互金之套路與反套路

雷鋒網按：本文原發表於知乎，作者為@DataVisor黃姐姐。雷鋒網已獲授權轉載。

根據人民銀行在2015年發布的《關於促進互聯網金融健康發展的指導意見》的定義：互聯網金融是傳統金融機構與互聯網企業利用互聯網技術和信息通信技術實現資金融通、支付、投資和信息中介服務的新型金融業務模式。

根據央行媽媽的定義，互金的範圍比較廣：P2P、第三方支付、現金貸、消費貸均可位列其中。本文主要以消費金融為例，闡述如何揭露互金的套路（欺詐）以及如何反套路（反欺詐）。

不知道各位是否聽到過這樣的牛逼：

1. 我司技術厲害得一比，能適用所有欺詐場景；

2. 我司有大量黑名單和設備指紋，能夠實現聯防聯控，即使行業不同，對你們一定有幫助；

這是目前反欺詐行業的兩個派系（技術派和數據派）最為廣泛的牛逼。然而，黃姐姐要說：你們省省吧！

脫離了業務的反欺詐都是耍流氓！

話說，你不懂客戶的業務，心心念念的都是自己有什麼，以進行強行推銷，只會讓客戶反感。你應該做的，是去了解，客戶需要什麼！

那麼，如何站在客戶的視角看問題？如何理解客戶的痛點？如何解決客戶的難題？且聽黃姐姐娓娓道來。

#Step 1: 背景調查（或黑產研究）

一個成熟的項目團隊，一定要有負責黑產研究的人，所謂「知己知彼，百戰不殆」。對於黑產的研究，可以分為初級和高級兩個級別：

初級：

1）QQ群：可以通過搜索相關產品的QQ群，進入黑產交流群；

2）微信群：微信群不能夠通過搜索，需要通過其他方式獲得到某一個黑產人員的微信，再慢慢進入其圈子；

3）貼吧：相關產品的交流群；

4）新聞：整個大行業的市值，遭遇黑產的情況；

5）公眾號：揭露黑產的公眾號（為了避免廣告之嫌，就不提名字了）；

高級：

1）養號：運營一個黑產賬號，微信和QQ同步，轉發各種薅羊毛和騙貸信息；

2）卧底：潛伏在各個黑產群，轉發各個渠道獲得的騙貸口子，建立信譽；

3）熟人：與群內活躍分子搞好關係，要知道，最高級的群都是需要熟人介紹才能進入的（黑產也擔心卧底和公安局經偵人員偵查）

以下以消費分期為例說明卧底的問話技巧。為了不暴露黃姐姐卧底多年的賬號，就不上截圖了。摘取片段如下：

【某消費分期黑產群】

黃姐姐：各位大佬，手頭緊，江湖救急，有口子可擼嗎？

壞人：回收額度，走平台，安全放心，來不？

黃姐姐：怎麼做？會上徵信嗎？上徵信的不玩（假裝在乎徵信，騙取信任）

壞人：不上

黃姐姐：幾折？（假裝在乎手續費）

壞人：看情況，蘋果手機9.2折，其他手機8.3折；

黃姐姐：買不起，額度沒那麼高，就2500；

壞人：（發來兩個連接）799的手機買兩部，899的買一部（總價2497黃姐姐：必須買這兩個嗎？你們都是必須指定嗎？（套品類和型號信息）

壞人：說實話，899的更好賣，但是你錢不夠。（有傾向）

黃姐姐：直接寄給你啊？（套取訂單收貨人信息）

壞人：對，xx市xx區xx手機城 王小明收 13900000000（暴露了個人地址、姓名、聯繫方式）

至此，你得到了一種套現手法，分析如下：平台老客，集中在某個群，集中購買某幾個商品（3C產品是重災區），郵寄給同一個人。

#Step 2:業務特徵衍生

通過卧底，你可能已經掌握了多種騙貸和套現手法。現在，黃姐姐還是拿上面這個例子舉例，如何根據卧底情況做特徵工程，或者埋點。

關鍵詞一: 兩個鏈接

關鍵特徵：

1）下單渠道：是否是QQ喚醒？微信喚醒？還是通過搜索關鍵詞瀏覽了某個商品下單？

2）瀏覽時間：通過壞人發給你的鏈接下單，對商品的瀏覽時間會短得多；

3）加入購物車 vs 直接購買？

4）下單前瀏覽頁面品類：下單前數個頁面（比如200個頁面）的瀏覽品類統計，跟下單商品的關聯性；

關鍵詞二：899的更好賣

關鍵特徵：

1）易套現商品標籤——3C重災區；

2）某個時間段內型號銷量——銷量越大，越容易出手；

關鍵詞三：直接寄給你？

關鍵特徵：

1）歷史收貨信息比對：收貨人、手機號、地址比對，是否歷史上從未出現過？

2）是否多人共用地址：是否有多個訂單郵寄到某個共用地址？地址模糊匹配，地址相似度計算、特殊字元、記號識別等；

3）是否有多個相同商品寄往同一收貨人：收貨人姓名、地址、手機號是否匹配？

關鍵詞四：799的手機買兩部，899的買一部

關鍵特徵：

1）額度使用率：我有2500額度，購買商品總價2497，剛好用完；

關鍵詞五：手機城

關鍵特徵：

1）地址是否是零售商：很多套現是通過零售商變現，為此，所有手機城、電腦城、賽格、華強北等關鍵詞都是監管重點；

至此，與此場景相關的特徵衍生完成。

#Step 3: 風險點標註

通過卧底，你能夠對目前產品的欺詐情況有一個初步的了解。接下來，你需要系統梳理每一步的風險點，並做標記。為此，黃姐姐同樣以某消費分期產品為例做一個梳理，紅色小旗和小人為重要風險點：

這個過程，一定要是除了產品經理以外的人來做，否則產品經理自己設計的流程，容易陷入固定思維模式。這一過程，就是亂點，亂試，亂想，把自己當成壞人，想辦法從各個環節去破解風控規則，或製造攻擊點。由於此流程較長，僅舉三個例子作為說明：

1. 手機號所在地解析/身份證區域解析/申請地址解析：我們遇到過這樣一個團伙，手機號和身份證全部集中在甘肅、江西、雲南三個省份，註冊地全部在深圳市。有理由懷疑，這是一個團伙，到外地收四要素，回到深圳本地做大規模騙貸；

2. 身份證驗證：身份證是以「從圖庫上傳」還是「拍攝」方式錄入系統？拍攝的像素如何？是否是拍攝實體身份證，還是有拍攝屏幕照片的網格？一共傳過幾次身份證？是橫向還是縱向？

3. Wifi list：埋點讀取用戶可連接Wi-Fi list，同時獲取連接Wi-Fi的name，是否有幾個人的可連接Wi-FiList相同？要知道，IP和GPS都可以通過模擬器篡改，而可連接Wi-Fi 的list，則很容易被黑產忽略掉。

#Step 4: 模型分析

偉大的小平爺爺有一句話：不管黑貓白貓，能抓到老鼠就是好貓。這句話用在風控領域再合適不過。事實上，通過對卧底、特徵工程和對整個流程的梳理分析，你已經完成了反欺詐的80%，剩下的20%就是選擇一個合適的模型去識別欺詐。而每一個演算法都有其優勢和劣勢，沒有好壞，只有是否合適。只要能夠有助於識別和分析壞人，就是好的演算法。對於有標籤的數據，毫無疑問，選擇有監督；而對於無標籤的欺詐，或者只是step 3中你自己yy出來的欺詐模式，則只能採用無監督方式。事實上，這也是為什麼無監督越來越受風控專家青睞的原因。此外，如果再利用Apriori演算法對團伙做進一步分析，還能夠自動生成一些規則，發現團伙更為隱蔽的關聯。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！