最近看了一些支付风控方面的文章,顺便了解一下支付风控的流程,于是将看的几篇文章整理了一下,写了这篇笔记。对于这块本人非专业人士,如有理解不当的地方请多多指正。
1、支付风险类型
2、支付风控流程
3、支付宝风控策略
4、参考文章
支付风险主要需要防范一下几种类型的风险:
账户风险是指黑客通过技术手段攻破服务器系统,修改账户数据,并可能导致的损失。
对于传统金融系统,行业标准要求通过专线进行网络连接,和互联网网络进行隔离,最大程度降低账户风险。对于第三方支付系统,一般通过互联网连接,需要建立严密的技术防范机制,避免黑客的攻破。
支付的交易风险主要是交易过程中的各种恶意行为,主要是指欺诈和刷单等行为,欺诈一般指盗用用户身份进行交易,刷单一般指商户为了获取补贴,信誉等行为恶意刷单。
对于欺诈的风险,一般通过交易数据分析,建立大数据模式,获取到交易的异常行为,比如异地交易,超额度交易等,并通过增强验证的方式,降低欺诈交易的成功可能性。欺诈交易一般发生在信用卡领域,通过信用卡线上三要素交易或者线下签名交易,无验证密码机制,容易出现欺诈的情况。根据欺诈的具体案例,资金损失可能由用户,商户,发卡行,或者收单行承担。针对恶意刷单情况,可以通过数据分析,识别用户多次同店交易,或者用户关联关系,防止刷单的风险。
一般刷单行为有如下特征:
资金风险指的是二清单位或者支付机构挪用沉淀资金的风险,导致商户资金损失的情况。 沉淀资金主要有两种形式:
沉淀资金是客户的钱,支付公司不能挪用。支付公司可以获得沉淀资金的利息收益,但是不能够用这个资金来进行投资或者公司内部的消费。监管层面严格打击二清或者挪用沉淀资金情况,金融机构或者支付公司需要直接与商户清算,按照监管要求将沉淀资金缴纳在指定账户中。
合规风险是指金融机构或者支付公司在开展业务时,未遵照当地法律法规的要求,导致可能出现的制裁风险。比如在开展跨境汇款业务时,需要交易报备外管局,按照每人每年5万美金结售汇额度,不得使用资金池直接调拨,不能还原用户交易明细情况,否则可能被停止跨境支付牌照。
金融机构或者支付企业需要认知学习和践行当地的法律法规,及时与监管层面沟通汇报,并在允许的范围内开展业务。
洗钱风险是指通过将黑钱洗成合法收入的风险,洗钱滋生犯罪,被各国监管层面严格打击。第三方支付目前成为洗钱的重灾区。主要手段包括:通过一些第三方支付平台发行的商户POS机虚构交易套现;将诈骗得手的资金转移到第三方支付平台账户,在线购买游戏点卡、比特币、手机充值卡等物品,再转卖套现;利用第三方支付平台转账功能,将赃款在银行账户和第三方支付平台之间多次切换,使得公安机关无法及时查询资金流向,逃避打击。
规避洗钱风险需要建立KYC机制,开户时候识别和留存用户身份,并在支付系统建立风控模型,识别并拒绝洗钱交易。另外,需要对于大额交易按规定上报监管。
套现风险指商户违规帮助用户进行信用卡套现,导致可能出现发卡行资金损失情况。我国法律明确禁止使用信用卡套现,使用信用卡套现是违法的。但是在线支付系统中,使用信用卡进行套现,几乎是不需要成本的。 信用卡套现的手段也很多,一般是通过客户和商家的勾结来完成,比如:
规避套现风险需要金融机构和支付企业对于商户交易数据监控,建立风控模式,对于信贷比异常的商户进行调查或者用户刷卡关联关系,识别并降低新用户卡盗刷情况。
支付风控涉及到多方面的内容,包括反洗钱、反欺诈、客户风险等级分类管理等。 其中最核心的功能在于对实时交易进行风险评估,或者说是欺诈检测。如果这个交易的风险太高,则会执行拦截。由于反欺诈检测是在交易时实时进行的,在要求不能误拦截的同时,还有用户体验上的要求,即不能占用太多时间,一般要求风控操作必须控制在100ms以内,对于交易量大的业务,10ms甚至更低的性能要求都是必须的。
目前主流的风险等级划分有三种方式, 三等级、四等级、五等级。
常见的规则有:
规则引擎存在的问题:
1.一刀切,容易被薅羊毛的人嗅探到。比如规则规定超过5000元就进行拦截,那羊毛号会把订单拆分成4999元来做。 一天限制10笔,那就薅到9笔就停手了。
2.规则冲突问题。当一笔交易命中IP白名单和额度黑名单的时候应该如何处理?
规则引擎看起来简单,但也是最实用的一类模型。 它是其它风控模型的基础。实践中,首先使用已知的规则来发现存在问题的交易,人工识别交易的风险等级后,把这些交易作为其它有监督学习的训练数据集。
在各种支付风控模型中,决策树模式是相对比较简单易用的模型。当有一笔交易发生时,我们使用决策树来判断这笔交易是否是高风险交易。
该模型为参考《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》编制,仅具参考意义。
网上能找到的介绍支付宝风险策略的一些内容,拼凑了一下,内容可能会比较古老。
支付宝产品体系中有一个叫CTU的风控大脑,现已升级为AlphaRisk,会根据策略对交易进行风险进行打分,区间在0-1。当交易风险大于0.93时,将会直接拒绝交易。风险程度高的时候,支付宝会要求进行二次校验,来判定是否账户本人。当我们每笔交易发生时,支付宝风控大脑会从账户、设备、位置、行为、关系、偏好六大维度,判断是否是本人。每一个大类里面都会包含很多细的策略。而这样的策略总计有1万条左右,CTU通过运算这些复杂策略来进行风险判定。
案例故事
广州用户黄XX,6月7日接到一条10086的短信(小偷通过伪基站发送的钓鱼短信),他点击了短信中的链接,依据指示先后输入了自己的身份证信息和银行卡信息,同时,手机中了木马病毒。小偷登陆了黄某的支付宝,并修改了密码。随后,小偷进入淘宝,下单购买一台4600多元的iphone5。就在小偷得意之时,他发现自己就是不能支付成功,而且很快,这个支付宝账户被限权,无法进行任何支付行为!小偷明明拿到密码,却为何无法动黄某支付宝里的钱?
策略分析:
1)登陆支付宝的手机并非黄XX的手机(设备)。
2)登陆地点为深圳,黄XX平时都在广州的(位置)。
3)黄XX平时经常购买招财宝,肯定记得密码。深更半夜修改支付密码太可疑,一般只有忘记密码才会去改密(行为)。
4)黄XX平时就爱理财,淘宝不多,从来没买过数码产品,改密后直奔淘宝下单iphone5(偏好)。
支付宝扫码支付风控的一些规避方法,可以反推出一些风控的规则:
1、 规则一:30分钟内,不要连续刷3笔(包括失败交易),两笔交易时间间隔大于5分钟,交易金额不要一样,不要贴近限额;
2、 规则二:非正常营业时间,(21:00-次日9:00)尽量不要出现大额的交易;
3、规则三:不要重复提交相同金额的订单,不同交易的交易金额要不一样;
4、 规则四:单笔交易金额不要是整数,十位个位都不要是零;3个数字不要一样;
5、规则五:单卡单日交易总笔数≤3笔,且失败交易比例≤30%;
6、 规则六:单笔交易金额不要过大,控制在1W以内。
二、不能刷注册身份证人的信用卡
三、刚开通的时候请不要大额支付信用卡,请尽量先使用余额,储蓄卡支付几笔以后再使用信用卡支付,第一次信用卡支付额度不要超过1万
四、不可以长期都是几个固定微信或者支付宝账号使用
五、请尽量贴近营业执照正常消费金额及消费时间
六、不可以短时间内同一账号频繁支付
支付宝收款基本风控规则:
1新入网的商户,需要慢慢增加日流水。单日同一个人交易过于频繁,容易触发风控。
2在网商户,禁止夜间交易过于频繁(22点-次日8点)。资金交易呈现规律性分散交易、集中交易特征。交易金额为一定金额的整数倍,或接近于一定金额的整数倍容易触发风控(如199元、201元等)。
3资金交易金额、频度与客户身份、财务状况、经营内容、经济行为等明显不符。
4交易时间与体育彩票开奖时间、境外主要博彩机构开奖时间、重大体育赛事确定结果时间等具有高度关联性。
5未经审核批准,擅自变更网址、经营产品或服务项目。
1.支付风控场景分析
2.支付风控模型和流程分析
3.支付宝是通过什么条件判断对方是骗子的?
【作者】:Labryant
【原创公众号】:风控猎人
【简介】:某创业公司策略分析师,积极上进,努力提升。乾坤未定,你我都是黑马。
【转载说明】:转载请说明出处,谢谢合作!~