转:原文链接:https://mp.weixin.qq.com/s/sBvqIfxNDoMlWhO6_z65Ww
这篇文章和上一篇【互联网反欺诈体系漫谈】:https://mp.weixin.qq.com/s/9TUNBIbf85MVZ6QlyN34lw
差不多,不过还是放上来,再次复习一下,另外找一些差异。
互联网反欺诈体系建设 ( I )
概述
01
什么是欺诈
在《互联网反欺诈体系漫谈》一文中,曾经就欺诈与反欺诈做过一些简单的讨论。
何为欺诈:
“用狡猾奸诈的手段骗人”——《现代汉语词典》
“一方以欺诈、胁迫的手段或者乘人之危,使对方在违背真实意思的情况下订立的合同,受损害方有权请求人民法院或者仲裁机构变更或者撤销。”——《中华人民共和国合同法》
“一方以欺诈、胁迫的手段或者乘人之危,使对方在违背真实意思的情况下所为的为无效行为”——《中华人民共和国民法通则》
“一方当事人故意告知对方虚假情况,或者故意隐瞒真实情况(保持沉默者),诱使对方当事人作出错误意思表示的,可以认定为欺诈行为。”——《最高人民法院关于贯彻执行《中华人民共和国民法通则》若干问题的意见》
“内部欺诈:故意欺骗、盗用财产或违反规则、法律、公司政策的行为。外部欺诈:第三方故意欺骗、盗用财产或违反法律的行为。”——《新巴塞尔协议》
因此,欺诈必不可少的三要素为欺诈人、欺诈目的和欺诈方法。判断一个行为是否为欺诈,需要包含两个基本构成要件:
i.欺诈人具有主观上的欺骗意愿,即存在误导他人的主观意愿;
ii.欺诈人执行了使他人做出错误认知的行为,如撒谎、虚构、伪造等行为;
然而这两个基本构成要件也仅仅是一个必要不充分条件,符合这两个基本构成要件的行为最终是否认定为欺诈,需要结合组织的商业模式和业务需要给出判断标准。
例:某网站为营销推广,补贴推出4000元购iPhoneX的活动。为了提高活动覆盖度,该网站规定每个用户仅能享受一次补贴价。而用户A为了能够多次参与活动,使用两个手机号先后注册两个帐号参与活动。
在这个案例中,用户A其既有欺骗网站的意愿(多买一部特价手机),也采取了使网站误判多行动(换手机号注册)。但是对于这一行为,平台模式的电商因为其最终目的是为了吸引流量,故而在一定程度上可以容忍;但自营模式的电商可能会将其认定为欺诈。(以上案例纯属杜撰,如有雷同纯属巧合)
02
互联网欺诈的分类
对于互联网欺诈的分类方式有很多。根据欺诈三要素的不同,可以将欺诈分类如下图:
可以确认的是,由于互联网业务形态千变万化,欺诈方式五花八门,互联网欺诈的形式和种类也必然会不断更新,这一点恰恰是互联网反欺诈最具有挑战性的地方。
03
互联网反欺诈体系
综上,我们可以将互联网反欺诈体系定义为:“为防范恶意用户采取欺诈行为谋求额外利益而建立方针和目标,以及为实现这些目标所用方法的体系。”
从定义中可以看出:
i.互联网反欺诈体系的针对对象是恶意用户的欺诈行为;
ii.互联网反欺诈体系的目标是防止恶意用户采取欺诈行为获取额外利益;
iii.互联网反欺诈体系涵盖方针、目标、方法;
在互联网反欺诈体系的建设过程中,需要秉持如下原则:
⊙恶意用户很多,应当将有限的资源聚焦于采取了欺诈行为的恶意用户;
⊙反欺诈体系建设的难点在于如何区分正常行为和欺诈行为,包括从业务逻辑上的界定和从技术手段上的界定;
⊙反欺诈体系建设一定要整体、全局的规划和协作,而非反欺诈团队或相关部门的单兵作战,对于欺诈风险的处置也应当结合组织的战略方向和发展需要,综合平衡业务发展和风险管控的需求。
互联网反欺诈体系建设 ( II )
排兵布阵
01
互联网反欺诈的不对称性
不夸张的讲,欺诈者对于技术的运用能力、对于业务的熟悉程度和对于目标的执着要远超过甲方互联网反欺诈的从业人员。造成这种局面主要有几个原因:
i.欺诈者仅需要在企业的互联网反欺诈体系上打穿一个洞即可欺诈成功,属于“一招鲜吃遍天”;而互联网反欺诈的从业人员面对的是一个庞杂的组织&系统&业务,“木桶效应”明显。
ii.欺诈行为可以为欺诈者带来巨大的经济利益和物质回报,欺诈者是为了自己利益而战;而互联网反欺诈的从业人员往往是找一份工作拿一份工资,亏的反正是企业。
iii.互联网黑产发展到今天,已经形成了分工明确的上下游产业链,互通有无,术业有专攻;而互联网反欺诈由于其特殊性,仍然相对割裂,同业间的交流仍然较少,意味着每个企业的反欺诈人员都是以一己之力对抗一个产业链。
iv.对欺诈者而言,欺诈行为就是其“核心业务”,拥有最高的优先级,整个产业链“心往一处想、力往一处使”;而对于企业而言,互联网反欺诈只是其保障业务开展的众多职能中一个小小的组成部分,反欺诈工作的开展还需要平衡战略需要、业务需求、经济成本等诸多桎梏。
总结下来,互联网欺诈和反欺诈之间在资源投入、受重视程度、难易程度等方面的差异,使得互联网欺诈与反欺诈的这个无硝烟战场上,打的是一场非对称的战争。
在这场战争中,反欺诈一方想要获取胜利,其难度不亚于美国打的反恐战争。因此,互联网反欺诈尤为需要有整体考量和统筹排兵布阵。
02
互联网反欺诈体系的构成
为了能够有效的管控互联网业务开展过程中的各类欺诈风险,一个完整的互联网反欺诈体系应当包含以下部分:
2.1 欺诈特征检测
欺诈特征检测是互联网反欺诈体系的基石,直接决定了互联网反欺诈体系的天花板。从欺诈特征数据的来源角度,欺诈特征检测又可以分为内部欺诈特征识别和外部欺诈情报监测。
内部欺诈特征识别,是指基于企业自行获取或外部对接的各类原始数据,对欺诈行为进行识别的过程。
常见的内部欺诈特征识别可以分为四大类,根据发展的时间长短和成熟程度包括信誉库、专家规则、有监督机器学习、无监督机器学习。
内部欺诈特征的识别涉及技术广泛,需要长期的研究和积累,许多有实力的企业已经在此方面有了很多突破。目前市场上也有越来越多的反欺诈厂商提供各种类型的反欺诈数据和服务,对于互联网反欺诈体系建设处于起步阶段的企业而言也是一个不错的选择。
外部威胁情报监测,是指通过互联网和线下的渠道,收集与企业相关的欺诈情报和线索,如羊毛口子、资料包装方法、风控规则和系统漏洞等。
孙子曰“知己知彼,百战不殆”,互联网反欺诈体系需要时刻保持对黑产动态的关注,必要时需要深入黑产内部,了解和掌握黑产的最新套路和手段,拿到黑产动向的第一手资料,及时调整和完善自身的策略进行应对。
2.2 欺诈风险处置
互联网反欺诈体系应当制定反欺诈策略和规则,明确对于欺诈风险的可接受水平和处置方式。
在确立欺诈风险的可接受水平时,反欺诈团队应当与企业内部各业务部门进行充分的讨论和沟通,切忌单方面确定欺诈风险接受水平。
常见的欺诈风险处置手段包括:
风险消除,对于无法控制和接受的欺诈风险,应当通过制定反欺诈策略或优化业务逻辑进行拦截和隔离;
风险降低,对于无法消除的欺诈风险,应当采取措施,平衡业务体验和风险水平,降低风险级别,如二次验证(牺牲用户体验)、人工审核(增加用户等待时间)等;
风险转移,通过引入第三方,分散和转移欺诈风险,如购买保险、合作商分担等;
风险接受,对于可以带来收益大于损失的欺诈风险,应当予以接受。
再次重申,欺诈风险的处置应当综合考虑业务发展的需要,总体原则是实现业务收益和欺诈损失的平衡。
2.3 欺诈监控指标
反欺诈运营工作是互联网反欺诈体系的重要组成部分。互联网反欺诈体系应当建立起全面的欺诈监控指标,对于反欺诈体系的运转情况进行实时监控。
欺诈监控指标应当与互联网反欺诈的需求结合定制。常见的互联网反欺诈监控指标包括:
业务类监控指标,侧重于对业务的进展情况进行实时的关注,如注册量、下单量、进件数、转化率等;
策略类监控指标,侧重于对反欺诈策略和规则的触发情况进行实时关注,如反欺诈规则的拦截率、反欺诈的触发数等;
欺诈监控指标应当随着反欺诈体系的防护对象而及时调整,不同的业务类型如营销、信贷、支付的监控指标也各不相同。
2.4 欺诈调查
欺诈调查工作是互联网反欺诈体系必不可少的一环。从复杂的案例中抽丝剥茧提取欺诈特征、梳理欺诈路径也应当是每一位反欺诈人员的基本技能。
作为互联网反欺诈体系的组成部分之一,欺诈调查承担着验证反欺诈体系的有效性和驱动反欺诈体系优化迭代两个重要作用。
欺诈调查工作包括事中和事后两种。
⊙事中欺诈调查指在业务开展过程中将疑似欺诈行为冻结,转欺诈调查人员排除后方可继续进行;
⊙事后欺诈调查指对各渠道反馈回来的欺诈线索和案例进行人工调查和分析,对其中的欺诈行为进行认定,并用于对欺诈特征检测、欺诈风险处置和欺诈监控指标的效果评估。
互联网反欺诈体系建设 ( III )
沙场点兵
在讨论了一个互联网反欺诈体系的目标和应该涵盖的职责范围后,这篇聊一下本人对互联网反欺诈体系所需岗位和人才的一些思考,欢迎有不同意见者补充。
01
欺诈调查
如前一篇中所说,欺诈调查是互联网反欺诈体系必不可少的一环,承担着验证反欺诈体系有效性和驱动反欺诈策略优化迭代两个重要作用。
此外,欺诈调查能力应当是所有反欺诈人员都必须具备的一个基础能力。在条件允许的前提下,建议互联网反欺诈体系的从业人员都应当具备一定的欺诈调查工作经验,直接参与到各种欺诈行为的调查分析工作中。
对于欺诈调查岗位而言,需要候选人具备以下几个特点:
a.好奇心强:欺诈的方式方法复杂多变,欺诈调查人员应当具有足够强的好奇心,不断的学习和了解新鲜事物;
b.逻辑严密:欺诈调查人员应当具备从眼花缭乱的欺诈行为中,结合业务场景和反欺诈体系的现状,条分缕析的将欺诈者的每个步骤梳理出来的能力;
c.善于总结:同样的欺诈手法会以不同的面貌反复的被包装,欺诈调查应当能够透过现象看本质,总结归纳每种欺诈手法的核心本质,举一反三。
02
反欺诈建模
模型是获取欺诈特征的重要方式之一。在all in AI的今天,无论是业务层面的反欺诈还是底层技术层面的反欺诈,似乎不提一下大数据、机器学习和AI,似乎都不够潮。目前市场上稍微有点实力的甲方、乙方也都开始喊着AI反欺诈的口号。
不过,作为反欺诈模型的建立和常见的信用模型、营销模型还是有比较大的差异性的,对于从事反欺诈建模岗位的人员要求也有一定的差异性。
除了建模工作例行所需要的基本技能,反欺诈建模人员还需要符合以下特点:
a.善于接受新的思路:反欺诈建模的最大难度在于标签的缺失,这一方面是由于欺诈行为的难以验证,另一方面也是由于欺诈行为的复杂多变性导致的,因此需要反欺诈建模人员对于建模思路和方法的开放性,至少不能局限于有监督建模,要能够勇于尝试无监督、半监督的思路和方法。
b.沟通能力强:对于反欺诈模型的而言,很多时候建模方法的选择带来的效果提升,可能远不如一个变量的选择,因此需要建模人员能够尽可能的了解欺诈的手法,从建模的角度去归纳寻找更好的变量和特征,切忌闭门造车仅从数据层面求解。
03
反欺诈策略 and/or 反欺诈专家
专家规则是欺诈特征检测的另一种重要方式,而且在目前的实际业务开展过程中也承担着相对比较重要的作用。在大厂反欺诈专家和反欺诈策略属于不同的岗位,在小厂区分不是特别清楚的情况下经常一人兼任了,在此一并讨论。
作为反欺诈策略人员,需要能够选择恰当的专家规则或反欺诈模型,平衡业务发展需要,选择合适的风险处置方式,部署反欺诈策略应用于线上生产。
反欺诈策略人员需要的特点:
a.熟悉黑灰产手法:这一条不多说了,知己知彼方能百战不殆,了解对手是防御的第一步。作为反欺诈策略人员,需要对于常见的黑灰产手法有比较充足的经验,这也是前面建议所有进入反欺诈行业的人员都从欺诈调查岗位做起的原因。
b.基础的数据分析能力:反欺诈策略人员需要能够通过数据分析的方法,总结和发现各种特征对欺诈行为和正常行为的区分度,从而选择可用的反欺诈策略。
c.逻辑性强:反欺诈体系是个典型的木桶,作为一个防御体系,反欺诈策略需要环环相扣,永远不能寄希望于口子没被发现。
04
反欺诈运营
反欺诈运营岗位在很多小厂往往容易被省略,其运营职能往往会被反欺诈策略岗或者所有岗位分担。但是从实战的经验中,个人认为还是有必要将运营工作拉出来单独讨论下。
反欺诈体系是一个覆盖公司各条线、各层级的体系,涉及到有不同利益诉求的部门、不同背景出身的人员,因此运营工作不可或缺。一个好的反欺诈运营人员,能够起到润滑剂和粘合剂的作用,保证互联网反欺诈体系的有效运转和高效协作。
反欺诈运营人员是场上攻防的组织核心。对于反欺诈运营人员来说,以下特点是尤为关键的:
a.沟通能力强:反欺诈运营人员需要能够和营销、产品、运营、研发等各部门进行有效的沟通,了解各部门的诉求,平衡风险和业务发展之间的关系,防止顾此失彼。
b.格局要高:反欺诈并非简单的将欺诈用户或者欺诈行为一拒了之(事实上也无法绝对的将欺诈用户和正常用户切分清楚),有些时候欺诈行为甚至是对公司有益的(当然此时公司往往不把此类行为定义为欺诈)。反欺诈运营人员需要从公司的利益出发,综合评判对公司收益最大化的解决方案。
c.数据敏感性:由于欺诈行为的复杂多变性,既有的反欺诈策略和反欺诈监控指标是绝对无法有效覆盖所有未知欺诈风险的,反欺诈运营人员应该能够从反欺诈各种指标乃至非反欺诈的各类业务指标变化中,敏感的察觉到异常,快速组织起应急响应、欺诈调查等工作。
05
总结
以上讨论到的各类岗位,个人认为是构建一个完整的反欺诈体系必不可少的一些岗位。
当然互联网反欺诈体系是一个动态的、发展的体系,既要与欺诈者贴身攻防,也要能够构建整体防御体系。反欺诈的岗位不是一成不变的,也无定式可言,毕竟适合自己的就是最好的。
除了上述的各种反欺诈岗位,在不同的组织里反欺诈还细化出了很多其他岗位,如反欺诈威胁情报、反欺诈审核等等,在此就不逐一讨论了。
互联网反欺诈体系建设 ( IV )
守其所攻
欺诈特征检测是反欺诈的基石。某种意义上,欺诈特征检测与JC案件侦查的逻辑是一样,均需要充分掌握基础信息,广泛收集线索。
互联网反欺诈体系至少要做到三个层面的欺诈特征检测:Real、Right、Reliable,下面我们简单聊一下三个层面欺诈特征的关注点。
鉴于反欺诈的敏感性,本文中对欺诈特征检测的具体方法点到即止,有兴趣的童鞋,可以加入我们的风控群(关注本公众号后自动推送入群方式),私下交流。
01
Real
在互联网刚刚兴起的初期,网络世界中有一句经典的话,“互联网时代,没有人知道你是一条狗”。
诚然,到目前为止,让一只狗上网还是有点难度的。但是在互联网上,公司的网站、APP、小程序、公众号的用户是不是一个活人还真的很难说。
对于黑灰产团伙而言,如果按照普通正常用户的方式,手工的进行欺诈攻击,换取一点点微薄的欺诈获利,绝对不是一个明智的选择。这也是互联网反欺诈理论的第一个基本定律,“互联网欺诈成本低于欺诈获利”。
因此,自动化的欺诈手段成为了黑灰产团伙的首选。自动化脚本、模拟器、群控设备等技术可以模拟一个正常用户在网站、APP上的操作请求,辅助以IP切换、接码平台、打码平台、图片验证码识别算法、GPS伪造等手段,往往会让互联网企业损失惨重。
互联网反欺诈欺诈特征检测工作中第一个层面的Real,就是要能够区分当前使用互联网服务的用户究竟是不是一个真实的活人,这一点是互联网反欺诈最基本的要求。
要达到这一目标,可以从几个角度进行防范:
1.从请求发起设备、请求发起网络环境、请求发起手机号、请求发起物理位置等多方面建立终端数据采集的能力,并拓展变量维度,利用高维度的机器学习来区分真实人类用户的操作请求和非真实人类发出的操作请求;
2.善用欺诈情报,广泛的收集第三方的欺诈信息,提取有效威胁情报信息用于非真实人类操作的检测。
02
Right
在完成了Real层面的欺诈特征检测后,我们姑且假定通过了反欺诈拦截的请求均是由真实的活人用户发起的。这时反欺诈的第二个层面任务就是核实用户提供的信息是否真实、有效。
眼下国内公民个人信息被盗取、转卖和泄漏的情况比比皆是,每隔一段时间就会爆出几条大规模公民信息泄漏的新闻。因此,对于互金平台、机票签证、支付平台等一些需要用户提交资料的互联网平台而言,不能简单的相信用户自行提供的信息。
Right层面的欺诈特征检测的主要任务就是对用户提交的各种基础信息进行核验。根据不同的业务类型,需要核验的资料类型也有所不同,常见的如用户的身份信息、住址信息、工作单位信息、收入情况信息、财产状况信息、学历信息等。
基础信息核验可以从两个角度展开:
1.勾稽对比,勾稽一词原本是财务术语,指的是不同会计报表科目之间的内在逻辑关系。引入反欺诈体系后,指的是需要将用户提交的基础信息与其他信息源进行对比。如身份证二要素信息应当与公安部身份核验数据源保持一致、银行卡四要素信息需要与银行四要素核验数据源保持一致、学历数据需要与教育部学历数据库保持一致等。
勾稽对比是一种基础且必要的核验方式,但是如前文所述,在公民信息大规模被泄漏、盗取和转卖的今天,勾稽对比并无法完全解决基础信息被冒用的情况,这就需要进行第二个角度的核验。
2.交叉对比,指通过对用户提交的不同信息进行独立推演,发现其提交信息之间的内在不合理之处。简单的如年龄小于15岁的硕士学历、人脸照片与身份证照片不一致等;复杂的如活动轨迹从未覆盖家庭住址或者工作单位等。交叉对比的效果拒绝于对用户基础信息的深度解析和信息之间逻辑关系的不断挖掘。
03
Reliable
Real和Right层面的反欺诈措施有效的防范了非人和非本人的欺诈攻击。经历了前两个层面的反欺诈防线,我们目前已经获得了一个真真正正的用户,基本上可以杜绝第二方欺诈和第三方欺诈。
然而此时还不是鸣金收兵的时刻,对于互联网信贷业务、营销补贴活动等,我们还需要对客户进行更深入的分析,判断用户是否存在欺诈的意愿,这个就是Reliable层面的欺诈特征检测了。
Reliable层面欺诈特征检测的维度有很多,可以结合互联网平台的业务类型进行裁剪。常见的如互金平台关注的团伙客户检测、中介客户检测;电商平台关注的虚假联系方式检测、虚假流量检测等。
实现Reliable层面的欺诈特征检测需要结合用户的社交、通讯、金融、出行、车产、房产、职业等多维度的信息,进行横向的关联分析。知识图谱、无监督机器学习算法等数据科学手段可以很大的提高Reliable欺诈特征检测效率和效果。
04
总结
欺诈特征检测是互联网反欺诈体系的眼睛和雷达,其效率和效果,直接的影响了后续欺诈风险处置和指标等其他反欺诈工作的选择。
由于欺诈场景和环境的复杂性,欺诈特征检测必然存在误报和漏报,准确率和覆盖率是衡量欺诈特征检测工作质量的2个重要指标。
黑灰产在欺诈的过程中也会不断关注防守方欺诈特征检测能力的高低,同时反欺诈的技术也在不断发展,因此欺诈特征检测工作是整个互联网反欺诈体系中最需要不断更新迭代推陈出新的一环。