反欺诈风控体系及策略

本文详细介绍了互联网领域金融信贷行业的反欺诈策略。首先，探讨了反欺诈的定义、重要性以及在当前互联网发展背景下欺诈风险的加剧。接着，分析了反欺诈的主要手段和基础技术，包括对中介和黑产的了解、欺诈风险的具体类型和表现方式，如伪冒身份、资料虚假等。此外，还讨论了防范欺诈的策略和方法，如利用人脸识别技术、加强前端识别等。最后，提到了针对不同欺诈行为的具体防范措施，旨在提高风险管理的有效性，保护金融信贷行业的安全。

互联网领域的欺诈风险

随着互联网发展，信贷产品普及，欺诈风险日益严重，反欺诈重要性凸显。尽管反欺诈在金融信贷行业中一直存在，但传统方法效果有限，风险未得到足够重视。控制风险的方式也不一样，传统银行主要防范伪冒身份和资料虚假，通过白名单制等方式控制风险。

欺诈定义

欺诈定义一： “一方当事人故意告知对方虚假情况，或者故意隐瞒真实情况(保持沉默者)，诱使对方当事人作出错误意思表示的，可以认定为欺诈行为。”–《最高人民法院关于贯彻执行《中华人民共和国民法通则》若干问题的意见》
欺诈定义二： 内部欺诈:故意欺骗、盗用财产或违反规则、法律、公司政策的行为。外部欺诈:第三方故意欺骗、盗用财产或违反法律的行为。”–《新巴塞尔协议》
欺诈三要素： 欺诈人、欺诈目的、欺诈手段
是否认定为欺诈，要看企业业务或产品的需要，不同业务或产品欺诈形式也不一样

欺诈类型

欺诈主体分为第一方欺诈、第二方欺诈和第三方欺诈。第一方欺诈是本人恶意申请或包装资料进行欺诈；第二方欺诈涉及机构内部人员的欺诈行为；第三方欺诈主要是中介或团伙欺诈。

欺诈目的包括盗刷、抛羊毛、骗贷、刷单、骗保险等。

• 盗刷通过盗取账户信息进行盗刷；
• 抛羊毛利用活动漏洞获取优惠；
• 骗贷通过伪造资料或冒充身份骗取贷款；
• 刷单通过虚假交易提升信誉。

欺诈的表现形式

欺诈风险类型包括伪造资料、伪冒身份、账户接管、资料泄露、短信和电话劫持等。

• 伪造资料通过伪造证件或包装单位信息等手段进行欺诈，如资料包装、证件伪造和冒用身份等。伪冒身份指冒用他人身份申请贷款。
• 网络攻击是指非法的网络攻击手段，目的是获取用户的敏感信息或破坏系统的正常运行，如撞库、拖库、洗库，机器注册和暴力破解等。
  • 撞库：攻击者通过使用已经泄露的用户名和密码组合，尝试登录其他网站或系统。这是因为很多人习惯在不同网站上使用相同的密码。
  • 拖库：指的是黑客从某个数据库中窃取大量的用户数据，通常包括用户名、密码等敏感信息。
  • 洗库：是指攻击者通过某些手段将“拖库”得到的数据库内容进行筛选、整理，删除无效信息，并试图对外出售或利用这些信息。
  • 机器注册：黑客通过自动化脚本或机器人，批量注册大量虚假账号，目的是为了进行进一步的恶意活动，如刷单、发垃圾信息等。
  • 暴力破解：攻击者通过不停地尝试各种密码组合，强行破解账号密码。
• 账户接管通过盗号或窃取账户信息进行盗刷或信息窃取。
• 资料泄露或买卖导致隐私信息被滥用，增加诈骗成功率，常用的手段就是盗号和信息监听。
• 短信和电话劫持通过伪基站或手机病毒等手段拦截验证码。
• 模拟攻击是指在合法和授权的情况下，通过模拟黑客攻击的方式来检查系统、应用程序或网络的安全性。但在未经授权或被恶意滥用的情况下，伪装成合法行为或滥用模拟攻击工具，像山寨APP、钓鱼网站、虚拟号和阿里小号等，就可能变成欺诈行为。

互联网金融面临的主要欺诈风险

中介欺诈

如何界定中介和黑产？
中介可称之为灰产，撮合贷款，收取手续费，赚信息不对称的钱，通常会帮申贷者包装资料，规避部分风控规则。本质上是“助贷”。相较与中介，黑产技术更高，参与人员更多，分工更明确，本质上是“骗贷”。中介的危害性较小，但金融行业仍需规避；黑产危害性大，金融行业深恶痛绝。
中介的分类及获客方式
中介分为一站式贷款中介和零散中介。

贷款中介现状 ：一站式贷款中介有门店，提供营业执照，通过电话销售和各渠道获客，代理各类产品。零散中介没有门店，单兵作战，通过软件代扣服务费，与一站式中介合作获利。

黑产欺诈

黑产行话包括脱库、洗库、撞库、社工库、伪基站、黑料等。

• 脱库指盗取目标网站客户资料数据。
• 洗库指将用户账户中的财产或虚拟财产变现。
• 撞库指利用获取的数据尝试登录其他网站。
• 伪基站通过冒用他人手机号发送诈骗短信。
• 黑料指在黑市中反复清洗的有金融价值的用户信息。
• 社工库即社会工程学数据库，是黑客和不法分子通过社会工程学手段或技术手段收集并整合的个人信息数据库。

名词解释

电信诈骗流程

电信诈骗分为五个环节：菜商、卡托、话务员、水房、车主。菜商提供客户资料，卡托买卖银行卡，话务员实施诈骗，水房拆分资金，车主取款。

黑产完成链条

黑产完整链条包括上游、中游、下游角色。

• 上游角色包括手机号卡商、银行卡商、黑客、系统商等。

• 中游角色负责实施诈骗，包括电信诈骗、账户盗用、网络信贷、网络营销等。

• 下游角色负责现金提取和洗钱，包括车手、电商购物、洗钱等。

互联网金融面临的潜在风险表现形式

• 账号盗用——盗用账号子链条

• 信贷欺诈——网络信贷子链条

• 营销欺诈——网络营销子链条

主流反欺诈技术

反欺诈技术类型

主流反欺诈技术的实施步骤包括数据采集、数据分析、模型构建和决策引擎整合。数据采集来源于客户端、网络端、设备指纹、网络爬虫、生物识别、地理位置等技术；数据分析方法包括关系图谱、机器学习技术等；决策引擎是反欺诈的大脑，整合数据库、规则和模型，提供高效的人机交互界面。

数据采集&数据分析

数据采集来源于客户端、网络端、设备指纹、网络爬虫、生物识别、地理位置等技术。
1. 设备指纹
定义：登录网页、APP时，后台记录的登录设备的“指纹”，能够准确识别该设备是否曾经登录过。
作用：

1. 助力反欺诈、保护用户的账户安全
2. 减少验证环节、改善用户登录体验
3. 建立设备黑灰名单库，防范团体式欺诈
4. 研究用户行为，实现精准营销

设备指纹有两种类型： 主动式和被动式。主动式通过嵌入SDK或JS收集设备信息，被动式通过提取OS、协议栈和网络状态特征集。

常见设备指纹信息

• IOS系统设备：操作系统平台、分辨率、网络类型、Udid、openudid、MAC地址、IP地址、经纬度、是否越狱等信息。
• Android系统设备：在信贷金融申请过程中，可以获取的设备信息包括操作系统平台、操作系统版本、分辨率、网络类型、IP、经度、纬度、MAC地址、IME1号、是否安卓模拟器、本机号码、是否root、是否安装XPased、app列表、imsi、wifi名称、wifi mac、电池状态、电量、是否使用传感器等。
• Web/H5设备：user agent、分辨率、时区、浏览器的插件信息、字体浏览器操作系统、浏览器版本号浏览器是否启动、系统信息、颜色。加工设备指纹时，可以结合内部数据和外部数据进行关联。

设备指纹的应用

1. 网络类型研究：通过分析网络类型区分客户资质和识别团伙欺诈。
2. 设备价值研究：通过设备价值反映客户资质和中介降低成本的行为。
3. APP列表研究：通过分析客户手机上的APP信息刻画客户画像。
4. 篡改行为研究：识别篡改设备信息的恶意欺诈客户。
5. 集中性规则构建：通过关联分析识别团伙欺诈。

设备信息的防范和攻击

• 防范措施包括检查是否安装清洗软件、定位修改软件和通讯录同步软件。
• 攻击手段包括远程操作、关闭定位和使用模拟器等。
• 通过埋点数据监控设备信息的变化，识别异常行为。

2. 网络爬虫
定义： 是一种按照一定的规则，自动抓取网络信息的程序或脚本，被广泛用于互联网搜索引擎或其他类似网站，可以自动采集所有其能够访问到的页面内容，以获取或更新这些网站的内容和检索方式。
作用：

• 用于加黑，防范申请。(网络公开数据库)
• 信息用于增加分析维度，精准画像。(客户个人信息)
• 舆情监控。(本公司相关舆情信息)

3. 人脸识别、活体检测技术
定义：
活体检测：是在以人脸特征为验证信息的相关认证之前，判定人脸是否为活体，以防止恶意者伪造或窃取他人的生物特征用于身份认证。
人脸识别：是一种依据人的面部特征，自动进行身份识别的生物识别技术。利用摄像头采集含有人脸的图片或视频，并自动在图像中检测和跟踪人脸，进而对检测到的人脸图片进行一系列的相关应用操作。
一般OCR、活体检测、人脸识别一起使用，用于完成非接触式的实名认证。

如何防范欺诈？

4.生物识别
定义：是依靠人体的身体特征来进行身份验证的识别技术。
特点：具有不会丢失、不会遗忘、唯一性、不变性、防伪性能好和使用方便的特点。
应用领域：被广泛应用于考勤、门禁、金融、公共安全和终端电子设备等领域。
生物识别的类型：

5. 行为序列、生物探针技术
行为序列技术：通过采集用户在APP端、WEB端的浏览、点击、发帖等行为数据，来完善用户画像或识别欺诈行为，可用于客户精准营销和反欺诈等场景。行为序列技术通过分析客户的浏览、点击和发帖等行为数据，刻画完整画像并识别欺诈行为，并将用户的购买习惯同历史购买习惯进行比对，预警可能发生的欺诈风险。
生物探针技术：通过采集用户在使用设备的按压力度、设备仰角、手机触面等使用习惯，为其建立专属的行为模型，发现异常操作及时阻断。

决策引擎

规则集包括黑名单规则、交叉类规则和集中性规则，用于反欺诈防控，而模型构建基于加工的反欺诈变量，通过特征衍生构建模型，综合判断客户的欺诈风险。

基于黑名单、交叉类别分析、模型评分等方法，不断优化和完善反欺诈规则，构建集中化的规则引擎和机器学习模型，形成多层次的防控体系，有效提升反欺诈防控能力。

反欺诈体系及舆情监控

反欺诈体系包括板架体系和外部舆情监控，外部舆情监控对于了解欺诈手法变化非常重要。通过外部舆情，可以及时了解欺诈手法的变化，从而提升防控手段。

现金贷反欺诈体系

反欺诈体系定义：为防范恶意用户采取欺诈行为谋求额外利益而建立方针和目标，以及为实现这些目标所用方法的体系
防范欺诈风险的原则：

• 集中火力，优先防范团体式欺诈风险
• 优先使用反欺诈技术，其次使用规则策略防范欺诈风险
• 反欺诈体系的目标：防范恶意用户的欺诈行为，手段包括政策分析、建模、案件调查等。

团体性欺诈风险防控：团体性欺诈具有更高的危害性，相比之下，个体性欺诈的风险和危害较小。在防控策略上，优先采用技术手段进行应对；若技术手段不足以解决问题，则采取规则和策略作为补充。通过提升欺诈分子的作案成本，使其获利无法覆盖成本，从而有效遏制欺诈行为的发生。

反欺诈体系工作内容

A、反欺诈政策分析：基于反欺诈变量构建规则等。
B、反欺诈建模：基于反欺诈变量和客户目标构建模型，通过行为综合判断客户欺诈风险。
C、反欺诈案件调查：对爆发的反欺诈案件进行调查，包括客户历史行为信息和关联客户排查。
D、反欺诈产品经理：评估产品设计中可能存在的欺诈漏洞，防范产品被欺诈分子利用。
E、反欺诈情报监控：通过监控社交网络平台（如QQ群、微信群、论坛、贴吧等）上的关键词，实时追踪产品讨论的热度变化，识别潜在风险。借助外部舆情监控，及时发现可能的内部问题，并采取快速应对措施，减少损失。
F、反欺诈贷前审批：贷前审批流程包括核实客户身份与资料真实性，并评估借款意图，信审人员通过致电客户或者其它方式来完成身份与资料的核实。

现金贷产品流程及验证要素
现金贷产品流程包括注册、OCR、人脸识别、资料填写、绑卡、提交等环节。

1. 注册环节：通过手机号注册，验证短信验证码，验证手机有效性和是否在身边。
2. OCR环节：扫描身份证，识别实体身份证，提取不能修改的数字类信息。
3. 人脸识别：活力检测和照片比例比对，验证客户身份。
4. 资料填写：验证必填字段信息，确保个人信息、单位信息、家庭信息等完整。
5. 绑卡环节：验证绑定卡片是客户本人的卡片，通过四要素验证。
6. 用信申请：验证客户申请额度和期数，确保还款日和借款用途合理。

产品生命周期风险管理
风险管理贯穿产品生命周期，包括产品设计、营销获客、账户安全、贷前审批、贷中监控、贷后管理和排查。每个环节都涉及反欺诈工作，如产品设计中的风险评估，营销获客中的渠道管理和投放策略管理。

• 账户安全环节
  账户安全涉及登录密码、支付密码、验证流程设计，验证要素包括手机号验证码、登录密码、指纹或手势密码等。
  防控措施：密码、验证码、人脸识别技术
  防控原则：风险小则减少验证、风险高则增加验证
  

需要注意的是

1. 登录流程根据不同情况设置验证要素，短期同手机登录可能只需数字密码或指纹，长期未登录或换手机需验证码和人脸识别。
2. 绑卡环节需输入四要素和验证码，设置交易密码，换绑卡需人脸识别。
3. 修改密码需验证原密码或身份证号、银行卡号，找回交易密码需人脸识别和验证码。
4. 查看虚拟卡号需人脸识别或组合校验身份信息。

• 贷前审批环节
  贷前审批环节主要关注注册登录环节和授信提现环节。
  

1. 贷前审批政策包括准入限制，如职业黑名单、手机号虚拟号、高风险地区等。
2. 基于外部数据进行校验，如运营商实名性和在网时长、银行卡四要素等。
3. 贷前模型根据评分结果设定贷前等级和贷中等级。
4. 规则集包括基本信息验证、集中类规则、交叉类规则和内部数据与外部数据交叉验证等。

• 贷后管理环节
  贷中监控包括客户资质重新评估和贷后案件调查。

监控指标包括首逾、vintage报表、C-M1报表、渠道日报等。
异常情况分析原因，优化政策和规则。
案件调查包括关联排查和外部舆情监控，发现潜在风险客户并及时止付或进入催收通道。

外部舆情监控

作用

• 有助于及时发现策略、系统、流程漏洞
• 监控合作方是否存在违规行为
• 发现高危客户、中介联系方式
  监控方法
• 搜索指数变化情况(如微信指数)
• 高危论坛、00群等社会网络平台关于公司的宣传内容、链接等借助情报系统进行监控或同行协助监控

常见欺诈案例及攻防

欺诈案例分类

欺诈案例分为三类：第一方欺诈、第三方欺诈、社会工程类欺诈。

• 第一方欺诈：本人申请贷款但不愿还款。
• 第三方欺诈：中介发送虚假资料或冒充身份进行欺诈。
• 社会工程类欺诈：通过获取客户信任后实施诈骗，常见于电信诈骗。

社会工程类欺诈案例

案例一：获取客户手机号、姓名信息，冒充某平台工作人员联系客户，伪造该平台资质证明，获取客户信任后，骗取前期费用，客户将钱款转至对方微信、支付宝或私人账户
案例二：获取客户手机号、姓名信息，冒充某平台工作人员联系客户,发给客户链接让客户下载山寨APP，以各种理由骗取前期费用
案例三：截获客户短信详情，知道客户欠款金额，还款日期，还款账户信息，联系客户获取客户信任，让客户将欠款转至对方微信、支付宝或私人账户

防范措施：
1.金融机构应发布防欺诈提醒，通过官方渠道、短信等方式提醒存量客户。
2.对山寨APP和黑产社交账户进行投诉和屏蔽处理。
3.客户报案后，金融机构应配合公安取证。
4.加强内部合规管理，防止内部人员泄露客户信息

第三方欺诈案例

客户找中介办理，中介帮客户包装资料、代接听审核电话，获取超过客户资质的贷款额度
黑产获取客户整套资料原件，伪冒客户身份申请贷款，寻找长的相像的人过人脸识别
黑产获取客户身份证号码、银行卡账户、客户正面照片，注册某平台账号，使用3软件建模模拟出人脸过人脸识别，骗取2类户信用额度，再绑定微信支付宝套现
熟人作案，客户被骗，用本人身份电请贷款，款项被第三方转走

防范措施：

1. 第三方数据交叉校验客户资料真实性
2. 优化人脸识别技术

第一方欺诈案例

客户本人申请贷款，恶意拖欠不还款
一人多身份证，贷款意图不良

防范措施：
1.内外部黑名单过滤
2.多头策略判断客户资质
3.同单位、联系人、同设备ID等规则发现一人多身份证案例

信息窃取攻防

信息泄露可能导致欺诈分子实施诈骗，危害性大且占比高，对应的防范措施包括系统升级、数据加密、内部合规管理等。

数据泄露攻防

生物识别的攻防

营销过程中的欺诈手段识别和拦截

1. 初始阶段：手机号不需实名认证，通过验证码参与活动。
2. 升级阶段：使用短信验证码加图形验证码加拼图验证码的形式。
3. 高级阶段：通过鼠标轨迹侦测、设备指纹技术识别异常请求。

反欺诈策略制定

反欺诈策略的制定主要包括五个步骤：确定目标变量、策略初探、策略预估、策略监控以及策略回顾。

• 确定目标变量：分析目标客户和反欺诈变量。
• 策略探索：通过决策树或Excel透视表分析变量区分度。
  • 选择历史数据、且有风险表现的数据
  • 客户层面、非订单层面
  • 风险指标确定
• 策略预估：评估策略对业务和风险的影响。
  • 选择近期订单数据
  • 订单层面
  • 批核率、授信占比、授信成功占比
• 策略上线后的监控和回顾：确保策略生效并持续优化。

PS：本文仅用于学习，图片来源于网络和各大平台，如有侵权烦请联系本人。