轉:原文鏈接:https://mp.weixin.qq.com/s/sBvqIfxNDoMlWhO6_z65Ww
這篇文章和上一篇【互聯網反欺詐體系漫談】:https://mp.weixin.qq.com/s/9TUNBIbf85MVZ6QlyN34lw
差不多,不過還是放上來,再次複習一下,另外找一些差異。
互聯網反欺詐體系建設 ( I )
概述
01
什麼是欺詐
在《互聯網反欺詐體系漫談》一文中,曾經就欺詐與反欺詐做過一些簡單的討論。
何爲欺詐:
“用狡猾奸詐的手段騙人”——《現代漢語詞典》
“一方以欺詐、脅迫的手段或者乘人之危,使對方在違背真實意思的情況下訂立的合同,受損害方有權請求人民法院或者仲裁機構變更或者撤銷。”——《中華人民共和國合同法》
“一方以欺詐、脅迫的手段或者乘人之危,使對方在違背真實意思的情況下所爲的爲無效行爲”——《中華人民共和國民法通則》
“一方當事人故意告知對方虛假情況,或者故意隱瞞真實情況(保持沉默者),誘使對方當事人作出錯誤意思表示的,可以認定爲欺詐行爲。”——《最高人民法院關於貫徹執行《中華人民共和國民法通則》若干問題的意見》
“內部欺詐:故意欺騙、盜用財產或違反規則、法律、公司政策的行爲。外部欺詐:第三方故意欺騙、盜用財產或違反法律的行爲。”——《新巴塞爾協議》
因此,欺詐必不可少的三要素爲欺詐人、欺詐目的和欺詐方法。判斷一個行爲是否爲欺詐,需要包含兩個基本構成要件:
i.欺詐人具有主觀上的欺騙意願,即存在誤導他人的主觀意願;
ii.欺詐人執行了使他人做出錯誤認知的行爲,如撒謊、虛構、僞造等行爲;
然而這兩個基本構成要件也僅僅是一個必要不充分條件,符合這兩個基本構成要件的行爲最終是否認定爲欺詐,需要結合組織的商業模式和業務需要給出判斷標準。
例:某網站爲營銷推廣,補貼推出4000元購iPhoneX的活動。爲了提高活動覆蓋度,該網站規定每個用戶僅能享受一次補貼價。而用戶A爲了能夠多次參與活動,使用兩個手機號先後註冊兩個帳號參與活動。
在這個案例中,用戶A其既有欺騙網站的意願(多買一部特價手機),也採取了使網站誤判多行動(換手機號註冊)。但是對於這一行爲,平臺模式的電商因爲其最終目的是爲了吸引流量,故而在一定程度上可以容忍;但自營模式的電商可能會將其認定爲欺詐。(以上案例純屬杜撰,如有雷同純屬巧合)
02
互聯網欺詐的分類
對於互聯網欺詐的分類方式有很多。根據欺詐三要素的不同,可以將欺詐分類如下圖:
可以確認的是,由於互聯網業務形態千變萬化,欺詐方式五花八門,互聯網欺詐的形式和種類也必然會不斷更新,這一點恰恰是互聯網反欺詐最具有挑戰性的地方。
03
互聯網反欺詐體系
綜上,我們可以將互聯網反欺詐體系定義爲:“爲防範惡意用戶採取欺詐行爲謀求額外利益而建立方針和目標,以及爲實現這些目標所用方法的體系。”
從定義中可以看出:
i.互聯網反欺詐體系的針對對象是惡意用戶的欺詐行爲;
ii.互聯網反欺詐體系的目標是防止惡意用戶採取欺詐行爲獲取額外利益;
iii.互聯網反欺詐體系涵蓋方針、目標、方法;
在互聯網反欺詐體系的建設過程中,需要秉持如下原則:
⊙惡意用戶很多,應當將有限的資源聚焦於採取了欺詐行爲的惡意用戶;
⊙反欺詐體系建設的難點在於如何區分正常行爲和欺詐行爲,包括從業務邏輯上的界定和從技術手段上的界定;
⊙反欺詐體系建設一定要整體、全局的規劃和協作,而非反欺詐團隊或相關部門的單兵作戰,對於欺詐風險的處置也應當結合組織的戰略方向和發展需要,綜合平衡業務發展和風險管控的需求。
互聯網反欺詐體系建設 ( II )
排兵佈陣
01
互聯網反欺詐的不對稱性
不誇張的講,欺詐者對於技術的運用能力、對於業務的熟悉程度和對於目標的執着要遠超過甲方互聯網反欺詐的從業人員。造成這種局面主要有幾個原因:
i.欺詐者僅需要在企業的互聯網反欺詐體系上打穿一個洞即可欺詐成功,屬於“一招鮮吃遍天”;而互聯網反欺詐的從業人員面對的是一個龐雜的組織&系統&業務,“木桶效應”明顯。
ii.欺詐行爲可以爲欺詐者帶來巨大的經濟利益和物質回報,欺詐者是爲了自己利益而戰;而互聯網反欺詐的從業人員往往是找一份工作拿一份工資,虧的反正是企業。
iii.互聯網黑產發展到今天,已經形成了分工明確的上下游產業鏈,互通有無,術業有專攻;而互聯網反欺詐由於其特殊性,仍然相對割裂,同業間的交流仍然較少,意味着每個企業的反欺詐人員都是以一己之力對抗一個產業鏈。
iv.對欺詐者而言,欺詐行爲就是其“核心業務”,擁有最高的優先級,整個產業鏈“心往一處想、力往一處使”;而對於企業而言,互聯網反欺詐只是其保障業務開展的衆多職能中一個小小的組成部分,反欺詐工作的開展還需要平衡戰略需要、業務需求、經濟成本等諸多桎梏。
總結下來,互聯網欺詐和反欺詐之間在資源投入、受重視程度、難易程度等方面的差異,使得互聯網欺詐與反欺詐的這個無硝煙戰場上,打的是一場非對稱的戰爭。
在這場戰爭中,反欺詐一方想要獲取勝利,其難度不亞於美國打的反恐戰爭。因此,互聯網反欺詐尤爲需要有整體考量和統籌排兵佈陣。
02
互聯網反欺詐體系的構成
爲了能夠有效的管控互聯網業務開展過程中的各類欺詐風險,一個完整的互聯網反欺詐體系應當包含以下部分:
2.1 欺詐特徵檢測
欺詐特徵檢測是互聯網反欺詐體系的基石,直接決定了互聯網反欺詐體系的天花板。從欺詐特徵數據的來源角度,欺詐特徵檢測又可以分爲內部欺詐特徵識別和外部欺詐情報監測。
內部欺詐特徵識別,是指基於企業自行獲取或外部對接的各類原始數據,對欺詐行爲進行識別的過程。
常見的內部欺詐特徵識別可以分爲四大類,根據發展的時間長短和成熟程度包括信譽庫、專家規則、有監督機器學習、無監督機器學習。
內部欺詐特徵的識別涉及技術廣泛,需要長期的研究和積累,許多有實力的企業已經在此方面有了很多突破。目前市場上也有越來越多的反欺詐廠商提供各種類型的反欺詐數據和服務,對於互聯網反欺詐體系建設處於起步階段的企業而言也是一個不錯的選擇。
外部威脅情報監測,是指通過互聯網和線下的渠道,收集與企業相關的欺詐情報和線索,如羊毛口子、資料包裝方法、風控規則和系統漏洞等。
孫子曰“知己知彼,百戰不殆”,互聯網反欺詐體系需要時刻保持對黑產動態的關注,必要時需要深入黑產內部,瞭解和掌握黑產的最新套路和手段,拿到黑產動向的第一手資料,及時調整和完善自身的策略進行應對。
2.2 欺詐風險處置
互聯網反欺詐體系應當制定反欺詐策略和規則,明確對於欺詐風險的可接受水平和處置方式。
在確立欺詐風險的可接受水平時,反欺詐團隊應當與企業內部各業務部門進行充分的討論和溝通,切忌單方面確定欺詐風險接受水平。
常見的欺詐風險處置手段包括:
風險消除,對於無法控制和接受的欺詐風險,應當通過制定反欺詐策略或優化業務邏輯進行攔截和隔離;
風險降低,對於無法消除的欺詐風險,應當採取措施,平衡業務體驗和風險水平,降低風險級別,如二次驗證(犧牲用戶體驗)、人工審覈(增加用戶等待時間)等;
風險轉移,通過引入第三方,分散和轉移欺詐風險,如購買保險、合作商分擔等;
風險接受,對於可以帶來收益大於損失的欺詐風險,應當予以接受。
再次重申,欺詐風險的處置應當綜合考慮業務發展的需要,總體原則是實現業務收益和欺詐損失的平衡。
2.3 欺詐監控指標
反欺詐運營工作是互聯網反欺詐體系的重要組成部分。互聯網反欺詐體系應當建立起全面的欺詐監控指標,對於反欺詐體系的運轉情況進行實時監控。
欺詐監控指標應當與互聯網反欺詐的需求結合定製。常見的互聯網反欺詐監控指標包括:
業務類監控指標,側重於對業務的進展情況進行實時的關注,如註冊量、下單量、進件數、轉化率等;
策略類監控指標,側重於對反欺詐策略和規則的觸發情況進行實時關注,如反欺詐規則的攔截率、反欺詐的觸發數等;
欺詐監控指標應當隨着反欺詐體系的防護對象而及時調整,不同的業務類型如營銷、信貸、支付的監控指標也各不相同。
2.4 欺詐調查
欺詐調查工作是互聯網反欺詐體系必不可少的一環。從複雜的案例中抽絲剝繭提取欺詐特徵、梳理欺詐路徑也應當是每一位反欺詐人員的基本技能。
作爲互聯網反欺詐體系的組成部分之一,欺詐調查承擔着驗證反欺詐體系的有效性和驅動反欺詐體系優化迭代兩個重要作用。
欺詐調查工作包括事中和事後兩種。
⊙事中欺詐調查指在業務開展過程中將疑似欺詐行爲凍結,轉欺詐調查人員排除後方可繼續進行;
⊙事後欺詐調查指對各渠道反饋回來的欺詐線索和案例進行人工調查和分析,對其中的欺詐行爲進行認定,並用於對欺詐特徵檢測、欺詐風險處置和欺詐監控指標的效果評估。
互聯網反欺詐體系建設 ( III )
沙場點兵
在討論了一個互聯網反欺詐體系的目標和應該涵蓋的職責範圍後,這篇聊一下本人對互聯網反欺詐體系所需崗位和人才的一些思考,歡迎有不同意見者補充。
01
欺詐調查
如前一篇中所說,欺詐調查是互聯網反欺詐體系必不可少的一環,承擔着驗證反欺詐體系有效性和驅動反欺詐策略優化迭代兩個重要作用。
此外,欺詐調查能力應當是所有反欺詐人員都必須具備的一個基礎能力。在條件允許的前提下,建議互聯網反欺詐體系的從業人員都應當具備一定的欺詐調查工作經驗,直接參與到各種欺詐行爲的調查分析工作中。
對於欺詐調查崗位而言,需要候選人具備以下幾個特點:
a.好奇心強:欺詐的方式方法複雜多變,欺詐調查人員應當具有足夠強的好奇心,不斷的學習和了解新鮮事物;
b.邏輯嚴密:欺詐調查人員應當具備從眼花繚亂的欺詐行爲中,結合業務場景和反欺詐體系的現狀,條分縷析的將欺詐者的每個步驟梳理出來的能力;
c.善於總結:同樣的欺詐手法會以不同的面貌反覆的被包裝,欺詐調查應當能夠透過現象看本質,總結歸納每種欺詐手法的核心本質,舉一反三。
02
反欺詐建模
模型是獲取欺詐特徵的重要方式之一。在all in AI的今天,無論是業務層面的反欺詐還是底層技術層面的反欺詐,似乎不提一下大數據、機器學習和AI,似乎都不夠潮。目前市場上稍微有點實力的甲方、乙方也都開始喊着AI反欺詐的口號。
不過,作爲反欺詐模型的建立和常見的信用模型、營銷模型還是有比較大的差異性的,對於從事反欺詐建模崗位的人員要求也有一定的差異性。
除了建模工作例行所需要的基本技能,反欺詐建模人員還需要符合以下特點:
a.善於接受新的思路:反欺詐建模的最大難度在於標籤的缺失,這一方面是由於欺詐行爲的難以驗證,另一方面也是由於欺詐行爲的複雜多變性導致的,因此需要反欺詐建模人員對於建模思路和方法的開放性,至少不能侷限於有監督建模,要能夠勇於嘗試無監督、半監督的思路和方法。
b.溝通能力強:對於反欺詐模型的而言,很多時候建模方法的選擇帶來的效果提升,可能遠不如一個變量的選擇,因此需要建模人員能夠儘可能的瞭解欺詐的手法,從建模的角度去歸納尋找更好的變量和特徵,切忌閉門造車僅從數據層面求解。
03
反欺詐策略 and/or 反欺詐專家
專家規則是欺詐特徵檢測的另一種重要方式,而且在目前的實際業務開展過程中也承擔着相對比較重要的作用。在大廠反欺詐專家和反欺詐策略屬於不同的崗位,在小廠區分不是特別清楚的情況下經常一人兼任了,在此一併討論。
作爲反欺詐策略人員,需要能夠選擇恰當的專家規則或反欺詐模型,平衡業務發展需要,選擇合適的風險處置方式,部署反欺詐策略應用於線上生產。
反欺詐策略人員需要的特點:
a.熟悉黑灰產手法:這一條不多說了,知己知彼方能百戰不殆,瞭解對手是防禦的第一步。作爲反欺詐策略人員,需要對於常見的黑灰產手法有比較充足的經驗,這也是前面建議所有進入反欺詐行業的人員都從欺詐調查崗位做起的原因。
b.基礎的數據分析能力:反欺詐策略人員需要能夠通過數據分析的方法,總結和發現各種特徵對欺詐行爲和正常行爲的區分度,從而選擇可用的反欺詐策略。
c.邏輯性強:反欺詐體系是個典型的木桶,作爲一個防禦體系,反欺詐策略需要環環相扣,永遠不能寄希望於口子沒被發現。
04
反欺詐運營
反欺詐運營崗位在很多小廠往往容易被省略,其運營職能往往會被反欺詐策略崗或者所有崗位分擔。但是從實戰的經驗中,個人認爲還是有必要將運營工作拉出來單獨討論下。
反欺詐體系是一個覆蓋公司各條線、各層級的體系,涉及到有不同利益訴求的部門、不同背景出身的人員,因此運營工作不可或缺。一個好的反欺詐運營人員,能夠起到潤滑劑和粘合劑的作用,保證互聯網反欺詐體系的有效運轉和高效協作。
反欺詐運營人員是場上攻防的組織核心。對於反欺詐運營人員來說,以下特點是尤爲關鍵的:
a.溝通能力強:反欺詐運營人員需要能夠和營銷、產品、運營、研發等各部門進行有效的溝通,瞭解各部門的訴求,平衡風險和業務發展之間的關係,防止顧此失彼。
b.格局要高:反欺詐並非簡單的將欺詐用戶或者欺詐行爲一拒了之(事實上也無法絕對的將欺詐用戶和正常用戶切分清楚),有些時候欺詐行爲甚至是對公司有益的(當然此時公司往往不把此類行爲定義爲欺詐)。反欺詐運營人員需要從公司的利益出發,綜合評判對公司收益最大化的解決方案。
c.數據敏感性:由於欺詐行爲的複雜多變性,既有的反欺詐策略和反欺詐監控指標是絕對無法有效覆蓋所有未知欺詐風險的,反欺詐運營人員應該能夠從反欺詐各種指標乃至非反欺詐的各類業務指標變化中,敏感的察覺到異常,快速組織起應急響應、欺詐調查等工作。
05
總結
以上討論到的各類崗位,個人認爲是構建一個完整的反欺詐體系必不可少的一些崗位。
當然互聯網反欺詐體系是一個動態的、發展的體系,既要與欺詐者貼身攻防,也要能夠構建整體防禦體系。反欺詐的崗位不是一成不變的,也無定式可言,畢竟適合自己的就是最好的。
除了上述的各種反欺詐崗位,在不同的組織裏反欺詐還細化出了很多其他崗位,如反欺詐威脅情報、反欺詐審覈等等,在此就不逐一討論了。
互聯網反欺詐體系建設 ( IV )
守其所攻
欺詐特徵檢測是反欺詐的基石。某種意義上,欺詐特徵檢測與JC案件偵查的邏輯是一樣,均需要充分掌握基礎信息,廣泛收集線索。
互聯網反欺詐體系至少要做到三個層面的欺詐特徵檢測:Real、Right、Reliable,下面我們簡單聊一下三個層面欺詐特徵的關注點。
鑑於反欺詐的敏感性,本文中對欺詐特徵檢測的具體方法點到即止,有興趣的童鞋,可以加入我們的風控羣(關注本公衆號後自動推送入羣方式),私下交流。
01
Real
在互聯網剛剛興起的初期,網絡世界中有一句經典的話,“互聯網時代,沒有人知道你是一條狗”。
誠然,到目前爲止,讓一隻狗上網還是有點難度的。但是在互聯網上,公司的網站、APP、小程序、公衆號的用戶是不是一個活人還真的很難說。
對於黑灰產團伙而言,如果按照普通正常用戶的方式,手工的進行欺詐攻擊,換取一點點微薄的欺詐獲利,絕對不是一個明智的選擇。這也是互聯網反欺詐理論的第一個基本定律,“互聯網欺詐成本低於欺詐獲利”。
因此,自動化的欺詐手段成爲了黑灰產團伙的首選。自動化腳本、模擬器、羣控設備等技術可以模擬一個正常用戶在網站、APP上的操作請求,輔助以IP切換、接碼平臺、打碼平臺、圖片驗證碼識別算法、GPS僞造等手段,往往會讓互聯網企業損失慘重。
互聯網反欺詐欺詐特徵檢測工作中第一個層面的Real,就是要能夠區分當前使用互聯網服務的用戶究竟是不是一個真實的活人,這一點是互聯網反欺詐最基本的要求。
要達到這一目標,可以從幾個角度進行防範:
1.從請求發起設備、請求發起網絡環境、請求發起手機號、請求發起物理位置等多方面建立終端數據採集的能力,並拓展變量維度,利用高維度的機器學習來區分真實人類用戶的操作請求和非真實人類發出的操作請求;
2.善用欺詐情報,廣泛的收集第三方的欺詐信息,提取有效威脅情報信息用於非真實人類操作的檢測。
02
Right
在完成了Real層面的欺詐特徵檢測後,我們姑且假定通過了反欺詐攔截的請求均是由真實的活人用戶發起的。這時反欺詐的第二個層面任務就是覈實用戶提供的信息是否真實、有效。
眼下國內公民個人信息被盜取、轉賣和泄漏的情況比比皆是,每隔一段時間就會爆出幾條大規模公民信息泄漏的新聞。因此,對於互金平臺、機票簽證、支付平臺等一些需要用戶提交資料的互聯網平臺而言,不能簡單的相信用戶自行提供的信息。
Right層面的欺詐特徵檢測的主要任務就是對用戶提交的各種基礎信息進行覈驗。根據不同的業務類型,需要覈驗的資料類型也有所不同,常見的如用戶的身份信息、住址信息、工作單位信息、收入情況信息、財產狀況信息、學歷信息等。
基礎信息覈驗可以從兩個角度展開:
1.勾稽對比,勾稽一詞原本是財務術語,指的是不同會計報表科目之間的內在邏輯關係。引入反欺詐體系後,指的是需要將用戶提交的基礎信息與其他信息源進行對比。如身份證二要素信息應當與公安部身份覈驗數據源保持一致、銀行卡四要素信息需要與銀行四要素覈驗數據源保持一致、學歷數據需要與教育部學歷數據庫保持一致等。
勾稽對比是一種基礎且必要的核驗方式,但是如前文所述,在公民信息大規模被泄漏、盜取和轉賣的今天,勾稽對比並無法完全解決基礎信息被冒用的情況,這就需要進行第二個角度的核驗。
2.交叉對比,指通過對用戶提交的不同信息進行獨立推演,發現其提交信息之間的內在不合理之處。簡單的如年齡小於15歲的碩士學歷、人臉照片與身份證照片不一致等;複雜的如活動軌跡從未覆蓋家庭住址或者工作單位等。交叉對比的效果拒絕於對用戶基礎信息的深度解析和信息之間邏輯關係的不斷挖掘。
03
Reliable
Real和Right層面的反欺詐措施有效的防範了非人和非本人的欺詐攻擊。經歷了前兩個層面的反欺詐防線,我們目前已經獲得了一個真真正正的用戶,基本上可以杜絕第二方欺詐和第三方欺詐。
然而此時還不是鳴金收兵的時刻,對於互聯網信貸業務、營銷補貼活動等,我們還需要對客戶進行更深入的分析,判斷用戶是否存在欺詐的意願,這個就是Reliable層面的欺詐特徵檢測了。
Reliable層面欺詐特徵檢測的維度有很多,可以結合互聯網平臺的業務類型進行裁剪。常見的如互金平臺關注的團伙客戶檢測、中介客戶檢測;電商平臺關注的虛假聯繫方式檢測、虛假流量檢測等。
實現Reliable層面的欺詐特徵檢測需要結合用戶的社交、通訊、金融、出行、車產、房產、職業等多維度的信息,進行橫向的關聯分析。知識圖譜、無監督機器學習算法等數據科學手段可以很大的提高Reliable欺詐特徵檢測效率和效果。
04
總結
欺詐特徵檢測是互聯網反欺詐體系的眼睛和雷達,其效率和效果,直接的影響了後續欺詐風險處置和指標等其他反欺詐工作的選擇。
由於欺詐場景和環境的複雜性,欺詐特徵檢測必然存在誤報和漏報,準確率和覆蓋率是衡量欺詐特徵檢測工作質量的2個重要指標。
黑灰產在欺詐的過程中也會不斷關注防守方欺詐特徵檢測能力的高低,同時反欺詐的技術也在不斷髮展,因此欺詐特徵檢測工作是整個互聯網反欺詐體系中最需要不斷更新迭代推陳出新的一環。
