首先了解两个概念:风险管理和风险控制。
风险管理指的是如何在一定的风险环境里,把风险减至最低的管理过程。它的基本程序包括:风险识别、风险估测、风险评价、风险控制和风险管理效果评价等环节。
风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。所以其实风险控制是风险管理中的一个环节。风控是风险控制的简称。
在互金行业,风控的内涵非常宽广,除了有对用户在业务进行时的信用风控,还包含了对所有可能风险事件的控制,涉及人员操作风险、业务操作风险、技术操作风险和外部事件带来的风险。
→ 风控应用场景
风控被运用到互金的各个地方,主要包括信贷中的个人信贷与小微企业信贷、投资过程中的风险控制、平台资金安全、平台技术安全、用户资金安全、用户账户安全、推广运营活动等环节。
通俗来说,风控用于还款能力、还款意愿的判断,反欺诈、反作弊、反薅羊毛,防止外部对内部系统的攻击,防范平台和用户的资金出现问题等。
从行业维度来看,风控运用于互金行业中的消费金融、供应链金融、信用借贷、理财平台、P2P、大数据征信、第三方支付(第四方聚合支付)等各细分领域,同时还可用于电商、游戏、社交等“传统”互联网公司。甚至可以说,任何互联网公司都需要风控。
当然,互金行业的风控不只是各种数据,各种算法建模,各种风险评估。实际上,用户的账户、投资支付等环节往往存在着各种风险,这部分风险控制也非常重要。
下面主要阐述基于用户行为策略进行用户账户安全、投资支付安全以及推广运营中的风险控制。
(1)用户账户安全
较于互联网其他行业,互联网金融产品的账号与资金安全显得尤为重要。若用户遭受经济损失,则平台的利益与口碑可能双输。基于此,互联网金融产品(无论是移动端还是Web端),均采取各种措施来保护用户帐号资金安全。
对于互金平台,用户体验和安全永远是鱼和熊掌,在保证安全的前提下提高用户体验。在产品设计与后台开发的时候,应事前预计各种情况并给出解决产品层面和技术层面的方案。
用户账户安全涉及到木马植入、暴力破解密码、拖库撞库、虚假注册、短信轰炸、手机丢失等行为。在注册登录验证码发送等场景下均可能出现各种问题。
注册行为
建立注册手机号黑名单。在注册时就进行控制,此处可采用第三方风控平台建立的号码黑名单;实名认证,通过直接实名认证或者银行卡绑定完成注册后的实名认证,增加平台对用户的了解。当然,按照监管要求,所有投资借贷支付均需实名认证。
短信验证码
互金平台可能遇到的情况包括垃圾注册,调用短信接口进行轰炸,干扰了正常的短信下发且大量消耗短信服务费。黑客可通过抓包的形式,获取短信接口,并通过代理IP,采用不同的手机号,源源不断的请求短信接口。
防止措施包括:
产品层面采用图形验证:在用户注册时,为了识别出机器人注册,需输入验证码或者拖动滑条等方式。
IP地址和手机号码地理位置映射:IP地址和手机号码本身携带着地理位置属性,通过建立GEO-IP库和手机号码归属地库映射,从而判断出风险。
请求限制:同一IP请求短信接口达到一定次数(例如5次)则限制该IP请求24小时。单个手机号码60s只能请求1次短信接口,1小时内至多请求3次,24小时内至多请求5次。
短信预警:通过评估平台短信业务量,帐号开设日发送上限,限定每天最大发送额度,超出一定限度则提醒相关人员。
登录行为
判定用户是否在常驻地登录:建立地理栅栏,若用户当前登录地与用户号码归属地、常驻地存在差异,通过下发短信通知用户。
移动端采用Touch ID、图形绘制进入app:为了让用户获取更高的安全保障,在用户完成注册行为后就立马启用Touch ID、图形绘制,也可以在用户完成充值投资后立马提示用户。修改密码等场景下,需要输入原始密码并进行短信验证。(但此处存在一个悖论,我就是因为不知道原密码才来改密码的啊……请慎重)
常用设备登录:普通用户常用设备为1台,多则两台。每台设备均对应特定的型号,若用户账号与最近登录设备不一致,通过下发短信告知用户。登录连续输入密码错误5次,则限制该账号24小时不能登录。
以上关于登录注册的风险控制,并非要全部都做,也不是做完了所有的功能就安全了。需要开发能力开发优先级进行评估,同时产品经理需要梳理好各个功能的关系,防止出现无解的情况。
(2)投资风控
对于理财类平台,在相同的量级下用户往往追捧高收益。在某些理财平台,热门高收益的理财产品一开标就被秒光的情况很常见。此时一些会技术的用户会利用脚本进行作弊,以达到秒标的目的。因此这些热门平台存在一标难求的情况,占用了其他用户的资源。
为了防止这类问题:
程序识别自动投标:程序自动投标有以下特征,单个用户的投标操作频繁,对相应页面(接口)的在1分钟内大于10次,且在开标时间点之前就已经频繁请求。平台可以根据情况设定阈值,进行识别。通过撰写相应的脚本识别出这类用户,据规则将涉及自动投资的账户交给运营处理。
产品层面增加投资过程难度。如机器投标的情形非常猖獗,对平台造成了很大的影响,则应考虑牺牲用户体验而增加投资难度。与注册行为类似,在投资流程中增加滑动验证码、计算题、辨别倒立的汉字等等(例如淘宝在秒杀活动中加入了计算题,四字成语的首字母)。
(3)推广运营风控
随着互联网不断发展,获客成本很高。而互联网金融获取一个投资用户的成本在几百元。在竞争日趋激烈的互金行业,特别是理财类产品,产品要获客需要去不同的平台推广以获取目标用户。但某些平台为了业绩,营造流量很大的氛围,通过虚拟机+代理IP点击广告。同时,某些渠道通过购买用户信息,机器模拟注册,甚至完成实名认证和甚至银行卡验证。对此,消耗了推广费用却没有获得真正的用户。
在互联网中,有一群人称为“羊毛党“,各种信用卡的,赚取积分各种奖品优惠券。哪里有红包哪里就有他们的身影。他们是真实用户,但他们来平台的目的不是参加活动或者投资,这些人不能成为平台用户,且占用消耗了平台资源。
反作弊措施:
建立“黑名单”(灰名单)
通过自己或者通过第三方,建立羊毛党用户的黑名单(灰名单)。这类用户的特点是,平时不活跃,在平台有推广活动有红包优惠时,表现比较活跃。通过分析用户行为,建立羊毛党用户的“黑名单”。不过建立这样的名单是一项长期的过程。
推广效果监控系统
在通过渠道推广之前,谨慎考虑每个渠道的用户质量与渠道本身的口碑。如不能确定推广渠道的优劣,前期可以小部分投放推广。大量投放之前,运营团队与产品、技术团队一道,搭建市场推广效果监控系统。在活动页面埋点,监测页面UV、PV量。同时监控不同渠道的注册转化率、投资转化率、投资额度等关键指标。差的渠道,注册转化率,投资比例都会很低。这样不同的渠道优劣很容易就区分开来。
电话回访
通过“人肉”的方法判定渠道的优劣。在不同的渠道随机抽取用户播放回访电话,并询问用户在哪里看到当前的产品的,同时对用户做一个产品体验调查。重点关注用户所在的区域,用户的年龄性别职业等信息,与目标用户的特征进行比较。笔者所在的项目遇到过,在试推广阶段发现某个渠道的注册手机号多来自广东,果断弃之。
建立自动预警机制
首先,辨别作弊者的行为特征,然后量化这种行为。
再通过撰写特定的脚本识别出这种行为,识别后自动告知运营人员。
最后可将这些用户加入系统的黑名单(灰名单)。采用这种“机器+人工”方式可以有效帮助运营对抗羊毛党。
比如,在短时间内(1个小时内),5个或更多用户被同一个人邀请,完成了登录注册和投资,但平均投资额度很低(&-10元)。这样的用户肯定存疑。类似的规则需要不断新增与完善。
基于行为过程的策略,可以进行有效的风险控制。这类风险控制,其实比业务信用控制更加基础,更加需要。而且这部分的风控,更多的是产品经理需要关注的。
摘自 | 金融科技安全
出处 | 海思细语
免责声明:转载内容仅供读者参考。如您认为本公众号的内容对您的知识产权造成了侵权,请立即告知,我们将在第一时间核实并处理。
网友评论