常见风控策略

#风控 #贷款 #反欺诈

引言

了解金融风控一共有3块内容：

1. 一是了解风控中金融常见业务规则的类型（大概有个认知便可）；
2. 二是了解对应架构是如何的（以携程为例，简单了解便可）；
3. 三是对一些金融中经常使用的策略模型算法解释，这部分是重点重点

风控金融的基本业务

1. 消费分期：惟品花、惟品贷、支付宝的花呗、携程金融拿去花、京东白条等。
2. 现金分期：蚂蚁的借呗、携程金融的借去花、京东金条等。
3. 理财产品：银行产品或者是第三方合做
4. 信用卡：银行合做
5. 供应链金融：上下游业务合做、银行合做

消费金融风险

• 消费金融风险大致能够分为可控风险和不可控风险，算法主要解决可控风险。如图所示：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Io42kktr-1600053144931)(https://s3-us-west-2.amazonaws.com/secure.notion-static.com/f3f3634c-a2d6-461c-9cc8-33800ad9ad5f/Untitled.png)]

1. 信用风险：借款人因各类缘由未能及时、足额偿还债务或而违约的可能性。
2. 欺诈风险：客户发起借款请求时无心还款，按照人数能够分为团伙欺诈和我的欺诈，欺诈者每每经过伪造身份信息、联系方式、设备信息、资产信息等方式实施欺诈。

• 按照客户流程来看，风控模型贯穿获客、准入、经营、逾期的整个客户生命周期。
  • 贷前信用风险模型
  • 贷中行为风险模型
  • 欺诈检测及贷后催收模型

金融风控的模型评分标准

• 行业内经常使用的是ABC三张评分卡。A卡、B卡、C卡分别表示：
  • A：申请评分卡(Application Score Card)：在获客过程当中用到的信用风险模型。
  • B：行为评分卡(Behavior Score Card)：即用户得到信用额度后，模型根据用户的贷中行为数据，进行风险水平的预测。
  • C：催收评分卡(Collection Score Card)：简单说就是怎样追债成功率会大一些。who、time、how much……(例如当用户出现逾期时，机构应该先催谁，或者哪些用户不用催，就自动会把钱还回来。催收模型必定程度节约催收成本，提升回催率）
• 要解决的关键点：
  • 反欺诈识别：根据用户提供的材料进行身份核实，确保用户不存在欺诈行为。
  • 信用评级：与传统银行的信用评分卡原理相似，数据维度更加丰富，包括社交数据、收入数据、行为数据等，断定用户的信用风险等级，评估用户的履约能力。
  • 风险等级：根据用户的负债能力和收入稳定性，判断用户可承担的月供金额，肯定客户的放款额度、偿还期限等，并根据用户风险等级肯定用户费率。
• 模型评估分三层;
  • 第一层：机器学习模型：经常使用的评估指标为KS，AUC等。
  • 第二层：风控层面：好比在不一样bucket层面，预测几率的排序性能。
  • 第三层：业务层面：拦截率、经过率、逾期表现等等。
• 数据特征：
  • 长尾分布：欺诈用户是极少的。
  • 对抗性显著：欺诈用户会想办法找出规则漏洞。
  • 模仿正常行为：欺诈用户会伪造消费流水、前期正常还款等行为，让公司放松警戒，当提额到必定程度后，便开始逾期。

欺诈风险类别

1. 以假冒贷款、假冒公检法、假冒开户、洗钱欺诈、非法集资、信用卡欺诈等形式为表明的电信诈骗类欺诈；
2. 针对银行APP等客户端进行木马、键盘钩子、SQL注入、截屏录屏等攻击，以冒充用户进行金融交易；
3. 机构内部违规带来的虚假开户、虚假交易、虚存虚贷等；
4. 利用高科技手段复制他人银行卡、信用卡进行的盗刷、伪卡提现，也就是帐户欺诈

反欺诈功能

1. 风险识别服务：根据用户的行为信息、软硬件环境信息、设备指纹等综合判断用户请求的风险程度：可信，可疑，风险，业务方会根据风险结果进行相应的处理：
   1. 可信–直接进入业务流程
   2. 可疑–图形/短信/邮箱验证
   3. 风险–直接拦截、离线分析
2. 风险防控功能：
   1. 防垃圾注册：注册是恶意帐号产生的源头，反欺诈服务能识别和打击网络上的“羊毛党”经过注册机和虚假手机号码、人工打码等方式批量注册的帐号，从而下降平台在登录、活动等场景的风险和压力。
   2. 防营销做弊：平台推广活动时，“羊毛党”、"刷单客"会经过批量注册、购买小号、，批量套取优惠，给平台形成没必要要的资金损失。反欺诈服务实时识别活动推广过程当中的做弊行为，让真正有价值的客户享受到活动奖励，提高营销效果。
   3. 防恶意登录：登录网络的欺诈分子会经过机器对帐户密码进行暴力破解，或利用互联网中大量泄露的用户名密码进行尝试，进一步得到帐户登陆权限。反欺诈服务实时对登录环节可能存在的风险进行检测和防控，从而有效防止用户信息泄露。
   4. 支付保护：登录网络的欺诈分子经过木马钓鱼等方式得到用户支付帐号信息并进行支付行为。反欺诈服务实时检测交易支付、转帐、提现等支付环节存在的异常状况，防止盗卡支付风险。
   5. 反垃圾服务：登录网络的欺诈分子利用互联网恶意群发大量的非法广告、黄色图片、违禁内容等，严重影响用户上网体验，阻碍网络健康发展。反欺诈服务经过大数据分析，实时自动过滤灌水贴、违规信息、站内垃圾消息等，从而提高整个网站UGC质量。
3. 欺诈威胁：
   1. 垃圾注册：平台推广拉新客户活动时，经常吸引网络上的"羊毛党"经过注册机和虚假手机号码、人工打码等方式批量注册一批帐号，进入平台批量套取优惠。
   2. 暴力破解：登录网络的欺诈分子会经过机器对帐户密码进行暴力破解，进一步得到帐户登陆权限，从而致使用户信息泄露及资金受损。
   3. 撞库：登录网络的欺诈分子利用互联网中大量泄露的用户名密码进行尝试，若是帐户、密码不幸在泄露库中，可能致使关联平台上的帐号被不法分子盗用。
   4. 营销做弊：平台推广活动时，欺诈分子会经过模拟器、虚假手机号码、人工打码等方式绕过平台验证，批量套取优惠，给平台形成没必要要的资金损失。
   5. 盗卡支付：登录网络的欺诈分子经过木马钓鱼等方式得到用户支付帐号信息并进行支付行为，致使用户资金损失，影响企业品牌形象。
   6. 垃圾内容：登录网络的欺诈分子利用互联网恶意群发大量的非法广告、黄色图片、违禁内容等，严重影响用户上网体验，阻碍社交网络的健康发展。

案例解析

场景1：帐户盗用

在支付环节，黑色产业集团每每经过社工方式和技术手段，盗取利用我的姓名、手机号码、身份证号码和银行卡号等直接关系帐户安全的要素，并进一步用于进行精准诈骗、恶意营销。虚假WiFi、病毒二维码、盗版APP客户端以及木马连接等是盗取用户私人信息的主要手段，得到的关键信息被收入数据库分类储存，其中，帐户信息（如游戏帐户、金融帐户）经过黑色产业链进行金融犯罪和变现，用户真实信息除了贩卖外，更多用于商城盗刷。某人会发现本身在某电商平台注册了一个新帐号并发生购买行为，但并不是本人所为，这极可能就是帐号盗刷行为。

• 盗刷过程：
  1. 放马：该团队在大学城周边，经过伪基站发送带有木马病毒连接的假装短信，该学生在点击连接后，用户名和密码均已泄露。
  2. 操盘：因为盗刷银行卡难度过高、风险较大，骗子在掌握这些信息后但愿经过商城购物实现变现。
  3. 洗料：注册完帐户，绑定银行卡以后，就会经过网上商城购买高价值物品，好比黄金饰品等。并经过对来电进行拦截或设置呼叫转移，使得商品到达欺诈团伙手中。
  4. 变现：经过地下黑色产业链销赃网络，将购买的物品变现、分赃。
• 反欺诈手段：
  • 首先经过用户行为序列发现购买记录异常。购物行为序列记录了该学生在平日购物时的购物金额、浏览时长、对比行为等。发现了购物金额不超过1000多元、平时要花时间进行同类对比、寻找优惠券的该学生，本次仅浏览了十分钟便下单购买昂贵的商品，立刻触发了预警。
  • 其次，生物探针技术发现本次购买行为与往常不一样。生物探针技术可以根据用户使用APP的按压力度、手指触面、滑屏速度等120多个指标，判断用户的使用习惯。所以能够检测出本次购物行为的异常使用状况。
  • 最后，关系知识图谱，经过用户关系估算用户信用，同时周围与之相关的信用影响到对该用户的信用评估。经过关系知识图谱分析发现该学生对本商品的需求并不高，所以也触发预警。

场景2：网络借贷

网络借贷的欺诈行为主要有中介代办、团伙做案、机器行为、帐户盗用、身份冒用和串联交易等。其中，身份冒用是比较常见的欺诈行为，它是指贷款人对提供的我的身份、财产证实等材料进行造假，甚至采用欺骗等违法手段获取他人信息，进而冒充他人身份骗贷。例如某中介公司经过QQ群招揽学生作兼职，给予学生一个手机卡，并要求学生拿这个手机卡去银行办理工资卡。中介以登记为由，获取银行卡信息、手机号、学生身份证、学籍、学历等信息，然后绑定卡向网贷平台申请多笔信贷业务。

• 反欺诈手段：
  • 一方面，利用人脸识别技术识别是不是借款人本人发起的申请，具体操做上利用视频画面截取申请人脸部特征，与身份证照片进行比对验证。但因为该网贷平台没有视频验证的流程，就须要配合精准画像等技术进一步验证。
  • 经过文本语义分析、用户行为分析、终端分析等等方法，刻画客户我的的特征，并用于网络贷款交易事前、事中、过后全过程的欺诈识别。例如，经过大数据分析投资者的行为轨迹发现，正常投资者会在申请的每一个节点都停留几秒，而数据分析发现欺诈者不到10秒钟就走完全部流程，正经常使用户完成整个贷款申请流程至少需5分钟，且该用户的申请时间是凌晨2点。根据对用户申请速度、申请时间的分析，就能够断定出来这我的应该是欺诈者，因而平台当即拒绝了其贷款申请。

场景3：识别羊毛党

羊毛党经常经过伪造大量身份进行操做，获取小额大量金额奖励，严重影响优惠活动正常推广。羊毛党的主要类型：

1. 第一类是我的纯手工进行薅羊毛的行为，这类行为每每因涉案金额和规模小，不易受到商家的重视；
2. 第二类利用商家网站或APP，使用外挂程序将薅羊毛过程彻底自动化；
3. 第三类经过破解后台接口创建虚假客户端进行薅羊毛；第四类是团伙羊毛党，一般是组织者利用QQ群、微信群指挥团伙成员薅羊毛，且这类薅羊毛行为呈现与平台、商家瓜分利益的趋势。

• 欺诈步骤：
  • 首先，利用虚假号码进行批量注册，有些还会配合模拟器或IP地址修改工具进行；
  • 其次，利用上述帐号进行集中的批量扫货下单；
  • 最后，将买到的明显低于市场价格的商品，以比较合理的价格倒手卖出，赚取差价。
• 反欺诈方法：
  • 首先，利用黑名单技术筛选疑似羊毛党的用户，若命中黑名单则直接拦截。在此基础上，综合运用设备指纹技术和机器学习技术识别羊毛党的欺诈行为。
  • 一是利用设备指纹技术识别出部分羊毛党在一台终端设备上登陆上千个PIN码进行操做，同时发现出现大量金额刚好为80元的订单，据此判断存在欺诈的可能。
  • 二是利用机器学习技术对用户的购物行为、交易习惯、交易次数等数据进行综合分析后，判断该用户是否为羊毛党。

手机银行盗窃

某公司员工打开手机邮箱，发现一封主题为会议邀请的邮件。打开会议邀请，提示可经过扫描邮件二维码注册信息，该员工对会议主题很感兴趣就用手机扫描了二维码并填写相关信息报名参会，几天后，发现本身网银帐户中的两万元钱被盗。

事实上，会议邀请彻底是骗子编造的钓鱼邮件，而二维码被植入木马病毒，该恶意控制应用会偷偷申请手机权限，隐藏图标，进而控制受害者手机，手机里的敏感信息进而被回传到骗子的邮箱，骗子经过后台登陆受害者的网银帐户，将钱款转移。

• 反欺诈方法：
  • 生物探针技术，能够在用户操做手机APP时采集到包括手指触面、线性加速度、触点间隔等数百个行为指标，根据历史行为数据，经过机器学习计算专属行为模型，在用户操做手机时，能够将其当前操做习惯同历史模型比对，判断这我的是否为风险用户，实现用户的身份断定。这项技术应用于反欺诈和防盗刷的场景中，将能减小甚至避免风险事件的发生。在上面提到的案例中，若是应用了生物探针技术，将可以及时识别欺诈分子的恶意登陆行为，并阻止转帐行为的发生。

伪卡盗刷

伪卡盗刷是信用卡欺诈的最主要类型。2016年信用卡欺诈损失以伪卡交易为主，且占比较上年有所上升，其次是虚假身份、互联网欺诈；借记卡欺诈的主要类型则是电信诈骗，其次是互联网欺诈、伪卡盗刷。所谓伪卡盗刷，是指不法分子将银行卡磁条信息侧录，包括帐号密码等，再利用这些信息复制出一张伪卡，用伪卡在POS机、ATM机上实施盗刷。

• 该案犯罪嫌疑人伙同他人共同研发出了侧录银行卡磁道信息及支付密码的芯片，而后用虚假商家身份骗取网络支付公司信任，申办了10余台POS机，把芯片嵌入POS机中完成改装，再经过支付公司代理人，将改装后的POS机推销到某些消费场所。持卡人用上述POS机刷卡支付时，其银行卡帐户信息、支付密码等数据就会被芯片侧录、窃取。此后，犯罪嫌疑人会以维修为借口，按期从芯片中导出数据，利用这些数据在境外制做“伪卡”，再拿伪卡回境内取现、消费。

Reference

1. 风控策略产品经理：金融风控的业务规则与策略模型（认知） https://zhuanlan.zhihu.com/p/66081421
2. 数字反欺诈在几个不一样金融场景中的应用 https://zhuanlan.zhihu.com/p/69895079
3. 帐户被盗用，信用卡被盗刷？看反欺诈系统如何“活捉”始做俑者 https://cloud.tencent.com/developer/news/540662
4. 阿里云反欺诈服务介绍 http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/pdf/antifraud-product-description-cn-zh-2016-05-12.pdf