雷锋网按:本文原发表于,作者为@datavisor黄姐姐。雷锋网已获授权转载。
根据人民银行在2015年发布的《关于促进互联网金融健康发展的指导意见》的定义:互联网金融是传统金融机构与互联网企业利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。
根据央行妈妈的定义,互金的范围比较广:p2p、第三方支付、现金贷、消费贷均可位列其中。本文主要以消费金融为例,阐述如何揭露互金的套路(欺诈)以及如何反套路(反欺诈)。
不知道各位是否听到过这样的牛逼:
1. 我司技术厉害得一比,能适用所有欺诈场景;
2. 我司有大量黑名单和设备指纹,能够实现联防联控,即使行业不同,对你们一定有帮助;
这是目前反欺诈行业的两个派系(技术派和数据派)最为广泛的牛逼。然而,黄姐姐要说:你们省省吧!
脱离了业务的反欺诈都是耍流氓!
话说,你不懂客户的业务,心心念念的都是自己有什么,以进行强行推销,只会让客户反感。你应该做的,是去了解,客户需要什么!
那么,如何站在客户的视角看问题?如何理解客户的痛点?如何解决客户的难题?且听黄姐姐娓娓道来。
#step 1: 背景调查(或黑产研究)
一个成熟的项目团队,一定要有负责黑产研究的人,所谓“知己知彼,百战不殆”。对于黑产的研究,可以分为初级和高级两个级别:
初级:
1)qq群:可以通过搜索相关产品的qq群,进入黑产交流群;
2)微信群:微信群不能够通过搜索,需要通过其他方式获得到某一个黑产人员的微信,再慢慢进入其圈子;
3)贴吧:相关产品的交流群;
4)新闻:整个大行业的市值,遭遇黑产的情况;
5)公众号:揭露黑产的公众号(为了避免广告之嫌,就不提名字了);
高级:
1)养号:运营一个黑产账号,微信和qq同步,转发各种薅羊毛和骗贷信息;
2)卧底:潜伏在各个黑产群,转发各个渠道获得的骗贷口子,建立信誉;
3)熟人:与群内活跃分子搞好关系,要知道,最高级的群都是需要熟人介绍才能进入的(黑产也担心卧底和公安局经侦人员侦查)
以下以消费分期为例说明卧底的问话技巧。为了不暴露黄姐姐卧底多年的账号,就不上截图了。摘取片段如下:
【某消费分期黑产群】
黄姐姐:各位大佬,手头紧,江湖救急,有口子可撸吗?
坏人:回收额度,走平台,安全放心,来不?
黄姐姐:怎么做?会上征信吗?上征信的不玩(假装在乎征信,骗取信任)
坏人:不上
黄姐姐:几折?(假装在乎手续费)
坏人:看情况,苹果手机9.2折,其他手机8.3折;
黄姐姐:买不起,额度没那么高,就2500;
坏人:(发来两个连接)799的手机买两部,899的买一部(总价2497<2500)
黄姐姐:必须买这两个吗?你们都是必须指定吗?(套品类和型号信息)
坏人:说实话,899的更好卖,但是你钱不够。(有倾向)
黄姐姐:直接寄给你啊?(套取订单收货人信息)
坏人:对,xx市xx区xx手机城 王小明收 13900000000(暴露了个人地址、姓名、亚博平台app下载的联系方式)
至此,你得到了一种套现手法,分析如下:平台老客,集中在某个群,集中购买某几个商品(3c产品是重灾区),邮寄给同一个人。
#step 2:业务特征衍生
通过卧底,你可能已经掌握了多种骗贷和套现手法。现在,黄姐姐还是拿上面这个例子举例,如何根据卧底情况做特征工程,或者埋点。
关键词一: 两个链接
关键特征:
1)下单渠道:是否是qq唤醒?微信唤醒?还是通过搜索关键词浏览了某个商品下单?
2)浏览时间:通过坏人发给你的链接下单,对商品的浏览时间会短得多;
3)加入购物车 vs 直接购买?
4)下单前浏览页面品类:下单前数个页面(比如200个页面)的浏览品类统计,跟下单商品的关联性;
关键词二:899的更好卖
关键特征:
1)易套现商品标签——3c重灾区;
2)某个时间段内型号销量——销量越大,越容易出手;
关键词三:直接寄给你?
关键特征:
1)历史收货信息比对:收货人、手机号、地址比对,是否历史上从未出现过?
2)是否多人共用地址:是否有多个订单邮寄到某个共用地址?地址模糊匹配,地址相似度计算、特殊字符、记号识别等;
3)是否有多个相同商品寄往同一收货人:收货人姓名、地址、手机号是否匹配?
关键词四:799的手机买两部,899的买一部
关键特征:
1)额度使用率:我有2500额度,购买商品总价2497,刚好用完;
关键词五:手机城
关键特征:
1)地址是否是零售商:很多套现是通过零售商变现,为此,所有手机城、电脑城、赛格、华强北等关键词都是监管重点;
至此,与此场景相关的特征衍生完成。
#step 3: 风险点标注
通过卧底,你能够对目前产品的欺诈情况有一个初步的了解。接下来,你需要系统梳理每一步的风险点,并做标记。为此,黄姐姐同样以某消费分期产品为例做一个梳理,红色小旗和小人为重要风险点:
这个过程,一定要是除了产品经理以外的人来做,否则产品经理自己设计的流程,容易陷入固定思维模式。这一过程,就是乱点,乱试,乱想,把自己当成坏人,想办法从各个环节去破解风控规则,或制造攻击点。由于此流程较长,仅举三个例子作为说明:
1. 手机号所在地解析/身份证区域解析/申请地址解析:我们遇到过这样一个团伙,手机号和身份证全部集中在甘肃、江西、云南三个省份,注册地全部在深圳市。有理由怀疑,这是一个团伙,到外地收四要素,回到深圳本地做大规模骗贷;
2. 身份证验证:身份证是以“从图库上传”还是“拍摄”方式录入系统?拍摄的像素如何?是否是拍摄实体身份证,还是有拍摄屏幕照片的网格?一共传过几次身份证?是横向还是纵向?
3. wifi list:埋点读取用户可连接wi-fi list,同时获取连接wi-fi的name,是否有几个人的可连接wi-fi
list相同?要知道,ip和gps都可以通过模拟器篡改,而可连接wi-fi 的list,则很容易被黑产忽略掉。
#step 4: 模型分析
伟大的小平爷爷有一句话:不管黑猫白猫,能抓到老鼠就是好猫。这句话用在风控领域再合适不过。事实上,通过对卧底、特征工程和对整个流程的梳理分析,你已经完成了反欺诈的80%,剩下的20%就是选择一个合适的模型去识别欺诈。而每一个算法都有其优势和劣势,没有好坏,只有是否合适。只要能够有助于识别和分析坏人,就是好的算法。对于有标签的数据,毫无疑问,选择有监督;而对于无标签的欺诈,或者只是step 3中你自己yy出来的欺诈模式,则只能采用无监督方式。事实上,这也是为什么无监督越来越受风控专家青睐的原因。此外,如果再利用apriori算法对团伙做进一步分析,还能够自动生成一些规则,发现团伙更为隐蔽的关联。