哪里有风险哪里就有机会,哪里有机会哪里就有利益,哪里有利益哪里就有黑产,有羊毛党;风险控制就是检测“谁,在什么时候,通过什么方式,对什么对象,做了什么!”,风控是平台与黑产长期对抗性工作的根基。
01、风险
风险的定义
风险是指在特定场景下,特定时间内某个损失发生的可能性,或者说是在某一个特定时间段里,人们所期望达到的目标与实际出现的结果之间的差距。
在如今的互联网时代,生活工作的方方面面都实现了互联网化,网上购物,充话费,充值转账等,便捷的同时,也处处暗藏风险,账号被盗了,隐私泄露了,资金被盗刷了。
真实案例
各种风险的发生,不仅损害了用户的利益,也损害了企业平台的利益,轻则损失金钱,重则倾家荡产企业倒闭。
案例1
市民王女士某日收到一个来电显示为“区号+银行服务短号“的电话,准确的报出了她的全名及身份证号,说由于她信用良好,为我行受邀优质客户,可提升信用额度。提升额度需提供银行卡号、有效期、CVV2码。王女士深信不疑,便一一告知。随后的10分钟内,她接连收到了5条消费短信,消费项目为虚拟点卡、游戏币、景点门票,损失近万元。
银行卡被盗的原因:
- 银行卡被克隆复制;
- 银行卡、身份信息泄露;
- 误入钓鱼网站、山寨网站;
- 误点短信链接安装了木马;
- 连接了钓鱼WIFI;
- SIM卡被他人补办;
- 手机被盗或丢失;
银行卡盗刷产业链
案例2
A犯罪团伙长期在农村市场低价身份证等信息,申请“花呗”、“京东白条”、“拿去花”等消费信贷产品,B犯罪团伙利用QQ群、微信朋友圈等方式,九折收购网络用户的消费信贷额度,用以购买淘宝的电话卡充值、京东电子产品、去哪儿网的机票酒店产品等。C犯罪团伙负责已购商品的销赃途径。最后逾期未还款,造成坏账。
02、什么是风控
风控简单的说就是风险的控制
采取措施和方法,降低风险事件的发生,减少损失
风控能做什么
风控业务的出发点
认清交易本质:“你是谁”
产品自身是否有盗刷漏洞,是否能形成资金闭环
市场认知力、经营业务属性
知己知彼,与盗卡分子的矛与盾
做好风控:海量数据、专业团队、高效工具
03、风控建设的挑战
业务多、风险点多
一般企业的业务多,品类多,覆盖广,用户多,商户多,交易高频,用户作弊,商家刷单,账户安全和支付安全;
怎样才能知道有风险,并且能够控制风险?谁、在什么时候、通过什么方式、对什么对象、做了什么?
如果仅仅站在防守方的角度看,并不容易知道应该控制哪里;我们应该站在攻击者的角度思考:攻击者关注什么?答案是利益。
变化快
黑产的攻击手段升级,自身业务在变化,互联网环境也会不断变化。
最初的策略可以很简单,比如此时我们认定:“穿黑衣服的是坏人”。类似策略运行一段时间后会出现有意思的现象:“坏人会逐渐换上其他颜色衣服”。这也很好理解,攻击者不会持续做无效的攻击浪费资源,而是会转向其他进攻手段。这样旧策略反而只会影响到一部分正常用户——观察到的结果是策略准确率下降。这样的情况无法避免,所以风控是一项长期的对抗性工作。
我在明、敌在暗
平台在明处,但攻击者是谁、会在什么时候出现、用什么方式进攻却无法预知。风控与黑色产业的对抗有个天然的不利因素,就是风控团队需要防御所有短板,而对手只需要找到薄弱的环节进攻。要从事中防守扩展到立体事前、事中、事后防御。在风险事前,要注意提升防御能力,减少防御短板:
04、识别风险
知己知彼,百战不殆,我们先以支付业务为对象分析可能存在的风险,针对性设计风控模型以及规则和策略,其他领域的风险可以以此类推。
商家刷单
常见的有刷排名、刷销量、刷好评等违反商家平台协议的行为。
账户盗号
公民信息盗用形势已经十分严峻,黑产从业者会在电商平台上盗取用户的余额,或使用他人支付信息来消费。
支付风险
就是在支付交易中的各种恶意行为,比如电商中的自动刷单,优惠券薅羊毛等,黄牛用机器抢注大量账号抢购秒杀商品;商家的刷单行为,为了提升销量,积分或者信誉,甚至套现,我原来在淘宝开的店铺刷单,被系统识别了,直接封所有阿里系的账号
资金风险
用户的卡可能被盗,像上面的案例,另一个是商户的交易资金容易被平台跑路,比如二清违规的平台,商户有很大的资金风险
还有其他的套现风险,操作风险,合规风险,洗钱风险,以及程序员删库跑路风险
05、风险等级
不同的风险,危害程度是不一样的,应对策略肯定是不一样的,那么怎么区分呢?就像投资一样我们需要为风险进行分级,目前主流的有三种分法:三等级,四等级,五等级。
三等级
低风险:大部分交易是低风险的,不需要拦截直接放行。
中风险的交易 是需要进行增强验证,确认是本人操作后放行。
高风险的交易则直接拦截。
四等级
四等级是在三等级的中和高之间增加一个中高风险等级,此类交易在用户完成增强验证后,还需要管理人员人工核实,核实 没问题后,交易才能继续。
五等级
在四等级的中风险和低风险之间增加一个中低风险等级。此类交易是先放行,但是需要进行事后核实。如果核实有问题,则执行退款,或者提升该用户的风险等级。
06、风控的数据基础
大数据是风控的基础,风控检验以及决策需要依赖于强大的数据基础。
数据来源
对于一个平台来说数据可以来自内部数据,也可以来自外部数据。
内部数据像用户信息数据,用户画像数据,用户行为数据,商品数据,设备数据等。
外部数据,像公安部的实名认证数据,央行征信数据,工商数据,芝麻信用数据等。
数据采集
可以从数据库的从库采集,也可以通过日志采集,外部数据可以接入三方数据接口获得,可能需要支付相应的费用。
数据的特征
动态与静态数据,原始数据与推算数据,离散数据与连续数据等,这里不再赘述,通过文案也能大概知道具体什么特点。
07、风控常见模型
规则模型
规则模型是常见的风控手段,比如限额,密码尝试次数限制,黑白灰名单限制等,基于规则配置校验业务行为,并执行风控策略,比如密码尝试5次错误后冻结用户账户。
场景:对应规则集合,一个场景包含若干条规则。
规则:是最小的决策单元,一个规则包含多个因子。
因子:因子是组成规则的最小逻辑单元。
其中场景与规则是一对多,规则和因子是一对多。
比如用户支付场景。
规则1:在黑名单中的用户拒绝支付。
规则2:支付输入密码控制,低风险用户可以输错5次,高风险用户可以输错3次,因子是用户风险等级和密码输错次数。
决策树模型
评分模型
就像芝麻信用,我们可以为每次风控校验,基于相关数据计算出一个诚信分数,根据分数值所在风险区间执行风控策略。
怎么决定选择什么样的风控模型呢,基于业务复杂程度和业务特点,建设难度:
规则模型
△图片来自网络
风控的运营模型
事前加强校验和审核
事中实时监控
事后案件处理
08、风控架构
架构设计要基于实际的业务需要,特别是风控系统,不像订单系统商品系统那么标准可参考,基于业务需要通常我们要包含接入层负责个业务系统的风控对接接入;运营平台负责风控规则配置,名单设置,事后事件的处理,事前的风控拦截处理等;数据层,对风控数据的存储查询以及管理,另外可以设置验证模块,统一提供给业务方做中高风险的强验证服务,比如验证码,人脸识别,避免业务方重复建设
下面是我搜集到的几个典型的风控系统架构,参考一下,根据公司具体业务,可以很方便的设计出适合的风控架构
△架构1
△架构2
△架构3
△架构4
△架构5
09、风控建设实施
业务定义
一切系统设计都基于实际业务模型,深入了解业务才能尽可能预测风险规避漏洞
风险定义
模拟风险,排雷,站在黑客角度思考哪里是利益点,可能存在漏洞,比如这个活动用户肯定有刷单动机,怎么规避
风险分解
将潜在风险进行拆解,找到可防可控的节点,各个击破,比如刷单风险,从用户注册,实名认证,设备id等综合分析可检测模型
风险策略
针对各个风险点,制定风控策略,比如同一个设备ID注册了3个账号,则将设备ID设置为中高风险,交易需要强验证或者人工干预
数据采集
有了模型之后就需要规划数据的采集和存储,比如采集用户信息,设备数据,交易行为数据等来拦截阻断用户刷单行为
风控建模
基于业务分析结果,选择风控模型,对业务风险进行风控建模
系统建设
完成系统的研发和业务接入
几个经验之谈
降低接入成本
当风控要保证账户操作环节的安全,可以让用户中心直接与风控系统对接。
即业务系统调用用户中心,用户中心再调用风控透传风控所需参数,而风控的决策也通过用户中心返回给业务后台。
这样的好处是只需要用户中心与风控对接一次,业务系统甚至不需要明显感知到风控的存在。同样的道理,与商户中心、支付环节的交互也可以采取类似的设计方法。这样的改造相当于把风险控制的“责任”从业务方移交给了中间件,即由中间件来保证提供安全的服务。这样理顺系统模块间的关系,从而降低整体开发成本。
验证中心高复用
拒绝不信任的,放行信任的。但还有不少情况是中间不足以确定的部分,常见的处理方法是需要让用户补充验证信息来辅助判断。最初实现的验证流程是:风控服务识别风险后返回决策给业务系统,由业务系统实现验证的完整交互过程。这样存在两个问题:
首先业务方很多,不同的业务需要重复实现验证流程,造成重复开发。
其次验证种类有很多,从较弱可信度的短信验证,到较高可信度的银行卡验证等——风控能返。
回什么样的决策受限于特定场景业务方的实现了什么验证支持。
这些问题对于业务和风控系统造成了不小麻烦。所以我们需要优化这一过程,让验证过程由一个独立的服务——验证中心来完成。业务系统从风控服务获得风险决策,再与验证中心交互完成验证。从风控的角度看,以前的处理方式称作“只管杀,不管埋”,优化后可以称之为“杀埋一条龙服务”。