管薇薇
(中國(guó)銀行江蘇省分行風(fēng)險(xiǎn)管理部,江蘇 南京 210000)
互聯(lián)網(wǎng)金融在提升服務(wù)效率的同時(shí),也大大降低了金融欺詐的成本。在互聯(lián)網(wǎng)貸款審批高度自動(dòng)化的趨勢(shì)下,業(yè)務(wù)流程中的人工干預(yù)環(huán)節(jié)也越來(lái)越少,這在無(wú)形之中提高了網(wǎng)貸欺詐的成功率。網(wǎng)貸欺詐是指借款人惡意利用網(wǎng)貸產(chǎn)品的業(yè)務(wù)流程、審批規(guī)則和網(wǎng)絡(luò)安全等漏洞,通過(guò)虛構(gòu)事實(shí)或者隱瞞事實(shí)真相等的方法,達(dá)到非法騙取授信額度,再迅速轉(zhuǎn)移貸款資金的行為。
隨著網(wǎng)貸市場(chǎng)的不斷發(fā)展,網(wǎng)貸欺詐的出現(xiàn)也逐漸從單一的、偶發(fā)性的事件逐漸發(fā)展成為規(guī)?;摹⒔M織化的黑色產(chǎn)業(yè)。很多網(wǎng)貸黑產(chǎn)組織內(nèi)部有明確的職責(zé)分工,并有一套完整的騙貸解決方案,這種網(wǎng)貸黑產(chǎn)組織的欺詐手段呈現(xiàn)專業(yè)化、智能化、集團(tuán)化的特點(diǎn),且其網(wǎng)貸欺詐過(guò)程手段多樣、隱秘性強(qiáng),使得眾多金融機(jī)構(gòu)和互聯(lián)網(wǎng)金融平臺(tái)的資產(chǎn)受到了嚴(yán)重侵害。
此外,網(wǎng)貸欺詐有很強(qiáng)的擴(kuò)散性,一旦提供網(wǎng)貸服務(wù)的金融機(jī)構(gòu)在業(yè)務(wù)流程的設(shè)計(jì)中出現(xiàn)了反欺詐漏洞,各種黑產(chǎn)團(tuán)伙便會(huì)群攻而上,能夠在很短時(shí)間內(nèi)成功通過(guò)大量網(wǎng)貸業(yè)務(wù)的審批,而金融機(jī)構(gòu)或者互聯(lián)網(wǎng)金融平臺(tái)往往都來(lái)不及應(yīng)對(duì),瞬間資產(chǎn)損失慘重,甚至可能直接導(dǎo)致某些規(guī)模較小的互聯(lián)網(wǎng)金融平臺(tái)因此倒閉。
做好網(wǎng)貸反欺詐的第一步是要了解悉網(wǎng)貸欺詐的作案方式及常見(jiàn)作案手段,與單個(gè)分散的網(wǎng)貸詐騙相比,網(wǎng)貸黑產(chǎn)的團(tuán)伙作案方式更具破壞性。網(wǎng)貸黑產(chǎn)團(tuán)伙的作案呈現(xiàn)組織化、規(guī)?;?、流程化的特點(diǎn),且通常具有一整套標(biāo)準(zhǔn)化的“解決方案”,主要包括:申請(qǐng)人身份包裝、線上申請(qǐng)行為部署、網(wǎng)貸產(chǎn)品漏洞針對(duì)性攻擊。
網(wǎng)貸的業(yè)務(wù)是依托互聯(lián)網(wǎng)渠道的純線上貸款產(chǎn)品,申請(qǐng)全程沒(méi)有人工干預(yù)。雖然網(wǎng)貸產(chǎn)品通過(guò)實(shí)名驗(yàn)證、人臉識(shí)別、大數(shù)據(jù)征信等先進(jìn)技術(shù)對(duì)申請(qǐng)人身份進(jìn)行驗(yàn)證和核實(shí),但網(wǎng)貸黑產(chǎn)對(duì)申請(qǐng)人的身份包裝手法也是不斷完善升級(jí)。由于申請(qǐng)人身份審核是網(wǎng)貸申請(qǐng)成功的第一步,因此在網(wǎng)貸黑產(chǎn)團(tuán)伙實(shí)施欺詐前會(huì)首先構(gòu)建一套符合網(wǎng)貸產(chǎn)品申請(qǐng)人身份準(zhǔn)入要求的資料,申請(qǐng)人身份包裝的要素一般包含身份信息、手機(jī)實(shí)名驗(yàn)證、信用卡信息、工作單位信息、社保公積金賬戶信息、手機(jī)通話記錄等。有些身份信息要素的包裝需要花費(fèi)較長(zhǎng)的時(shí)間去包裝,對(duì)網(wǎng)貸黑產(chǎn)來(lái)說(shuō),這種時(shí)間投入叫做“養(yǎng)號(hào)”。通過(guò)“養(yǎng)號(hào)”包裝出來(lái)的申請(qǐng)人身份往往很難與真實(shí)申請(qǐng)人身份做區(qū)分,這是網(wǎng)貸反欺詐中的一個(gè)難點(diǎn)問(wèn)題。
一旦申請(qǐng)人身份包裝準(zhǔn)備完畢后,網(wǎng)貸欺詐團(tuán)伙就開(kāi)始正式的線上網(wǎng)貸業(yè)務(wù)申請(qǐng)了。在經(jīng)歷了幾年的市場(chǎng)摸索和經(jīng)驗(yàn)積累后,現(xiàn)在的網(wǎng)貸產(chǎn)品基本都部署了自己的反欺詐規(guī)則和模型,尤其是在線上申請(qǐng)行為的分析上,網(wǎng)貸產(chǎn)品內(nèi)置的反欺詐模型會(huì)對(duì)每個(gè)申請(qǐng)人的操作步驟、時(shí)間、路徑等都會(huì)做實(shí)時(shí)的反欺詐分析,一旦發(fā)現(xiàn)可疑申請(qǐng)行為,都會(huì)阻斷申請(qǐng)流程。然而,網(wǎng)貸欺詐黑產(chǎn)也在不斷總結(jié),很多黑產(chǎn)組織已經(jīng)形成了一套對(duì)抗反欺詐規(guī)則完整策略,并且還定期對(duì)策略“優(yōu)化升級(jí)”。
網(wǎng)貸黑產(chǎn)在挖掘一個(gè)新的網(wǎng)貸產(chǎn)品之前,通常會(huì)先對(duì)網(wǎng)貸產(chǎn)品的產(chǎn)生背景進(jìn)行調(diào)查,即網(wǎng)貸產(chǎn)品的模型構(gòu)建團(tuán)隊(duì)和產(chǎn)品設(shè)計(jì)思路。調(diào)查網(wǎng)貸產(chǎn)品的產(chǎn)生背景,主要是看有沒(méi)有可復(fù)制的模式。例如,一個(gè)招商銀行的人出來(lái)創(chuàng)業(yè),其風(fēng)控規(guī)則可能就與招商銀行類似。然后再看能否找到內(nèi)部人,如果有內(nèi)鬼幫忙則能節(jié)省大量試錯(cuò)成本。在了解了網(wǎng)貸產(chǎn)品的產(chǎn)生背景后,網(wǎng)貸黑產(chǎn)就可以抓住網(wǎng)貸產(chǎn)品設(shè)計(jì)上的漏洞進(jìn)行針對(duì)性攻擊。由于網(wǎng)貸產(chǎn)品漏洞的針對(duì)性攻擊不存在普遍性。
上述三種網(wǎng)貸欺詐手段構(gòu)成了一套完整的網(wǎng)貸欺詐部署策略。了解和熟悉網(wǎng)貸黑產(chǎn)的反欺詐作案手段是做好網(wǎng)貸反欺詐的前提。
網(wǎng)貸反欺詐的具體實(shí)現(xiàn)方法上每家金融機(jī)構(gòu)做法不盡相同,對(duì)規(guī)模較小的金融機(jī)構(gòu)或互聯(lián)網(wǎng)金融平臺(tái)來(lái)說(shuō),受制于技術(shù)和人才的因素,采用直接購(gòu)買外部專業(yè)的反欺詐規(guī)則庫(kù)可能是性價(jià)比最高的選擇(如:同盾反欺詐規(guī)則庫(kù)這類),本文部對(duì)此類做法不做詳細(xì)闡述。另一些規(guī)模較大的金融機(jī)構(gòu)或互聯(lián)網(wǎng)金融平臺(tái),在具備技術(shù)和人才實(shí)力的基礎(chǔ)上,可以自主構(gòu)建反欺詐規(guī)則或模型,這樣有利于未來(lái)反欺詐規(guī)則的積累和迭代優(yōu)化。
從上文對(duì)網(wǎng)貸欺詐特點(diǎn)和作案手段的分析來(lái)看,做好網(wǎng)貸反欺詐需要處理好三個(gè)關(guān)鍵問(wèn)題:一是要有大量的數(shù)據(jù)作為欺詐行為分析的數(shù)據(jù)基礎(chǔ);二是需要構(gòu)建能精準(zhǔn)識(shí)別欺詐行為的模型;三是需要構(gòu)建良好的反欺詐策略。
反欺詐的數(shù)據(jù)采集包括兩類:一類是非實(shí)時(shí)的數(shù)據(jù)采集,與平臺(tái)模型的數(shù)據(jù)準(zhǔn)備一樣,可以提前搜集好;另一類是實(shí)時(shí)采集數(shù)據(jù),又叫埋點(diǎn)數(shù)據(jù),需要在網(wǎng)貸申請(qǐng)人申請(qǐng)網(wǎng)貸產(chǎn)品時(shí)跟隨申請(qǐng)人的操作流程實(shí)時(shí)采集,因此采集的數(shù)據(jù)量大、時(shí)效性強(qiáng)。
對(duì)于非實(shí)時(shí)采集的數(shù)據(jù),可以通過(guò)業(yè)務(wù)人員經(jīng)驗(yàn)、欺詐事件的積累等做好數(shù)據(jù)采集清單。根據(jù)前文對(duì)網(wǎng)貸欺詐手段的分析中,我們可以總結(jié)出以下需要提前做好數(shù)據(jù)采集清單:
1.中介常用的軟件列表:包括清機(jī)軟件、定位軟件等,還需考慮每個(gè)軟件對(duì)操作系統(tǒng)的要求。
2.同類網(wǎng)貸產(chǎn)品列表:市場(chǎng)上類似的網(wǎng)貸產(chǎn)品名稱、產(chǎn)品所屬的金融機(jī)構(gòu)名稱、產(chǎn)品的推出時(shí)間等。
3.知名企業(yè)名單:申請(qǐng)人所在地的大型企業(yè)、事業(yè)單位等(網(wǎng)貸黑產(chǎn)往往會(huì)把申請(qǐng)人包裝成大企業(yè)或事業(yè)單位的員工)。
4.合作的渠道信息:包括合作渠道日常的流量情況、是否有線下地推的配合、渠道正在開(kāi)展的推廣活動(dòng)等信息。
5.當(dāng)?shù)貍€(gè)體工商戶的名錄:可通過(guò)對(duì)接工商信息驗(yàn)證(網(wǎng)貸黑產(chǎn)有時(shí)也會(huì)把申請(qǐng)人包裝成個(gè)體工商戶)。
對(duì)于實(shí)時(shí)數(shù)據(jù)采集,則更多的要考慮申請(qǐng)人線上申請(qǐng)的操作行為,根據(jù)網(wǎng)貸產(chǎn)品特征和網(wǎng)貸欺詐申請(qǐng)行為特征設(shè)置線上數(shù)據(jù)采集埋點(diǎn),一般需要采集的實(shí)時(shí)數(shù)據(jù)包括:
一是申請(qǐng)渠道信息:讀取申請(qǐng)人本次申請(qǐng)的渠道來(lái)源,是app、網(wǎng)頁(yè)、二維碼推薦還是合作導(dǎo)流渠道。
二是實(shí)時(shí)地址信息:申請(qǐng)人當(dāng)前操作的IP地址、手機(jī)定位、申請(qǐng)?jiān)O(shè)備MAC地址等。
三是操作時(shí)長(zhǎng):申請(qǐng)人當(dāng)前頁(yè)面的停留時(shí)間、當(dāng)前操作的用時(shí)等。
四是操作持續(xù)信息:申請(qǐng)人當(dāng)前操作的上一步/下一步操作是什么、與本次操作間隔時(shí)長(zhǎng)多久、有無(wú)步驟反復(fù)等。
五是讀取應(yīng)用列表:在獲得申請(qǐng)人授權(quán)的情況下讀取客戶安裝的app清單,提取安裝的小貸軟件、清機(jī)軟件、定位軟件等信息。
由于反欺詐模型對(duì)判斷的實(shí)時(shí)性要求很高,因此實(shí)時(shí)的反欺詐模型一般是通過(guò)比對(duì)規(guī)則庫(kù)的形式來(lái)實(shí)現(xiàn)。而非實(shí)時(shí)的反欺詐模型建設(shè)一般會(huì)通過(guò)已發(fā)生過(guò)的大量申請(qǐng)數(shù)據(jù)構(gòu)建算法來(lái)進(jìn)行,然后再將模型結(jié)果以規(guī)則庫(kù)的形式在實(shí)時(shí)反欺詐識(shí)別中應(yīng)用。因此,不論是實(shí)時(shí)的反欺詐模型還是非實(shí)時(shí)反欺詐模型結(jié)果的應(yīng)用,最終大多以規(guī)則庫(kù)的形式在網(wǎng)貸產(chǎn)品用于識(shí)別網(wǎng)貸欺詐。
反欺詐規(guī)則庫(kù)一般是提前集中部署的一類規(guī)則庫(kù),并設(shè)定有相應(yīng)的參數(shù)和觸發(fā)閾值。通過(guò)將申請(qǐng)人的信息或行為與反欺詐規(guī)則庫(kù)做比對(duì),命中的被識(shí)別為欺詐行為,未命中的則判斷為非欺詐行為。這類規(guī)則庫(kù)的構(gòu)建可以分為以下幾類:
1.相似性規(guī)則。如:手機(jī)號(hào)與虛擬號(hào)段編號(hào)規(guī)則相似。
2.集中性規(guī)則。如:某一時(shí)間段發(fā)生集中的注冊(cè)/申請(qǐng),或某一個(gè)IP集中注冊(cè)。
3.一致性規(guī)則。如:申請(qǐng)人信息是否與黑名單或多頭借貸一致,申請(qǐng)?jiān)O(shè)備是否與曾發(fā)生過(guò)欺詐的設(shè)備信息一致。
4.稀有性規(guī)則。如:某一群組都采用少見(jiàn)的iPhone 5C登錄;
5.陳舊性規(guī)則。如:采用很久之前的舊版app申請(qǐng),或使用老舊的手機(jī)型號(hào)或操作系統(tǒng)申請(qǐng)。
6.非常規(guī)性規(guī)則。如:申請(qǐng)時(shí)間都是夜間或凌晨,申請(qǐng)操作路徑總是為最短路徑且用時(shí)極短。
反欺詐模型的構(gòu)建思路是從數(shù)據(jù)中提取客戶多維度異常模式,探索大數(shù)據(jù)反欺詐規(guī)則,并逐步實(shí)現(xiàn)智能、主動(dòng)、精準(zhǔn)、全覆蓋的異常識(shí)別功能。因此,在非實(shí)時(shí)的反欺詐模型中需要引入大數(shù)據(jù)、機(jī)器學(xué)習(xí)等算法挖掘深層的隱含信息,再將非實(shí)時(shí)反欺詐模型的結(jié)果提煉成規(guī)則用于實(shí)時(shí)的反欺詐識(shí)別中。
與一般的模型策略部署思路類似,反欺詐模型在策略部署上也分為準(zhǔn)入、評(píng)分和貸后監(jiān)控三部分。三部分策略部署重點(diǎn)不同:準(zhǔn)入策略屬于“一票否決”式策略;評(píng)分策略用于對(duì)欺詐可能性的概率大小判斷;貸后監(jiān)控則是通過(guò)對(duì)貸款申請(qǐng)成功后的資金流向、還款情況等進(jìn)行持續(xù)的反欺詐判斷。
準(zhǔn)入策略中常用的規(guī)則包括:身份驗(yàn)證、黑單驗(yàn)證、多頭借貸判斷、第三方反欺詐評(píng)分等。對(duì)于身份驗(yàn)證和黑名單驗(yàn)證,一般是命中后立刻做拒絕處理;對(duì)多頭借貸和第三方反欺詐評(píng)分這類,一般是設(shè)定不同觸發(fā)閾值,例如:多頭借貸的機(jī)構(gòu)數(shù)大于3家直接拒接,2至3家轉(zhuǎn)入人工判斷,2家以下準(zhǔn)入通過(guò)。
反欺詐評(píng)分是對(duì)欺詐行為的綜合判斷后給出的評(píng)分結(jié)果,反欺詐評(píng)分在使用上可以作為客戶評(píng)分的一部分,也可以單獨(dú)使用。值得注意的是,反欺詐評(píng)分往往是對(duì)申請(qǐng)行為的持續(xù)分析得出的結(jié)果,是對(duì)無(wú)法通過(guò)單一規(guī)則判斷的欺詐行為的預(yù)測(cè)。例如,反欺詐評(píng)分卡可能會(huì)綜合每一步的IP是否一致、每一步的操作設(shè)備是否一致、整體申請(qǐng)用時(shí)、申請(qǐng)行為操作路徑等數(shù)據(jù)給出申請(qǐng)人的欺詐概率評(píng)分。在反欺詐評(píng)分應(yīng)用時(shí),一般也是劃分分值區(qū)間部署對(duì)應(yīng)的通過(guò)、轉(zhuǎn)人工或拒接處理。
貸后監(jiān)控中的反欺詐是對(duì)客戶貸款申請(qǐng)成功后的欺詐可能性所做的持續(xù)跟蹤判斷。由于很多網(wǎng)貸欺詐申請(qǐng)者在貸款申請(qǐng)成功后的一段時(shí)間內(nèi)會(huì)故意制造正常消費(fèi)、還款的假象,因此在欺詐行為會(huì)存在一段潛伏期。因此反欺詐工作也不能在放款完成后就終止,而是需要繼續(xù)對(duì)申請(qǐng)人的提款行為、資金流向、還款行為等進(jìn)行監(jiān)控,并構(gòu)建貸后反欺詐規(guī)則庫(kù)來(lái)及時(shí)做好預(yù)警提示,以盡可能減少欺詐發(fā)生后的損失。
網(wǎng)貸反欺詐方案不僅要考慮反欺詐的效果,還要同時(shí)考慮客戶體驗(yàn)問(wèn)題,在設(shè)計(jì)線上反欺詐規(guī)則、模型和策略時(shí)應(yīng)當(dāng)確保在很短時(shí)間內(nèi)做出欺詐行為的判斷,盡可能做到反欺詐識(shí)別的客戶無(wú)感化。此外,網(wǎng)貸欺詐與反欺詐問(wèn)題永遠(yuǎn)是一個(gè)“道高一尺魔高一丈”的過(guò)程,因此,反欺詐規(guī)則、模型和策略部署也需要不斷跟隨欺詐手段的更新而變化才能適應(yīng)復(fù)雜而多變的網(wǎng)貸市場(chǎng)。此外,網(wǎng)貸反欺詐還需要線上、線下配合開(kāi)展,僅僅依賴線上反欺詐解決方案往往很難達(dá)到良好的效果。
隨著近年來(lái)互聯(lián)網(wǎng)金融和消費(fèi)金融的快速發(fā)展,不僅是互聯(lián)網(wǎng)金融平臺(tái)在推進(jìn)網(wǎng)貸業(yè)務(wù)模式,許多傳統(tǒng)的金融機(jī)構(gòu)也不斷將貸款業(yè)務(wù)向線上轉(zhuǎn)移。盡管網(wǎng)貸業(yè)務(wù)在發(fā)展之初遇到了網(wǎng)貸欺詐這類妨礙其健康發(fā)展的阻力,但我們相信通過(guò)新技術(shù)的應(yīng)用和網(wǎng)貸行業(yè)自身的積累和探索,網(wǎng)貸欺詐的黑產(chǎn)終究會(huì)難以生存下去。