Dansk AI mod kortsvindel: Tjekker Facebook-profiler og tasterytme

Enkeltstående svindelsag til flere millioner kroner fik sat skub i udviklingen af en kunstig intelligens hos danske YourPay.

Danske YourPay indløser betalinger på nettet. Virksomheden har udviklet en slags kunstig intelligens for at komme misbrug af betalingskort til livs.

»Det startede med, at vi havde en meget uheldig og ubehagelig sag,« siger direktør i YourPay Mathias Gajhede.

I perioden fra december 2014 frem til januar 2015 blev flere transaktioner, som YourPay håndterede, gennemført i forbindelse med køb i web-butikker. Det viste sig imidlertid at være forsøg på massivt svindel til ca. 4 mio kroner. Det lykkedes at forhindre en del af transaktionerne i at gå endeligt igennem, men svindlerne slap af sted med, hvad Mathias Gajhede beskriver som 'i omegnen af 3 millioner'.

Svindlen foregik konkret på to fronter.

Dels kørte kriminelle stjålne kortoplysninger gennem egne webshop-moduler og fik altså ad den vej overført penge til sig selv.

Og dels så var der andre, tilsyneladende legitime webshops, som kunder forsøgte at købe varer i. Her foregik svindlen ved, at kunderne godt nok modtog en del af de varer, de bestilte, i løbet af få dage. Samtidig fik kunderne at vide, at de resterende varer ville komme i løbet af nogle måneder. Imens blev hele beløbet imidlertid hævet fra kundernes konto. De resterende varer kom dog aldrig. I Danmark må en webbutik ikke hæve pengene, før varen er sendt.

I løbet af januar 2015 blev YourPay ifølge Mathias Gajhede kontaktet af 'meget få' brugere, der mente, der var noget galt. YourPay undersøgte sagerne nærmere og fandt ud af, at den var helt gal.

Men da virksomheden fik sat en stopper for fidusen, havde bagmanden eller -mændene fået fingre i millionerne.

AI

I løbet af 2015 har YourPay færdiggjort en softwareløsning, der skal forhindre noget lignende i at gentage sig. Der er tale om det, der i nogle sammenhænge kan kaldes en kunstig intelligens (AI). Det vil sige et stykke software, der selv er i stand til at bedømme, hvorvidt en transaktion er fjong, eller om der er noget lusket på færde.

Og systemet, der blev officielt lanceret i starten af året, lyder til at fungere efter hensigten.

»Systemet har ramt rigtigt i 97-98 procent af tilfældene,« fortæller Mathias Gajhede.

At ramme rigtigt vil sige, at systemet som følge af machine learning forholder sig til en stribe parametre. Ud fra helhedsindtrykket, som disse parametre efterlader, bliver der truffet en beslutning om, hvorvidt der er tale om et forsøg på svindel eller ej, når et køb bliver foretaget med et betalingskort.

Når tallet ikke er på 100 procent, betyder det også, at der er falske positiver imellem. Altså legitime kunder, som systemet mistænker for at være fuskere. Mathias Gajhede forklarer, at disse kunder alligevel gennemfører deres betalinger - dog først efter at være blevet udsat for et grundigere tjek, der skal bekræfte, at kunden faktisk har lov til at benytte kortet.

Det grundigere tjek kan eksempelvis bestå i en sms til kundens mobiltelefon med en engangskode.

Hvordan foregår det egentlig?

Men hvordan finder systemet egentlig ud af, om folk er røvere eller retskafne? Mathias Gajhede vil kun løfte en flig af sløret for, hvad der ligger bag AI’en.

Dels er han beklemt ved at give banditterne for mange kort på hånden i forhold til at kunne snyde den, og dels er han ikke meget for at give konkurrenterne alt for gode ideer.

Lidt vil Mathias Gajhede dog godt fortælle. Eksempelvis at en stor del af træfsikkerheden skyldes YourPays position. På den ene side har virksomheden nemlig licens til at være betalingskortindløser på linje med blandt andet Nets.

Det betyder, at YourPay har adgang til alle de data, som bankerne ligger inde med om holdere af for eksempel Visa og Mastercard. Ud over kortnummer og den slags betyder det eksempelvis også informationer om kundens generelle brugsmønster på kortnummeret. Ligesom YourPay også har adgang til et telefonnummer, som i tvivlstilfælde kan bruges til at sende verificerende engangskoder via sms.

Samtidig leverer YourPay også den frontend, der er integreret i webbutikkerne, altså der, hvor kunden indtaster sine oplysninger.

Dobbeltrollen giver YourPay adgang til at sammenholde data, og det giver ifølge Mathias Gajhede virksomheden mulighed for at lave et træfsikkert AI-system.

Eksempelvis kan geolokationen på ip-adressen (England, Danmark, Tyskland etc.) indikere, hvorvidt transaktionen giver mening. Altså befandt kunden sig i Danmark for to minutter siden, men er det nu en tysk ip-adresse, der er ved at indtaste oplysninger? Ja, så kan der være noget galt.

Også sådan noget som tastemønstre bliver analyseret. Altså hvor hurtigt bliver kortnummeret typisk indtastet.

Heromkring er der nok flere V2-læsere, der har studset måske indtil flere gange. For hvad med privacy? Hvis YourPay ligger inde med de mønstre, som folk taster efter, giver det i princippet mulighed for at spore dem overalt på nettet.

»Det har også været vores bekymring. Vi anonymiserer os ud af problemet ved at bundle folk i grupper,« siger Mathias Gajhede.

Det vil sige, at YourPay ikke ligger inde med individuelle tastemønstre, men at indtastninger bliver holdt op mod et gennemsnitligt tastemønster for eksempelvis mænd i aldersgruppen 20-35.

Åbne datasæt

En anden metode til at opdage svindel, som AI’en benytter sig af, og som muligvis også vil få privacy-klokkerne til at ringe hos nogle, er data fra sociale medier. Eller rettere åbne datakilder.

YourPays frontend-system tjekker, om der er sammenhæng mellem den leveringsadresse, der bliver bestilt til, og så den hjemmeadresse, der er registreret om brugeren i backend-data. Altså den del, der ligger hos bankerne.

Men når folk køber varer på nettet, så bestiller de af praktiske hensyn nogle gange til deres arbejdsplads i stedet for til deres hjemmeadresse. Og så passer data jo umiddelbart ikke længere.

For at tjekke, om der alligevel kan være mening i galskaben, så forsøger AI’en at hive åbne data ind fra sociale medier som LinkedIn og Facebook.

Og her kan det være, at brugerens arbejdsmæssige tilhørsforhold faktisk fremgår. Samtidig har YourPay en datafil liggende fra CVR-registret med adressen fra arbejdspladsen. Og vupti, nu er det muligt at se, hvorvidt brugeren faktisk har en tilknytning til den adresse, han eller hun er ved at bestille varer til.

For at det heller ikke skal blive et privacyproblem, så er dette opslag noget, der kun finder sted i valideringsøjeblikket. Der er altså ikke tale om data og sammenkædninger, der bliver lagret hos YourPay, forklarer Mathias Gajhede.

Det er ikke de enkelte parametre, altså adresse, ip-adresse, Facebook-info etc., der afgør, om AI’en godkender et forsøg på at hæve penge fra en kundes konto. Det er en samlet vurdering, påpeger Mathias Gajhede.

Hvad angår alle de data - både bankdataene og frontenddataene - som YourPay har adgang til, så ligger det hele hashed, så ingen ansatte umiddelbart kan afkode informationerne, men så de alligevel godt kan bruges af AI’en.

»Vi har bygget det op, så der ikke er nogen herinde, der må kunne læse data,« siger Mathias Gajhede.

AI ville have stoppet svindel

For at understrege, at systemet virker efter hensigten, fortæller Mathias Gajhede, at YourPays AI så sent som i sidste uge har stoppet svindel for ca. 200.000 kroner.

Hvad sagen fra december 2014 og januar 2015 angår, så er han ikke i tvivl om, at det AI-system, virksomheden nu har på plads, ville have forhindret million-tabet.

»Det ville have forhindret det fuldstændigt,« siger Mathias Gajhede.

Det skyldes, at AI’en også tjekker, om det er automatiserede robotter, der høvler informationer ind i betalingsmodulerne, eller mennesker. Altså om det er noget, der foregår på millisekunder i stedet for sekunder. Og det var netop robotter, dengang YourPay blev svindlet for 2-3 millioner.

Det præcise tab ligger endnu ikke fast, fordi virksomheden er ved at forhandle med sin- partner - en europæisk VISA og MasterCard godkendt partner - om, hvem der skal dække hvor meget af beløbet.

Episoden blev iøvrigt meldt til Bagmandspolitiet - det er lovpligtigt. Men selvom YourPay har leveret adresser, ip-adresser og Facebook-profiler på bagmændene til myndigheden, så er efterforskningen endnu ikke begyndt, forklarer Mathias Gajhede.

»Vi indberetter det, vi skal. Men jeg sidder da lidt med en følelse af, at der alligevel ikke sker noget, når man indberetter,« siger han og tilføjer, at Bagmandspolitiet sikkert har nok at se til.

Mathias Gajhede efterlyser derfor også en politisk opprioritering af området for den slags svindelsager:

»Set fra politisk hold så er det ærgerligt, at der ikke er flere ressourcer.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

"Episoden blev iøvrigt meldt til Bagmandspolitiet - det er lovpligtigt. Men selvom YourPay har leveret adresser, ip-adresser og Facebook-profiler på bagmændene til myndigheden, så er efterforskningen endnu ikke begyndt, forklarer Mathias Gajhede."

Nej, som beskriven i et andet indlæg. Her skal der jo laves rigtigt politiarbejde, hvor man risikere at skulle lætte røven, samt tænke lidt.
Desuden er beløbet under 10 milioner, og forsikringer og de erhversdrivende betaler jo selv tabet. Det er jo også kun svindel, ikke hackning eller terror.

Mathias Gajhede måske skulle du oplyse at penge sikkert er gået gennem et pizzaria til terror. Så vil de i det minste oplyse, at de arbejder på sagen ?

  • 3
  • 0
Henning Wangerin

I Danmark må en webbutik ikke hæve pengene, før varen er sendt.

Jeg har mange gange set denne formulering, men hvor kommer den egentlig fra?

Har du en kort-aftale med Nets, står den i deres aftale, men det er jo ikke dækkende for andre udbydere medmindre det er lovbestemt, eller at udbyderen har samme klausul.

Jeg snakker ikke om at det er god skik ikke at hæve pengene inden forsendelse, men med bla paypal virker det ikke nødvendigvis på den måde.

Og have med alle de andre måder at betale på? swipp, mobilepay, bank-overførsel? I givet fald må de jo være ulovlige. Da bliver pengene jo også hævet ved bestillingen.

/Henning

  • 0
  • 0
Henning Wangerin

Jeg kan ikke huske den præcise kilde, men den står også i vores marketingsbøger under E-handel, og i vores bog om Erhvervsret, igen under E-handel. Jeg er for doven til at gå ind og hente dem, for har weekend efter 2 eksamensopgaver.

Det lyder som er velfortjent weekend.

Jeg har bare ofte undret mig over formuleringen flere gange, og at det ikke nødvendigvis stemmer overens med de tekniske muligheder ude i den virkelige verden.

At diverse udbydere har kravet i deres betingelser, gør det jo ikke til et (lov)krav.

  • 0
  • 0
Bent Jensen

Du må ikke kræve eller tage penge forud for en vare, altså hæve penge inden du sender vareren
Medmindre det er tale om noget specielt, som en bordplade på mål.
Om du må kræve det hele, eller kun et depositum her ved jeg ikke.
Men der er krav til forudbetaling og depostium.

Det er for at forhindre svindel eller misbrug, feks. tæt på en konkurs, hvor man kan sætte en vare på "tilbud" til halv pris, bede om forudbetaling inden den samlet betstilling, som gør der så billigt så billigt, og så lukke butiken. Sælger der også deltager i dette fupnummer, kan også straffes.

Det er regler i normalt handel, om der er andre når vi taler rejser, og dyre ting ved jeg ikke. Men en god ide at bruge et kreditkort som har en god forbruger beskyttelse. Bruger derfor aldrig dankort når jeg køber rejser, hvis ikke jeg er sikkert på at det er visa delen som bruges til betaling.

Og lige saxet, til hjælp.
"Jeg er i gang med at renovere min ejendom og har i den forbindelse modtaget tilbud på levering og montering af køkken. I ordrebekræftelsen var indsat en bestemmelse om, at jeg skulle forudbetale 50 procent ved underskrivelse af ordrebekræftelsen og 50 procent ved levering af elementerne med videre. Der var altså dels tale om forudbetaling, og dels ingen mulighed for modregning, hvis jeg skulle være så uheldig, at køkkenet blev monteret af en såkaldt klamphugger. Jeg meddelte køkkenleverandøren, at jeg ikke ville betale forud, men jeg gerne ville stille en bankgaranti for købesummen og frigive en del af garantien ved levering af elementerne. Dette blev afvist med bemærkningen om, at et stort internationalt køkkenfirma naturligvis ikke går konkurs. Jeg har nu fundet et andet køkkenfirma, der uden problemer leverer mod en bankgaranti.

Uagtet at bankerne naturligvis skal have gebyr og provision for at stille en bankgaranti, vil jeg til enhver tid foretrække og anbefale dette, når der er tale om større investeringer. Hvis ikke leverandøren accepterer dette, er der måske ugler i mosen."

  • 0
  • 0
Henning Wangerin

Du må ikke kræve eller tage penge forud for en vare, altså hæve penge inden du sender vareren
Medmindre det er tale om noget specielt, som en bordplade på mål.
Om du må kræve det hele, eller kun et depositum her ved jeg ikke.
Men der er krav til forudbetaling og depostium.

Ja det står der i betingelserne når du opretter en betalingsaftale hos Nets, men det alene gør det ikke til lov. Siden mange refererer til ovenstående tolkning, som om det er lov, efterlyser jeg er reference til lovgivningen. Jeg har ikke selv kunne finde noget der peger i den retning.

Hvis ovenstående er lovbestemt er de fleste butikker som modtager betaling via PayPal på kant med loven.
Ligesåvel som butikker det (kun) aksepterer bankoverførsler eller swipp.
Og dem som modtager betaling på en amlindelig MobilPay til fjernhandel - har set nogle stykker som gør det på trods af at det udtrykkeligt IKKE er tilladt ifælge deres betingelser. Og Ja. Jeg har læst dem - har du?

/Henning

  • 0
  • 0
Jørgen L. Sørensen

I Danmark må en webbutik ikke hæve pengene, før varen er sendt.

Jeg har mange gange set denne formulering, men hvor kommer den egentlig fra?

Mon ikke den kommer (indirekte) fra §74 i "Bekendtgørelse af lov om betalingstjenester og elektroniske penge" (https://www.retsinformation.dk/Forms/R0710.aspx?id=169092#P74):

Citat:
* § 74. Ved betalingstransaktioner i forbindelse med aftaler om køb af varer eller tjenesteydelser ved fjernsalg, som er iværksat ved brug af et betalingsinstrument, skal betalers udbyder uanset § 73, stk. 1, undlade at gennemføre en betalingstransaktion eller, hvis debitering er sket, straks kreditere betalers konto, hvis betaler gør en af følgende indsigelser gældende:

1) At det debiterede beløb er højere end det beløb, der er aftalt med betalingsmodtageren,

2) at den bestilte vare eller tjenesteydelse ikke er leveret, eller
......*

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize