余额支付风控--整体篇

余额支付风控

整体篇

by dylanfan at 2015-2-9

一  概述

什么是风控？在支付行业的的风控是通过一定手段来对平台的业务风险进行控制，偏业务安全领域。风控和技术安全还是不太一样，技术安全更多关注系统漏洞，是否被攻击，是否被拖库。 所以，风控更加注重对业务的理解，数据分析，模型，以及风险打击策略的制定。一句话：支付领域的风控就是来之别当前交易是否有风险，如果有，进行什么的动作。 在支付领域，支付产品出来前，都会和风控团队沟通，提前预知可能的风险点，并保证用户体验的情况下，制定风险策略。

二 余额支付场景

场景大体分为购买行为（包括余额支付，混合支付，合单支付，代付），C2C 转账，付款到银行卡，提现。所有风险控制策略基本都是围绕这几块场景的风险情况来制定的。

各个场景具体情况如下：

（1）购买行为： 买方是用户，卖方是商户，购买的是物品。物品有虚拟，自动发货，一般实物，高危实物等。根据物品属性不同，风险也不同。销赃快速和方便的物品的风险相对较高，比如虚拟和自动发货的物品。常见的虚拟物品：游戏道具，充手机话费等。所以，这块的风险一方面是是从买方账号侧来看，一方面从物品属性来看。

（2）C2C转账：买方是用户，卖方也是用户。风险可以从买卖双方两侧账号情况来看。

（3）付款到银行卡是主要指钱从余额转到一张银行卡（非账号绑定的卡）中，常见的如汇款转账，还信用卡。这块的风险可以买方账号侧和银行卡信息来看。

（4）提现：指余额的钱提现到自己绑定的卡中。相对前面三种情况，对于账号被盗销赃场景的风险，提现相对最低。

三 用户分类

1： 按证书用户分：无证书用户和数字证书用户。无证书用户是余额被盗对抗中最为激烈的一块。

2：按一般用户和C商户账号来分：普通用户和拍拍卖家账号。普通用户骗子常用的手法是批量处理销赃。拍拍卖家账号，金额很多，骗子经常一对一的钓鱼来处理。对拍拍卖家账号的交易处理尤为谨慎。

3：按实名来分：非实名用户和实名用户；实名只需要账号姓名和身份证姓名一致就行。

4：按实名认证来分：非实名认证用户和实名认证用户。实名认证是在实名的基础上需要有银行卡信息，这块的处理有两种方式：绑卡开通快捷和系统给你指定的银行卡打很小的钱，你回答打了多少钱来确定银行卡是你本人的。

四 风险评估和惩罚手段

   余额支付风险主要分两块：（1）盗号的风险 （2）盗卡的风险。盗号的风险：账号被盗，余额被转移的风险。盗卡的风险：骗子骗到银行卡后，注册个账号，用该银行卡开通快捷支付充值到余额，然后通过余额支付的风险。 两者情况不同，识别的方法也不同。

4.1：业务限制

支付反欺诈一直是个长期博弈的过程，此消彼长，不太可能我们能完全控制住对方，取得压倒性胜利，很多反欺诈策略是事后根据损失案例来制定的，所以，基本上一个新的支付产品（购买，转账，红包等都可以看成一种支付产品）出来，在风险异常识别策略之前，都应该有个基本的业务限制策略（这个需要和产品协商，在不影响用户的支付体验上做限制），比如限定一定额度或者实名认证等，这样可以把损失上限控制在一定的范围内。

4.2：风险异常识别

风险异常识别是从损失案例中的分析和对比正常样本来发现异常特征，然后制定风险策略，风险策略包括识别风险和如何打击。风险识别方法主要分为两块专家规则体系和风向模型体系。规则精准度高，覆盖率低，上线快速，但系统迁移和维护成本高。模型覆盖率高，精准度相对单一规则要低，需要足够多的样本，但具备学习能力，系统迁移和维护便利。对于反欺诈领域对规则和模型的效果对比可以参考如下：

   无论专家规则还是模型，首先都是要挖掘足够多的有用的风险特征。风险评估基本可以总结为识别异常和过滤正常，所以风险特征集合基本就包含这两块的特征。在盗号风险异常中，基本面临的就是账号被盗在异地销赃和同城销赃，异地相对同城识别容易些。欺诈和反欺诈的对抗博弈会不断加剧，从简单的对抗向深层次的对抗延伸，坏人盗号后的支付行为也会越来越伪装的很像正常行为。所以，我们也需要挖掘更深次特征来区别异常支付行为和正常行为，否则，就会带来拦截量高涨。我相信，坏人伪装的再好，他和正常用户自己的行为总会有不一样的地方。具体的识别方法和不同用户在不同场景的风控策略这里不细说，后续具体探讨。

4.3：惩罚手段

限额，加验（根据用户的自己的定义来选择是加验数字证书，还是U顿，短信等），实名认证，拦截交易，关闭余额，冻结账号，加黑信息等。不同的行为评估，采用不同惩罚手段。对于惩罚手段需要注意的是，如果涉及到金额，对单笔金额限制意义是不大的，最好用累计金额来限制。同时，一旦识别有风险点，需要在各个场景进行布控，任何场景的布控缺失都是高危的。风控遵循木桶原理，风控的水平取决于你对最薄弱环节的控制。对于控制手段，我想提下黑产。在黑产市场上有个词是叫信封，信封就是装有账号和密码的文件。每个信封都有它价格。同样，黑产上每个银行卡号也有相应的价格，在我们把额度控制在一定范围内，也能起到不错的作用，比如黑产上一张卡的价格是500元，我们控制的额度在500元以下，骗子花大功夫去却收益很少，长期来看，对骗子也能起到驱赶的作用。  

五 策略上线和运营

5.1: 策略上线

分析损失案例，对比正常交易，我们发现恶意手法，制定相应的风险策略。首先这个风险策略，是经过常规离线评估指标，准确率，覆盖率多少。离线评估指标达标后，我们就可以尝试放到线上了。但是在真实环境中真正应用风险策略前，我们需要把策略先放到测试环境上来观察一段时间，评估拦截量和准确度。相对广告一些领域，算法和模型测试都是做A/B Test不同，风控的测试环境和真实环境保持一致，只需在测试环境中给命中策略的交易打上相应的标记来记录就好，不做真实动作，就可以起到测试的作用。

策略上线后，风控策略和欺诈者的博弈对抗就会开始。刚开始的时候，策略的准确度都会很高，但是随着时间推移，策略的准确性就会下降。因为，欺诈者之前的欺诈手法所做的交易行为为拦截，并多次碰壁后，他们就会意识到，他们的行为已经被监测了，之前发现的风控系统的漏洞已经被堵上，他们会随之消停直到发现新的风控系统漏洞再发起攻击。

5.2：策略运营

风险策略运营需要观察拦截曲线和损失曲线。时间周期可以以周为基本单位，观察一定时间内拦截曲线的变化和损失曲线的变化，详细记录拦截曲线大变化的事件或策略，尤其是是损失曲线上涨和下降原因。

策略上线后，我们需要对策略拦截量，准确率等指标有个实时监控。通过监控，我们能发现拦截异常，策略当前有效性问题等。对策略有效性监控可以有如下几个方法：抽样调查，用户反馈，白名单机制（看白名单被你命中的比率）。在盗号领域，用户反馈可以分为：要求加验，看用户是否加验成功；或者冻结账户，用户来反馈当前交易是否是本人操作等。损失曲线变化一般相对策略上线时间有个几天的延时，主要是由于用户反馈有个延时期。