同盾科技祝偉：支付相關(guān)的五個業(yè)務(wù)場景下的大數(shù)據(jù)風(fēng)控

大數(shù)據(jù) 大數(shù)據(jù)風(fēng)控支付祝偉

祝偉 | 2016-07-21 13:45

【數(shù)據(jù)猿導(dǎo)讀】在同盾科技聯(lián)合創(chuàng)始人祝偉看來，大數(shù)據(jù)風(fēng)控理念更側(cè)重于云端實時風(fēng)險分析，通過對用戶行為數(shù)據(jù)的關(guān)聯(lián)分析中發(fā)現(xiàn)蛛絲馬跡，從而阻止欺詐的進一步發(fā)生。本文祝偉將給大家分享支付的五個場景和欺詐風(fēng)險特征分析

同盾科技祝偉：支付相關(guān)的五個業(yè)務(wù)場景下的大數(shù)據(jù)風(fēng)控

本文根據(jù)“鈦坦白”第21期的公開課分享整理。

鈦客：祝偉，同盾科技聯(lián)合創(chuàng)始人兼反欺詐及基礎(chǔ)風(fēng)控部產(chǎn)品總監(jiān)。祝偉先生在網(wǎng)絡(luò)安全、反欺詐領(lǐng)域擁有超過8年的業(yè)務(wù)和管理經(jīng)驗。2010年加入阿里巴巴集團，曾先后任職于阿里云集團安全中心、阿里集團安全部，深度參與阿里巴巴集團多個安全及反欺詐核心產(chǎn)品的研發(fā)工作。現(xiàn)任在同盾科技負責(zé)反欺詐及基礎(chǔ)風(fēng)控產(chǎn)品的整體規(guī)劃與研發(fā)工作。

分享主題：基于大數(shù)據(jù)風(fēng)控的支付創(chuàng)新

下面是祝偉分享的干貨：

同盾創(chuàng)立于2013年，為合作伙伴提供包括賬戶反欺詐、信用反欺詐、交易反欺詐、支付反欺詐、營銷反欺詐等方面的反欺詐和風(fēng)控服務(wù)。今天我為大家分享一下同盾在支付風(fēng)控領(lǐng)域的一些經(jīng)驗。

大數(shù)據(jù)風(fēng)控是什么?

在我們看來，大數(shù)據(jù)風(fēng)控理念更側(cè)重于云端實時風(fēng)險分析，通過對用戶行為數(shù)據(jù)的關(guān)聯(lián)分析中發(fā)現(xiàn)蛛絲馬跡，從而阻止欺詐的進一步發(fā)生。

云端大數(shù)據(jù)風(fēng)控的魅力在于，即便用戶側(cè)已經(jīng)處于不安全狀態(tài)，比如用戶因木馬釣魚或因某網(wǎng)站被拖庫導(dǎo)致賬戶密碼等信息已發(fā)生泄漏，通過云端的數(shù)據(jù)關(guān)聯(lián)分析我們依然能判斷出賬戶異常，并立即作出響應(yīng)。

支付的五個場景和欺詐風(fēng)險特征分析

關(guān)于大數(shù)據(jù)風(fēng)控在支付行業(yè)的應(yīng)用，我們主要從如下場景展開分析：

場景1：注冊場景

對于有賬戶體系的支付，在注冊場景主要面臨垃圾注冊的欺詐風(fēng)險。那么欺詐者注冊這么多小號的目的是什么?就動機而言，我們的分析遵循利益誘導(dǎo)機制：第一，支付平臺可能通過營銷活動吸引新注冊用戶，注冊送紅包類似，對于欺詐者而言可以通過注冊很多小號而薅羊毛;第二，欺詐者通過注冊小號，為后續(xù)發(fā)起洗錢、盜卡等欺詐行為打伏筆。

欺詐風(fēng)險特征1：在用戶注冊時，當我們寄希望于用圖片驗證碼完成人機圖靈測試時，你會驚訝的發(fā)現(xiàn)黑色產(chǎn)業(yè)鏈上下游鏈條中，已出現(xiàn)打碼平臺這樣顛覆三觀的人力眾包平臺。你可以想象這樣的場景，一群閑來無事的大媽，悠然的坐在網(wǎng)吧，一遍織著毛衣一遍有償?shù)膸椭娔X那頭的黑產(chǎn)者看圖識碼。在這樣的攻擊方式下，圖片驗證碼依然淪陷成為擺設(shè)。應(yīng)對此類欺詐行為，我們在云端更多的分析用戶注冊行為的異常，舉例子而言，如當前注冊請求來源IP地址是否是代理、同一個設(shè)備上發(fā)起的注冊行為是否過于頻繁等。

欺詐風(fēng)險特征2：在用戶注冊時，當業(yè)務(wù)嘗試限制用戶只能通過手機號注冊，且要求進行手機下行短信驗證碼驗證時，這時黑產(chǎn)鏈條中不僅有打碼平臺，還有收碼平臺。通過收碼平臺，欺詐者以廉價的方式獲取非常多的虛假手機號進行注冊，且通過收碼平臺提供的收短信驗證碼的客戶端工具，欺詐者可以輕松繞過手機短信驗證碼環(huán)節(jié)。應(yīng)對此類欺詐行為，同盾通過積累的數(shù)千萬虛假手機號庫來進行識別，并有定期的清洗機制確保數(shù)據(jù)的精準性。

場景2：登錄場景

對于有賬戶體系的支付，在登錄場景主要面臨賬戶被盜和撞庫風(fēng)險。

首先，對于賬戶盜用風(fēng)險，往往用戶是因木馬釣魚或互聯(lián)網(wǎng)泄露數(shù)據(jù)等各種不安全操作，導(dǎo)致持有的賬密信息被盜取。欺詐者在獲取賬密信息后，會嘗試越權(quán)登錄訪問用戶支付后臺頁面，進而發(fā)起盜卡交易行為，如購置虛擬商品等，導(dǎo)致用戶賬戶資金損失。此外，越權(quán)訪問獲取支付賬戶的個人信息利用價值非常大，往往也會被欺詐者在黑產(chǎn)市場中反復(fù)交易利用。

對于賬戶撞庫風(fēng)險，無疑是任何平臺的夢魘。互聯(lián)網(wǎng)是個信息爆炸的時代，互聯(lián)網(wǎng)用戶在網(wǎng)絡(luò)上注冊開通了許許多多的應(yīng)用或網(wǎng)站服務(wù)。但由于人之初性本懶，許多人在不同網(wǎng)站的賬戶和密碼其實是同一個。那么會存在一個木桶短板效應(yīng)，只要其中某一個應(yīng)用或網(wǎng)站的安全性較弱導(dǎo)致被黑帽子攻陷，該網(wǎng)站的賬密數(shù)據(jù)庫進而發(fā)生泄漏，這個過程我們稱之為拖庫。

黑帽子在完成拖庫之后，進而會對數(shù)據(jù)進行清洗、封裝，并對一些有價值的平臺進行定向撞庫攻擊，即用已泄露賬密進行模擬登錄嘗試，嘗試成功即意味著單個賬戶撞庫成功。賬戶撞庫風(fēng)險的危害在于導(dǎo)致數(shù)據(jù)大規(guī)模性泄露，但與此同時黑產(chǎn)者攻擊的成本正隨著工具自動化而逐步降低。

欺詐風(fēng)險特征1：用戶登錄行為異常。我們曾通過規(guī)則模型實時計算出一個用戶兩次登錄時間間距小于2s，但根據(jù)登錄IP解析位置距離偏移卻超過10公里，如果是你會怎么看待這次登錄行為?當然，我們前提是通過一些IP技術(shù)排除掉運營商地址分配漂移的特殊情況。從實際情況來講，此類移動行為已超出載人工具的時速范圍，唯一的可能性是掛IP代理進行登錄，意圖隱匿登錄來源。當規(guī)則模型中檢測到此類異常行為，那么系統(tǒng)只會將欺詐風(fēng)險可能性提高。

欺詐風(fēng)險特征2：用戶登錄環(huán)境異常。尤其是在撞庫風(fēng)險過程中，黑產(chǎn)往往會使用成熟的工具程序進行批量模擬登錄接口。那么，通過同盾在登錄頁面布控的人機識別檢測程序，往往我們能發(fā)現(xiàn)登錄來源設(shè)備是缺失或者偽造，且用戶交互的行為存在明顯缺陷。

欺詐風(fēng)險特征3：用戶登錄習(xí)慣異常。通過長時間對用戶登錄行為的跟蹤分析，我們可以分析出賬戶常用設(shè)備、常用登錄地等行為習(xí)慣。在此數(shù)據(jù)分析基礎(chǔ)上，同盾提供一套可信設(shè)備體系，即對于在可信設(shè)備上的行為業(yè)務(wù)應(yīng)快速通過放行，而發(fā)生在非可信設(shè)備上的行為應(yīng)加入重點關(guān)注。這其實也是做大數(shù)據(jù)風(fēng)控所追求的，即在業(yè)務(wù)中讓好人有更好的用戶體驗，而讓壞人寸步難行。

場景3：綁卡場景

在用戶綁卡場景中，平臺通常已經(jīng)是從卡的維度進行風(fēng)險防控：第一，對卡進行卡號、身份證、姓名、預(yù)留手機的四要素驗證;第二，業(yè)務(wù)策略限制，為了防盜卡要求只能同卡進出。

其實即便要求同卡進出，還是會存在被欺詐者利用的風(fēng)險，這塊會在分享的最后案例中進行闡述。

在綁卡安全保護服務(wù)中，同盾會結(jié)合綁卡用戶信息、設(shè)備、IP等維度進行關(guān)聯(lián)分析，對于中介或者團伙的批量綁卡行為特征進行快速甄別。

場景4：支付場景

在支付場景中，平臺主要面臨的風(fēng)險是導(dǎo)致資損的盜卡支付及監(jiān)管層面要求的反洗錢反套現(xiàn)監(jiān)控。

盜卡支付風(fēng)險起因還是在于個人隱私信息泄露，很有可能你在綁卡的時候，你的銀行卡、密碼、CVV碼、身份證、手機號信息已經(jīng)在地下黑產(chǎn)轉(zhuǎn)賣了好幾手了?，F(xiàn)在也有很多黑產(chǎn)通過各種渠道如郵件或偽基站，發(fā)送釣魚鏈接誘導(dǎo)用戶主動送上自己的信息。洗錢套現(xiàn)行為更多是金融賬戶持有人側(cè)的違規(guī)行為，通過利用系統(tǒng)或者賬戶卡的漏洞空子，來達到經(jīng)濟上的收益。

欺詐風(fēng)險特征1：盜卡行為異常。沉默的支付賬戶突然發(fā)生一筆小額支付，成功后隨后若干次等額進行支付操作。此類行為往往具有高風(fēng)險性，欺詐者在盜卡成功后進行初次激活，在進行小額嘗試成功后進而進行批量的資金轉(zhuǎn)移。

欺詐風(fēng)險特征2：洗錢行為異常。通過對一周或者一個月內(nèi)的賬戶資金流入流出分析，如果資金的流動是密集集中在一些賬戶，而這些賬戶活躍的IP、設(shè)備是同一個或者相近的，那么風(fēng)險異常是非常高的。

場景5：信用支付場景

在大眾創(chuàng)業(yè)萬眾創(chuàng)新的今天，支付行業(yè)也在做不同的金融創(chuàng)新業(yè)務(wù)，如信用支付或分期類業(yè)務(wù)。

那么在信用支付場景中，除了欺詐風(fēng)險，我們更關(guān)注的是金融賬戶持有人的信用風(fēng)險。但根據(jù)不同階段，我們的關(guān)注點不一樣。在預(yù)授信階段，需要對金融賬戶進行貸前初審。而在已放款階段，需要對借款人進行貸后的持續(xù)跟蹤管理。

下面主要說下預(yù)授信階段：

首先，對借款人的基本身份信息進行分析驗證，舉一個例子，通過在同盾已服務(wù)的云端2000+的信貸行業(yè)客戶(包括小貸、P2P、消費金融、汽車金融、銀行等行業(yè)客戶)進行數(shù)據(jù)關(guān)聯(lián)分析，我們能識別出用戶是否在較多平臺使用了不同身份材料進行申請借貸，如果發(fā)現(xiàn)客戶使用過多材料，那么客戶為中介或者刻意規(guī)避的意圖會導(dǎo)致風(fēng)險指數(shù)較高。

其次，在同盾全局龐大失信名單庫中，我們會對借款人的不良歷史進行分析，如果借款人曾經(jīng)在法院存在失信或執(zhí)行等糾紛記錄或在同盾合作的信貸平臺有過逾期或者失聯(lián)等不良表現(xiàn)行為，那么這種用戶再次違約的風(fēng)險是高于正常用戶的。

此外，我們會在云端通過數(shù)據(jù)分析用戶近期是否在較多的平臺存在多頭申請和多頭負債的記錄，多頭申請數(shù)據(jù)可以預(yù)測用戶對資金的渴望，而負債數(shù)據(jù)則可以預(yù)測用戶的經(jīng)濟壓力，通過多頭申請及負債的具體計算數(shù)據(jù)我們可以進一步作出違約風(fēng)險的預(yù)測評判。

最后，通過對用戶申請環(huán)境的設(shè)備、IP、身份信息等多維度的復(fù)雜網(wǎng)絡(luò)關(guān)聯(lián)分析，我們可以進一步分析當前申請者是否可能是中介機構(gòu)或者欺詐團伙。

除了如上的不同業(yè)務(wù)場景風(fēng)險及對應(yīng)的同盾產(chǎn)品服務(wù)，同盾還為用戶提供設(shè)備指紋技術(shù)、代理掃描技術(shù)、欺詐情報產(chǎn)品、決策引擎產(chǎn)品。

在同卡進出業(yè)務(wù)策略下被欺詐利用的案例

欺詐場景中涉及到幾方包括基金理財平臺、支付通道、受害小白及欺詐者。在綁卡環(huán)節(jié)中，基金理財平臺做了銀行卡、姓名、身份證、預(yù)留手機的四要素驗證，并在業(yè)務(wù)限制策略上要求同卡進出。

對于欺詐者而言，首先會通過制作手機木馬釣魚軟件進行傳播，目前較多的是Android端。一旦有小白用戶手機不幸中招，那么該手機接受的校驗短信碼會被木馬釣魚軟件所攔截控制。欺詐者通過該方式能夠收集一批中招受控制的手機及號碼，隨后從黑市交易的泄露數(shù)據(jù)中進行篩選匹配，找出匹配的泄露銀行卡、姓名、身份證信息。之后通過理財平臺新注冊賬戶，并完成綁卡操作，注意綁定的是小白用戶信息。隨后通過基金理財平臺完成一筆5w元支付，購買基金或理財產(chǎn)品。受害小白用戶這時會莫名收到銀行卡被劃扣的短信通知，會顯得較為緊張。

欺詐者緊隨其后致電受害小白，當然電話號碼類似+95555這種，以銀行工作人員口吻告知小白其銀行卡賬戶異常，會幫助其進行處理。欺詐者隨后通過基金理財平臺贖回部分資金操作，以贏得小白客戶的信任。當小白用戶堅定欺詐者是銀行工作人員后，欺詐者就會開始再重復(fù)第一次購買行為，并告知小白用戶其賬號異常會實施凍結(jié)操作，并建議小白通過ATM機轉(zhuǎn)到安全賬戶，最終一起借助平臺實施的電信詐騙就順利的完成了。

在本案例中，雖然平臺做了嚴格的同卡進出的限制，但最終還是充當了一個騙子對用戶資金操作的通道，成為騙子的幫兇，整個過程中平臺的信息也通過短信驗證碼的方式暴露給受騙用戶，導(dǎo)致不必要的糾紛及品牌損失。

來源：鈦坦白

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責(zé)。