精华|风控相关欺诈防范要点（规则制定）

自PC互联网时代起，设备识别就是互联网用户追踪的重要手段。传统的设备识别技术主要包括：IP地址、cookie以及移动互联网特有的设备ID。而随之移动互联网的普及，越来越多的设备指纹实现基于移动端设备，虽然算法有所不同，但是对设备唯一性这个验证，我们的初衷一直没变过。

设备指纹从实现的技术方法上看，可以分为主动式设备指纹与被动式设备指纹两种技术路线。

日常风控工作场景：
最近一天小王在监控反欺诈报表时候，发现在某个时间点突然大量客群进件，数据表现异常：

大王的公司因为没有做相关的注册节点设备指纹的的反欺诈防范，而且该批客户还走到了最后一个节点。所幸，他们的提现是隔天线下消费提现。在提现环节，大王团队发现得较早，及时拒了这批客户。
这里提到的设备指纹是什么？在设备指纹的反欺诈监控环节，如何使用第三方产品来做设备指纹？如何配合着第三方的产品来抓取数据的，做相关分析？数据存储方面怎么实现，是以登陆账号作为标识还是设备号？当然这也是在知识星球里某同学问的问题。

首先，我们先普及下什么是设备指纹？

设备指纹（设备ID）：设备唯一识别码，一般是主动式的设备指纹（公司内容研发自己去加工，当然也可以使用第三方的）用于识别贷款时使用的设备，多人共用同一个设备，就有中介或黑产风险。
先来介绍下在整个申请环节中，所涉及到的具体的操作点：
​
由上图可以看到，在以上的流程节点里，每个流程、相关页面都可以做相关的设备埋点，比如具体的某个页面：
​

那在我们申请节点中，如何做关于相关的设备指纹的反欺诈判断。

设备指纹
设备指纹，公司的前端研发都能做相关的技术埋点，这个在技术上实现不是难点。

比如我们会根据上述的流程节点，让IT开发以下相关变量：
多人共用注册设备ID
多人共用授信设备ID
多人共用提现设备ID

又或者可以进行以下相关变量开发：
是否ROOT或越狱
手机APP清单（列表）相关
开机时间相关
截屏次数相关
GPS地址相关
IP相关
网络类型（WIFI、4G、3G）

为了帮助各位理解，我们分享以下实际真实业务场景：
场景一：集中式的机器注册
某团伙，在2月1日凌晨2点，突然在我们公司APP申请页面，多人同时操作一个手机进行用户注册，并且到了提现环节。
次日，我们在公司的服务器的数据端，看到该节点该时间段，有将近10个人同时使用设备ID为：XXXXXX12345的数据，我们判断此场景为团伙集中性作案，有多人登录同个设备id，最后在提现环节，我们将这伙申请人全部拒批。

场景二：中介远程换设备操作
某中介，帮客户小明操作申请贷款。在用户注册填写资料环节都是中介操作，因为中介帮小明避开策略将进件信息资料填写得完美些。但这个中介坐标在台湾。之后注册节点结束，中介告知小明具体登录账号跟密码。在登录与OCR环节，由小明自己操作过了人脸。最后到了授信节点。
我们在授信环节，发现同个客户编码对应两个设备，而且还定位到不同的地理位置，很明显该客户有较大非本人操作嫌疑。
通过这两个具体的场景，根据设备指纹，可开发的反欺诈的策略有以下具体实操细则：
①身份证和手机号与常用地的交叉
中介欺诈的场景大家可能不会陌生，比如中介批量替客群申请贷款的时候，就会出现网络关联地址关联多个客户的情况，这时我们比较常规的策略就是用网络的ip去关联客户的身份证号的情况，于是我们制定出了第一条策略：
A=近 2 天 ip 关联大于等于 2 个身份证号且此客户 ip 地址不在常用地
除了关于网络地址的关联外，我们也常使用手机号跟定位去识别用户的情况，于是第二个策略我们这样制定：
B=近 2 天 ip 关联大于等于 2 个手机号且此客户 gps 地址不在常用地
手机号码跟身份证是我们常结合交叉结合使用的策略，所以结合以上，我们就有了四条规则:
​
②身份证和手机号与常用设备的交叉
在设备上，我们还会使用设备指纹的内容去判断客户在使用过程中，去判断客户所使用的社保是否属于常用设备。于是我们可以制定出以下规则：
C=近 2 天 ip 关联大于等于 2 个手机号且此客户设备为非常用设备
类比以上，可以制定出另一条规则：
D=近 2 天 ip 关联大于等于 2 个身份证号且此客户设备为非常用设备
以上一跟二都算是比较简单的策略，此外更基础的策略内容还包括如下：

③跟多头和时间维度结合的策略

下面介绍几条稍微复杂些的策略，此时我们会加上多头跟时间切片类的数据。
场景如下：经常在贷款环节的申请阶段中页面OCR认证是A君，等到了提交资料的时候就变成了B君.对于这样的欺诈场景，我们制定的策略有以下几条：
E=近 2 天 ip 关联大于等于 2 个手机号且 3 小时内此手机号多头大于等于 2
F=手机号不在常用 ip 地且近 3 小时内此手机号多头大于等于 2
G=手机号不在常用设备且近 3 小时内此手机号多头大于等于 2
H=手机号不在常用 GPS 地且近 3 小时内此手机号多头大于等于 2
可以看到疑似中介的策略都是以2或者3为阈值来确定的临界，而且在现金贷的场景中时间都是稍微短暂，大家都需要将时间的维度充分考虑进去。
另外的一些更核心的策略如以下：
​
中介常常是我们在信贷审批中需要防范的对象，收取砍头息、手续费。之前遭曝光的黑中介，让金融行业处于一个恶性循环的局面，防范中介欺诈。

在与行为相关的规则策略进行分享，在星球上的文档中有一个关于详版的反欺诈策略包括：异常贷款策略/失信策略/恶意贷款/联系人多头策略/疑似中介策略/风控策略规则。详情可到星球上查收：


以上内容参考：
1.番茄风控知识星球社区

2.反欺诈训练营

3.全线条量化风控训练营

另外关于如何做变量、做欺诈的定义，都需要我们梳理到具体流程里，并且在合适页面里嵌入相关的指纹设备埋点，在整体的内容里我们还会涉及到一些个别的问题：
1.如何定义多用户的概念？以手机号，身份证还是其他？
2.设备如果被中介用改机软件修改后，还是否能识别到是否是同个设备指纹？
3.如果已经抓取到具体的指纹数据后，如何进行相关的数据存储？
…
关于以上内容，有兴趣的童鞋关注 :
​
~原创文章
…
end