您的位置:首頁>科技>正文

「風斗士」同盾科技智慧風管個案想說啥?

金卡生活 2017-09-14 0

《金卡生活》雜誌

中國銀聯 主管主辦

理論研究 實務探討

長按二維碼關注我們

以同盾科技智慧風險管理為個案

解構“雙輪”驅動信貸風控及反欺詐應用模型

9月6日, 儘管以網路資訊、人工智慧為研究方向, 也解決不了因“之江實驗室”掛牌, 杭州人工智慧小鎮西溪方向道路限行擁堵的線下、非智能現實。 《金卡生活》雜誌在“秋老虎”仍在肆虐這一天, 開始了同盾科技有限公司(以下簡稱“同盾科技”)驅動大資料技術、人工智慧工具“雙輪”, 在信貸風險控制、反欺詐應用的研究。

2013年, 幾個志同道合的年輕人開始在有著天堂美譽的杭城創業, 同盾科技從誕生的那一天起, 牢牢鎖定行業智慧風險管理服務提供者的清晰定位。 也是從創立伊始, 同盾科技便將大資料、人工智慧與風險管理深度結合, 在行業率先樹立跨行業“聯防聯控”的風控理念, 從而幫助更多的中小企業,

解決其業務場景當中所存在的信貸風險和欺詐風險。 精准的定位, 以及在市場中的斬獲, 同盾科技深得資本的垂青, 先後迎來IDG資本、華創資本、寬頻資本、啟明創投和尚珹資本的投資。

蜜蜂扇動40次翅膀同盾科技給你一次風險決策分析

同盾科技除了杭州總部, 在北京、上海、深圳、廣州、成都、西安和重慶還設有分支機搆, 現有員工超過600人, 其中風控專家和資料工程師占到團隊的70%, 那麼, 這個團隊到底做些什麼?深入瞭解發現, 其內部將業務分成兩部分:一是服務于金融機構, 提供信貸行業風險管理全生命週期解決方案;二是面向互聯網行業的電商、O2O、支付等行業, 提供反欺詐服務。

市場表現斐然。 我們看到, 一是同盾科技市場規模逐步放大,

服務行業客戶超過7000家。 其中, 金融客戶達3000多家, 包括銀行、保險客戶100多家, 汽車金融類客戶100多家, 小額貸款金融客戶700多家, 消費金融類客戶400多家, P2P及其他消費金融客戶1700多家。 二是覆蓋設備終端與日增多。 通過設備“指紋”技術, 説明客戶定位其使用者使用的終端, 覆蓋設備已經達到30億台(部);掌握與欺詐相關的虛假手機號碼達3000多萬個。 三是資料處理能力日益強大。 目前合作客戶累計API(Application Programming Interface,應用程式設計發展介面)調用量已經超過260億次, API調用量每天峰值達到1.3億次, 日均約1億次左右, 而API回應時間僅在200毫秒之內。

事實上, 合作客戶都是即時調用資訊。 比如, 一個互聯網用戶線上向某家金融機構申請一筆貸款, 那麼,

後者會即時將這筆申請, 通過API的方式傳送到雲端, 於是就得到了同盾科技的幫助。 在同盾科技看來, 它是一個API調用。 這家金融機構耽擱的時間不會很長, 也就是說同盾科技API的回應時間很短。 遇到信貸風險和欺詐事件, 誰的心情都不會好, 但如果將事件想像成一隻蒼蠅在耳邊飛, 但你只需要忍耐耳邊的蒼蠅連續扇動70次翅膀;或者你與同盾科技安之若素, 移步辦公區花壇盛開的秋菊旁邊, 觀看蜜蜂連續扇動40次翅膀……接著, 你便可以拿到從同盾科技調用的你所需的資訊。 可以想像一下, 同盾科技已經累積了260億次風險行為分析, 而客戶花費的也只是蒼蠅、蜜蜂分別連續扇動70次、40次翅膀的時間。 四是準確的行業觀察為客戶保駕護航。
同盾科技説明大量的客戶保障資金安全, 帳戶安全保護累計超過了10億次。 此外, 在金融行業保護信貸資金總額已經超過萬億元(圖1)。

圖1 同盾科技資料表現一覽

來源 | 同盾科技

“科技畫像”

從工具、技術和解決方案三個維度, 可以窺見同盾“科技全貌”。 繼續抽絲剝繭,我們姑且將同盾的“科技畫像”劃分為基石層、中堅層和頂層三級架構(圖2)。

圖2 同盾“科技畫像”

製圖 | 陳厚文

基石層,即“殺手級”工具。包括決策(規則)引擎、模型平臺、複雜網路和案件管理等,這些工具構成同盾“科技畫像”的底層基礎。同時,同盾科技也會將底層的工具開放給有能力、有意願的客戶。

首先,具體來看決策(規則)引擎。基於時間、流程、名單、跨事件、“團夥”、安卓系統、位置、習慣、統計和通用等靈活配置的各類規則,於是得出接受、覆核和拒絕等準確的輸出結果(圖3)。當人工智慧工具走向標準化,應用才有普及和推廣的價值。譬如,有能力的客戶可以將自己的風控策略、規則,直接部署到同盾科技平臺上面,之所以稱作“引擎”,在於它暗合了“即時部署,即時生效”的原理。

圖3 決策(規則)引擎示意

來源 | 同盾科技

其次,探析複雜網路。第一步,打通場景。對於信用信貸、基金理財、銀行網申、電商、O2O、協力廠商支付和遊戲平臺,首先要將這些線上業務的場景打通。第二步,建立關聯關係。“團夥”、仲介之間有著一定的關聯關係,可能在同一個設備ID下面有過關聯,電商買家下單要使用手機號碼,貸款申請人提出申請也使用了手機號碼,於是,手機號碼編織起人與人的關聯關係。第三步,構建複雜網路。可以將複雜網路理解為通過“圖”的方式,將關聯關係打通。如,一個節點是身份證號碼,一個節點是銀行卡號碼,在這裡定位了人的關係。它的邊就是表明兩個節點之間有沒有聯繫。通過這種方式,能夠視覺化的讓關聯關係呈現出來,説明客戶做事後的調查分析,進一步挖掘關聯關係(圖4)。

圖4 複雜網路應用示意

來源 | 同盾科技

複雜網路最早應用於搜索場景,用穀歌搜索比爾•蓋茨的妻子是誰?搜索之後網路給出正確答案,然後還會呈現一個網路關聯關係。這是基於資料採擷,展現主題背後的資源,資料與資料之間的關聯關係。

但是,賣瓜的當然說瓜甜。運用複雜關係網絡監測欺詐“團夥”顯得格外實用和得體。具體表現在以下三方面。一是在規則中配置疑似“團夥”規則,支援通過使用者的各個維度[8] 和設備ID匹配識別。二是規則引擎即時,“團夥”識別在毫秒級回應。三是命中“團夥”,查看“團夥”分佈詳情。同時,借助視覺化工作平臺,基於一個線索或案件,進行關聯調查,可以無限展開,從而展示案件之間的關係。最後,基於一批線索或案件,進行自動關聯,使用社團分割演算法分群,自動識別疑似“團夥”,形成疑似“團夥”分析報告。

再次,籠統看一下案件管理系統。它包括,彙集案件資料、策略及模型調優依據,沉澱的經典型案件資料,以及具有高效案件調查的平臺,靈活的任務配置。

中堅層,即核心技術。包括設備“指紋”、代理檢測、人機識別、地理定位技術、AI 風控模型、“黑產”(黑色產業鏈)工具識別和即時欺詐團夥檢測等。

首先,我們來認識設備“指紋”的“廬山真面目”。設備“指紋”是同盾科技向客戶提供SDK(Software Development Kit軟體開發套件),通俗理解成一個套裝軟體。客戶將SDK集成到他的App裡面,或者集成到他的網頁裡面。當客戶的使用者在使用App或網頁的時候,SDK便會運行起來,從而同盾科技就會識別到當前那些使用者的設備環境是否異常,是否存在風險。於是,同盾科技採集用戶在終端設備留存的一些軟硬體屬性,通過一定的演算法,重新生成一個非常“唯一”的標識,這樣誕生了設備“指紋”,同盾科技給業界貢獻了核心技術的同時,也貢獻了形象的科技比喻。

我們進一步地看到,設備“指紋”具備兩大功能,一是設備唯一標識,二是設備異常環境的識別。而造成設備環境異常不外乎以下因素誘發:其一,模擬器。很多“黑產”製造者沒有一台真正的手機,也一下子找不到那麼多的手機,而是在一台廉價電腦上安裝模擬器,於是模擬出來上百台、上千台的手機。但是,每一部手機成為一台新的設備,於是出現了典型的異常環境。其二,Root(系統中唯一的超級管理員,它具有等同於作業系統的許可權)和“越獄”。手機廠商有嚴格的限制,但是“黑產”製造者突破了限制,“越獄”獲得了手機系統的最高許可權,於是改進手機系統底層,方便自己發起有針對性的攻擊。其三,Xposed作弊框架(是一款可以在不修改AndroidPackage的情況下影響程式運行、修改系統的框架服務)。對“黑產”製造者來講,攻擊每個網站的時候,都要寫一個針對性的程式,他覺得麻煩。於是將一些常用的攻擊手法抽象出來變成統一的大的平臺,然後只要在平臺上寫一些外掛程式,便可以開展快捷、高效、方便的攻擊行為。即形成所謂的“作弊框架”。此外,App重新封包,也是引起設備環境異常的因素。

那麼,我們最後來厘清設備“指紋”技術的優勢,林林總總,不一而足。但是,主要包括:一是相容iOS、安卓和PC系統,實現跨平臺支援;二是百分之百相容主流手機機型;三是實現“三防”,即防破解、防調試、防重放;四是非同步運行,性能優異;五是集成包精簡,僅需要100K左右(圖5)。

圖5 設備“指紋”技術

來源 | 同盾科技

設備“指紋”的用途不僅僅用作反欺詐,還可以用在精准行銷場景 。但是,精准行銷場景的設備“指紋”和反欺詐的設備“指紋”,二者在風險偏好和功能偏好上不盡相同。精准行銷場景不是特別關注是不是能夠真正定位到“黑產”製造者,更多關注一個人群的覆蓋面。比如,某產品希望能夠推送給“白領”,這時不需要精確地定位到每一個“白領”,只需要能夠做好這個人群的覆蓋即可。即便裡面有一些錯誤,將一些“藍領”定位成“白領”,其實問題無關緊要,至多推送一個廣告而已。所以,精准行銷場景的設備“指紋”不是特別關注準確度,它更多關注覆蓋面。反欺詐則不同。反欺詐遇到的問題往往是小概率、高危的事情,1000人裡面999人都是正常用戶,只有一個人是“黑產”製造者,反欺詐的設備“指紋”特別關注準確度。做反欺詐的時候定位要非常精確,一定要把這個人找出來,否則客戶便要遭受損失。

頂層,即系統性解決方案。除了“殺手級”工具、核心技術構成同盾“科技畫像”的基礎層、中堅層之外,包括信貸風控服務、反欺詐服務和資訊核驗服務等解決方案在內,則構成了同盾“科技畫像”的頂層。

信貸風控服務,旨在為客戶提供一個從貸前、貸中和貸後完整生命週期的解決方案,甚至也與客戶通過聯合建模的方式,做到深度的分析和評估。

反欺詐服務。它包含了業務風控、欺詐洞察、內容安全防護和一些風控資料產品。

資訊核驗服務。它重點放在對應關係的驗證上面。同盾科技與外部合規資訊核驗服務合作,主要包括與公安類、工商類、網址類別資訊對接,將這些資訊核驗服務提供給客戶。如,在貸前審核階段,同盾科技向金融機構出具資訊核驗報告,返回“是”與“否”的結果。

信貸風險解決之道

分析發現,同盾科技向金融機構提供大資料的處理和分析,技術學習,以及可信計算,當然,也包括提供網路欺詐分析、身份識別和即時計算等技術服務。更直白地說,金融機構在開展信貸業務的過程中,面臨著諸多風險,而針對這些風險,同盾科技適時向金融機構一對一匹配高吻合度的解決方案。

警惕!信貸面臨的風險。我們首先來分析信貸業務面臨的風險。

二是信用風險。包括一些金融機構征信資料維度不足,出現信用“白戶”問題;也包括跨平臺負債嚴重,金融機構無法全面獲知風險;同時包括金融機構獲取風險資訊相對滯後。

三是內部欺詐。申請身份造假的貸款人與金融機構內部銷售人員,甚至與風控人員聯手,洩露客戶資訊,產生“飛單”,合謀騙貸。

不遺留死角,匹配風控環節。在眾所周知的風險面前,同盾科技主要是幫助金融機構評判當前借款人的資質,預測借款人的還款能力和還款意願。具體來說,基於信貸業務,在金融客戶完整的業務流程所涉及的各個環節,都融入了同盾科技的解決方案(圖6)。

圖6 基於業務流程設計信貸風控環節

來源 | 同盾科技

在最早的行銷環節,從用戶申請貸款開始,同盾科技就會提供“興趣雷達”服務。進入貸前申請的階段,同盾科技會匹配“貸前反欺詐”“適時‘團夥’識別”“資訊核驗”“信用評分”等服務。而到了貸中階段,同盾科技會持續提供一些監控,幫助金融機構監控有沒有出現信用惡化等不良情況,做到及時預測風險。最後在貸後環節,同盾科技也會向金融機構提供“貸後監控”解決方案,而針對短時間信用惡化逾期的客群,同盾科技幫助金融機構做自動化的智慧催收。而針對老用戶開展的“沉默監控”則顯得意義深遠。已經髮卡,或者已經獲取了一定的信貸需求以後,但是,用戶並沒有啟動、使用,同盾科技幫助金融機構在這些用戶身上[12] ,儘早“喚醒”他們,從而形成實質的交易。

貸前,基於人工智慧及大資料的二維分析。在貸前反欺詐方面,通過人工智慧及大資料兩個維度,幫助金融機構開展風險分析。

一是人工智慧洞察潛在的信貸風險(圖7)。

圖7 貸前反欺詐技術洞察分析

來源 | 同盾科技

通過設備“指紋”等技術洞察潛在的信貸風險。在申請環節,如果是一個團夥做偽冒申請,當時他們申請使用的電腦沒有變化,但是,可以發現他們在一天之內用不同的帳號、不同的銀行卡、不同的身份證來去提交資訊。同盾科技提供設備“指紋”技術分析,在金融機構看來是很有效的資訊抓取,它有可能是一個團夥,也有可能是一個仲介。

通過可疑號碼分析,由此判斷申請號碼是虛假號碼,還是通訊小號。通過虛擬機器偵測,由此判斷對方使用了虛擬機器,還是安卓模擬器。通過位址資料分析,甄別位址的虛假,以及以屬於高風險地址。通過IP代理測試,識別是否是機器人註冊,這是因為如果線上申請貸款會留有IP地址,由此分析當前申請的IP地址是否異常。通過歸屬地分析,評判IP、手機號、身份證的歸屬地,方便在規則策略裡面進行交叉比對。

此外,重點對申請行為分析,以此判斷其是否短時間頻繁申請貸款,以及是否在敏感時間(如淩晨發起貸款申請)、多個平臺申請。

二是貸前反欺詐的大資料能力表現(圖8)。

圖8 貸前反欺詐的大資料能力表現

來源 | 同盾科技

社交資料方面,包括社交資料、通訊小號庫、格式錯誤和欺詐騷擾風險名單庫;申請人身份資料方面,包括身份證號碼、使用手機資訊、年齡和工作單位等;社會征信資料方面,包括法院執行、失信、結案資料,租車違約資料,欠稅資料等;信貸資料表現方面,包括信貸逾期、助學貸款欠費、逾期後還款的名單,包括多頭申請、多頭負債的信貸行為表現。

同盾科技還會列出高、中、低風險關注名單。當前申請人有沒有在同盾科技風險名單庫裡面,讓金融機構迅速做出判斷。可以這樣理解這份風險名單,在各行各業同盾科技通過一些模型,幫客戶分析不同的風險。比如,對產生內容的遊戲行業,同盾科技的模型關注的風險在於有沒有人發表涉黃等不良言論。又如,對於電子商務行業,同盾科技的模型會識別有沒有欺詐者在電商交易的資料裡面刷單,從而規避欺詐風險。但是,在信貸行業,信用的最終指向還款能力和還款意願。

同盾科技通過上述社交類、身份類、社會類以及過往信貸類的大量資料,結合當前信貸申請人的實際情況,最終通過模型產生一個綜合評價。

細微觀察,探索出信貸風控的解決之道。

其一是信用評分。也就業界稱之為“同盾智信分”。基於銀行信貸、非銀信貸、航旅、社交、支付、保險、基金理財、遊戲、電商、O2O等全網覆蓋的資料,同時,立足負債資訊、穩定性、負面資訊、行為偏好、還款能力、還款意願信用評分的六個維度,於是,同盾科技有了通用分——信用評分。信用評分的分值範圍在300-900之間,其特徵屬性表現在,分數與違約概率、逾期概率雙雙呈現強烈的負相關。

其二是定制評分。即聯合建模。根據客戶訴求,疊加一些協力廠商資料,這樣進一步提升分數。同盾科技與金融機構在信用評估分析方面開展了合作,按行業細分便有了定制服務,其實就是屬於定制評分,比如,針對消費分期、帳單分期、現金貸等子行業。客戶將一些歷史資料,再加上變數,再結合同盾科技的變數,雙方聯合建模,那麼,通過資料探索,最終會得到更好的評分預測效果。

其三是貸中貸後風險監控。也就是客戶資訊跟蹤。對客戶持續監控,是同盾科技貸中、貸後風險監控的基本內容。開展對用戶多頭申請、多頭負債、逾期風險等級監控;開展通信小號、貸款失信、租賃失信風險名單更新的進階監控;開展刑事犯罪監控;基於同盾科技專有大資料模型的高風險行為監控;開展貸款人常用位址活躍度監控,以及自訂監控頻率與內容,還款日之前短信提醒預催收。比如,貸款申請人在A機構取得貸款之後,立即又跑到B機構申請貸款。又如,貸款申請人在A機構近期歸還貸款,卻在B機構貸款平臺是逾期。其實,這些資料同盾科技已經匯總出來,在金融機構對其用戶貸中、貸後階段,給予幫助。

其四是貸後“輕催收”。金融機構貸款範圍廣,尤其屬於短時逾期的客群,線下催收人力、資金成本過高,各地文化、經濟結構差異大,催收風險也形色各異。“輕催收”智慧方案通過系統外呼,融入一些智慧決策,進入到短時逾期(M0-M2)的人群,通過電話外呼、短信通知,智慧話術標準化程度高、風險低,觸達及回饋率高,免人工干預,有效地保護了使用者隱私資料,完全充當了“逾期管家”的角色。前提是有大量的短時逾期的用戶,甚至可能是遺忘的原因,很容易被“催”出來還款。電話外呼,觸達提醒,遠比傳統外包的催收機構通過上門催收的客戶體驗要好很多。對於同盾科技來講,通過大資料、各種演算法,令催收成效達到一個最優解,同時,將催收成本控制在合理範圍之內。

【股份制銀行合作案例】

在某家股份制銀行不同業務流程中,同盾科技匹配了相應的合作內容。一是用戶進入銀行階段。使用者通過銀行出於獲客需要自建的App,或者是其他獲客應用的合作管道,被引流到這家銀行,在此階段,同盾科技通過資料分析將使用者分層,開展精准的行銷獎勵。二是用戶在銀行發生業務階段。用戶進入銀行之後會發生一些業務。如,用戶申請一張信用卡,做消費分期,申請一筆車(房)貸款。與此同步,同盾科技幫助銀行對申請用戶定制欺詐分、信用分,最終做出信用評分,包括授信策略、風險定價。當然,銀行有自己的風控系統,也會與其他資料機構開展合作,此外,同盾科技配合銀行開展風控業務的同時,後者也會去調取中國人民銀行的征信報告,融入風控模型。三是貸後監控階段。同盾科技出具催收模型,開展流失預警。

從合作成效來看,基於階段性配置的解決方案的實施,有效地幫助這家銀行控制了信貸風險。

【互聯網消費金融平臺合作案例】

反欺詐“道”高於“魔”

通俗來講,信貸風控主要解決信用問題,針對的是一些“老賴”。反欺詐主要制止或者在一定程度上抑制“黑產”欺詐的產生,對抗的是“黑產”製造者,合作物件更多的是互聯網公司、電商、O2O、非銀行支付機構和金融機構,以及包括之前比較火的直播平臺等。反欺詐所面臨的挑戰與信貸風控完全不一樣,主要是解決互聯網業務場景的欺詐風險。

互聯網業務場景。互聯網公司開展業務的時候,通常都會有管道推廣行為,需要將自己的App,或者讓自己的產品更多地觸達使用者。當互聯網公司吸引到用戶之後,用戶會在其平臺產生自己的帳號,相應產生註冊或者登錄行為。互聯網公司為了刺激用戶的活躍度,於是要舉辦活動,如積分、抽獎等。接下來使用者在平臺上有相應的交易支付。除此之外,平臺還會讓用戶開展社交互動,如發帖、傳播視頻等。

來自“黑產”製造者的攻擊。在上述典型的互聯網公司的業務場景裡,“黑產”製造者總能找到林林總總的方式(圖9),著手發起有針對性的攻擊,從而牟取利益。

圖9 互聯網公司業務場景面臨欺詐風險示意

來源 | 同盾科技

我們分步驟觀察,發現“黑產”製造者的攻擊“生生不息”。在管道推廣階段,“黑產”製造者的手段是虛假刷量、偽造啟動。在註冊登記階段,“黑產”製造者註冊大量的垃圾帳號,最簡單的手法是參與抽獎,複雜一些會通過垃圾帳號獲取比較多的好處。當“黑產”製造者取得了洩露出來的使用者個人資訊,採取“撞庫”方式,一旦“撞庫”成功便擁有了用戶的帳號許可權,可能將其電商平臺帳戶的沉澱資金轉移出去,再進一步拿使用者的資訊從事電信詐騙。在行銷活動階段,“黑產”製造者可能進行“黃牛”占座、抽獎套利。在交易支付階段,“黑產”製造者可能刷單炒信、盜卡盜用。而在社交互動階段,“黑產”製造者可能著手涉黃,推送垃圾廣告。

“黑產”製造者欺詐行為特點。

其二,組織“團夥化”。眾所周知,一般互聯網產品面臨著欺詐風險,並且,每一種風險都是“魔高一尺”,這是因為“黑產”製造者攻擊的手段不盡相同,而且從過去的“單打獨鬥”,到現在的“群體攻擊”。“黑產”從上游到下游,每一個團夥可能只負責業務鏈中的一小段,通過互聯網的虛擬空間連接組織起來,便可以產生大規模的攻擊。通過複雜網路,我們發現“黑產”製造者團夥化、組織化的情況。2016年同盾科技對某客戶的線上登錄和註冊的場景所作的統計(圖10),以一斑窺全貌。其實,主要有兩個主體,一個是藍色的小點,一個是紅色的小點。藍色表示設備,可以是手機或電腦;紅色則代表手機號碼。不難發現,當許多手機通過中繼裝置關聯起來之後,呈現出一個網路化的情況。在此例中,中繼裝置關聯了將近5000多個手機號碼。同盾科技綜合全網的資料畫出來,體現出非常典型的集中化的趨勢,大量“黑產”設備在業務場景中互相關聯出來。

其三,全網“流竄化”。通過分析不同行業的客戶,同盾科技甚至發現“黑產”製造者,在不同行業之間進行流竄。就是說“黑產”製造者不會針對性地單一攻擊O2O,攻擊銀行,他們是哪邊有空子就往哪邊鑽進去。

圖10 “黑產”製造者欺詐行為特點分析

來源 | 同盾科技

“黑產”危害。這些危害可謂罄竹難書,主要包括違反監管、真正用戶的資金產生損失、真正用戶的體驗下降,以及企業的商業資訊洩露和品牌商譽受損等。

反欺詐解決方案。無論信貸風控,還是反欺詐,機制相類似,只不過針對不同的場景有不同的模型、規則應用。同盾科技的反欺詐解決方案在事前、事中、事後服務客戶。

其一,在事前,“未知攻焉知防”。同盾科技要準確地掌握“黑產”製造者在幹什麼,採用哪些方法和工具,攻擊目標是什麼,這樣才能有針對性地去做防控。正所謂“未知攻焉知防”。同盾科技的情報收集人員會在“黑產”製造者經常聚集的論壇 ,以及QQ和微信群,分成“薅羊毛”刷單、垃圾註冊撞庫攻擊、官方軟體破解、批量自動化軟體、垃圾資訊和行銷、短信轟炸、模擬器及攻擊軟體八大類別,搜集他們的聊天記錄。情報處理人員會通過語言處理技術,以及文本語音分析技術,“沉澱”變成情報。情報分析人員從中獲取相應有價值的資訊。這樣,同盾科技向客戶出具一份“欺詐情報”,還有一份是應對欺詐所出具的“反欺詐情報”。

其二,在事中,按場景“埋點”對接結果。此階段同盾科技向客戶提供業務風控服務,後者在自己的應用場景“埋點”,調到同盾科技API,從而得到相應的決策結果。於此,我們具體來看看同盾科技向客戶提供業務風控服務的主要產品和服務到底是什麼。在管道推廣保護方面,説明客戶識別設備作弊行為,定期向客戶提供管道風險報告;在帳戶安全保護方面,説明客戶防範垃圾註冊,識別人機行為,防範“撞庫”“拖庫”;在行銷活動保護方面,説明客戶識別批量搶紅包、重複刷券及作弊點擊等欺詐行為;在交易支付保護方面,説明客戶識別虛假交易、刷單炒信和黃牛刷票等行為,防範盜卡盜刷、信用套現和洗錢等行為;在內容安全防護方面,説明客戶識別文本和圖片中的垃圾廣告、涉黃、惡意言論等不良資訊;在介面安全保護方面,説明客戶監控重要介面調用、用戶端環境探測、識別介面業務資料風險。

其三,在事後,“拾遺補缺”全過程服務完美收官。儘管如此,還是會出現“掛萬漏一,百密一疏”的情形。事前、事中總歸會有一些漏掉的分析,或者事件在推進出現了新情況,通過事後的團夥分析、案件“沉澱”,運用複雜網路和推行案件管理,對經驗實行再總結,進一步優化、校驗同盾科技解決方案,從而提升實施效果。

事前、事中、事後依賴資料、技術和工具優勢。同盾科技的資料來源於跨行業“雙聯”(即“聯防聯控”),消除了客戶自由配置出現的“資料孤島”現象。前面已經提到“黑產”製造者是流竄化的團夥,如果局限在自己做電商,僅僅防範攻擊電商的“黑產”製造者,自己做O2O,僅僅防範攻擊O2O的“黑產”製造者,顯然,其力量極其有限度,成效也極其不明顯。因為電商經營者沒有想到“黑產”製造者在攻擊電商之前,已經攻擊過O2O,在發現電商的漏洞之後,又折身返場。同盾科技則不同,構建了“雲”平臺,從更高維度識別“黑產”製造者。當然,核心還是離不開“雙聯”。

在技術方面,得益於設備“指紋”、資料建模等。如,在同盾科技,便有數十人的專業團隊從事設備“指紋”研究、運維,與單個企業在考慮成本的前提下相比,顯而易見有著較強的研發能力。而在工具方面,依託決策(規則)引擎、模型平臺等。實際上,同盾科技在説明客戶克服了工具研發成本高的難題。

同盾科技多年與客戶合作也體會到,對客戶來講,重點關注業務發展,欺詐只是業務發展過程中出現的一些問題,可用於反欺詐的資源十分有限。這時候出現一個專業的協力廠商公司幫助解決,可以起到事半功倍的效果。

【互聯網平臺新註冊用戶體驗補貼案例】

一個細節在於,國內基本上手機號碼已經變成了通用的ID,什麼場景都可以用手機號碼註冊,郵箱已經退位到註冊的次要地位。同盾科技有一個手機號碼的畫像,對其風險分析,除了“黑名單”之外,還會用手機號碼去沉澱分享行為。也就是基於大資料建模,沉澱資料。比如,不僅知道某個手機號碼是“黑產”製造者,甚至準確定位到它的擁有者到底是一個“黃牛”,還是一個“薅羊毛党”人士。當然,鑒於運營商會回收手機號碼,當某個手機號碼一直放在庫裡,過一段時間會被一個新的用戶拿去使用,這樣便會造成“誤殺”,因此,同盾科技會採取持續“清洗”的策略。

在與某互聯網平臺合作中,同盾科技的方案棋高一著,也只需要三步便完成業務風控服務。首先,在用戶端註冊場景“埋點”,傳入註冊時手機、IP和註冊時間等資料。比如,“黑產”製造者的手機不是正常的用戶在使用,都是虛假號碼,同盾科技可以在龐大的手機號庫裡面迅速做出甄別。同時,除了追蹤設備之外,還能判斷出當前的設備是否處在異常環境,是否安裝了攻擊軟體或模組。其次,“雲”平臺端配置相關模型。在同盾科技風控“雲”平臺端,對於虛假號碼、IP網路類型、設備風險和風險標籤識別,以及異常行為、垃圾註冊,一一配置了相關規則或模型,以便迅速做出判斷。第三,同盾科技向客戶返回註冊行為風險得分,類別處置。於是,客戶系統對於低於20分的註冊用戶,採取直接通過,享受申領補貼的待遇;向20-80分的註冊用戶彈出滑動驗證碼,繼續驗證身份真偽,這是處在模棱兩可的中間地帶,必須進入“人工審核”,使用者接受二次校驗,避免“誤傷”真正的用戶;而高於80分的註冊用戶,則直接拒絕。

同盾科技風險防控效果顯著。活動之前註冊用戶日均拒絕率為2%,而活動期間註冊用戶日均拒絕率在急升至35%的情況下,來電投訴率卻維持在1%以下。這是因為,活動期間日均新增2000個虛假號碼被同盾科技識別出來,爾後被這家互聯網平臺拒絕了。

【某理財平臺優惠活動案例】

今年8月,某理財平臺開展了一場優惠活動,“黑產”製造者聞訊準備“薅羊毛”。他們囂張“下戰書”,直接對理財平臺講,“乾脆我們不薅你了,你直接把錢打給我。”此舉遭到理財平臺的斷然拒絕。後來,從同盾科技後臺監測到“黑產”製造者連續三天攻擊該理財平臺,涉及4萬個帳戶,金額約50萬元。

當然,“黑產”製造者也是“有脾氣”的。同盾科技説明另一家客戶成功實施了多次攔截,於是“黑產”製造者錄製了一段視頻發來,聲稱“你看我可以這樣防止你的攔截”。但是,最終還是邪不壓正。

【遊戲平臺充值案例】

今年9月初,同盾科技發現某遊戲客戶遭到“黑產”製造者的蓄意攻擊,通過遊戲平臺不斷充值,從而牟利。“黑產”製造者發起的攻擊持續了兩天,涉及帳戶近10萬個,最終同盾科技説明客戶攔截金額近1億元。

受訪對象:同盾科技有限公司創始人、CEO蔣韜,聯合創始人祝偉,聯合創始人、技術副總裁張新波,副總裁黃曉如,反欺詐研究院丁楊,鐘立群、袁偉斌對此文亦有貢獻。

繼續抽絲剝繭,我們姑且將同盾的“科技畫像”劃分為基石層、中堅層和頂層三級架構(圖2)。

圖2 同盾“科技畫像”

製圖 | 陳厚文

基石層,即“殺手級”工具。包括決策(規則)引擎、模型平臺、複雜網路和案件管理等,這些工具構成同盾“科技畫像”的底層基礎。同時,同盾科技也會將底層的工具開放給有能力、有意願的客戶。

首先,具體來看決策(規則)引擎。基於時間、流程、名單、跨事件、“團夥”、安卓系統、位置、習慣、統計和通用等靈活配置的各類規則,於是得出接受、覆核和拒絕等準確的輸出結果(圖3)。當人工智慧工具走向標準化,應用才有普及和推廣的價值。譬如,有能力的客戶可以將自己的風控策略、規則,直接部署到同盾科技平臺上面,之所以稱作“引擎”,在於它暗合了“即時部署,即時生效”的原理。

圖3 決策(規則)引擎示意

來源 | 同盾科技

其次,探析複雜網路。第一步,打通場景。對於信用信貸、基金理財、銀行網申、電商、O2O、協力廠商支付和遊戲平臺,首先要將這些線上業務的場景打通。第二步,建立關聯關係。“團夥”、仲介之間有著一定的關聯關係,可能在同一個設備ID下面有過關聯,電商買家下單要使用手機號碼,貸款申請人提出申請也使用了手機號碼,於是,手機號碼編織起人與人的關聯關係。第三步,構建複雜網路。可以將複雜網路理解為通過“圖”的方式,將關聯關係打通。如,一個節點是身份證號碼,一個節點是銀行卡號碼,在這裡定位了人的關係。它的邊就是表明兩個節點之間有沒有聯繫。通過這種方式,能夠視覺化的讓關聯關係呈現出來,説明客戶做事後的調查分析,進一步挖掘關聯關係(圖4)。

圖4 複雜網路應用示意

來源 | 同盾科技

複雜網路最早應用於搜索場景,用穀歌搜索比爾•蓋茨的妻子是誰?搜索之後網路給出正確答案,然後還會呈現一個網路關聯關係。這是基於資料採擷,展現主題背後的資源,資料與資料之間的關聯關係。

但是,賣瓜的當然說瓜甜。運用複雜關係網絡監測欺詐“團夥”顯得格外實用和得體。具體表現在以下三方面。一是在規則中配置疑似“團夥”規則,支援通過使用者的各個維度[8] 和設備ID匹配識別。二是規則引擎即時,“團夥”識別在毫秒級回應。三是命中“團夥”,查看“團夥”分佈詳情。同時,借助視覺化工作平臺,基於一個線索或案件,進行關聯調查,可以無限展開,從而展示案件之間的關係。最後,基於一批線索或案件,進行自動關聯,使用社團分割演算法分群,自動識別疑似“團夥”,形成疑似“團夥”分析報告。

再次,籠統看一下案件管理系統。它包括,彙集案件資料、策略及模型調優依據,沉澱的經典型案件資料,以及具有高效案件調查的平臺,靈活的任務配置。

中堅層,即核心技術。包括設備“指紋”、代理檢測、人機識別、地理定位技術、AI 風控模型、“黑產”(黑色產業鏈)工具識別和即時欺詐團夥檢測等。

首先,我們來認識設備“指紋”的“廬山真面目”。設備“指紋”是同盾科技向客戶提供SDK(Software Development Kit軟體開發套件),通俗理解成一個套裝軟體。客戶將SDK集成到他的App裡面,或者集成到他的網頁裡面。當客戶的使用者在使用App或網頁的時候,SDK便會運行起來,從而同盾科技就會識別到當前那些使用者的設備環境是否異常,是否存在風險。於是,同盾科技採集用戶在終端設備留存的一些軟硬體屬性,通過一定的演算法,重新生成一個非常“唯一”的標識,這樣誕生了設備“指紋”,同盾科技給業界貢獻了核心技術的同時,也貢獻了形象的科技比喻。

我們進一步地看到,設備“指紋”具備兩大功能,一是設備唯一標識,二是設備異常環境的識別。而造成設備環境異常不外乎以下因素誘發:其一,模擬器。很多“黑產”製造者沒有一台真正的手機,也一下子找不到那麼多的手機,而是在一台廉價電腦上安裝模擬器,於是模擬出來上百台、上千台的手機。但是,每一部手機成為一台新的設備,於是出現了典型的異常環境。其二,Root(系統中唯一的超級管理員,它具有等同於作業系統的許可權)和“越獄”。手機廠商有嚴格的限制,但是“黑產”製造者突破了限制,“越獄”獲得了手機系統的最高許可權,於是改進手機系統底層,方便自己發起有針對性的攻擊。其三,Xposed作弊框架(是一款可以在不修改AndroidPackage的情況下影響程式運行、修改系統的框架服務)。對“黑產”製造者來講,攻擊每個網站的時候,都要寫一個針對性的程式,他覺得麻煩。於是將一些常用的攻擊手法抽象出來變成統一的大的平臺,然後只要在平臺上寫一些外掛程式,便可以開展快捷、高效、方便的攻擊行為。即形成所謂的“作弊框架”。此外,App重新封包,也是引起設備環境異常的因素。

那麼,我們最後來厘清設備“指紋”技術的優勢,林林總總,不一而足。但是,主要包括:一是相容iOS、安卓和PC系統,實現跨平臺支援;二是百分之百相容主流手機機型;三是實現“三防”,即防破解、防調試、防重放;四是非同步運行,性能優異;五是集成包精簡,僅需要100K左右(圖5)。

圖5 設備“指紋”技術

來源 | 同盾科技

設備“指紋”的用途不僅僅用作反欺詐,還可以用在精准行銷場景 。但是,精准行銷場景的設備“指紋”和反欺詐的設備“指紋”,二者在風險偏好和功能偏好上不盡相同。精准行銷場景不是特別關注是不是能夠真正定位到“黑產”製造者,更多關注一個人群的覆蓋面。比如,某產品希望能夠推送給“白領”,這時不需要精確地定位到每一個“白領”,只需要能夠做好這個人群的覆蓋即可。即便裡面有一些錯誤,將一些“藍領”定位成“白領”,其實問題無關緊要,至多推送一個廣告而已。所以,精准行銷場景的設備“指紋”不是特別關注準確度,它更多關注覆蓋面。反欺詐則不同。反欺詐遇到的問題往往是小概率、高危的事情,1000人裡面999人都是正常用戶,只有一個人是“黑產”製造者,反欺詐的設備“指紋”特別關注準確度。做反欺詐的時候定位要非常精確,一定要把這個人找出來,否則客戶便要遭受損失。

頂層,即系統性解決方案。除了“殺手級”工具、核心技術構成同盾“科技畫像”的基礎層、中堅層之外,包括信貸風控服務、反欺詐服務和資訊核驗服務等解決方案在內,則構成了同盾“科技畫像”的頂層。

信貸風控服務,旨在為客戶提供一個從貸前、貸中和貸後完整生命週期的解決方案,甚至也與客戶通過聯合建模的方式,做到深度的分析和評估。

反欺詐服務。它包含了業務風控、欺詐洞察、內容安全防護和一些風控資料產品。

資訊核驗服務。它重點放在對應關係的驗證上面。同盾科技與外部合規資訊核驗服務合作,主要包括與公安類、工商類、網址類別資訊對接,將這些資訊核驗服務提供給客戶。如,在貸前審核階段,同盾科技向金融機構出具資訊核驗報告,返回“是”與“否”的結果。

信貸風險解決之道

分析發現,同盾科技向金融機構提供大資料的處理和分析,技術學習,以及可信計算,當然,也包括提供網路欺詐分析、身份識別和即時計算等技術服務。更直白地說,金融機構在開展信貸業務的過程中,面臨著諸多風險,而針對這些風險,同盾科技適時向金融機構一對一匹配高吻合度的解決方案。

警惕!信貸面臨的風險。我們首先來分析信貸業務面臨的風險。

二是信用風險。包括一些金融機構征信資料維度不足,出現信用“白戶”問題;也包括跨平臺負債嚴重,金融機構無法全面獲知風險;同時包括金融機構獲取風險資訊相對滯後。

三是內部欺詐。申請身份造假的貸款人與金融機構內部銷售人員,甚至與風控人員聯手,洩露客戶資訊,產生“飛單”,合謀騙貸。

不遺留死角,匹配風控環節。在眾所周知的風險面前,同盾科技主要是幫助金融機構評判當前借款人的資質,預測借款人的還款能力和還款意願。具體來說,基於信貸業務,在金融客戶完整的業務流程所涉及的各個環節,都融入了同盾科技的解決方案(圖6)。

圖6 基於業務流程設計信貸風控環節

來源 | 同盾科技

在最早的行銷環節,從用戶申請貸款開始,同盾科技就會提供“興趣雷達”服務。進入貸前申請的階段,同盾科技會匹配“貸前反欺詐”“適時‘團夥’識別”“資訊核驗”“信用評分”等服務。而到了貸中階段,同盾科技會持續提供一些監控,幫助金融機構監控有沒有出現信用惡化等不良情況,做到及時預測風險。最後在貸後環節,同盾科技也會向金融機構提供“貸後監控”解決方案,而針對短時間信用惡化逾期的客群,同盾科技幫助金融機構做自動化的智慧催收。而針對老用戶開展的“沉默監控”則顯得意義深遠。已經髮卡,或者已經獲取了一定的信貸需求以後,但是,用戶並沒有啟動、使用,同盾科技幫助金融機構在這些用戶身上[12] ,儘早“喚醒”他們,從而形成實質的交易。

貸前,基於人工智慧及大資料的二維分析。在貸前反欺詐方面,通過人工智慧及大資料兩個維度,幫助金融機構開展風險分析。

一是人工智慧洞察潛在的信貸風險(圖7)。

圖7 貸前反欺詐技術洞察分析

來源 | 同盾科技

通過設備“指紋”等技術洞察潛在的信貸風險。在申請環節,如果是一個團夥做偽冒申請,當時他們申請使用的電腦沒有變化,但是,可以發現他們在一天之內用不同的帳號、不同的銀行卡、不同的身份證來去提交資訊。同盾科技提供設備“指紋”技術分析,在金融機構看來是很有效的資訊抓取,它有可能是一個團夥,也有可能是一個仲介。

通過可疑號碼分析,由此判斷申請號碼是虛假號碼,還是通訊小號。通過虛擬機器偵測,由此判斷對方使用了虛擬機器,還是安卓模擬器。通過位址資料分析,甄別位址的虛假,以及以屬於高風險地址。通過IP代理測試,識別是否是機器人註冊,這是因為如果線上申請貸款會留有IP地址,由此分析當前申請的IP地址是否異常。通過歸屬地分析,評判IP、手機號、身份證的歸屬地,方便在規則策略裡面進行交叉比對。

此外,重點對申請行為分析,以此判斷其是否短時間頻繁申請貸款,以及是否在敏感時間(如淩晨發起貸款申請)、多個平臺申請。

二是貸前反欺詐的大資料能力表現(圖8)。

圖8 貸前反欺詐的大資料能力表現

來源 | 同盾科技

社交資料方面,包括社交資料、通訊小號庫、格式錯誤和欺詐騷擾風險名單庫;申請人身份資料方面,包括身份證號碼、使用手機資訊、年齡和工作單位等;社會征信資料方面,包括法院執行、失信、結案資料,租車違約資料,欠稅資料等;信貸資料表現方面,包括信貸逾期、助學貸款欠費、逾期後還款的名單,包括多頭申請、多頭負債的信貸行為表現。

同盾科技還會列出高、中、低風險關注名單。當前申請人有沒有在同盾科技風險名單庫裡面,讓金融機構迅速做出判斷。可以這樣理解這份風險名單,在各行各業同盾科技通過一些模型,幫客戶分析不同的風險。比如,對產生內容的遊戲行業,同盾科技的模型關注的風險在於有沒有人發表涉黃等不良言論。又如,對於電子商務行業,同盾科技的模型會識別有沒有欺詐者在電商交易的資料裡面刷單,從而規避欺詐風險。但是,在信貸行業,信用的最終指向還款能力和還款意願。

同盾科技通過上述社交類、身份類、社會類以及過往信貸類的大量資料,結合當前信貸申請人的實際情況,最終通過模型產生一個綜合評價。

細微觀察,探索出信貸風控的解決之道。

其一是信用評分。也就業界稱之為“同盾智信分”。基於銀行信貸、非銀信貸、航旅、社交、支付、保險、基金理財、遊戲、電商、O2O等全網覆蓋的資料,同時,立足負債資訊、穩定性、負面資訊、行為偏好、還款能力、還款意願信用評分的六個維度,於是,同盾科技有了通用分——信用評分。信用評分的分值範圍在300-900之間,其特徵屬性表現在,分數與違約概率、逾期概率雙雙呈現強烈的負相關。

其二是定制評分。即聯合建模。根據客戶訴求,疊加一些協力廠商資料,這樣進一步提升分數。同盾科技與金融機構在信用評估分析方面開展了合作,按行業細分便有了定制服務,其實就是屬於定制評分,比如,針對消費分期、帳單分期、現金貸等子行業。客戶將一些歷史資料,再加上變數,再結合同盾科技的變數,雙方聯合建模,那麼,通過資料探索,最終會得到更好的評分預測效果。

其三是貸中貸後風險監控。也就是客戶資訊跟蹤。對客戶持續監控,是同盾科技貸中、貸後風險監控的基本內容。開展對用戶多頭申請、多頭負債、逾期風險等級監控;開展通信小號、貸款失信、租賃失信風險名單更新的進階監控;開展刑事犯罪監控;基於同盾科技專有大資料模型的高風險行為監控;開展貸款人常用位址活躍度監控,以及自訂監控頻率與內容,還款日之前短信提醒預催收。比如,貸款申請人在A機構取得貸款之後,立即又跑到B機構申請貸款。又如,貸款申請人在A機構近期歸還貸款,卻在B機構貸款平臺是逾期。其實,這些資料同盾科技已經匯總出來,在金融機構對其用戶貸中、貸後階段,給予幫助。

其四是貸後“輕催收”。金融機構貸款範圍廣,尤其屬於短時逾期的客群,線下催收人力、資金成本過高,各地文化、經濟結構差異大,催收風險也形色各異。“輕催收”智慧方案通過系統外呼,融入一些智慧決策,進入到短時逾期(M0-M2)的人群,通過電話外呼、短信通知,智慧話術標準化程度高、風險低,觸達及回饋率高,免人工干預,有效地保護了使用者隱私資料,完全充當了“逾期管家”的角色。前提是有大量的短時逾期的用戶,甚至可能是遺忘的原因,很容易被“催”出來還款。電話外呼,觸達提醒,遠比傳統外包的催收機構通過上門催收的客戶體驗要好很多。對於同盾科技來講,通過大資料、各種演算法,令催收成效達到一個最優解,同時,將催收成本控制在合理範圍之內。

【股份制銀行合作案例】

在某家股份制銀行不同業務流程中,同盾科技匹配了相應的合作內容。一是用戶進入銀行階段。使用者通過銀行出於獲客需要自建的App,或者是其他獲客應用的合作管道,被引流到這家銀行,在此階段,同盾科技通過資料分析將使用者分層,開展精准的行銷獎勵。二是用戶在銀行發生業務階段。用戶進入銀行之後會發生一些業務。如,用戶申請一張信用卡,做消費分期,申請一筆車(房)貸款。與此同步,同盾科技幫助銀行對申請用戶定制欺詐分、信用分,最終做出信用評分,包括授信策略、風險定價。當然,銀行有自己的風控系統,也會與其他資料機構開展合作,此外,同盾科技配合銀行開展風控業務的同時,後者也會去調取中國人民銀行的征信報告,融入風控模型。三是貸後監控階段。同盾科技出具催收模型,開展流失預警。

從合作成效來看,基於階段性配置的解決方案的實施,有效地幫助這家銀行控制了信貸風險。

【互聯網消費金融平臺合作案例】

反欺詐“道”高於“魔”

通俗來講,信貸風控主要解決信用問題,針對的是一些“老賴”。反欺詐主要制止或者在一定程度上抑制“黑產”欺詐的產生,對抗的是“黑產”製造者,合作物件更多的是互聯網公司、電商、O2O、非銀行支付機構和金融機構,以及包括之前比較火的直播平臺等。反欺詐所面臨的挑戰與信貸風控完全不一樣,主要是解決互聯網業務場景的欺詐風險。

互聯網業務場景。互聯網公司開展業務的時候,通常都會有管道推廣行為,需要將自己的App,或者讓自己的產品更多地觸達使用者。當互聯網公司吸引到用戶之後,用戶會在其平臺產生自己的帳號,相應產生註冊或者登錄行為。互聯網公司為了刺激用戶的活躍度,於是要舉辦活動,如積分、抽獎等。接下來使用者在平臺上有相應的交易支付。除此之外,平臺還會讓用戶開展社交互動,如發帖、傳播視頻等。

來自“黑產”製造者的攻擊。在上述典型的互聯網公司的業務場景裡,“黑產”製造者總能找到林林總總的方式(圖9),著手發起有針對性的攻擊,從而牟取利益。

圖9 互聯網公司業務場景面臨欺詐風險示意

來源 | 同盾科技

我們分步驟觀察,發現“黑產”製造者的攻擊“生生不息”。在管道推廣階段,“黑產”製造者的手段是虛假刷量、偽造啟動。在註冊登記階段,“黑產”製造者註冊大量的垃圾帳號,最簡單的手法是參與抽獎,複雜一些會通過垃圾帳號獲取比較多的好處。當“黑產”製造者取得了洩露出來的使用者個人資訊,採取“撞庫”方式,一旦“撞庫”成功便擁有了用戶的帳號許可權,可能將其電商平臺帳戶的沉澱資金轉移出去,再進一步拿使用者的資訊從事電信詐騙。在行銷活動階段,“黑產”製造者可能進行“黃牛”占座、抽獎套利。在交易支付階段,“黑產”製造者可能刷單炒信、盜卡盜用。而在社交互動階段,“黑產”製造者可能著手涉黃,推送垃圾廣告。

“黑產”製造者欺詐行為特點。

其二,組織“團夥化”。眾所周知,一般互聯網產品面臨著欺詐風險,並且,每一種風險都是“魔高一尺”,這是因為“黑產”製造者攻擊的手段不盡相同,而且從過去的“單打獨鬥”,到現在的“群體攻擊”。“黑產”從上游到下游,每一個團夥可能只負責業務鏈中的一小段,通過互聯網的虛擬空間連接組織起來,便可以產生大規模的攻擊。通過複雜網路,我們發現“黑產”製造者團夥化、組織化的情況。2016年同盾科技對某客戶的線上登錄和註冊的場景所作的統計(圖10),以一斑窺全貌。其實,主要有兩個主體,一個是藍色的小點,一個是紅色的小點。藍色表示設備,可以是手機或電腦;紅色則代表手機號碼。不難發現,當許多手機通過中繼裝置關聯起來之後,呈現出一個網路化的情況。在此例中,中繼裝置關聯了將近5000多個手機號碼。同盾科技綜合全網的資料畫出來,體現出非常典型的集中化的趨勢,大量“黑產”設備在業務場景中互相關聯出來。

其三,全網“流竄化”。通過分析不同行業的客戶,同盾科技甚至發現“黑產”製造者,在不同行業之間進行流竄。就是說“黑產”製造者不會針對性地單一攻擊O2O,攻擊銀行,他們是哪邊有空子就往哪邊鑽進去。

圖10 “黑產”製造者欺詐行為特點分析

來源 | 同盾科技

“黑產”危害。這些危害可謂罄竹難書,主要包括違反監管、真正用戶的資金產生損失、真正用戶的體驗下降,以及企業的商業資訊洩露和品牌商譽受損等。

反欺詐解決方案。無論信貸風控,還是反欺詐,機制相類似,只不過針對不同的場景有不同的模型、規則應用。同盾科技的反欺詐解決方案在事前、事中、事後服務客戶。

其一,在事前,“未知攻焉知防”。同盾科技要準確地掌握“黑產”製造者在幹什麼,採用哪些方法和工具,攻擊目標是什麼,這樣才能有針對性地去做防控。正所謂“未知攻焉知防”。同盾科技的情報收集人員會在“黑產”製造者經常聚集的論壇 ,以及QQ和微信群,分成“薅羊毛”刷單、垃圾註冊撞庫攻擊、官方軟體破解、批量自動化軟體、垃圾資訊和行銷、短信轟炸、模擬器及攻擊軟體八大類別,搜集他們的聊天記錄。情報處理人員會通過語言處理技術,以及文本語音分析技術,“沉澱”變成情報。情報分析人員從中獲取相應有價值的資訊。這樣,同盾科技向客戶出具一份“欺詐情報”,還有一份是應對欺詐所出具的“反欺詐情報”。

其二,在事中,按場景“埋點”對接結果。此階段同盾科技向客戶提供業務風控服務,後者在自己的應用場景“埋點”,調到同盾科技API,從而得到相應的決策結果。於此,我們具體來看看同盾科技向客戶提供業務風控服務的主要產品和服務到底是什麼。在管道推廣保護方面,説明客戶識別設備作弊行為,定期向客戶提供管道風險報告;在帳戶安全保護方面,説明客戶防範垃圾註冊,識別人機行為,防範“撞庫”“拖庫”;在行銷活動保護方面,説明客戶識別批量搶紅包、重複刷券及作弊點擊等欺詐行為;在交易支付保護方面,説明客戶識別虛假交易、刷單炒信和黃牛刷票等行為,防範盜卡盜刷、信用套現和洗錢等行為;在內容安全防護方面,説明客戶識別文本和圖片中的垃圾廣告、涉黃、惡意言論等不良資訊;在介面安全保護方面,説明客戶監控重要介面調用、用戶端環境探測、識別介面業務資料風險。

其三,在事後,“拾遺補缺”全過程服務完美收官。儘管如此,還是會出現“掛萬漏一,百密一疏”的情形。事前、事中總歸會有一些漏掉的分析,或者事件在推進出現了新情況,通過事後的團夥分析、案件“沉澱”,運用複雜網路和推行案件管理,對經驗實行再總結,進一步優化、校驗同盾科技解決方案,從而提升實施效果。

事前、事中、事後依賴資料、技術和工具優勢。同盾科技的資料來源於跨行業“雙聯”(即“聯防聯控”),消除了客戶自由配置出現的“資料孤島”現象。前面已經提到“黑產”製造者是流竄化的團夥,如果局限在自己做電商,僅僅防範攻擊電商的“黑產”製造者,自己做O2O,僅僅防範攻擊O2O的“黑產”製造者,顯然,其力量極其有限度,成效也極其不明顯。因為電商經營者沒有想到“黑產”製造者在攻擊電商之前,已經攻擊過O2O,在發現電商的漏洞之後,又折身返場。同盾科技則不同,構建了“雲”平臺,從更高維度識別“黑產”製造者。當然,核心還是離不開“雙聯”。

在技術方面,得益於設備“指紋”、資料建模等。如,在同盾科技,便有數十人的專業團隊從事設備“指紋”研究、運維,與單個企業在考慮成本的前提下相比,顯而易見有著較強的研發能力。而在工具方面,依託決策(規則)引擎、模型平臺等。實際上,同盾科技在説明客戶克服了工具研發成本高的難題。

同盾科技多年與客戶合作也體會到,對客戶來講,重點關注業務發展,欺詐只是業務發展過程中出現的一些問題,可用於反欺詐的資源十分有限。這時候出現一個專業的協力廠商公司幫助解決,可以起到事半功倍的效果。

【互聯網平臺新註冊用戶體驗補貼案例】

一個細節在於,國內基本上手機號碼已經變成了通用的ID,什麼場景都可以用手機號碼註冊,郵箱已經退位到註冊的次要地位。同盾科技有一個手機號碼的畫像,對其風險分析,除了“黑名單”之外,還會用手機號碼去沉澱分享行為。也就是基於大資料建模,沉澱資料。比如,不僅知道某個手機號碼是“黑產”製造者,甚至準確定位到它的擁有者到底是一個“黃牛”,還是一個“薅羊毛党”人士。當然,鑒於運營商會回收手機號碼,當某個手機號碼一直放在庫裡,過一段時間會被一個新的用戶拿去使用,這樣便會造成“誤殺”,因此,同盾科技會採取持續“清洗”的策略。

在與某互聯網平臺合作中,同盾科技的方案棋高一著,也只需要三步便完成業務風控服務。首先,在用戶端註冊場景“埋點”,傳入註冊時手機、IP和註冊時間等資料。比如,“黑產”製造者的手機不是正常的用戶在使用,都是虛假號碼,同盾科技可以在龐大的手機號庫裡面迅速做出甄別。同時,除了追蹤設備之外,還能判斷出當前的設備是否處在異常環境,是否安裝了攻擊軟體或模組。其次,“雲”平臺端配置相關模型。在同盾科技風控“雲”平臺端,對於虛假號碼、IP網路類型、設備風險和風險標籤識別,以及異常行為、垃圾註冊,一一配置了相關規則或模型,以便迅速做出判斷。第三,同盾科技向客戶返回註冊行為風險得分,類別處置。於是,客戶系統對於低於20分的註冊用戶,採取直接通過,享受申領補貼的待遇;向20-80分的註冊用戶彈出滑動驗證碼,繼續驗證身份真偽,這是處在模棱兩可的中間地帶,必須進入“人工審核”,使用者接受二次校驗,避免“誤傷”真正的用戶;而高於80分的註冊用戶,則直接拒絕。

同盾科技風險防控效果顯著。活動之前註冊用戶日均拒絕率為2%,而活動期間註冊用戶日均拒絕率在急升至35%的情況下,來電投訴率卻維持在1%以下。這是因為,活動期間日均新增2000個虛假號碼被同盾科技識別出來,爾後被這家互聯網平臺拒絕了。

【某理財平臺優惠活動案例】

今年8月,某理財平臺開展了一場優惠活動,“黑產”製造者聞訊準備“薅羊毛”。他們囂張“下戰書”,直接對理財平臺講,“乾脆我們不薅你了,你直接把錢打給我。”此舉遭到理財平臺的斷然拒絕。後來,從同盾科技後臺監測到“黑產”製造者連續三天攻擊該理財平臺,涉及4萬個帳戶,金額約50萬元。

當然,“黑產”製造者也是“有脾氣”的。同盾科技説明另一家客戶成功實施了多次攔截,於是“黑產”製造者錄製了一段視頻發來,聲稱“你看我可以這樣防止你的攔截”。但是,最終還是邪不壓正。

【遊戲平臺充值案例】

今年9月初,同盾科技發現某遊戲客戶遭到“黑產”製造者的蓄意攻擊,通過遊戲平臺不斷充值,從而牟利。“黑產”製造者發起的攻擊持續了兩天,涉及帳戶近10萬個,最終同盾科技説明客戶攔截金額近1億元。

受訪對象:同盾科技有限公司創始人、CEO蔣韜,聯合創始人祝偉,聯合創始人、技術副總裁張新波,副總裁黃曉如,反欺詐研究院丁楊,鐘立群、袁偉斌對此文亦有貢獻。

上一篇:「獨家訪談」非結構化資料下準確給個人“畫像”
同類文章
精品文章
Next Article
喜欢就按个赞吧!!!
点击关闭提示