常見風控策略

#風控 #貸款 #反欺詐

引言

了解金融風控一共有3塊內容：

1. 一是了解風控中金融常見業務規則的型別（大概有個認知即可）；
2. 二是了解對應架構是如何的（以攜程為例，簡單了解即可）；
3. 三是對一些金融中常用的策略模型演算法解釋，這部分是重點重點

風控金融的基本業務

1. 消費分期：唯品花、唯品貸、支付寶的花唄、攜程金融拿去花、京東白條等，
2. 現金分期：螞蟻的借唄、攜程金融的借去花、京東金條等，
3. 理財產品：銀行產品或者是第三方合作
4. 信用卡：銀行合作
5. 供應鏈金融：上下游業務合作、銀行合作

消費金融風險

• 消費金融風險大體可以分為可控風險和不可控風險，演算法主要解決可控風險，如圖所示：
  

1. 信用風險：借款人因各種原因未能及時、足額償還債務或而違約的可能性，
2. 欺詐風險：客戶發起借款請求時無意還款，按照人數可以分為團伙欺詐和個人欺詐，欺詐者往往通過偽造身份資訊、聯系方式、設備資訊、資產資訊等方式實施欺詐，

• 按照客戶流程來看，風控模型貫穿獲客、準入、經營、逾期的整個客戶生命周期，
  • 貸前信用風險模型
  • 貸中行為風險模型
  • 欺詐檢測及貸后催收模型
    

金融風控的模型評分標準

• 行業內常用的是ABC三張評分卡，A卡、B卡、C卡分別表示：
  • A：申請評分卡(Application Score Card)：在獲客程序中用到的信用風險模型，
  • B：行為評分卡(Behavior Score Card)：即用戶獲得信用額度后，模型根據用戶的貸中行為資料，進行風險水平的預測，
  • C：催收評分卡(Collection Score Card)：簡單說就是怎樣追債成功率會大一些，who、time、how much……(例如當用戶出現逾期時，機構應該先催誰，或者哪些用戶不用催，就自動會把錢還回來，催收模型一定程度節約催收成本，提高回催率）
• 要解決的關鍵點：
  • 反欺詐識別：根據用戶提供的材料進行身份核實，確保用戶不存在欺詐行為，
  • 信用評級：與傳統銀行的信用評分卡原理類似，資料維度更加豐富，包括社交資料、收入資料、行為資料等，判定用戶的信用風險等級，評估用戶的履約能力，
  • 風險等級：根據用戶的負債能力和收入穩定性，判斷用戶可承擔的月供金額，確定客戶的放款額度、償還期限等，并根據用戶風險等級確定用戶費率，
• 模型評估分三層;
  • 第一層：機器學習模型：常用的評估指標為KS，AUC等，
  • 第二層：風控層面：比如在不同bucket層面，預測概率的排序性能，
  • 第三層：業務層面：攔截率、通過率、逾期表現等等，
• 資料特征：
  • 長尾分布：欺詐用戶是極少的，
  • 對抗性顯著：欺詐用戶會想辦法找出規則漏洞，
  • 模仿正常行為：欺詐用戶會偽造消費流水、前期正常還款等行為，讓公司放松警惕，當提額到一定程度后，便開始逾期，

欺詐風險類別

1. 以假冒貸款、假冒公檢法、假冒開戶、洗錢欺詐、非法集資、信用卡欺詐等形式為代表的電信詐騙類欺詐；
2. 針對銀行APP等客戶端進行木馬、鍵盤鉤子、SQL注入、截屏錄屏等攻擊，以冒充用戶進行金融交易；
3. 機構內部違規帶來的虛假開戶、虛假交易、虛存虛貸等；
4. 利用高科技手段復制他人銀行卡、信用卡進行的盜刷、偽卡提現，也就是賬戶欺詐

反欺詐功能

1. 風險識別服務：根據用戶的行為資訊、軟硬體環境資訊、設備指紋等綜合判斷用戶請求的風險程度：可信，可疑，風險，業務方會根據風險結果進行相應的處理：
   1. 可信–直接進入業務流程
   2. 可疑–圖形/短信/郵箱驗證
   3. 風險–直接攔截、離線分析
2. 風險防控功能：
   1. 防垃圾注冊：注冊是惡意賬號產生的源頭，反欺詐服務能識別和打擊網路上的“羊毛黨”通過注冊機和虛假手機號碼、人工打碼等方式批量注冊的賬號，從而降低平臺在登陸、活動等場景的風險和壓力，
   2. 防營銷作弊：平臺推廣活動時，“羊毛黨”、"刷單客"會通過批量注冊、購買小號、，批量套取優惠，給平臺造成不必要的資金損失，反欺詐服務實時識別活動推廣程序中的作弊行為，讓真正有價值的客戶享受到活動獎勵，提升營銷效果，
   3. 防惡意登陸：登陸網路的欺詐分子會通過機器對賬戶密碼進行暴力破解，或利用互聯網中大量泄露的用戶名密碼進行嘗試，進一步獲得賬戶登錄權限，反欺詐服務實時對登陸環節可能存在的風險進行檢測和防控，從而有效防止用戶資訊泄露，
   4. 支付保護：登陸網路的欺詐分子通過木馬釣魚等方式獲得用戶支付賬號資訊并進行支付行為，反欺詐服務實時檢測交易支付、轉賬、提現等支付環節存在的例外情況，防止盜卡支付風險，
   5. 反垃圾服務：登陸網路的欺詐分子利用互聯網惡意群發大量的非法廣告、黃色圖片、違禁內容等，嚴重影響用戶上網體驗，阻礙網路健康發展，反欺詐服務通過大資料分析，實時自動過濾灌水貼、違規資訊、站內垃圾訊息等，從而提升整個網站UGC質量，
3. 欺詐威脅：
   1. 垃圾注冊：平臺推廣拉新客戶活動時，常常吸引網路上的"羊毛黨"通過注冊機和虛假手機號碼、人工打碼等方式批量注冊一批賬號，進入平臺批量套取優惠，
   2. 暴力破解：登陸網路的欺詐分子會通過機器對賬戶密碼進行暴力破解，進一步獲得賬戶登錄權限，從而導致用戶資訊泄露及資金受損，
   3. 撞庫：登陸網路的欺詐分子利用互聯網中大量泄露的用戶名密碼進行嘗試，如果賬戶、密碼不幸在泄露庫中，可能導致關聯平臺上的賬號被不法分子盜用，
   4. 營銷作弊：平臺推廣活動時，欺詐分子會通過模擬器、虛假手機號碼、人工打碼等方式繞過平臺驗證，批量套取優惠，給平臺造成不必要的資金損失，
   5. 盜卡支付：登陸網路的欺詐分子通過木馬釣魚等方式獲得用戶支付賬號資訊并進行支付行為，導致用戶資金損失，影響企業品牌形象，
   6. 垃圾內容：登陸網路的欺詐分子利用互聯網惡意群發大量的非法廣告、黃色圖片、違禁內容等，嚴重影響用戶上網體驗，阻礙社交網路的健康發展，

案例決議

場景1：賬戶盜用

在支付環節，黑色產業集團往往通過社工方式和技術手段，盜取利用個人姓名、手機號碼、身份證號碼和銀行卡號等直接關系賬戶安全的要素，并進一步用于進行精準詐騙、惡意營銷，虛假WiFi、病毒二維碼、盜版APP客戶端以及木馬鏈接等是盜取用戶私人資訊的主要手段，獲得的關鍵資訊被收入資料庫分類儲存，其中，賬戶資訊（如游戲賬戶、金融賬戶）通過黑色產業鏈進行金融犯罪和變現，用戶真實資訊除了販賣外，更多用于商城盜刷，某人會發現自己在某電商平臺注冊了一個新賬號并發生購買行為，但并非本人所為，這很可能就是賬號盜刷行為，

• 盜刷程序：
  1. 放馬：該團隊在大學城周邊，通過偽基站發送帶有木馬病毒鏈接的偽裝短信，該學生在點擊鏈接后，用戶名和密碼均已泄露，
  2. 操盤：由于盜刷銀行卡難度太高、風險較大，騙子在掌握這些資訊后希望通過商城購物實作變現，
  3. 洗料：注冊完賬戶，系結銀行卡之后，就會通過網上商城購買高價值物品，比如黃金飾品等，并通過對來電進行攔截或設定呼叫轉移，使得商品到達欺詐團伙手中，
  4. 變現：通過地下黑色產業鏈銷贓網路，將購買的物品變現、分贓，
• 反欺詐手段：
  • 首先通過用戶行為序列發現購買記錄例外，購物行為序列記錄了該學生在平日購物時的購物金額、瀏覽時長、對比行為等，發現了購物金額不超過1000多元、平時要花時間進行同類對比、尋找優惠券的該學生，本次僅瀏覽了十分鐘便下單購買昂貴的商品，馬上觸發了預警，
  • 其次，生物探針技術發現本次購買行為與往常不同，生物探針技術能夠根據用戶使用APP的按壓力度、手指觸面、滑屏速度等120多個指標，判斷用戶的使用習慣，因此可以檢測出本次購物行為的例外使用情況，
  • 最后，關系知識圖譜，通過用戶關系估算用戶信用，同時周圍與之相關的信用影響到對該用戶的信用評估，通過關系知識圖譜分析發現該學生對本商品的需求并不高，因此也觸發預警，

場景2：網路借貸

網路借貸的欺詐行為主要有中介代辦、團伙作案、機器行為、賬戶盜用、身份冒用和串聯交易等，其中，身份冒用是比較常見的欺詐行為，它是指貸款人對提供的個人身份、財產證明等材料進行造假，甚至采用欺騙等違法手段獲取他人資訊，進而冒充他人身份騙貸，例如某中介公司通過QQ群招攬學生做兼職，給予學生一個手機卡，并要求學生拿這個手機卡去銀行辦理工資卡，中介以登記為由，獲取銀行卡資訊、手機號、學生身份證、學籍、學歷等資訊，而后系結卡向網貸平臺申請多筆信貸業務，

• 反欺詐手段：
  • 一方面，利用人臉識別技術識別是否是借款人本人發起的申請，具體操作上利用視頻畫面截取申請人臉部特征，與身份證照片進行比對驗證，但由于該網貸平臺沒有視頻驗證的流程，就需要配合精準畫像等技術進一步驗證，
  • 通過文本語意分析、用戶行為分析、終端分析等等方法，刻畫客戶個人的特征，并用于網路貸款交易事前、事中、事后全程序的欺詐識別，例如，通過大資料分析投資者的行為軌跡發現，正常投資者會在申請的每個節點都停留幾秒，而資料分析發現欺詐者不到10秒鐘就走完所有流程，正常用戶完成整個貸款申請流程至少需5分鐘，且該用戶的申請時間是凌晨2點，根據對用戶申請速度、申請時間的分析，就可以判定出來這個人應該是欺詐者，于是平臺立即拒絕了其貸款申請，

場景3：識別羊毛黨

羊毛黨常常通過偽造大量身份進行操作，獲取小額大量金額獎勵，嚴重影響優惠活動正常推廣，羊毛黨的主要型別：

1. 第一類是個人純手工進行薅羊毛的行為，這類行為往往因涉案金額和規模小，不易受到商家的重視；
2. 第二類利用商家網站或APP，使用外掛程式將薅羊毛程序完全自動化；
3. 第三類通過破解后臺介面建立虛假客戶端進行薅羊毛；第四類是團伙羊毛黨，通常是組織者利用QQ群、微信群指揮團伙成員薅羊毛，且這類薅羊毛行為呈現與平臺、商家瓜分利益的趨勢，

• 欺詐步驟：
  • 首先，利用虛假號碼進行批量注冊，有些還會配合模擬器或IP地址修改工具進行；
  • 其次，利用上述賬號進行集中的批量掃貨下單；
  • 最后，將買到的明顯低于市場價格的商品，以比較合理的價格倒手賣出，賺取差價，
• 反欺詐方法：
  • 首先，利用黑名單技術篩選疑似羊毛黨的用戶，若命中黑名單則直接攔截，在此基礎上，綜合運用設備指紋技術和機器學習技術識別羊毛黨的欺詐行為，
  • 一是利用設備指紋技術識別出部分羊毛黨在一臺終端設備上登錄上千個PIN碼進行操作，同時發現出現大量金額恰好為80元的訂單，據此判斷存在欺詐的可能，
  • 二是利用機器學習技術對用戶的購物行為、交易習慣、交易次數等資料進行綜合分析后，判斷該用戶是否為羊毛黨，
    

手機銀行盜竊

某公司員工打開手機郵箱，發現一封主題為會議邀請的郵件，打開會議邀請，提示可通過掃描郵件二維碼注冊資訊，該員工對會議主題很感興趣就用手機掃描了二維碼并填寫相關資訊報名參會，幾天后，發現自己網銀賬戶中的兩萬元錢被盜，

事實上，會議邀請完全是騙子編造的釣魚郵件，而二維碼被植入木馬病毒，該惡意控制應用會偷偷申請手機權限，隱藏圖示，進而控制受害者手機，手機里的敏感資訊進而被回傳到騙子的郵箱，騙子通過后臺登錄受害者的網銀賬戶，將錢款轉移，

• 反欺詐方法：
  • 生物探針技術，可以在用戶操作手機APP時采集到包括手指觸面、線性加速度、觸點間隔等數百個行為指標，根據歷史行為資料，通過機器學習計算專屬行為模型，在用戶操作手機時，可以將其當前操作習慣同歷史模型比對，判斷這個人是否為風險用戶，實作用戶的身份判定，這項技術應用于反欺詐和防盜刷的場景中，將能減少甚至避免風險事件的發生，在上面提到的案例中，如果應用了生物探針技術，將能夠及時識別欺詐分子的惡意登錄行為，并阻止轉賬行為的發生，
    

偽卡盜刷

偽卡盜刷是信用卡欺詐的最主要型別，2016年信用卡欺詐損失以偽卡交易為主，且占比較上年有所上升，其次是虛假身份、互聯網欺詐；借記卡欺詐的主要型別則是電信詐騙，其次是互聯網欺詐、偽卡盜刷，所謂偽卡盜刷，是指不法分子將銀行卡磁條資訊側錄，包括賬號密碼等，再利用這些資訊復制出一張偽卡，用偽卡在POS機、ATM機上實施盜刷，

• 該案犯罪嫌疑人伙同他人共同研發出了側錄銀行卡磁道資訊及支付密碼的芯片，然后用虛假商家身份騙取網路支付公司信任，申辦了10余臺POS機，把芯片嵌入POS機中完成改裝，再通過支付公司代理人，將改裝后的POS機推銷到某些消費場所，持卡人用上述POS機刷卡支付時，其銀行卡賬戶資訊、支付密碼等資料就會被芯片側錄、竊取，此后，犯罪嫌疑人會以維修為借口，定期從芯片中匯出資料，利用這些資料在境外制作“偽卡”，再拿偽卡回境內取現、消費，

Reference

1. 風控策略產品經理：金融風控的業務規則與策略模型（認知） https://zhuanlan.zhihu.com/p/66081421
2. 數字反欺詐在幾個不同金融場景中的應用 https://zhuanlan.zhihu.com/p/69895079
3. 賬戶被盜用，信用卡被盜刷？看反欺詐系統如何“活捉”始作俑者 https://cloud.tencent.com/developer/news/540662
4. 阿里云反欺詐服務介紹 http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/antifraud-product-description-cn-zh-2016-05-12.pdf