1黑产欺诈—黑卡
1.1猫池
一种可以插入多张SIM卡的设备,并实现批量呼叫,发送短信的设备。
1.2获取大量非法SIM卡渠道
(1)运营商内部大批量兜售,这种卡的数量比较多,缺点是没有实名认证,一张身份证理论上可以开200~300个手机号;
(2)某些黑心营业厅会在你用身份证办卡时备份你的身份证资料,同时用你的身份证开多张卡,这样做要么是为了完成运营商指标,要么是为了买号,两种嫌疑都有可能;
(3)直接在黑市购买身份信息,利用这样的身份信息注册,就不是一张身份证注册一张卡了,而是会发挥最大的效益。
1.3基于猫池SIM卡的风控逻辑
(1)短信。猫池中的SIM卡可以定时发送短信,收信方可以是猫池中的其他SIM卡,也可以是猫池外的正常卡,编辑内容不限。一般手机短信会包括以下几类:银行扣款、外卖短信、短信验证码、运营商扣款短信、门店折扣信息短信。可以通过短信类型、数量和发送时间识别异常用户。
(2)通话记录。短信可以互发,电话也可以。那么,根据通话记录建立风控规则时,可以考虑是否存在较多异常电话或通话记录号码较少的嫌疑较大。
(3)流量。猫池中的卡可以批量购买,为了降低手机卡的成本,那么手机卡的套餐和流量也许会选用最低的。
2黑产欺诈—流程
第一步,放马。 上述黑产团伙通过伪基站发送带有木马病毒链接的伪装短信,小王出于好奇,点击链接后,用户名及密码就已泄露。而莫妮卡在注册过程中,也泄漏了关键信息。 第二步:操盘。 由于银行的风控手段比较成熟,因此直接盗刷银行卡难度较高、风险较大,因此,这些黑产群体掌握信息后,就通过注册电商账号,曲线变现。 第三步:洗料。 注册完账户,绑定银行卡之后,黑产群体就会通过网上商城购买易于变现的高价值物品,比如黄金、手机等,并通过对来电进行拦截或者设置呼叫转移,使得商品到达欺诈团伙手中。 第四步:变现。 通过地下黑色产业链销赃网络,将购买来的物品变现、分赃。
3团伙欺诈—侦测模型
3.1团伙欺诈风控技术——关系图谱
关系图谱涵盖了生态体系内的所有个体(包括用户、账户、手机号等)和个体间的关联关系,可以帮助反欺诈人员从更高的维度去分析用户行为和交易,从而更容易发现团伙欺诈的蛛丝马迹。
社群检测(Community detection)。所谓社群,是指图谱中共享相同的属性或承担相似角色的一组个体,社会关系中常见的社群例如家庭、同事圈、朋友圈等等。
在关系图谱中,大多数的、正常的个体应该是独立的节点,或者与其他节点组成的小规模团体(在这种情况下,多数可能为家人或亲友关系)。若出现大量节点关系密切时,则这些团体可被归为异常,需要引起反欺诈人员的高度关注。
检测出欺诈团伙后,还可以通过识别中心节点,来进一步识别团伙中的核心人员,因为团伙核心人员承担相对重要且稳定的控制角色,他们必然会与其他团伙成员有大量的关联关系。
3.2典型社群检测
(1)层次化聚类 层次化聚类是指自下而上将最相似的社群或节点合并为新的社群,这样便可以聚类得到若干组内差异相对较小、组间差异相对较大的社群。 (2)分裂算法 一种简单的社群识别方法是先检测连接不同社群节点的关系并将其删除,以便断开不同社群之间的连接。这种算法的关键在于找到可以鉴别社群间连接关系的有效特征。边缘间距(edge betweenness)就是一种典型的鉴别特征,它是节点间最短路径经过特定关系的节点对的数量。 (3)基于团伙模式检测的算法 还有一类方法是通过直接检测特定的社群关系模式来定位团伙,典型的社群关系模式比如回环。社群的一个显著特征在于拥有高密度的关系网络,因此期望这样的关系形成回环是合理的。相反地,社群间的连接关系几乎不会成为回环的一部分。团伙欺诈中常见的回环模式比如循环担保、互为紧急联系人等等
4.携程实习
4.1欺诈案件分析
此处指专业的欺诈分子作案,通过对同一批订单的全量数据分析,找出共同的案件特征,如“中国银行单标VISA卡”案件在支付时未经过全要素认证。找欺诈原因做案件定性,作专题分析。
然后,紧急上线应急规则,并梳理现有规则系统做好漏洞优化。
最后,相关产线跟进,避免欺诈分子更换产线绕过规则,此过程要对规则的抓取情况进行监控,及时优化,待规则效果稳定后正式上线。
4.2日常规则优化
4.2.1 规则挖掘
日常工作中,对历史订单数据进行深度挖掘,主要是特征组合的挖掘,分析出高危的特征组合(某特征组合下,欺诈率很高,如30%)。
首先,结合多维度数据挖掘高危特征组合,即“账户+设备+订单+支付”等维度数据,甚至包含衍生变量等数据,组合分析。如:订单来源是web,IP位置是海南,预订时间距注册时间短于3天等。
其次,计算各特征取值下的欺诈识别能力(WOE),筛选特征及特征取值。
再者,基于筛选后的特征进行组合,当组合击中欺诈的比率达到一定的标准时,进入下一步分析。
最后,基于历史数据回测,测算上一步得到的高位特征组合的抓取情况和欺诈击中情况,并结合现有规则系统是否有相关的规则,决定是否需要优化还是直接测试上线。
4.2.2 规则优化
定期分析当前生产环境的规则的抓取情况,对于效果很差且不适合现状的规则应及时下线。
基于新的欺诈场景(其他公司流出来的)设置针对性的规则,并基于测试效果考虑是否上线。
参数优化,对现有的规则中的参数阈值进行优化,以适应新的情况,同时,考虑引入替代变量或者衍生变量提升规则的抓取效果。
4.3标签清洗
——通过字段见得关联,可以挖掘异常特征。举例:
(1) 通过“账户-设备-账户”标签清洗,发现异常的账户会存在在多个设备上登录,且这些设备也大量存在登录其他账户,即某一账户存在和很多其他账户共同登录同一台设备的情况,此值越大,欺诈风险越高。
(2) 通过“设备-登录”标签清洗,发现异常订单中的设备,曾多次登录不同账户,并且出现多次登录失败的情况。
(3) 对“账户-历史订单-联系人手机号”的清洗,可以发现异常账户的历史订单会关联很多低频出现的手机号。
4.4日常欺诈库监控
这一块,主要是分析欺诈漏抓的原因,分析是不是专业欺诈,对于专业欺诈要向领导汇报,并做专题案件分析(如前文);对于非专业的欺诈,需要从各维度分析漏抓的原因,是不是存在绕规则的情况。通常从一下维度分析:
(1) 击中订单的低风险规则是否需要优化(如参数阈值设置不佳);
(2) 从订单维度分析,是否存在信息矛盾的地方,如联系人信息和账户信息、行程信息等。
(3) 从支付的角度,卡持有人信息和账户信息以及订单信息是否矛盾,支付卡的关联订单信息是否有矛盾。
(4) 从账户维度,近期登陆情况,注册时长,历史消费情况等。
4.5 2016年暑期欺诈回顾
目的是通过回顾往年暑期的欺诈类型和场景,对当前的欺诈规则作出补充和准备。
(1) 统计内卡支付的各产线的暑期欺诈率,即2016年7、8月份的欺诈率,并同2016全年同一产线的欺诈率作比较,当明显高于全年平均水平时(如1.3倍),认为该产线属于暑期欺诈高危产线。
(2) 对高位产线暑期的欺诈案件做定性,对于短期高频发生的同一类型案件归为同一种欺诈场景,并做专题分析。
(3) 回顾2016年暑期上线的规则,分析当时应对欺诈所采取的策略制定角度,并结合当前的信息,作出规则优化,以适应当前的产品和市场现状。
(4) 上线一些新的优化策略和场景策略,做好防范工作。
网友评论