Bescherming tegen fraude is een race tegen schaalgrootte.
Het netwerk van Mastercard verwerkt bijvoorbeeld grofweg 160 miljard transacties per jaar, en ervaart pieken van 70.000 transacties per seconde tijdens piekperioden (zoals tijdens de feestdagen in december). Het vinden van de frauduleuze aankopen onder hen – zonder op valse alarmen te jagen – is een ongelooflijke taak, en daarom hebben fraudeurs het systeem kunnen bespelen.
Maar nu kunnen geavanceerde AI-modellen individuele transacties doorzoeken en de verdacht lijkende transacties opsporen – in milliseconden. Dit is het hart van het vlaggenschipfraudeplatform van Mastercard, Decision Intelligence Pro (DI Pro).
“DI Pro kijkt specifiek naar elke transactie en het risico dat daaraan verbonden is”, zei Johan Gerber, Mastercard’s EVP van beveiligingsoplossingen, onlangs in een VB Beyond the Pilot-podcast. “Het fundamentele probleem dat we hier proberen op te lossen is het in realtime beoordelen.”
Hoe DI Pro werkt
Mastercard’s DI Pro is gebouwd voor latentie en snelheid. Vanaf het moment dat een consument op een kaart tikt of op ‘kopen’ klikt, stroomt die transactie via de orkestratielaag van Mastercard terug naar het netwerk en vervolgens naar de uitgevende bank. Normaal gesproken gebeurt dit in minder dan 300 milliseconden.
Uiteindelijk neemt de bank de beslissing om de transactie goed te keuren of af te wijzen, maar de kwaliteit van die beslissing hangt af van het vermogen van Mastercard om een nauwkeurige, gecontextualiseerde risicoscore te geven op basis van de vraag of de transactie frauduleus zou kunnen zijn. Wat dit hele proces ingewikkelder maakt, is het feit dat ze niet per se op zoek zijn naar afwijkingen; ze zijn op zoek naar transacties die qua ontwerp vergelijkbaar zijn met consumentengedrag.
De kern van DI Pro is een terugkerend neuraal netwerk (RNN) waarnaar Mastercard verwijst als een ‘inverse endorser’-architectuur. Hierbij wordt fraudedetectie behandeld als een aanbevelingsprobleem; de RNN voert een patroonaanvullingsoefening uit om te identificeren hoe handelaars zich tot elkaar verhouden.
Zoals Gerber uitlegde: “Hier zijn ze eerder geweest, hier zijn ze nu. Is dit logisch voor hen? Zouden we deze handelaar aan hen hebben aanbevolen?”
Chris Merz, SVP data science bij MasterCard, legde uit dat het fraudeprobleem kan worden opgesplitst in twee subcomponenten: het patroongedrag van een gebruiker en het patroongedrag van een fraudeur. ‘En we proberen die twee dingen uit de wereld te helpen,’ zei hij.
Een andere ‘nette techniek’, zei hij, is de manier waarop Mastercard datasoevereiniteit benadert, of wanneer gegevens onderworpen zijn aan de wetten en bestuursstructuren in de regio waar ze worden verzameld, verwerkt of opgeslagen. Om gegevens ‘op de bodem’ te houden, vertrouwt het fraudeteam van het bedrijf op geaggregeerde, ‘volledig geanonimiseerde’ gegevens die niet gevoelig zijn voor privacyproblemen en dus wereldwijd met modellen kunnen worden gedeeld.
“Je kunt dus nog steeds de mondiale patronen hebben die elke lokale beslissing beïnvloeden”, zegt Gerber. “We nemen de kennis van een jaar en persen die in een enkele transactie in 50 milliseconden om ja of nee te zeggen: dit is goed of dit is slecht.”
Oplichters oplichten
Hoewel AI financiële bedrijven als Mastercard helpt, helpt het ook fraudeurs; nu zijn ze in staat snel nieuwe technieken te ontwikkelen en nieuwe mogelijkheden te identificeren om te exploiteren.
Mastercard vecht terug door cybercriminelen op hun terrein aan te vallen. Eén manier waarop ze dit doen is door gebruik te maken van ‘honeypots’, oftewel kunstmatige omgevingen die in wezen bedoeld zijn om cybercriminelen in de val te lokken. Wanneer bedreigingsactoren denken dat ze een legitiem doelwit hebben, gaan AI-agenten met hen in de hoop toegang te krijgen tot muilezelaccounts die worden gebruikt om geld door te sluizen. Dat wordt ‘extreem krachtig’, zei Gerber, omdat verdedigers grafiektechnieken kunnen toepassen om te bepalen hoe en waar muilezelaccounts zijn gekoppeld aan legitieme accounts.
Omdat oplichters uiteindelijk, om hun uitbetaling te krijgen, ergens een legitiem account nodig hebben, gekoppeld aan muilezelaccounts, ook al is het tien lagen verderop verborgen. Wanneer verdedigers deze kunnen identificeren, kunnen ze mondiale fraudenetwerken in kaart brengen.
“Het is iets geweldigs als we de strijd met hen aangaan, omdat ze ons al genoeg pijn bezorgen”, zei Gerber.
Luister naar de podcast voor meer informatie over:
-
Hoe Mastercard met Recorded Future een ‘malware-sandbox’ creëerde;
-
Waarom een Data Science Engineering Requirement Document (DSERD) essentieel was om vier afzonderlijke engineeringteams op één lijn te brengen;
-
Het belang van ‘meedogenloze prioriteiten stellen’ en moeilijke besluitvorming om verder te gaan dan ‘duizend bloeiende bloemen’ naar projecten die daadwerkelijk een sterke zakelijke impact hebben;
-
Waarom een succesvolle inzet van AI drie fasen moet omvatten: ideevorming, activering en implementatie – maar veel bedrijven slaan de tweede stap over.
Luister en abonneer je Voorbij de piloot op Spotify, Appel of waar u uw podcasts ook vandaan haalt.
