全文共计2500字,阅读时间大概30分钟。
【前言】
小米SU7,最近频频霸榜微博热搜榜前三的热词。纵观任意一家火爆产品的生产商,都必须时刻将业务反欺诈放在首位,简单的说就是把黄牛干死或者被黄牛干死。
雷老板3月31日发博说小米已经成功拦截了大量黄牛订单,然后回收了这些订单数据,释放出来的库存将开启第二波发售。
看到这里很多同学会问,面对海量的订单数据,小米是如何发现其中异常的订单数据并且甄别出来的呢? 本篇博客将以互联网企业的视角从用户终端、数据画像分析、风控场景和综合数据决策几个方面进行介绍企业反欺诈风控技术。
1、终端安全
1.1、生物特征识别
黄牛党/黑灰产组织采取的批量提交、合法用户伪造等方式来进行“薅羊毛”,从批量执行的行为上分析已经不是真实用户的行为范围,所以通过生物特征识别可以从用户行为上过滤大量异常订单。
实现生物特征识别,行业典型方案还是基于一些移动端的传感器、数据采集模型进行自动化分析,移动设备上的陀螺仪,重力传感器、手指接触面、手指按压力度、设备的仰角、地理定位信息等都是数据采集模型中的参数,通过这一系列的数据分析汇总,可以判断出是否是真实用户在使用手机。当然现在手机模拟器盛行,只采取这一种方法是不可能做到业务放欺诈的,企业内部更多的是采取多种模式,组合分析,层层检测的方式来规避此类风险的。
1.2、验证码二次校验
在实际的业务场景中,能够和用户交互最频繁的莫过于验证码了,验证码的引入无疑大大增加了业务的安全性,梳理目前行业中常见的验证码机制一共有6种:
验证类型 | 防御能力(最高5※) | 用户体验感(最高5※) |
滑块拼图验证 | ※※ | ※※※※※ |
图文点选验证 | ※※※ | ※※※※ |
文字点选验证 | ※※※ | ※※※ |
语序点选验证 | ※※※※ | ※※※ |
空间旋转验证 | ※※※※ | ※※ |
空间推理验证 | ※※※※※ | ※ |
在业务安全实践中,验证码已经成为风控安全中非常重要的一个组件,当然随着技术的发展,验证码绕过技术也随着出现,验证码的复杂度也逐渐扭曲,12306网站就是一个典型的例子,正如前面讲到的验证码机制是与用户使用“离得最近”的安全防护能力,所以自然而然也会更加明显的影响用户使用体验,一个过度强化的验证码机制会把用户劝退,那样用户会大量流失。所以验证码机制轻量化部署是最优选项。
1.3、设备指纹唯一性
设备的IMEI号、MAC地址、序列号等硬件特征码在业务的面板上应该是独一无二的,就像身份认证信息一样,唯一性是关键指标。为了获取到稳定且唯一的设备ID,手机APP程序需要读取到一个加密并且不可删除的ID文件,拿Android ID举例,为了防对抗,被恶意用户篡改设备硬件信息,Android引入了一个存储在系统底层不被删除的文本,这个文本记录设备的唯一标识。
1.4、风险环境检测
常见的业务欺诈风险场景有以下几类:
(1)Root环境检测。
APP运行时可以对当前设备环境做Root检测,一旦检测到设备被Root,APP将会启动失败。
(2)VPN环境检测
检测常见的HTTP流量代理、VPN代理,一旦触发,APP自动退出或者断开服务端通信。
(3)模拟器检测
通过分析处理器指令集、TCP/IP一些头部字段等方式来判断是否在模拟器中运行了业务APP。
(4)双开检测
系统中的APP应用是否被双开可以通过设备唯一标识,用户行为分析、登录IP等信息进行综合判断。
2、数据画像分析
数据画像(Data Profiling 或 User Portrait)是一种基于大数据技术的重要工具,它通过对用户产生的大量多维度数据进行深度挖掘和分析,形成对用户的立体化、个性化认知模型。
(1)基础信息画像,收集和整合用户的静态信息,如身份认证信息(姓名、身份证号、手机号、邮箱等)、职业背景、教育经历、居住地等。
(2)交易行为画像,记录用户的交易历史、交易频次、交易金额、交易时间分布、支付方式偏好、商品或服务类型偏好等,从中发现用户的消费习惯和潜在风险行为。
(3)网络行为画像,分析用户的网络足迹,包括访问记录、点击流数据、社交媒体互动、网页浏览偏好、设备指纹(如设备ID、浏览器指纹等)等,这些可以反映用户的线上行为模式和活跃时段。
(4)关联关系画像,挖掘用户之间的联系,如社交关系网络、共同交易伙伴、同一设备或IP下的账户活动等,帮助发现群体欺诈行为和潜在的团伙欺诈。
(5)信用评价画像,结合征信报告、逾期记录、黑名单信息等构建用户的信用评估模型,预测其潜在的违约风险。
(6)实时动态画像,利用实时数据分析技术,对用户行为的最新变化进行实时监控和即时评估,快速响应可能存在的欺诈行为。
通过以上画像的构建,反欺诈系统能够实时监测和分析用户的异常行为,如突然改变的消费习惯、频繁异地登录、短时间内大量异常交易等,进而及时预警并采取相应的风控措施,有效防止欺诈事件的发生。
3、风控场景安全
3.1、垃圾注册风险场景
通过手机号画像、设备IP画像、设备指纹信息、设备风险环境信息来判断短时间异常大量注册行为,此类账号会在系统中被标记为垃圾注册账号,只允许登陆,不允许后续其他操作。
3.2、薅羊毛风险场景
通过设备参数识别,比如设备指纹、设备黑名单。此外可以利用频率维度进行防控,典型场景比如同一个设备高频换账号登录,同一IP或IP聚类登陆账号频次,使用同一WIFI登陆账号频次。
用户行为检测,比如缺乏交易以外平台活跃动作,账户群体有黑产团伙特征,历史注册账号有黑产组织特征。
收货地址检测,存在虚拟的高度相似的收货地址,收货地址中存在异常暗号,地址中包含实际下单收货号码。
3.3、裂变拉新风险场景
邀请人在短时间内大量邀请注册新账号,存在恶意拉新的明显特征。
邀请人名下注册手机号,设备指纹、IP异常比例高。
邀请人名下新注册设备特征高度相似。
邀请人名下有明显的团队特征。
3.4、恶意退单风险场景
除设备指纹分析以外,可以从账号历史行为分析,如果是高频退单,退单率70%以上的,标记为高风险账号,进行二次认证。
同时可以从收货地址上,利用收货相似地址聚类,虚假地址检测的维度进行分析,对一些收货地址进行风险标记,提前进行系统预警。
附录 反欺诈业务安全常见指标
全文完,感谢阅读。