管薇薇

（中國(guó)銀行江蘇省分行風(fēng)險(xiǎn)管理部，江蘇 南京 210000）

一、網(wǎng)貸欺詐的特點(diǎn)

互聯(lián)網(wǎng)金融在提升服務(wù)效率的同時(shí)，也大大降低了金融欺詐的成本。在互聯(lián)網(wǎng)貸款審批高度自動(dòng)化的趨勢(shì)下，業(yè)務(wù)流程中的人工干預(yù)環(huán)節(jié)也越來越少，這在無形之中提高了網(wǎng)貸欺詐的成功率。網(wǎng)貸欺詐是指借款人惡意利用網(wǎng)貸產(chǎn)品的業(yè)務(wù)流程、審批規(guī)則和網(wǎng)絡(luò)安全等漏洞，通過虛構(gòu)事實(shí)或者隱瞞事實(shí)真相等的方法，達(dá)到非法騙取授信額度，再迅速轉(zhuǎn)移貸款資金的行為。

隨著網(wǎng)貸市場(chǎng)的不斷發(fā)展，網(wǎng)貸欺詐的出現(xiàn)也逐漸從單一的、偶發(fā)性的事件逐漸發(fā)展成為規(guī)?；?、組織化的黑色產(chǎn)業(yè)。很多網(wǎng)貸黑產(chǎn)組織內(nèi)部有明確的職責(zé)分工，并有一套完整的騙貸解決方案，這種網(wǎng)貸黑產(chǎn)組織的欺詐手段呈現(xiàn)專業(yè)化、智能化、集團(tuán)化的特點(diǎn)，且其網(wǎng)貸欺詐過程手段多樣、隱秘性強(qiáng)，使得眾多金融機(jī)構(gòu)和互聯(lián)網(wǎng)金融平臺(tái)的資產(chǎn)受到了嚴(yán)重侵害。

此外，網(wǎng)貸欺詐有很強(qiáng)的擴(kuò)散性，一旦提供網(wǎng)貸服務(wù)的金融機(jī)構(gòu)在業(yè)務(wù)流程的設(shè)計(jì)中出現(xiàn)了反欺詐漏洞，各種黑產(chǎn)團(tuán)伙便會(huì)群攻而上，能夠在很短時(shí)間內(nèi)成功通過大量網(wǎng)貸業(yè)務(wù)的審批，而金融機(jī)構(gòu)或者互聯(lián)網(wǎng)金融平臺(tái)往往都來不及應(yīng)對(duì)，瞬間資產(chǎn)損失慘重，甚至可能直接導(dǎo)致某些規(guī)模較小的互聯(lián)網(wǎng)金融平臺(tái)因此倒閉。

二、網(wǎng)貸欺詐的手段

做好網(wǎng)貸反欺詐的第一步是要了解悉網(wǎng)貸欺詐的作案方式及常見作案手段，與單個(gè)分散的網(wǎng)貸詐騙相比，網(wǎng)貸黑產(chǎn)的團(tuán)伙作案方式更具破壞性。網(wǎng)貸黑產(chǎn)團(tuán)伙的作案呈現(xiàn)組織化、規(guī)?；?、流程化的特點(diǎn)，且通常具有一整套標(biāo)準(zhǔn)化的“解決方案”，主要包括：申請(qǐng)人身份包裝、線上申請(qǐng)行為部署、網(wǎng)貸產(chǎn)品漏洞針對(duì)性攻擊。

（一）申請(qǐng)人身份包裝

網(wǎng)貸的業(yè)務(wù)是依托互聯(lián)網(wǎng)渠道的純線上貸款產(chǎn)品，申請(qǐng)全程沒有人工干預(yù)。雖然網(wǎng)貸產(chǎn)品通過實(shí)名驗(yàn)證、人臉識(shí)別、大數(shù)據(jù)征信等先進(jìn)技術(shù)對(duì)申請(qǐng)人身份進(jìn)行驗(yàn)證和核實(shí)，但網(wǎng)貸黑產(chǎn)對(duì)申請(qǐng)人的身份包裝手法也是不斷完善升級(jí)。由于申請(qǐng)人身份審核是網(wǎng)貸申請(qǐng)成功的第一步，因此在網(wǎng)貸黑產(chǎn)團(tuán)伙實(shí)施欺詐前會(huì)首先構(gòu)建一套符合網(wǎng)貸產(chǎn)品申請(qǐng)人身份準(zhǔn)入要求的資料，申請(qǐng)人身份包裝的要素一般包含身份信息、手機(jī)實(shí)名驗(yàn)證、信用卡信息、工作單位信息、社保公積金賬戶信息、手機(jī)通話記錄等。有些身份信息要素的包裝需要花費(fèi)較長(zhǎng)的時(shí)間去包裝，對(duì)網(wǎng)貸黑產(chǎn)來說，這種時(shí)間投入叫做“養(yǎng)號(hào)”。通過“養(yǎng)號(hào)”包裝出來的申請(qǐng)人身份往往很難與真實(shí)申請(qǐng)人身份做區(qū)分，這是網(wǎng)貸反欺詐中的一個(gè)難點(diǎn)問題。

（二）線上申請(qǐng)行為部署

一旦申請(qǐng)人身份包裝準(zhǔn)備完畢后，網(wǎng)貸欺詐團(tuán)伙就開始正式的線上網(wǎng)貸業(yè)務(wù)申請(qǐng)了。在經(jīng)歷了幾年的市場(chǎng)摸索和經(jīng)驗(yàn)積累后，現(xiàn)在的網(wǎng)貸產(chǎn)品基本都部署了自己的反欺詐規(guī)則和模型，尤其是在線上申請(qǐng)行為的分析上，網(wǎng)貸產(chǎn)品內(nèi)置的反欺詐模型會(huì)對(duì)每個(gè)申請(qǐng)人的操作步驟、時(shí)間、路徑等都會(huì)做實(shí)時(shí)的反欺詐分析，一旦發(fā)現(xiàn)可疑申請(qǐng)行為，都會(huì)阻斷申請(qǐng)流程。然而，網(wǎng)貸欺詐黑產(chǎn)也在不斷總結(jié)，很多黑產(chǎn)組織已經(jīng)形成了一套對(duì)抗反欺詐規(guī)則完整策略，并且還定期對(duì)策略“優(yōu)化升級(jí)”。

（三）網(wǎng)貸產(chǎn)品漏洞針對(duì)性攻擊

網(wǎng)貸黑產(chǎn)在挖掘一個(gè)新的網(wǎng)貸產(chǎn)品之前，通常會(huì)先對(duì)網(wǎng)貸產(chǎn)品的產(chǎn)生背景進(jìn)行調(diào)查，即網(wǎng)貸產(chǎn)品的模型構(gòu)建團(tuán)隊(duì)和產(chǎn)品設(shè)計(jì)思路。調(diào)查網(wǎng)貸產(chǎn)品的產(chǎn)生背景，主要是看有沒有可復(fù)制的模式。例如，一個(gè)招商銀行的人出來創(chuàng)業(yè)，其風(fēng)控規(guī)則可能就與招商銀行類似。然后再看能否找到內(nèi)部人，如果有內(nèi)鬼幫忙則能節(jié)省大量試錯(cuò)成本。在了解了網(wǎng)貸產(chǎn)品的產(chǎn)生背景后，網(wǎng)貸黑產(chǎn)就可以抓住網(wǎng)貸產(chǎn)品設(shè)計(jì)上的漏洞進(jìn)行針對(duì)性攻擊。由于網(wǎng)貸產(chǎn)品漏洞的針對(duì)性攻擊不存在普遍性。

上述三種網(wǎng)貸欺詐手段構(gòu)成了一套完整的網(wǎng)貸欺詐部署策略。了解和熟悉網(wǎng)貸黑產(chǎn)的反欺詐作案手段是做好網(wǎng)貸反欺詐的前提。

三、網(wǎng)貸反欺詐解決方案

網(wǎng)貸反欺詐的具體實(shí)現(xiàn)方法上每家金融機(jī)構(gòu)做法不盡相同，對(duì)規(guī)模較小的金融機(jī)構(gòu)或互聯(lián)網(wǎng)金融平臺(tái)來說，受制于技術(shù)和人才的因素，采用直接購(gòu)買外部專業(yè)的反欺詐規(guī)則庫(kù)可能是性價(jià)比最高的選擇（如：同盾反欺詐規(guī)則庫(kù)這類），本文部對(duì)此類做法不做詳細(xì)闡述。另一些規(guī)模較大的金融機(jī)構(gòu)或互聯(lián)網(wǎng)金融平臺(tái)，在具備技術(shù)和人才實(shí)力的基礎(chǔ)上，可以自主構(gòu)建反欺詐規(guī)則或模型，這樣有利于未來反欺詐規(guī)則的積累和迭代優(yōu)化。

從上文對(duì)網(wǎng)貸欺詐特點(diǎn)和作案手段的分析來看，做好網(wǎng)貸反欺詐需要處理好三個(gè)關(guān)鍵問題：一是要有大量的數(shù)據(jù)作為欺詐行為分析的數(shù)據(jù)基礎(chǔ)；二是需要構(gòu)建能精準(zhǔn)識(shí)別欺詐行為的模型；三是需要構(gòu)建良好的反欺詐策略。

（一）數(shù)據(jù)采集

反欺詐的數(shù)據(jù)采集包括兩類：一類是非實(shí)時(shí)的數(shù)據(jù)采集，與平臺(tái)模型的數(shù)據(jù)準(zhǔn)備一樣，可以提前搜集好；另一類是實(shí)時(shí)采集數(shù)據(jù)，又叫埋點(diǎn)數(shù)據(jù)，需要在網(wǎng)貸申請(qǐng)人申請(qǐng)網(wǎng)貸產(chǎn)品時(shí)跟隨申請(qǐng)人的操作流程實(shí)時(shí)采集，因此采集的數(shù)據(jù)量大、時(shí)效性強(qiáng)。

對(duì)于非實(shí)時(shí)采集的數(shù)據(jù)，可以通過業(yè)務(wù)人員經(jīng)驗(yàn)、欺詐事件的積累等做好數(shù)據(jù)采集清單。根據(jù)前文對(duì)網(wǎng)貸欺詐手段的分析中，我們可以總結(jié)出以下需要提前做好數(shù)據(jù)采集清單：

1.中介常用的軟件列表：包括清機(jī)軟件、定位軟件等，還需考慮每個(gè)軟件對(duì)操作系統(tǒng)的要求。

2.同類網(wǎng)貸產(chǎn)品列表：市場(chǎng)上類似的網(wǎng)貸產(chǎn)品名稱、產(chǎn)品所屬的金融機(jī)構(gòu)名稱、產(chǎn)品的推出時(shí)間等。

3.知名企業(yè)名單：申請(qǐng)人所在地的大型企業(yè)、事業(yè)單位等（網(wǎng)貸黑產(chǎn)往往會(huì)把申請(qǐng)人包裝成大企業(yè)或事業(yè)單位的員工）。

4.合作的渠道信息：包括合作渠道日常的流量情況、是否有線下地推的配合、渠道正在開展的推廣活動(dòng)等信息。

5.當(dāng)?shù)貍€(gè)體工商戶的名錄：可通過對(duì)接工商信息驗(yàn)證（網(wǎng)貸黑產(chǎn)有時(shí)也會(huì)把申請(qǐng)人包裝成個(gè)體工商戶）。

對(duì)于實(shí)時(shí)數(shù)據(jù)采集，則更多的要考慮申請(qǐng)人線上申請(qǐng)的操作行為，根據(jù)網(wǎng)貸產(chǎn)品特征和網(wǎng)貸欺詐申請(qǐng)行為特征設(shè)置線上數(shù)據(jù)采集埋點(diǎn)，一般需要采集的實(shí)時(shí)數(shù)據(jù)包括：

一是申請(qǐng)渠道信息：讀取申請(qǐng)人本次申請(qǐng)的渠道來源，是app、網(wǎng)頁(yè)、二維碼推薦還是合作導(dǎo)流渠道。

二是實(shí)時(shí)地址信息：申請(qǐng)人當(dāng)前操作的IP地址、手機(jī)定位、申請(qǐng)?jiān)O(shè)備MAC地址等。

三是操作時(shí)長(zhǎng)：申請(qǐng)人當(dāng)前頁(yè)面的停留時(shí)間、當(dāng)前操作的用時(shí)等。

四是操作持續(xù)信息：申請(qǐng)人當(dāng)前操作的上一步/下一步操作是什么、與本次操作間隔時(shí)長(zhǎng)多久、有無步驟反復(fù)等。

五是讀取應(yīng)用列表：在獲得申請(qǐng)人授權(quán)的情況下讀取客戶安裝的app清單，提取安裝的小貸軟件、清機(jī)軟件、定位軟件等信息。

（二）反欺詐模型

由于反欺詐模型對(duì)判斷的實(shí)時(shí)性要求很高，因此實(shí)時(shí)的反欺詐模型一般是通過比對(duì)規(guī)則庫(kù)的形式來實(shí)現(xiàn)。而非實(shí)時(shí)的反欺詐模型建設(shè)一般會(huì)通過已發(fā)生過的大量申請(qǐng)數(shù)據(jù)構(gòu)建算法來進(jìn)行，然后再將模型結(jié)果以規(guī)則庫(kù)的形式在實(shí)時(shí)反欺詐識(shí)別中應(yīng)用。因此，不論是實(shí)時(shí)的反欺詐模型還是非實(shí)時(shí)反欺詐模型結(jié)果的應(yīng)用，最終大多以規(guī)則庫(kù)的形式在網(wǎng)貸產(chǎn)品用于識(shí)別網(wǎng)貸欺詐。

反欺詐規(guī)則庫(kù)一般是提前集中部署的一類規(guī)則庫(kù)，并設(shè)定有相應(yīng)的參數(shù)和觸發(fā)閾值。通過將申請(qǐng)人的信息或行為與反欺詐規(guī)則庫(kù)做比對(duì)，命中的被識(shí)別為欺詐行為，未命中的則判斷為非欺詐行為。這類規(guī)則庫(kù)的構(gòu)建可以分為以下幾類：

1.相似性規(guī)則。如：手機(jī)號(hào)與虛擬號(hào)段編號(hào)規(guī)則相似。

2.集中性規(guī)則。如：某一時(shí)間段發(fā)生集中的注冊(cè)/申請(qǐng)，或某一個(gè)IP集中注冊(cè)。

3.一致性規(guī)則。如：申請(qǐng)人信息是否與黑名單或多頭借貸一致，申請(qǐng)?jiān)O(shè)備是否與曾發(fā)生過欺詐的設(shè)備信息一致。

4.稀有性規(guī)則。如：某一群組都采用少見的iPhone 5C登錄；

5.陳舊性規(guī)則。如：采用很久之前的舊版app申請(qǐng)，或使用老舊的手機(jī)型號(hào)或操作系統(tǒng)申請(qǐng)。

6.非常規(guī)性規(guī)則。如：申請(qǐng)時(shí)間都是夜間或凌晨，申請(qǐng)操作路徑總是為最短路徑且用時(shí)極短。

反欺詐模型的構(gòu)建思路是從數(shù)據(jù)中提取客戶多維度異常模式，探索大數(shù)據(jù)反欺詐規(guī)則，并逐步實(shí)現(xiàn)智能、主動(dòng)、精準(zhǔn)、全覆蓋的異常識(shí)別功能。因此，在非實(shí)時(shí)的反欺詐模型中需要引入大數(shù)據(jù)、機(jī)器學(xué)習(xí)等算法挖掘深層的隱含信息，再將非實(shí)時(shí)反欺詐模型的結(jié)果提煉成規(guī)則用于實(shí)時(shí)的反欺詐識(shí)別中。

（三）策略部署

與一般的模型策略部署思路類似，反欺詐模型在策略部署上也分為準(zhǔn)入、評(píng)分和貸后監(jiān)控三部分。三部分策略部署重點(diǎn)不同：準(zhǔn)入策略屬于“一票否決”式策略；評(píng)分策略用于對(duì)欺詐可能性的概率大小判斷；貸后監(jiān)控則是通過對(duì)貸款申請(qǐng)成功后的資金流向、還款情況等進(jìn)行持續(xù)的反欺詐判斷。

準(zhǔn)入策略中常用的規(guī)則包括：身份驗(yàn)證、黑單驗(yàn)證、多頭借貸判斷、第三方反欺詐評(píng)分等。對(duì)于身份驗(yàn)證和黑名單驗(yàn)證，一般是命中后立刻做拒絕處理；對(duì)多頭借貸和第三方反欺詐評(píng)分這類，一般是設(shè)定不同觸發(fā)閾值，例如：多頭借貸的機(jī)構(gòu)數(shù)大于3家直接拒接，2至3家轉(zhuǎn)入人工判斷，2家以下準(zhǔn)入通過。

反欺詐評(píng)分是對(duì)欺詐行為的綜合判斷后給出的評(píng)分結(jié)果，反欺詐評(píng)分在使用上可以作為客戶評(píng)分的一部分，也可以單獨(dú)使用。值得注意的是，反欺詐評(píng)分往往是對(duì)申請(qǐng)行為的持續(xù)分析得出的結(jié)果，是對(duì)無法通過單一規(guī)則判斷的欺詐行為的預(yù)測(cè)。例如，反欺詐評(píng)分卡可能會(huì)綜合每一步的IP是否一致、每一步的操作設(shè)備是否一致、整體申請(qǐng)用時(shí)、申請(qǐng)行為操作路徑等數(shù)據(jù)給出申請(qǐng)人的欺詐概率評(píng)分。在反欺詐評(píng)分應(yīng)用時(shí)，一般也是劃分分值區(qū)間部署對(duì)應(yīng)的通過、轉(zhuǎn)人工或拒接處理。

貸后監(jiān)控中的反欺詐是對(duì)客戶貸款申請(qǐng)成功后的欺詐可能性所做的持續(xù)跟蹤判斷。由于很多網(wǎng)貸欺詐申請(qǐng)者在貸款申請(qǐng)成功后的一段時(shí)間內(nèi)會(huì)故意制造正常消費(fèi)、還款的假象，因此在欺詐行為會(huì)存在一段潛伏期。因此反欺詐工作也不能在放款完成后就終止，而是需要繼續(xù)對(duì)申請(qǐng)人的提款行為、資金流向、還款行為等進(jìn)行監(jiān)控，并構(gòu)建貸后反欺詐規(guī)則庫(kù)來及時(shí)做好預(yù)警提示，以盡可能減少欺詐發(fā)生后的損失。

網(wǎng)貸反欺詐方案不僅要考慮反欺詐的效果，還要同時(shí)考慮客戶體驗(yàn)問題，在設(shè)計(jì)線上反欺詐規(guī)則、模型和策略時(shí)應(yīng)當(dāng)確保在很短時(shí)間內(nèi)做出欺詐行為的判斷，盡可能做到反欺詐識(shí)別的客戶無感化。此外，網(wǎng)貸欺詐與反欺詐問題永遠(yuǎn)是一個(gè)“道高一尺魔高一丈”的過程，因此，反欺詐規(guī)則、模型和策略部署也需要不斷跟隨欺詐手段的更新而變化才能適應(yīng)復(fù)雜而多變的網(wǎng)貸市場(chǎng)。此外，網(wǎng)貸反欺詐還需要線上、線下配合開展，僅僅依賴線上反欺詐解決方案往往很難達(dá)到良好的效果。

四、總結(jié)

隨著近年來互聯(lián)網(wǎng)金融和消費(fèi)金融的快速發(fā)展，不僅是互聯(lián)網(wǎng)金融平臺(tái)在推進(jìn)網(wǎng)貸業(yè)務(wù)模式，許多傳統(tǒng)的金融機(jī)構(gòu)也不斷將貸款業(yè)務(wù)向線上轉(zhuǎn)移。盡管網(wǎng)貸業(yè)務(wù)在發(fā)展之初遇到了網(wǎng)貸欺詐這類妨礙其健康發(fā)展的阻力，但我們相信通過新技術(shù)的應(yīng)用和網(wǎng)貸行業(yè)自身的積累和探索，網(wǎng)貸欺詐的黑產(chǎn)終究會(huì)難以生存下去。