常见风控策略

#风控 #贷款 #反欺诈

引言

了解金融风控一共有3块内容：

1. 一是了解风控中金融常见业务规则的类型（大概有个认知即可）；
2. 二是了解对应架构是如何的（以携程为例，简单了解即可）；
3. 三是对一些金融中常用的策略模型算法解释，这部分是重点重点

风控金融的基本业务

1. 消费分期：唯品花、唯品贷、支付宝的花呗、携程金融拿去花、京东白条等。
2. 现金分期：蚂蚁的借呗、携程金融的借去花、京东金条等。
3. 理财产品：银行产品或者是第三方合作
4. 信用卡：银行合作
5. 供应链金融：上下游业务合作、银行合作

消费金融风险

• 消费金融风险大体可以分为可控风险和不可控风险，算法主要解决可控风险。如图所示：
  

1. 信用风险：借款人因各种原因未能及时、足额偿还债务或而违约的可能性。
2. 欺诈风险：客户发起借款请求时无意还款，按照人数可以分为团伙欺诈和个人欺诈，欺诈者往往通过伪造身份信息、联系方式、设备信息、资产信息等方式实施欺诈。

• 按照客户流程来看，风控模型贯穿获客、准入、经营、逾期的整个客户生命周期。
  • 贷前信用风险模型
  • 贷中行为风险模型
  • 欺诈检测及贷后催收模型
    

金融风控的模型评分标准

• 行业内常用的是ABC三张评分卡。A卡、B卡、C卡分别表示：
  • A：申请评分卡(Application Score Card)：在获客过程中用到的信用风险模型。
  • B：行为评分卡(Behavior Score Card)：即用户获得信用额度后，模型根据用户的贷中行为数据，进行风险水平的预测。
  • C：催收评分卡(Collection Score Card)：简单说就是怎样追债成功率会大一些。who、time、how much……(例如当用户出现逾期时，机构应该先催谁，或者哪些用户不用催，就自动会把钱还回来。催收模型一定程度节约催收成本，提高回催率）
• 要解决的关键点：
  • 反欺诈识别：根据用户提供的材料进行身份核实，确保用户不存在欺诈行为。
  • 信用评级：与传统银行的信用评分卡原理类似，数据维度更加丰富，包括社交数据、收入数据、行为数据等，判定用户的信用风险等级，评估用户的履约能力。
  • 风险等级：根据用户的负债能力和收入稳定性，判断用户可承担的月供金额，确定客户的放款额度、偿还期限等，并根据用户风险等级确定用户费率。
• 模型评估分三层;
  • 第一层：机器学习模型：常用的评估指标为KS，AUC等。
  • 第二层：风控层面：比如在不同bucket层面，预测概率的排序性能。
  • 第三层：业务层面：拦截率、通过率、逾期表现等等。
• 数据特征：
  • 长尾分布：欺诈用户是极少的。
  • 对抗性显著：欺诈用户会想办法找出规则漏洞。
  • 模仿正常行为：欺诈用户会伪造消费流水、前期正常还款等行为，让公司放松警惕，当提额到一定程度后，便开始逾期。

欺诈风险类别

1. 以假冒贷款、假冒公检法、假冒开户、洗钱欺诈、非法集资、信用卡欺诈等形式为代表的电信诈骗类欺诈；
2. 针对银行APP等客户端进行木马、键盘钩子、SQL注入、截屏录屏等攻击，以冒充用户进行金融交易；
3. 机构内部违规带来的虚假开户、虚假交易、虚存虚贷等；
4. 利用高科技手段复制他人银行卡、信用卡进行的盗刷、伪卡提现，也就是账户欺诈

反欺诈功能

1. 风险识别服务：根据用户的行为信息、软硬件环境信息、设备指纹等综合判断用户请求的风险程度：可信，可疑，风险，业务方会根据风险结果进行相应的处理：
   1. 可信–直接进入业务流程
   2. 可疑–图形/短信/邮箱验证
   3. 风险–直接拦截、离线分析
2. 风险防控功能：
   1. 防垃圾注册：注册是恶意账号产生的源头，反欺诈服务能识别和打击网络上的“羊毛党”通过注册机和虚假手机号码、人工打码等方式批量注册的账号，从而降低平台在登陆、活动等场景的风险和压力。
   2. 防营销作弊：平台推广活动时，“羊毛党”、"刷单客"会通过批量注册、购买小号、，批量套取优惠，给平台造成不必要的资金损失。反欺诈服务实时识别活动推广过程中的作弊行为，让真正有价值的客户享受到活动奖励，提升营销效果。
   3. 防恶意登陆：登陆网络的欺诈分子会通过机器对账户密码进行暴力破解，或利用互联网中大量泄露的用户名密码进行尝试，进一步获得账户登录权限。反欺诈服务实时对登陆环节可能存在的风险进行检测和防控，从而有效防止用户信息泄露。
   4. 支付保护：登陆网络的欺诈分子通过木马钓鱼等方式获得用户支付账号信息并进行支付行为。反欺诈服务实时检测交易支付、转账、提现等支付环节存在的异常情况，防止盗卡支付风险。
   5. 反垃圾服务：登陆网络的欺诈分子利用互联网恶意群发大量的非法广告、黄色图片、违禁内容等，严重影响用户上网体验，阻碍网络健康发展。反欺诈服务通过大数据分析，实时自动过滤灌水贴、违规信息、站内垃圾消息等，从而提升整个网站UGC质量。
3. 欺诈威胁：
   1. 垃圾注册：平台推广拉新客户活动时，常常吸引网络上的"羊毛党"通过注册机和虚假手机号码、人工打码等方式批量注册一批账号，进入平台批量套取优惠。
   2. 暴力破解：登陆网络的欺诈分子会通过机器对账户密码进行暴力破解，进一步获得账户登录权限，从而导致用户信息泄露及资金受损。
   3. 撞库：登陆网络的欺诈分子利用互联网中大量泄露的用户名密码进行尝试，如果账户、密码不幸在泄露库中，可能导致关联平台上的账号被不法分子盗用。
   4. 营销作弊：平台推广活动时，欺诈分子会通过模拟器、虚假手机号码、人工打码等方式绕过平台验证，批量套取优惠，给平台造成不必要的资金损失。
   5. 盗卡支付：登陆网络的欺诈分子通过木马钓鱼等方式获得用户支付账号信息并进行支付行为，导致用户资金损失，影响企业品牌形象。
   6. 垃圾内容：登陆网络的欺诈分子利用互联网恶意群发大量的非法广告、黄色图片、违禁内容等，严重影响用户上网体验，阻碍社交网络的健康发展。

案例解析

场景1：账户盗用

在支付环节，黑色产业集团往往通过社工方式和技术手段，盗取利用个人姓名、手机号码、身份证号码和银行卡号等直接关系账户安全的要素，并进一步用于进行精准诈骗、恶意营销。虚假WiFi、病毒二维码、盗版APP客户端以及木马链接等是盗取用户私人信息的主要手段，获得的关键信息被收入数据库分类储存，其中，账户信息（如游戏账户、金融账户）通过黑色产业链进行金融犯罪和变现，用户真实信息除了贩卖外，更多用于商城盗刷。某人会发现自己在某电商平台注册了一个新账号并发生购买行为，但并非本人所为，这很可能就是账号盗刷行为。

• 盗刷过程：
  1. 放马：该团队在大学城周边，通过伪基站发送带有木马病毒链接的伪装短信，该学生在点击链接后，用户名和密码均已泄露。
  2. 操盘：由于盗刷银行卡难度太高、风险较大，骗子在掌握这些信息后希望通过商城购物实现变现。
  3. 洗料：注册完账户，绑定银行卡之后，就会通过网上商城购买高价值物品，比如黄金饰品等。并通过对来电进行拦截或设置呼叫转移，使得商品到达欺诈团伙手中。
  4. 变现：通过地下黑色产业链销赃网络，将购买的物品变现、分赃。
• 反欺诈手段：
  • 首先通过用户行为序列发现购买记录异常。购物行为序列记录了该学生在平日购物时的购物金额、浏览时长、对比行为等。发现了购物金额不超过1000多元、平时要花时间进行同类对比、寻找优惠券的该学生，本次仅浏览了十分钟便下单购买昂贵的商品，马上触发了预警。
  • 其次，生物探针技术发现本次购买行为与往常不同。生物探针技术能够根据用户使用APP的按压力度、手指触面、滑屏速度等120多个指标，判断用户的使用习惯。因此可以检测出本次购物行为的异常使用情况。
  • 最后，关系知识图谱，通过用户关系估算用户信用，同时周围与之相关的信用影响到对该用户的信用评估。通过关系知识图谱分析发现该学生对本商品的需求并不高，因此也触发预警。

场景2：网络借贷

网络借贷的欺诈行为主要有中介代办、团伙作案、机器行为、账户盗用、身份冒用和串联交易等。其中，身份冒用是比较常见的欺诈行为，它是指贷款人对提供的个人身份、财产证明等材料进行造假，甚至采用欺骗等违法手段获取他人信息，进而冒充他人身份骗贷。例如某中介公司通过QQ群招揽学生做兼职，给予学生一个手机卡，并要求学生拿这个手机卡去银行办理工资卡。中介以登记为由，获取银行卡信息、手机号、学生身份证、学籍、学历等信息，而后绑定卡向网贷平台申请多笔信贷业务。

• 反欺诈手段：
  • 一方面，利用人脸识别技术识别是否是借款人本人发起的申请，具体操作上利用视频画面截取申请人脸部特征，与身份证照片进行比对验证。但由于该网贷平台没有视频验证的流程，就需要配合精准画像等技术进一步验证。
  • 通过文本语义分析、用户行为分析、终端分析等等方法，刻画客户个人的特征，并用于网络贷款交易事前、事中、事后全过程的欺诈识别。例如，通过大数据分析投资者的行为轨迹发现，正常投资者会在申请的每个节点都停留几秒，而数据分析发现欺诈者不到10秒钟就走完所有流程，正常用户完成整个贷款申请流程至少需5分钟，且该用户的申请时间是凌晨2点。根据对用户申请速度、申请时间的分析，就可以判定出来这个人应该是欺诈者，于是平台立即拒绝了其贷款申请。

场景3：识别羊毛党

羊毛党常常通过伪造大量身份进行操作，获取小额大量金额奖励，严重影响优惠活动正常推广。羊毛党的主要类型：

1. 第一类是个人纯手工进行薅羊毛的行为，这类行为往往因涉案金额和规模小，不易受到商家的重视；
2. 第二类利用商家网站或APP，使用外挂程序将薅羊毛过程完全自动化；
3. 第三类通过破解后台接口建立虚假客户端进行薅羊毛；第四类是团伙羊毛党，通常是组织者利用QQ群、微信群指挥团伙成员薅羊毛，且这类薅羊毛行为呈现与平台、商家瓜分利益的趋势。

• 欺诈步骤：
  • 首先，利用虚假号码进行批量注册，有些还会配合模拟器或IP地址修改工具进行；
  • 其次，利用上述账号进行集中的批量扫货下单；
  • 最后，将买到的明显低于市场价格的商品，以比较合理的价格倒手卖出，赚取差价。
• 反欺诈方法：
  • 首先，利用黑名单技术筛选疑似羊毛党的用户，若命中黑名单则直接拦截。在此基础上，综合运用设备指纹技术和机器学习技术识别羊毛党的欺诈行为。
  • 一是利用设备指纹技术识别出部分羊毛党在一台终端设备上登录上千个PIN码进行操作，同时发现出现大量金额恰好为80元的订单，据此判断存在欺诈的可能。
  • 二是利用机器学习技术对用户的购物行为、交易习惯、交易次数等数据进行综合分析后，判断该用户是否为羊毛党。
    

手机银行盗窃

某公司员工打开手机邮箱，发现一封主题为会议邀请的邮件。打开会议邀请，提示可通过扫描邮件二维码注册信息，该员工对会议主题很感兴趣就用手机扫描了二维码并填写相关信息报名参会，几天后，发现自己网银账户中的两万元钱被盗。

事实上，会议邀请完全是骗子编造的钓鱼邮件，而二维码被植入木马病毒，该恶意控制应用会偷偷申请手机权限，隐藏图标，进而控制受害者手机，手机里的敏感信息进而被回传到骗子的邮箱，骗子通过后台登录受害者的网银账户，将钱款转移。

• 反欺诈方法：
  • 生物探针技术，可以在用户操作手机APP时采集到包括手指触面、线性加速度、触点间隔等数百个行为指标，根据历史行为数据，通过机器学习计算专属行为模型，在用户操作手机时，可以将其当前操作习惯同历史模型比对，判断这个人是否为风险用户，实现用户的身份判定。这项技术应用于反欺诈和防盗刷的场景中，将能减少甚至避免风险事件的发生。在上面提到的案例中，如果应用了生物探针技术，将能够及时识别欺诈分子的恶意登录行为，并阻止转账行为的发生。
    

伪卡盗刷

伪卡盗刷是信用卡欺诈的最主要类型。2016年信用卡欺诈损失以伪卡交易为主，且占比较上年有所上升，其次是虚假身份、互联网欺诈；借记卡欺诈的主要类型则是电信诈骗，其次是互联网欺诈、伪卡盗刷。所谓伪卡盗刷，是指不法分子将银行卡磁条信息侧录，包括账号密码等，再利用这些信息复制出一张伪卡，用伪卡在POS机、ATM机上实施盗刷。

• 该案犯罪嫌疑人伙同他人共同研发出了侧录银行卡磁道信息及支付密码的芯片，然后用虚假商家身份骗取网络支付公司信任，申办了10余台POS机，把芯片嵌入POS机中完成改装，再通过支付公司代理人，将改装后的POS机推销到某些消费场所。持卡人用上述POS机刷卡支付时，其银行卡账户信息、支付密码等数据就会被芯片侧录、窃取。此后，犯罪嫌疑人会以维修为借口，定期从芯片中导出数据，利用这些数据在境外制作“伪卡”，再拿伪卡回境内取现、消费。

Reference

1. 风控策略产品经理：金融风控的业务规则与策略模型（认知） https://zhuanlan.zhihu.com/p/66081421
2. 数字反欺诈在几个不同金融场景中的应用 https://zhuanlan.zhihu.com/p/69895079
3. 账户被盗用，信用卡被盗刷？看反欺诈系统如何“活捉”始作俑者 https://cloud.tencent.com/developer/news/540662
4. 阿里云反欺诈服务介绍 http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/antifraud-product-description-cn-zh-2016-05-12.pdf