GXBank最近庆祝成立两周年,用户数量突破百万,巩固了其作为马来西亚首家也是规模最大数码银行的地位。
GXBank从一开始就采用云原生(cloud-native)银行平台架构,摆脱了传统系统的束缚,实现了快速扩张,同时始终将网络安全、防范诈骗和人工智能(AI)驱动的安全防护置于其架构的核心。
随着网络攻击手段层出不穷,我们采访了GXBank的数据主管Caroline Chong、产品主管Khuan Yew以及网络安全与技术风险主管Gan Kee Lim,以了解该银行如何保障用户安全,以及如何在提供流畅的数码化用户体验的同时,兼顾强大的安全防护。
云原生架构:GXBank如何实现与众不同的扩展
GXBank的技术架构完全基于云原生,构建于亚马逊网络服务(AWS)之上,不存在任何遗留系统。这使这家数码银行能够在需求激增时(无论是新用户注册高峰还是交易量激增)实现近乎即时的扩展能力。
摆脱陈旧基础设施的束缚后,GXBank能够更快推送更新、更高效部署新安全措施,并以高韧性支持数百万用户。
这种敏捷性还实现了更快的威胁响应能力——每当出现新型攻击模式时,银行即可在整个平台迅速部署新的控制措施和监控规则。
网络攻击如潮水般涌来,攻击者伺机寻找“唾手可得的果实”
据Gan Kee Lim称,GXBank的基础设施也像其他银行一样遭受着网络攻击。从目前观察到的模式来看,这些攻击并非定向攻击,而是零星的、旨在寻找潜在漏洞的尝试。
他补充说,根据检测到的攻击,网络犯罪分子通常未能获取任何信息,而是转向下一个目标。
这些攻击通常呈波浪形出现,GXBank必须确保其基础设施始终保持弹性。如果检测到新的攻击行为,银行会加强防护并进行必要的调整。
Khuan Yew解释说,为了避免成为容易下手的目标,GXBank采用了多层检测机制。这从用户从Apple App Store或Google Play Store下载应用程序(App)的那一刻就开始了。GXBank控制着App的可用国家/地区,并在注册过程中检查用户的位置。
打开App后,系统会检查设备是否已越狱(jailbroken)或取得root权限(rooted),是否存在恶意软件,以及用户是否正在使用VPN或不安全的Wi-Fi连接。
注册时,客户需要进行“电子了解你的客户”(eKYC)验证。此过程会验证用户是否存活(在世),将用户的脸部与其大马卡(MyKad)进行比对,并要求从已验证的同名银行户头进行转账。
交易产生时,GXBank会检查交易地点,其反诈骗引擎会判断交易风险高低。如果被标记为高风险,系统会执行进一步的身份验证,以确认交易确实是由用户本人发起的。
付款完成后,GXBank会进行交易监控,每日持续进行尽职调查,反复进行筛选活动。
AI vs AI:GXBank如何实时打击诈骗
从身份篡改到复杂的网络钓鱼,诈骗分子正越来越多地利用AI和自动化技术来扩大攻击规模。Caroline Chong表示,这使得传统的基于规则的系统显得捉襟见肘。作为一家员工队伍精简的数码银行,GXBank仅今年就处理了超过2亿笔交易。
为了保持领先地位,GXBank已在预防诈骗的主要领域部署了AI。虽然具体细节包括诈骗规则属于机密信息,但该银行证实,它已部署了广泛的Gen AI功能,用于扫描和检测其每日处理的大量交易中的诈骗行为。
她指出,诈骗分子的手段越来越高明,人类已无法快速识别诈骗模式。因此,GXBank现在利用AI在诈骗领域对抗AI,在开发能够实时检测诈骗行为并持续高速自我改进的解决方案方面,取得了巨大成功。
GXBank一旦开发出解决方案,诈骗分子通常会迅速调整并开发新的方法,因此,银行仍需在该领域投入大量资源。
安全 vs 流畅用户体验:仅在必要是引入“良性阻力”
GXBank的App体验以其简洁明了而闻名,有些人可能会认为简洁就意味着安全性较低。
当被问及银行如何平衡流畅的用户体验和强大的安全性时,Caroline解释说,尽管速度和客户体验很重要,但他们绝不会为了方便而牺牲安全性。
关于注册流程,Khuan Yew表示,银行可以采用最基本的流程,例如拍照,也可以增加额外的步骤,例如手势操作。步骤越多,用户流失率就越高,银行已经权衡了这些利弊。
他强调了Caroline的观点,并表示银行宁愿增加些许阻力——即所谓的“良性阻力”。
其目标是消除所有不良阻力,而良性阻力恰能适度延缓流程,确保只有真实用户才能通过。
例如,如果检测到高风险或可疑交易,应用程序可能会提示用户确认是否真的要向第三方转账。其目的是让用户停下来思考,是否认识收款人,或者该交易是否可能是诈骗。
GXBank使用多种参数来识别可疑交易,并且这些系统会随着风险的变化而不断发展,变得更加灵活。
这家数码银行也承认,他们会研究竞争对手的用户体验流程,以更好地平衡自身的便捷性和安全性。
诈骗案件依然层出不穷,客户教育至关重要
尽管国家银行出台了更严格的指导方针,并且整个行业都进行了安全升级,但诈骗案件仍在持续上升。Gan Kee Lim指出,大多数案件都源于网络钓鱼。他表示,发起网络钓鱼攻击的成本极低,而诈骗者的潜在收益却可能非常高。
诈骗分子不再试图入侵银行系统;相反,他们会利用用户的情感和社交心理,诱骗他们泄露凭证或批准交易。
作为一家银行,GXBank也在尽其所能,通过教育用户来防范诈骗。同时,GXBank内部也开展了电子邮件内容过滤,以确保员工免受网络钓鱼的侵害。
虽然客户可能不会阅读每一条关于诈骗的通知,但GXBank会通过多种渠道与他们联系,包括社交媒体和App中的弹出式警报。
GXBank还与苏黎世保险公司合作推出一款名为“网络欺诈保护”(Cyber Fraud Protect)的数码保险产品,旨在保护马来西亚民众免受网络犯罪和诈骗信息导致的未经授权交易造成的经济损失。该计划每月保费仅需1令吉起,涵盖所有银行户头、扣账卡/信用卡和电子钱包。
GXBank何时才能真正服务于完全没有银行户头的人群?
为没有银行户头的马来西亚民众服务的最大障碍之一是监管要求,即必须从同名现有银行户头转账。这虽然确保了身份验证,却将没有银行户头的客户排除在外。
GXBank表示,数码银行需要监管机构和政府的支持,才能将没有银行户头的人群纳入服务范围。
Khuan Yew表示,他已多次提出这个问题,国家银行对此非常重视。目前,国行与MyDigital ID正在就建立一个框架进行磋商,该框架允许客户在无需现有银行户头的情况下验证身份。
一旦这一障碍被消除,数码银行最终就能为更多人提供服务。
扣账卡安全吗?GXBank何时支持Apple Pay?
人们普遍认为扣账卡不如信用卡安全。GXBank表示这种看法是错误的,因为扣账卡也提供诈骗保护、拒付政策和网络安全监控。
目前,GXBank没有推出独立虚拟扣账卡功能的计划,尽管现有产品已经具备相应的安全保障。
当被问及GXBank何时支持Apple Pay、Google Pay和Samsung Pay等移动钱包时,他们表示有意支持,尤其是Apple Pay,但目前无法给出具体时间表。他们透露,Apple Pay目前在马来西亚的普及率最高。
尽管Android智能手机的使用率很高,但Google Pay的普及率并不高,不过GXBank可以考虑支持这项功能。事实上,新加坡的数码银行GXS Bank已经在其扣账卡中启用了Google Pay。
GXBank会像Ryt Bank一样推出AI聊天机器人吗?
Ryt Bank的AI助手Ryt AI近期备受关注,但GXBank表示,他们正在不同领域部署AI,尤其是在提升其劳动密集型客户支持渠道的效率方面。
Caroline表示,部署AI时,解决方案必须能为客户或银行带来切实价值。他们内部正在思考的问题是:是追求“炫酷夺目”,还是提供具有可衡量影响的解决方案。
目前,GXBank优先部署能够提供切实价值的AI,包括反诈骗和可量化的功能。
Khuan Yew补充道,竞争对手在推出新的AI功能方面做得很好,但真正有趣的是两点:这是否真的是最佳方案,以及这种做法能否被用户接受。
