Dansk AI mod kortsvindel: Tjekker Facebook-profiler og tasterytme
Danske YourPay indløser betalinger på nettet. Virksomheden har udviklet en slags kunstig intelligens for at komme misbrug af betalingskort til livs.
»Det startede med, at vi havde en meget uheldig og ubehagelig sag,« siger direktør i YourPay Mathias Gajhede.
I perioden fra december 2014 frem til januar 2015 blev flere transaktioner, som YourPay håndterede, gennemført i forbindelse med køb i web-butikker. Det viste sig imidlertid at være forsøg på massivt svindel til ca. 4 mio kroner. Det lykkedes at forhindre en del af transaktionerne i at gå endeligt igennem, men svindlerne slap af sted med, hvad Mathias Gajhede beskriver som 'i omegnen af 3 millioner'.
Svindlen foregik konkret på to fronter.
Dels kørte kriminelle stjålne kortoplysninger gennem egne webshop-moduler og fik altså ad den vej overført penge til sig selv.
Og dels så var der andre, tilsyneladende legitime webshops, som kunder forsøgte at købe varer i. Her foregik svindlen ved, at kunderne godt nok modtog en del af de varer, de bestilte, i løbet af få dage. Samtidig fik kunderne at vide, at de resterende varer ville komme i løbet af nogle måneder. Imens blev hele beløbet imidlertid hævet fra kundernes konto. De resterende varer kom dog aldrig. I Danmark må en webbutik ikke hæve pengene, før varen er sendt.
I løbet af januar 2015 blev YourPay ifølge Mathias Gajhede kontaktet af 'meget få' brugere, der mente, der var noget galt. YourPay undersøgte sagerne nærmere og fandt ud af, at den var helt gal.
Men da virksomheden fik sat en stopper for fidusen, havde bagmanden eller -mændene fået fingre i millionerne.
AI
I løbet af 2015 har YourPay færdiggjort en softwareløsning, der skal forhindre noget lignende i at gentage sig. Der er tale om det, der i nogle sammenhænge kan kaldes en kunstig intelligens (AI). Det vil sige et stykke software, der selv er i stand til at bedømme, hvorvidt en transaktion er fjong, eller om der er noget lusket på færde.
Og systemet, der blev officielt lanceret i starten af året, lyder til at fungere efter hensigten.
»Systemet har ramt rigtigt i 97-98 procent af tilfældene,« fortæller Mathias Gajhede.
At ramme rigtigt vil sige, at systemet som følge af machine learning forholder sig til en stribe parametre. Ud fra helhedsindtrykket, som disse parametre efterlader, bliver der truffet en beslutning om, hvorvidt der er tale om et forsøg på svindel eller ej, når et køb bliver foretaget med et betalingskort.
Når tallet ikke er på 100 procent, betyder det også, at der er falske positiver imellem. Altså legitime kunder, som systemet mistænker for at være fuskere. Mathias Gajhede forklarer, at disse kunder alligevel gennemfører deres betalinger - dog først efter at være blevet udsat for et grundigere tjek, der skal bekræfte, at kunden faktisk har lov til at benytte kortet.
Det grundigere tjek kan eksempelvis bestå i en sms til kundens mobiltelefon med en engangskode.
Hvordan foregår det egentlig?
Men hvordan finder systemet egentlig ud af, om folk er røvere eller retskafne? Mathias Gajhede vil kun løfte en flig af sløret for, hvad der ligger bag AI’en.
Dels er han beklemt ved at give banditterne for mange kort på hånden i forhold til at kunne snyde den, og dels er han ikke meget for at give konkurrenterne alt for gode ideer.
Lidt vil Mathias Gajhede dog godt fortælle. Eksempelvis at en stor del af træfsikkerheden skyldes YourPays position. På den ene side har virksomheden nemlig licens til at være betalingskortindløser på linje med blandt andet Nets.
Det betyder, at YourPay har adgang til alle de data, som bankerne ligger inde med om holdere af for eksempel Visa og Mastercard. Ud over kortnummer og den slags betyder det eksempelvis også informationer om kundens generelle brugsmønster på kortnummeret. Ligesom YourPay også har adgang til et telefonnummer, som i tvivlstilfælde kan bruges til at sende verificerende engangskoder via sms.
Samtidig leverer YourPay også den frontend, der er integreret i webbutikkerne, altså der, hvor kunden indtaster sine oplysninger.
Dobbeltrollen giver YourPay adgang til at sammenholde data, og det giver ifølge Mathias Gajhede virksomheden mulighed for at lave et træfsikkert AI-system.
Eksempelvis kan geolokationen på ip-adressen (England, Danmark, Tyskland etc.) indikere, hvorvidt transaktionen giver mening. Altså befandt kunden sig i Danmark for to minutter siden, men er det nu en tysk ip-adresse, der er ved at indtaste oplysninger? Ja, så kan der være noget galt.
Også sådan noget som tastemønstre bliver analyseret. Altså hvor hurtigt bliver kortnummeret typisk indtastet.
Heromkring er der nok flere V2-læsere, der har studset måske indtil flere gange. For hvad med privacy? Hvis YourPay ligger inde med de mønstre, som folk taster efter, giver det i princippet mulighed for at spore dem overalt på nettet.
»Det har også været vores bekymring. Vi anonymiserer os ud af problemet ved at bundle folk i grupper,« siger Mathias Gajhede.
Det vil sige, at YourPay ikke ligger inde med individuelle tastemønstre, men at indtastninger bliver holdt op mod et gennemsnitligt tastemønster for eksempelvis mænd i aldersgruppen 20-35.
Åbne datasæt
En anden metode til at opdage svindel, som AI’en benytter sig af, og som muligvis også vil få privacy-klokkerne til at ringe hos nogle, er data fra sociale medier. Eller rettere åbne datakilder.
YourPays frontend-system tjekker, om der er sammenhæng mellem den leveringsadresse, der bliver bestilt til, og så den hjemmeadresse, der er registreret om brugeren i backend-data. Altså den del, der ligger hos bankerne.
Men når folk køber varer på nettet, så bestiller de af praktiske hensyn nogle gange til deres arbejdsplads i stedet for til deres hjemmeadresse. Og så passer data jo umiddelbart ikke længere.
For at tjekke, om der alligevel kan være mening i galskaben, så forsøger AI’en at hive åbne data ind fra sociale medier som LinkedIn og Facebook.
Og her kan det være, at brugerens arbejdsmæssige tilhørsforhold faktisk fremgår. Samtidig har YourPay en datafil liggende fra CVR-registret med adressen fra arbejdspladsen. Og vupti, nu er det muligt at se, hvorvidt brugeren faktisk har en tilknytning til den adresse, han eller hun er ved at bestille varer til.
For at det heller ikke skal blive et privacyproblem, så er dette opslag noget, der kun finder sted i valideringsøjeblikket. Der er altså ikke tale om data og sammenkædninger, der bliver lagret hos YourPay, forklarer Mathias Gajhede.
Det er ikke de enkelte parametre, altså adresse, ip-adresse, Facebook-info etc., der afgør, om AI’en godkender et forsøg på at hæve penge fra en kundes konto. Det er en samlet vurdering, påpeger Mathias Gajhede.
Hvad angår alle de data - både bankdataene og frontenddataene - som YourPay har adgang til, så ligger det hele hashed, så ingen ansatte umiddelbart kan afkode informationerne, men så de alligevel godt kan bruges af AI’en.
»Vi har bygget det op, så der ikke er nogen herinde, der må kunne læse data,« siger Mathias Gajhede.
AI ville have stoppet svindel
For at understrege, at systemet virker efter hensigten, fortæller Mathias Gajhede, at YourPays AI så sent som i sidste uge har stoppet svindel for ca. 200.000 kroner.
Hvad sagen fra december 2014 og januar 2015 angår, så er han ikke i tvivl om, at det AI-system, virksomheden nu har på plads, ville have forhindret million-tabet.
»Det ville have forhindret det fuldstændigt,« siger Mathias Gajhede.
Det skyldes, at AI’en også tjekker, om det er automatiserede robotter, der høvler informationer ind i betalingsmodulerne, eller mennesker. Altså om det er noget, der foregår på millisekunder i stedet for sekunder. Og det var netop robotter, dengang YourPay blev svindlet for 2-3 millioner.
Det præcise tab ligger endnu ikke fast, fordi virksomheden er ved at forhandle med sin- partner - en europæisk VISA og MasterCard godkendt partner - om, hvem der skal dække hvor meget af beløbet.
Episoden blev iøvrigt meldt til Bagmandspolitiet - det er lovpligtigt. Men selvom YourPay har leveret adresser, ip-adresser og Facebook-profiler på bagmændene til myndigheden, så er efterforskningen endnu ikke begyndt, forklarer Mathias Gajhede.
»Vi indberetter det, vi skal. Men jeg sidder da lidt med en følelse af, at der alligevel ikke sker noget, når man indberetter,« siger han og tilføjer, at Bagmandspolitiet sikkert har nok at se til.
Mathias Gajhede efterlyser derfor også en politisk opprioritering af området for den slags svindelsager:
»Set fra politisk hold så er det ærgerligt, at der ikke er flere ressourcer.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
