系统可以允许交易以对资金的监控特征继续。在步骤220处，可以确定对支付指令的批准。

在步骤222处，系统可以存储并应用反馈分析以进一步完善。系统可以通过检查和分析已知欺诈以及已知良好交易来继续完善过程。反馈分析还可以关注客户端行为信息，以便系统可以更好地了解和预测客户端的支付和交易行为。根据另一个示例，金融机构可以认出某种支付或其他动作可能似乎与客户的行为方式有所不同。

图3表示根据本发明的实施例的支持自助服务功能的示例性用户接口。本发明的实施例可以涉及启用自助服务特征的用户接口310。在该实施例中，客户端可以基于生成的风险分数以及该风险分数的基础标准做出最终决策。例如，客户端可以发起或提交支付请求320。支付请求320可以提交由另一应用或系统接收和/或发起的支付指令。客户端可以基于支付数据分析和网络指示符的组合在322处审查风险分数。客户端还可以访问风险分数详细信息，该详细信息提供有关高风险分数或低风险分数的基础依据的洞察力。然后，客户端可以确定是或否的决策(例如，支付330或不支付决策332)。客户端还可以请求查看或访问附加数据。客户端还可以经由请求334请求附加分析和/或其他选项。系统可以支持高价值支付以及低价值ach支付。

前述示例以一种物理配置示出了本发明的各种实施例；然而，应当理解，各种部件可以位于分布式网络(诸如局域网、广域网、电信网络、内联网和/或互联网)的远部。因此，应当理解，例如，各种实施例的部件可以组合成一个或多个设备，并置在分布式网络的特定节点上，或者分布在网络中的各个位置处。如本领域技术人员将认识到的，各种实施例的部件可以被布置在分布式网络内的任何一个或多个位置处，而不会影响相应系统的操作。

如上所述，图1包括多个通信设备和部件，每个通信设备和部件可以包括至少一个编程的处理器和至少一个存储器或存储设备。存储器可以存储指令集。指令可以永久地或临时地存储在处理器的一个或多个存储器中。指令集可以包括执行一个或多个特定任务(诸如上述那些任务)的各种指令。用于执行特定任务的这种指令集可以被表征为程序、软件程序、软件应用程序、app或软件。

应当理解，为了实践如上所述的实施例的方法，处理器和/或存储器不必物理地位于同一地理位置。即，在本发明的示例性实施例中使用的每个处理器和存储器可以位于地理位置不同的位置并且被连接以便以任何合适的方式进行通信。另外，应当理解，处理器和/或存储器中的每一个可以由不同的物理设备件组成。因此，处理器不必是在一个位置中的一个单件设备，并且存储器不必是在另一位置中的另一个单件设备。即，可以想到，处理器可以是位于两个或更多不同物理位置中的两个或更多件设备。可以以任何合适的方式连接两件不同的设备。另外，存储器可以包括在两个或更多个物理位置中的存储器的两个或更多个部分。

如上所述，在本发明的各种实施例的处理中使用指令集。图1中的服务器可以包括存储在存储器(例如，非暂时性计算机可读介质，其包含由处理器执行的程序代码指令)中的软件或计算机程序，以用于执行本文所述的方法。指令集可以是程序或软件或app的形式。例如，软件可以是系统软件或应用程序软件的形式。例如，软件也可以是单独程序的集合、较大程序内的程序模块或程序模块的一部分的形式。使用的软件也可以包括为面向对象编程形式的模块化编程。软件告诉处理器对正在处理的数据做什么。

另外，应当了解，在本发明的实施方式和操作中使用的指令或指令集可以是合适的形式，使得处理器可以读取指令。例如，形成程序的指令可以是合适编程语言的形式，该合适编程语言被转换成机器语言或目标代码，以允许一个或多个处理器读取指令。也就是说，特定编程语言的编写的编程代码或源代码行使用编译器、汇编器或解译器转换成机器语言。机器语言是特定于特定类型的处理器(即，例如，特定于特定类型的计算机)的二进制编码机器指令。可以根据本发明的各种实施例使用任何合适的编程语言。例如，使用的编程语言可以包括汇编语言、ada、apl、basic、c、c++、cobol、dbase、forth、fortran、java、modula-2、pascal、prolog、rexx、visualbasic、javascript等。另外，不必结合本发明的系统和方法的操作利用单个类型的指令或单个编程语言。相反，根据需要或期望，可以利用任何数量的不同编程语言。

再者，在本发明的各种实施例的实践中使用的指令和/或数据可以利用任何压缩或加密技术或算法，如可以期望的。加密模块可以用于对数据进行加密。另外，例如，文件或其它数据可以使用合适的解密模块来解密。

在本发明的示例性实施例的系统和方法中，多种“用户接口”可以用于允许用户与移动设备或其他个人计算设备接口连接。如本文使用的，用户接口可以包括由允许用户与通信设备的处理器交互的处理器使用的任何硬件、软件或硬件和软件的组合。例如，用户接口可以是由app提供的对话屏幕的形式。用户接口也可以包括以下中的任一个：触摸屏、键盘、语音读取器、语音辨识器、对话屏幕、菜单框、列表、复选框、拨动开关、按钮、虚拟环境(例如，虚拟机(vm)/云)，或允许用户在处理器处理指令集时接收关于处理器的操作的信息和/或向处理器提供信息的任何其它设备。因此，用户接口可以是提供用户和处理器之间的通信的任何系统。例如，由用户通过用户接口提供到处理器的信息可以是命令、数据的选择或某个其它输入的形式。

可以利用一个或多个云服务模型(诸如软件即服务(saas)、平台即服务(paas)和基础架构即服务(iaas))和/或使用一个或多个部署模型(诸如公共云、私有云、混合云和/或社区云模型)来提供本文所述的软件、硬件和服务。

尽管上面的示例主要被描述为使用下载到客户的移动设备上的软件应用程序(“app”)，但是本发明的其他实施例可以使用类似的技术来实现，诸如，使用客户的移动设备上的现有web浏览器传输显示的数据。

尽管本文出于特定目的在特定环境中的特定实施方式的背景下描述了本发明的实施例，但是本领域技术人员将认识到其有用性不限于此，并且为了类似的目的可以在其他相关环境中有利地实施本发明的实施例。