黑產批量作業暴露蛛絲馬跡，7招攔住設備欺詐

線上貸款產品主要通過iOS系統設備、Android系統設備、Web設備、H5設備四種設備進行申請。這些設備分別包含了哪些信息？如何防範設備被欺詐？

來源 | 誠安聚立CaFintech

WHY？為什麼研究設備信息

中國金融市場上，欺詐風險遠遠大於信用風險，這裡的欺詐風險也可以直接說是黑產風險。而解決黑產風險需要深入了解黑產，針對各個碎片化的數據一個點一個點的解決，設備信息就是其中尤為重要的一個部分。

針對設備這一個維度，想必大家都不陌生。市場上有各種設備指紋識別技術，網路上有各種寫設備數據重要性、解決了什麼問題的文章，那為什麼本文還要寫設備數據這一個感覺很小的維度？

是因為整個市場還有相當一部分人員沒有將設備這一個維度做深、做透；另一方面，也是對之前研究積累及落地經驗的一些總結，和大家一起溝通、切磋。

WHAT？設備包含哪些信息

線上貸款產品主要通過四種設備進行申請，其中web和H5設備可以放在一起討論，因為設備抓取的指紋技術基本一致。

iOS系統設備

Android系統設備

Web設備

H5設備

iOS系統設備

操作系統平台、操作系統版本、解析度、網路類型、udid、openudid、mac地址、ip、經度、緯度、是否越獄、idfa等。

抓取設備信息的核心是抓取設備唯一的標識，但是因為iOS系統設備的唯一標識一直在變化，保密性做的很好，所以唯一標識的獲取也要相應變化。上面的udid、openudid、idfa都曾經或者正在用作識別設備指紋的唯一標識，具體含義大家可自行百度，這裡不再贅述。

Android系統設備

操作系統平台、操作系統版本、解析度、網路類型、ip、經度、維度、mac地址、imei號、是否安卓模擬器、卡獲取號碼、是否root、app列表、imsi、sim卡序列號、設備隨機標識、手機連接wifi名稱、電池狀態（充電模式或者充滿模式）、電量等級等。

因為Android系統是開源平台，大部分信息都是對外開放的，所以可以直接獲取，imei號是Android系統設備號的唯一標識。

Web／H5設備

user agent、屏幕解析度、時區、瀏覽器的插件信息、字體、瀏覽器操作系統、瀏覽器版本號、瀏覽器是否啟動、系統語言、顏色等。

Web/H5設備指紋的獲取技術現在主要是幾種：1. 集合瀏覽器的各個特徵，把加密演算法計算得到的數字作為指紋；2. 基於cookie塞入一個唯一值；3. 基於帆布指紋技術。

針對瀏覽器的指紋，當前還無法做到同一台電腦、不同瀏覽器能夠識別成相同的設備指紋，而且上面的獲取指紋的方式都有自身的瓶頸（這裡懂的朋友可以怒懟，一塊討論）。

HOW？防範設備欺詐

黑產人員，從垃圾註冊，撞庫，脫庫，養號，刷單，套現，申請貸款產品…都存在批量操作的模式。簡單來說就是使用同一個設備申請成千上萬個賬號，以節省成本。抓取設備信息的目的是為了識別客戶使用的設備。下面針對黑產使用設備過程中的各種細節，依次說明該如何利用抓取的信息進行防控。

使用相同設備批量作業

通過獲取的設備信息設定各種集中性的規則進行防控。例如：24小時內同一個imei號申請的不同手機號的個數大於4…等，可以構造出成百上千的集中性規則，進行部署。大家不要小看這些簡簡單單的規則，往往大型的欺詐案件就是這些細小的點沒有做到位導致的。

關注IP

IP和設備指紋信息不同，非常多變，要謹慎使用但是一定要用，因為黑產也一直通過IP相關的規則漏洞平台進行攻擊。IP的研究方面：內網IP，外網IP，代理IP，肉雞IP，大公司IP，風險IP等。

網上介紹上面這些IP的文章有很多，也不多做贅述。其中代理IP，網上有很多網站可以爬取。但使用的時候一定要注意有效時間，因為某一個小時該IP為代理IP，過了這一個小時就變成了正常的IP。

通過IP可以做類似於上述設備指紋做的集中性規則，另一方面可以通過IP解析出的地域（省，市）和其他維度進行交叉驗證，也可以識別用戶跨市，跨省的異常行為。

篡改行為

黑產從業者和風控從業者之間的對抗本質就是對立的攻防戰。因為有了黑產的批量化作業，才有了風控從業者開發設備指紋的技術進行防控。整個產業基本都使用了設備指紋技術後，黑產就會構思如何繞過這一關，譬如：篡改信息。

類似007改機、008改機、芝麻變機寶等，已經在各種黑產群里公開使用。還是同一個手機，通過這些篡改軟體，可以被識別成不同的手機設備。那麼需要研究他們改機的整個操作，找到攻克點。一般步驟為IOS手機越獄，Android手機root，安裝改機軟體，進行改機。所以可以通過上面的信息設置一些抓點：抓取是否越獄/root，抓取app列表找是否有專門的改機軟體。

市場上還存在各種篡改位置（GPS或IP等）的軟體，如天下游。因為有些貸款平台只在某一個區域開展業務，所以需要修改定位到該區域進行擼錢，解決方式同上。

另外安卓模擬器也被黑產廣泛使用，如海馬玩、夜遊、天天等。而且一般和上述的篡改類軟體配套使用，更容易進行批量化的操作。主要通過技術解決，比如感測器識別，在系統底層的代碼上面得到一些特徵等。

網路類型

很多中介培訓學員的時候，都說盡量使用自己的4G網路，不要使用wifi，因為wifi篡改位置的成本更高。所以需要抓取這個維度，最好配合後續模型使用。

設備價值

通過設備名稱和系統基本能找到設備的價值，是500元左右還是1000元左右的手機，或者是5000元的iphone。這些都可以作為判斷好壞的一項特徵，畢竟黑產的從業者也是需要考慮成本的。

app列表

剛才說到對篡改類軟體的一種識別方法就是抓取到app列表，查看哪些是篡改類的軟體，這就是獲取app列表的一個作用。當然先明確一點：只有Android系統的手機才能獲取手機的app列表。大多數的貸款客戶使用Android系統的手機，所以使用這部分數據還是很有價值的。

現在黑產也有部分轉向使用IOS系統的手機，同樣也是基於安全性的考慮，雖然手機成本會高一些，但是被抓住的可能性就小很多。

除了上述說的篡改類的軟體，還有其他幾類和貸款信用強相關的軟體。最簡單的使用方式就是梳理出來所有和貸款相關的關鍵詞進行比對，得到該類型app的數量，設定簡單的閾值規則。

貸款類

2017年最火的PDL產品，讓大多數從業人員認識到了太多的貸款產品，各種貸、白條、理財、錢、花錢等。

賭博類

多頭借貸的行為很正常，但是借貸後去賭博就不能容忍了。需要識別各種賭博類相關的app，類似賭彩、賭球、麻將等。

某產品平均額度3000左右，PaydayLoan人群，期數7天或14天。選取數據總量120958條，定義逾期7+為壞客戶，設備安裝貸款APP數量與壞客戶比例關係如下圖。

可以看出，貸款APP安裝數量小於20時，隨著安裝數量的增加壞客戶比例呈遞減趨勢；大於20時，隨著安裝數量的增加壞客戶比例呈遞增趨勢。這說明貸款APP數量過少或過多的客戶都存在較高風險。

使用app數據構建特徵

採用的手段還是爬蟲，這次不是爬網站，而是爬商城：小米商城、華為商城、iphone store商城等等。爬取的目的是將所有的app進行歸類，上一篇《如何運用論壇數據進行風控建模》也提過特徵構建的三要素，這裡再提一下：維度、計算對象、計算方式。

維度：大類別（休閑創意、棋牌桌游、居家生活、旅行交通等）、評論數、評分等

計算對象：應用名

計算方式：計數

通過上面的三要素構建出設備app相關的特徵，結合後續的標籤，進行模型訓練，篩選出最相關的一些特徵。

業務目標決定了如何使用設備數據，大家可以結合自己的場景去合理使用。本文主要基於主動式設備指紋技術展開講述，如果以上各個方面都做的比較細緻，基本就能夠解決設備欺詐問題。

-END-

已組建消費金融行業細分社群

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！