在信贷业务的风控体系中,反欺诈始终是一个重要话题,与信用评估构成的贷前风控两大模块,对于贷前风险的防范控制发挥着决定性作用。反欺诈虽然在理解层面上感觉略显简单,但由于场景的复杂性与丰富度,使得反欺诈在研究开发过程中有一定难度,最为关键的是需要紧密结合实际业务场景的特点,且伴随外界环境因素的变化进行合理实践,这样的反欺诈策略才能有效识别欺诈风险,并实现较大程度的业务风险防御。
互联网欺诈的主要特点可以概括成“伪”与“冒”两个字,其中“伪”是制造不存在的,“冒”是盗用已存在的,任何欺诈行为都可以归为这两种表现形式。简单来讲,欺诈的主体是团体或个人,其目的自然是为了牟取利益,而采用的方法便是“伪”与“冒”,这也是互联网欺诈的核心特点。
1、欺诈风险的类型特点
在互联网欺诈中,根据欺诈实施主体的不同,可以划分为第一、二、三方欺诈,具体含义如下:
(1)第一方欺诈:欺诈主体为申请者本人,欺诈主体知情且获取收益;
(2)第二方欺诈:欺诈主体为业务方企业内部员工;
(3)第三方欺诈:欺诈主体为盗用别人身份信息欺诈的人群,非客户也非企业。
从利益得失角度来理解,互联网欺诈还可以划分为C2B、B2C、B2B三种类型,各类特点如下:
(1)个人骗平台:C2B,第一方欺诈;
(2)团伙骗个人:B2C,欺诈主体为团伙,损失方为个人,平台信誉损失;
(3)团伙骗平台:B2B,互金欺诈团伙,损失方为平台。
作为信贷风控体系的主要模块,欺诈风险与信用风险在贷前环节是相互共存的,虽然在风险控制理念、算法实现方式等方面有很多相似之处,但由于各自的本质属性与情景描述存在较大差异,因此在实际场景的理解与应用上有一定区别,主要表现在以下几个维度:
(1)概念定义:欺诈风险是指恶意骗贷的风险;信用风险是指借款人因各种原因未能及时、足额还款而违约的可能性。
(2)风险主体:欺诈风险是故意骗贷的人群;信用风险是非故意骗贷,因突发或暂时原因导致资金无法周转而逾期的客群。
(3)风控重点:欺诈风险是建立反欺诈策略与模型;信用风险是通过合理风险定价、额度调整防范风险。
2、欺诈定义与业务环节
对于反欺诈标签的定义,是实施反欺诈风控的重要前提工作之一,其主要思想是务必结合实际业务场景来确定合适逻辑的目标。不同业务场景具有不同欺诈类型表现,可以采用单一内部数据、单一外部数据,或者联合内部与外部数据,来有效定义欺诈目标群体。本文简要从贷前、贷中、贷后的风控全流程,来介绍下欺诈定义的几个主要参考维度:
(1)贷前申请数据:身份要素核验不一致、活体检测不一致、通讯录信息异常等;
(2)多头借贷数据:三方多头标签、多头欺诈名单、多头信用黑名单等;
(3)行为信息数据:运营商通讯信息、银联交易信息、电商网购信息等;
(4)贷后逾期数据:首逾且后期未还款、首逾3天以内还款但后期未还款等。
围绕以上欺诈目标定义的数据来源框架,我们从特征信息的细分角度,来进一步描述下反欺诈的重要关注环节,以及相应的防范措施。
(1)身份信息校验:OCR证件识别、人脸识别、活体检测、人证比对等;
(2)基本信息逻辑:年龄大小与学历程度不合实际正常逻辑等;
(3)手机号核验:二要素(姓名/手机号)、三要素(姓名/身份证号/手机号);
(4)手机号验证:短信验证码、语音验证码、图形验证码、拖动滑块验证码等;
(5)银行卡核验:三要素(姓名/身份证号/银行卡号)、四要素(姓名/身份证号/手机号/银行卡号);
(6)地址定位:申请地址GPS与手机设备GPS地址是否匹配、居住地址与工作地址的真实性与合理性等;
(7)设备指纹:设备关联的不同身份与地址、设备指纹相关欺诈规则等;
(8)运营商通话:非正常时间段内(凌晨)的通话次数、频率等;
(9)银行卡归属:银行卡归属地命中高危地区、银行卡号命中盗卡黑名单等;
(10)多头借贷:用户最近(1/3/6个月)申请贷款数量、注册借贷平台数量;
(11)风险名单库:内部黑名单、三方黑名单、司法涉诉名单、征信不良名单等;
(12)关系知识图谱:联系人是否命中黑名单、通讯录涉及风险关键词的数量等;
(13)人工信息电核:经验性对话判断、信息交叉检验等;
(14)贷中行为监控:手机使用、出行记录、电商交易、还款行为等。
3、反欺诈策略规则样例
线上信贷业务的通用流程,主要包括注册、登录、认证、绑卡、授信、放款、提现等,针对不同环节的欺诈风险,表现方式及其特点各有所异,因此为了有效实现信贷产品的反欺诈管理与实施,每个业务环节必然需要相应的反欺诈策略,这样才能满足风险精细化管理的需求。
针对反欺诈风控体系的架构与完善,我们接下来围绕信贷流程的几个主要环节,依次以具体样例描述下各模块的反欺诈策略规则,便于在实际反欺诈场景中作为信息参考与样例实施。
3.1 注册环节
3.1.1 防批量操作
(1)在1天内同一设备上注册使用IP数量>=N;
(2)在1天内同一设备上注册的账号数量>=N;
(3)在1天内同一设备上注册的手机数量>=N;
(4)在1天内同一设备上注册的邮箱数量>=N;
(5)在1天内同一手机号尝试注册账号次数>=N;
(6)凌晨0-6点时间内同一设备注册账号次数>=N;
(7)同一IP地址1小时内注册的设备数>=N;
(8)同一IP地址1小时内注册的账号数>=N;
(9)注册操作时间在凌晨1-6点且IP归属地为高危地;
(10)在1天内同一IP注册时间间隔<Ns;
(11)在1天内同一设备注册时间间隔<Ns;
(12)短信验证码输入时间<=Ns。
3.1.2 防虚假注册
(1)IP命中代理IP识别且手机归属地与IP对应城市不匹配;
(2)手机号命中虚拟手机号识别。
3.1.3 防短信轰炸
(1)在1天内同一手机号尝试注册次数>=N;
(2)在1天内同一手机号接收验证码次数>=N。
3.1.4 防失信风险
(1)命中金融失信名单;
(2)命中司法处罚名单;
(3)命中内部定义黑名单。
(4)命中三方数据黑名单。
3.1.5 防刷单风险
(1)羊毛党可疑分数>=N;
(2)羊毛党风险等级>=N;
3.1.6 异常设备注册
(1)注册设备安装模拟器识别;
(2)注册设备作弊工具识别。
3.2 登录环节
3.2.1 防账户盗用
(1)IP命中代理IP识别;
(2)登录操作时间在凌晨1-6点;
(3)在1小时内设备移动距离>=Nkm;
(4)在1小时内账户移动距离>=Nkm;
(5)在1小时内手机号移动距离>=Nkm;
(6)同一账户本次登录IP不是上次登录IP,且本次登录设备不是上次登录设备。
3.2.2 防暴力破解
(1)在1天内同一密码尝试登录不同账户>=N;
(2)在1天内同一设备尝试登录账户数量>=N;
(3)在1天内同一账户尝试登录密码次数>=N。
3.2.3 防拖库撞库
(1)设备2次登录时间间隔<=60s;
(2)账户2次登录时间间隔<=60s;
(3)在1天内账户登录的设备数>=N;
(4)在1天同一IP管理的账户数>=N;
(5)在1天内设备登录的IP数量>=N。
3.2.4 设备异常登录
(1)登录设备标识缺失;
(2)登录设备或账户异常;
(3)登录设备安装模拟器识别;
(4)登录设备作弊工具识别。
3.3 认证环节
3.3.1 防虚假认证
(1)同1天内同一设备关联不同姓名的身份证数量>=N;
(2)同1天内同一设备关联不同地域的身份证数量>=N;
(3)同1天内同一设备关联不同年龄的身份证数量>=N;
(4)同1天内同一手机号关联不同姓名的身份证数量>=N;
(5)同1天内同一手机号关联不同地域的身份证数量>=N;
(6)同1天内同一手机号关联不同年龄的身份证数量>=N;
3.3.2 防批量操作
(1)在1小时内同一IP提交认证次数>=N;
(2)在1小时内同一IP提交不同身份证号的认证次数>=N;
(3)在1小时内同一IP提交不同姓名的认证次数>=N;
(4)在1天内同一身份证号提交实名认证次数>=N;
(5)在1天内同一账户提交实名认证次数>=N;
(6)在1天内同一设备提交实名认证次数>=N。
3.4 绑卡环节
3.4.1 防盗用卡证
(1)绑定银行卡身份证与开户身份证不匹配;
(2)在1个月内同一账户绑定银行卡数量>=N;
(3)在1个月内同一账户关联绑定验证手机号数量>=N;
(4)在1个月内同一身份证关联验证手机号数量>=N;
(5)在1个月内同一验证手机号关联绑定身份证数量>=N;
(6)在1个月内同一身份证关联绑定银行卡姓名>=N;
(7)在1个月内同一银行卡关联绑定姓名>=N;
(8)在1个月内同一银行卡关联绑定身份证号>=N;
(9)在1个月内同一银行卡关联绑定手机号>=N;
(10)在1天内同一银行卡绑定关联的账户数>=N;
(11)在1天内同一银行卡绑定关联的设备数>=N;
(12)在1天内同一验证手机号绑定关联的账户数>=N;
(13)在1天内同一验证手机号绑定关联的设备数>=N;
(14)在1天内同一设备绑定关联的银行卡数>=N;
(15)在1天内同一设备绑定关联的手机号数>=N;
(16)手机号命中盗卡黑名单;
(17)手机号命中虚拟号码识别库;
(18)imsi与手机号不匹配;
(19)手机号当前地址与IP所属地址不匹配;
(20)身份证号命中盗卡黑名单;
(21)银行卡号命中盗卡黑名单。
3.5 授信环节
3.5.1 防身份盗用
(1)IP归属地与身份证归属地不一致(市级)且IP所在地在高危地;
(2)手机号归属地与身份证归属地不一致(市级)且IP所在地在高危地;
(3)身份证解析地与银行卡归属地不一致(市级)且手机号归属地在高危地;
(4)手机号归属地与IP所在地不匹配且IP所在地在高危地;
(5)IP归属地与银行卡归属地不匹配且手机号归属地在高危地;
(6)手机号归属地与银行卡归属地不匹配且IP所在地在高危地;
(7)身份证解析地在高危地;
(8)银行卡号归属地在高危地;
(9)银行卡号命中盗卡黑名单;
(10)手机号命中盗卡黑名单;
(11)身份证号命中盗卡黑名单。
3.5.2 防虚假申请
(1)手机号命中虚拟手机号识别;
(2)第一联系人手机号命中虚拟手机号识别;
(3)第二联系人手机号命中虚拟手机号识别;
(4)学历是硕士以上且身份证解析年龄是N以下;
(5)用户身份类型是学生且年龄在N以上;
(6)所属行业是金融且学历是高中以下;
(7)职位是总监及以上且学历是高中以下或身份证解析年龄小于18岁;
(8)手机号状态是关机;
(9)手机号状态是空号;
(10)手机号状态是欠费。
3.5.3 防重复借款
(1)X月内身份证号申请借款的网贷平台数>=N;
(2)X月内身份证号申请借款(含跨平台)的次数>=N。
3.5.4 防机构代办
(1)工作单位名称包含“担保”或“贷”或“中介”字符。
3.5.5 防失信风险
(1)身份证号命中金融失信名单。
(2)身份证号命中征信黑名单。
3.6 放款环节
3.6.1 防失信风险
(1)银行卡号归属地在高危地;
(2)银行卡号命中盗卡黑名单。
3.7 提现环节
3.7.1 防重复借款
(1)X月内身份证号申请借款的网贷平台数>=N;
(2)X月内身份证号申请借款(含跨平台)的次数>=N。
3.7.2 防身份盗用
(1)IP归属地与身份证归属地不一致(市级)且IP所在地在高危地;
(2)手机号归属地与身份证归属地不一致(市级)且IP所在地在高危地;
(3)身份证解析地与银行卡归属地不一致(市级);
(4)手机号归属地与IP所在地不匹配且IP所在地在高危地;
(5)IP归属地与银行卡归属地不匹配;
(6)手机号归属地与银行卡归属地不匹配;
(7)身份证解析地在高危地;
(8)手机号归属地在高危地;
(9)银行卡号归属地在高危地;
(10)银行卡与授信银行卡不一致;
(11)手机号imsi验证结果为手机号与imsi不一致;
(12)IP归属地与手机号所在地位置比对不一致。
3.7.3 防账户盗用
(1)同一账户注册设备与提现设备不一致且注册IP与提现IP不一致;
(2)同一账户授信设备与提现设备不一致且注册IP与提现IP不一致;
3.7.4 防机构代办
(1)工作单位名称包含“担保”或“贷”或“中介”字符。
4、反欺诈开发方式
围绕反欺诈在业务场景中的实施应用,前边我们根据业务环节列举了100多条规则样例,这些可以理解为是反欺诈“策略”体系的表现形式。此外,从机器学习算法角度来讲,反欺诈的实践通常还会采用“模型”决策方式,也就是我们比较熟悉的反欺诈模型,相应的评分卡模型形式简称为F卡。
无论是欺诈风险防范,还是信用风险评估,策略与模型的开发及其应用,是风控体系内容的共同属性。对于反欺诈实现方式而言,通过策略或模型构建的反欺诈规则都是为了有效识别欺诈风险,但各自在具体实践过程中都会表现出本身的优缺点,这里简要概况下策略与模型的特点。
(1)策略优点:上手简单、较高性能、易于理解、部署简单、容易调整;
(2)策略缺点:一次切分、单规则覆盖度低、多规则易冲突、维护成本较高;
(3)模型优点:覆盖度较高、单变量敏感度低、整体稳定性好;
(4)模型缺点:需要一定算法能力、评价指标难以选择、建模调优耗费时间。
在实际业务场景中,反欺诈体系往往以策略形式居多,尤其是结合业务流程的特点部署应用较为丰富的风控规则,而对于模型来说,通常构建一个反欺诈评分模型基本满足风控需求,这样可以将策略与模型综合应用到反欺诈体系中,从而有效发挥各个风控规则的决策效果。对于线上反欺诈规则的应用过程,则需要定期监测其区分度与稳定度,这是风控体系内容的必要部分,也是从事信贷风控工作的重要理念。
关于反欺诈的相关内容,在我们的知识星球平台,还有一个相关的反欺诈的建模的内容可以学习。我们提供了python代码与样本数据,供大家参考学习,详情请移至知识星球参考相关内容。
…
~原创文章
文章出处登录后可见!
