餘額支付風控--整體篇

餘額支付風控

整體篇

by dylanfan at 2015-2-9

一  概述

什麼是風控？在支付行業的的風控是通過一定手段來對平臺的業務風險進行控制，偏業務安全領域。風控和技術安全還是不太一樣，技術安全更多關注系統漏洞，是否被攻擊，是否被拖庫。 所以，風控更加註重對業務的理解，數據分析，模型，以及風險打擊策略的制定。一句話：支付領域的風控就是來之別當前交易是否有風險，如果有，進行什麼的動作。 在支付領域，支付產品出來前，都會和風控團隊溝通，提前預知可能的風險點，並保證用戶體驗的情況下，制定風險策略。

二 餘額支付場景

場景大體分爲購買行爲（包括餘額支付，混合支付，合單支付，代付），C2C 轉賬，付款到銀行卡，提現。所有風險控制策略基本都是圍繞這幾塊場景的風險情況來制定的。

各個場景具體情況如下：

（1）購買行爲： 買方是用戶，賣方是商戶，購買的是物品。物品有虛擬，自動發貨，一般實物，高危實物等。根據物品屬性不同，風險也不同。銷贓快速和方便的物品的風險相對較高，比如虛擬和自動發貨的物品。常見的虛擬物品：遊戲道具，充手機話費等。所以，這塊的風險一方面是是從買方賬號側來看，一方面從物品屬性來看。

（2）C2C轉賬：買方是用戶，賣方也是用戶。風險可以從買賣雙方兩側賬號情況來看。

（3）付款到銀行卡是主要指錢從餘額轉到一張銀行卡（非賬號綁定的卡）中，常見的如匯款轉賬，還信用卡。這塊的風險可以買方賬號側和銀行卡信息來看。

（4）提現：指餘額的錢提現到自己綁定的卡中。相對前面三種情況，對於賬號被盜銷贓場景的風險，提現相對最低。

三 用戶分類

1： 按證書用戶分：無證書用戶和數字證書用戶。無證書用戶是餘額被盜對抗中最爲激烈的一塊。

2：按一般用戶和C商戶賬號來分：普通用戶和拍拍賣家賬號。普通用戶騙子常用的手法是批量處理銷贓。拍拍賣家賬號，金額很多，騙子經常一對一的釣魚來處理。對拍拍賣家賬號的交易處理尤爲謹慎。

3：按實名來分：非實名用戶和實名用戶；實名只需要賬號姓名和身份證姓名一致就行。

4：按實名認證來分：非實名認證用戶和實名認證用戶。實名認證是在實名的基礎上需要有銀行卡信息，這塊的處理有兩種方式：綁卡開通快捷和系統給你指定的銀行卡打很小的錢，你回答打了多少錢來確定銀行卡是你本人的。

四 風險評估和懲罰手段

   餘額支付風險主要分兩塊：（1）盜號的風險 （2）盜卡的風險。盜號的風險：賬號被盜，餘額被轉移的風險。盜卡的風險：騙子騙到銀行卡後，註冊個賬號，用該銀行卡開通快捷支付充值到餘額，然後通過餘額支付的風險。 兩者情況不同，識別的方法也不同。

4.1：業務限制

支付反欺詐一直是個長期博弈的過程，此消彼長，不太可能我們能完全控制住對方，取得壓倒性勝利，很多反欺詐策略是事後根據損失案例來制定的，所以，基本上一個新的支付產品（購買，轉賬，紅包等都可以看成一種支付產品）出來，在風險異常識別策略之前，都應該有個基本的業務限制策略（這個需要和產品協商，在不影響用戶的支付體驗上做限制），比如限定一定額度或者實名認證等，這樣可以把損失上限控制在一定的範圍內。

4.2：風險異常識別

風險異常識別是從損失案例中的分析和對比正常樣本來發現異常特徵，然後制定風險策略，風險策略包括識別風險和如何打擊。風險識別方法主要分爲兩塊專家規則體系和風向模型體系。規則精準度高，覆蓋率低，上線快速，但系統遷移和維護成本高。模型覆蓋率高，精準度相對單一規則要低，需要足夠多的樣本，但具備學習能力，系統遷移和維護便利。對於反欺詐領域對規則和模型的效果對比可以參考如下：

   無論專家規則還是模型，首先都是要挖掘足夠多的有用的風險特徵。風險評估基本可以總結爲識別異常和過濾正常，所以風險特徵集合基本就包含這兩塊的特徵。在盜號風險異常中，基本面臨的就是賬號被盜在異地銷贓和同城銷贓，異地相對同城識別容易些。欺詐和反欺詐的對抗博弈會不斷加劇，從簡單的對抗向深層次的對抗延伸，壞人盜號後的支付行爲也會越來越僞裝的很像正常行爲。所以，我們也需要挖掘更深次特徵來區別異常支付行爲和正常行爲，否則，就會帶來攔截量高漲。我相信，壞人僞裝的再好，他和正常用戶自己的行爲總會有不一樣的地方。具體的識別方法和不同用戶在不同場景的風控策略這裏不細說，後續具體探討。

4.3：懲罰手段

限額，加驗（根據用戶的自己的定義來選擇是加驗數字證書，還是U頓，短信等），實名認證，攔截交易，關閉餘額，凍結賬號，加黑信息等。不同的行爲評估，採用不同懲罰手段。對於懲罰手段需要注意的是，如果涉及到金額，對單筆金額限制意義是不大的，最好用累計金額來限制。同時，一旦識別有風險點，需要在各個場景進行布控，任何場景的布控缺失都是高危的。風控遵循木桶原理，風控的水平取決於你對最薄弱環節的控制。對於控制手段，我想提下黑產。在黑產市場上有個詞是叫信封，信封就是裝有賬號和密碼的文件。每個信封都有它價格。同樣，黑產上每個銀行卡號也有相應的價格，在我們把額度控制在一定範圍內，也能起到不錯的作用，比如黑產上一張卡的價格是500元，我們控制的額度在500元以下，騙子花大功夫去卻收益很少，長期來看，對騙子也能起到驅趕的作用。  

五 策略上線和運營

5.1: 策略上線

分析損失案例，對比正常交易，我們發現惡意手法，制定相應的風險策略。首先這個風險策略，是經過常規離線評估指標，準確率，覆蓋率多少。離線評估指標達標後，我們就可以嘗試放到線上了。但是在真實環境中真正應用風險策略前，我們需要把策略先放到測試環境上來觀察一段時間，評估攔截量和準確度。相對廣告一些領域，算法和模型測試都是做A/B Test不同，風控的測試環境和真實環境保持一致，只需在測試環境中給命中策略的交易打上相應的標記來記錄就好，不做真實動作，就可以起到測試的作用。

策略上線後，風控策略和欺詐者的博弈對抗就會開始。剛開始的時候，策略的準確度都會很高，但是隨着時間推移，策略的準確性就會下降。因爲，欺詐者之前的欺詐手法所做的交易行爲爲攔截，並多次碰壁後，他們就會意識到，他們的行爲已經被監測了，之前發現的風控系統的漏洞已經被堵上，他們會隨之消停直到發現新的風控系統漏洞再發起攻擊。

5.2：策略運營

風險策略運營需要觀察攔截曲線和損失曲線。時間週期可以以周爲基本單位，觀察一定時間內攔截曲線的變化和損失曲線的變化，詳細記錄攔截曲線大變化的事件或策略，尤其是是損失曲線上漲和下降原因。

策略上線後，我們需要對策略攔截量，準確率等指標有個實時監控。通過監控，我們能發現攔截異常，策略當前有效性問題等。對策略有效性監控可以有如下幾個方法：抽樣調查，用戶反饋，白名單機制（看白名單被你命中的比率）。在盜號領域，用戶反饋可以分爲：要求加驗，看用戶是否加驗成功；或者凍結賬戶，用戶來反饋當前交易是否是本人操作等。損失曲線變化一般相對策略上線時間有個幾天的延時，主要是由於用戶反饋有個延時期。