【风斗士】同盾科技智能风管个案想说啥?-金卡生活
《金卡生活》杂志
中国银联 主管主办
理论研究 实务探讨
长按二维码关注我们
以同盾科技智能风险管理为个案
解构“双轮”驱动信贷风控及反欺诈应用模型
9月6日,尽管以网络信息、人工智能为研究方向,也解决不了因“之江实验室”挂牌,杭州人工智能小镇西溪方向道路限行拥堵的线下、非智能现实。《金卡生活》杂志在“秋老虎”仍在肆虐这一天,开始了同盾科技有限公司(以下简称“同盾科技”)驱动大数据技术、人工智能工具“双轮”,在信贷风险控制、反欺诈应用的研究。
2013年,几个志同道合的年轻人开始在有着天堂美誉的杭城创业,同盾科技从诞生的那一天起,牢牢锁定行业智能风险管理服务提供商的清晰定位。也是从创立伊始,同盾科技便将大数据、人工智能与风险管理深度结合,在行业率先树立跨行业“联防联控”的风控理念,从而帮助更多的中小企业,解决其业务场景当中所存在的信贷风险和欺诈风险。精准的定位,以及在市场中的斩获,同盾科技深得资本的垂青,先后迎来IDG资本、华创资本、宽带资本、启明创投和尚珹资本的投资。
蜜蜂扇动40次翅膀同盾科技给你一次风险决策分析
同盾科技除了杭州总部,在北京、上海、深圳、广州、成都、西安和重庆还设有分支机构,现有员工超过600人,其中风控专家和数据工程师占到团队的70%,那么,这个团队到底做些什么?深入了解发现,其内部将业务分成两部分:一是服务于金融机构,提供信贷行业风险管理全生命周期解决方案;二是面向互联网行业的电商、O2O、支付等行业,提供反欺诈服务。
市场表现斐然。我们看到,一是同盾科技市场规模逐步放大,服务行业客户超过7000家。其中,金融客户达3000多家,包括银行、保险客户100多家,汽车金融类客户100多家,小额贷款金融客户700多家,消费金融类客户400多家,P2P及其他消费金融客户1700多家。二是覆盖设备终端与日增多。通过设备“指纹”技术,帮助客户定位其用户使用的终端,覆盖设备已经达到30亿台(部);掌握与欺诈相关的虚假手机号码达3000多万个。三是数据处理能力日益强大刺鲶。目前合作客户累计API(Application Programming Interface,应用程序编程接口)调用量已经超过260亿次,API调用量每天峰值达到1.3亿次,日均约1亿次左右,而API响应时间仅在200毫秒之内。
事实上在线数独游戏,合作客户都是实时调用信息。比如,一个互联网用户在线向某家金融机构申请一笔贷款,那么,后者会实时将这笔申请,通过API的方式传送到云端霍震寰,于是就得到了同盾科技的帮助。在同盾科技看来,它是一个API调用。这家金融机构耽搁的时间不会很长,也就是说同盾科技API的响应时间很短。遇到信贷风险和欺诈事件,谁的心情都不会好,但如果将事件想象成一只苍蝇在耳边飞,但你只需要忍耐耳边的苍蝇连续扇动70次翅膀;或者你与同盾科技安之若素,移步办公区花坛盛开的秋菊旁边,观看蜜蜂连续扇动40次翅膀……接着,你便可以拿到从同盾科技调用的你所需的信息。可以想象一下,同盾科技已经累积了260亿次风险行为分析,而客户花费的也只是苍蝇、蜜蜂分别连续扇动70次、40次翅膀的时间。四是准确的行业观察为客户保驾护航。同盾科技帮助大量的客户保障资金安全,账户安全保护累计超过了10亿次。此外,在金融行业保护信贷资金总额已经超过万亿元(图1)。
图1 同盾科技数据表现一览
来源 | 同盾科技
“科技画像”
从工具、技术和解决方案三个维度,可以窥见同盾“科技全貌”。继续抽丝剥茧,我们姑且将同盾的“科技画像”划分为基石层、中坚层和顶层三级架构(图2)。
图2 同盾“科技画像”
制图 | 陈厚文
基石层,即“杀手级”工具。包括决策(规则)引擎、模型平台、复杂网络和案件管理等,这些工具构成同盾“科技画像”的底层基础。同时,同盾科技也会将底层的工具开放给有能力、有意愿的客户。
首先,具体来看决策(规则)引擎。基于时间、流程、名单、跨事件、“团伙”、安卓系统、位置、习惯、统计和通用等灵活配置的各类规则,于是得出接受、复核和拒绝等准确的输出结果(图3)。当人工智能工具走向标准化,应用才有普及和推广的价值。譬如,有能力的客户可以将自己的风控策略、规则,直接部署到同盾科技平台上面孙穗芳,之所以称作“引擎”,在于它暗合了“即时部署,即时生效”的原理。
图3 决策(规则)引擎示意
来源 | 同盾科技
其次,探析复杂网络。第一步,打通场景。对于信用信贷、基金理财、银行网申、电商、O2O、第三方支付和游戏平台,首先要将这些线上业务的场景打通。第二步,建立关联关系。“团伙”、中介之间有着一定的关联关系,可能在同一个设备ID下面有过关联,电商买家下单要使用手机号码,贷款申请人提出申请也使用了手机号码,于是,手机号码编织起人与人的关联关系。第三步,构建复杂网络。可以将复杂网络理解为通过“图”的方式,将关联关系打通。如,一个节点是身份证号码,一个节点是银行卡号码,在这里定位了人的关系。它的边就是表明两个节点之间有没有联系。通过这种方式,能够可视化的让关联关系呈现出来,帮助客户做事后的调查分析,进一步挖掘关联关系(图4)。
图4 复杂网络应用示意
来源 | 同盾科技
复杂网络最早应用于搜索场景,用谷歌搜索比尔?盖茨的妻子是谁?搜索之后网络给出正确答案,然后还会呈现一个网络关联关系。这是基于数据挖掘,展现主题背后的资源,数据与数据之间的关联关系。
但是,卖瓜的当然说瓜甜。运用复杂关系网络监测欺诈“团伙”显得格外实用和得体。具体表现在以下三方面。一是在规则中配置疑似“团伙”规则,支持通过用户的各个维度[8]和设备ID匹配识别。二是规则引擎实时,“团伙”识别在毫秒级响应。三是命中“团伙”,查看“团伙”分布详情。同时,借助可视化工作平台,基于一个线索或案件,进行关联调查,可以无限展开神医世子妃,从而展示案件之间的关系。最后普大喜奔,基于一批线索或案件,进行自动关联,使用社团分割算法分群,自动识别疑似“团伙”,形成疑似“团伙”分析报告。
再次,笼统看一下案件管理系统。它包括,汇集案件数据、策略及模型调优依据,沉淀的经典型案件数据,以及具有高效案件调查的平台,灵活的任务配置。
中坚层,即核心技术。包括设备“指纹”、代理检测、人机识别、地理定位技术、AI 风控模型、“黑产”(黑色产业链)工具识别和实时欺诈团伙检测等。
首先,我们来认识设备“指纹”的“庐山真面目”。设备“指纹”是同盾科技向客户提供SDK(Software Development Kit软件开发工具包),通俗理解成一个软件包。客户将SDK集成到他的App里面,或者集成到他的网页里面。当客户的用户在使用App或网页的时候,SDK便会运行起来,从而同盾科技就会识别到当前那些用户的设备环境是否异常,是否存在风险。于是,同盾科技采集用户在终端设备留存的一些软硬件属性,通过一定的算法,重新生成一个非常“唯一”的标识,这样诞生了设备“指纹”,同盾科技给业界贡献了核心技术的同时,也贡献了形象的科技比喻。
我们进一步地看到,设备“指纹”具备两大功能,一是设备唯一标识,二是设备异常环境的识别。而造成设备环境异常不外乎以下因素诱发:其一,模拟器。很多“黑产”制造者没有一台真正的手机,也一下子找不到那么多的手机,而是在一台廉价电脑上安装模拟器,于是模拟出来上百台、上千台的手机。但是,每一部手机成为一台新的设备,于是出现了典型的异常环境。其二,Root(系统中唯一的超级管理员,它具有等同于操作系统的权限)和“越狱”。手机厂商有严格的限制,但是“黑产”制造者突破了限制,“越狱”获得了手机系统的最高权限未来浩劫,于是改进手机系统底层,方便自己发起有针对性的攻击。其三,Xposed作弊框架(是一款可以在不修改AndroidPackage的情况下影响程序运行、修改系统的框架服务)。对“黑产”制造者来讲,攻击每个网站的时候,都要写一个针对性的程序,他觉得麻烦。于是将一些常用的攻击手法抽象出来变成统一的大的平台,然后只要在平台上写一些插件,便可以开展快捷、高效、方便的攻击行为。即形成所谓的“作弊框架”。此外,App重新打包,也是引起设备环境异常的因素。
那么,我们最后来厘清设备“指纹”技术的优势,林林总总,不一而足。但是,主要包括:一是兼容iOS、安卓和PC系统,实现跨平台支持;二是百分之百兼容主流手机机型;三是实现“三防”,即防破解、防调试、防重放;四是异步运行,性能优异;五是集成包精简,仅需要100K左右(图5)。
图5 设备“指纹”技术
来源 | 同盾科技
设备“指纹”的用途不仅仅用作反欺诈,还可以用在精准营销场景 。但是,精准营销场景的设备“指纹”和反欺诈的设备“指纹”,二者在风险偏好和功能偏好上不尽相同。精准营销场景不是特别关注是不是能够真正定位到“黑产”制造者,更多关注一个人群的覆盖面。比如,某产品希望能够推送给“白领”,这时不需要精确地定位到每一个“白领”猇亭之战,只需要能够做好这个人群的覆盖即可。即便里面有一些错误,将一些“蓝领”定位成“白领”,其实问题无关紧要,至多推送一个广告而已。所以,精准营销场景的设备“指纹”不是特别关注准确度,它更多关注覆盖面。反欺诈则不同。反欺诈遇到的问题往往是小概率、高危的事情,1000人里面999人都是正常用户,只有一个人是“黑产”制造者,反欺诈的设备“指纹”特别关注准确度。做反欺诈的时候定位要非常精确,一定要把这个人找出来,否则客户便要遭受损失。
顶层,即系统性解决方案。除了“杀手级”工具、核心技术构成同盾“科技画像”的基础层、中坚层之外,包括信贷风控服务、反欺诈服务和信息核验服务等解决方案在内,则构成了同盾“科技画像”的顶层。
信贷风控服务,旨在为客户提供一个从贷前、贷中和贷后完整生命周期的解决方案,甚至也与客户通过联合建模的方式假脸姐妹团,做到深度的分析和评估。
反欺诈服务。它包含了业务风控、欺诈洞察、内容安全防护和一些风控数据产品。
信息核验服务。它重点放在对应关系的验证上面。同盾科技与外部合规信息核验服务合作,主要包括与公安类、工商类、地址类信息对接,将这些信息核验服务提供给客户。如,在贷前审核阶段,同盾科技向金融机构出具信息核验报告,返回“是”与“否”的结果。
信贷风险解决之道
分析发现,同盾科技向金融机构提供大数据的处理和分析,技术学习,以及可信计算,当然,也包括提供网络欺诈分析、身份识别和实时计算等技术服务。更直白地说,金融机构在开展信贷业务的过程中,面临着诸多风险,而针对这些风险,同盾科技适时向金融机构一对一匹配高吻合度的解决方案。
警惕!信贷面临的风险。我们首先来分析信贷业务面临的风险。
一是申请身份造假。包括贷款申请人伪冒申请,贷款申请人盗取其他人的身份信息和申请资料,伪冒他人骗取贷款;贷款申请人通过“黑产”下游购买身份信息,从而用伪冒身份信息骗贷。此外,也包括贷款申请人自身材料虚假,即贷款申请人对自己的身份或资质证明资料进行造假,以期通过申请,或者获得更高的额度。
二是信用风险。包括一些金融机构征信数据维度不足,出现信用“白户”问题;也包括跨平台负债严重,金融机构无法全面获知风险;同时包括金融机构获取风险信息相对滞后。
三是内部欺诈。申请身份造假的贷款人与金融机构内部销售人员,甚至与风控人员联手,泄露客户信息,产生“飞单”,合谋骗贷。
不遗留死角,匹配风控环节。在众所周知的风险面前,同盾科技主要是帮助金融机构评判当前借款人的资质,预测借款人的还款能力和还款意愿。具体来说,基于信贷业务,在金融客户完整的业务流程所涉及的各个环节,都融入了同盾科技的解决方案(图6)。
图6 基于业务流程设计信贷风控环节
来源 | 同盾科技
在最早的营销环节,从用户申请贷款开始,同盾科技就会提供“兴趣雷达”服务。进入贷前申请的阶段,同盾科技会匹配“贷前反欺诈”“适时‘团伙’识别”“信息核验”“信用评分”等服务。而到了贷中阶段,同盾科技会持续提供一些监控,帮助金融机构监控有没有出现信用恶化等不良情况,做到及时预测风险。最后在贷后环节,同盾科技也会向金融机构提供“贷后监控”解决方案,而针对短时间信用恶化逾期的客群,同盾科技帮助金融机构做自动化的智能催收。而针对老用户开展的“沉默监控”则显得意义深远。已经发卡,或者已经获取了一定的信贷需求以后文工团蒋雯,但是,用户并没有激活、使用,同盾科技帮助金融机构在这些用户身上[12],尽早“唤醒”他们,从而形成实质的交易。
贷前,基于人工智能及大数据的二维分析。在贷前反欺诈方面,通过人工智能及大数据两个维度,帮助金融机构开展风险分析。
一是人工智能洞察潜在的信贷风险(图7)。
图7 贷前反欺诈技术洞察分析
来源 | 同盾科技
通过设备“指纹”等技术洞察潜在的信贷风险。在申请环节,如果是一个团伙做伪冒申请,当时他们申请使用的电脑没有变化,但是,可以发现他们在一天之内用不同的账号、不同的银行卡、不同的身份证来去提交信息。同盾科技提供设备“指纹”技术分析,在金融机构看来是很有效的信息抓取,它有可能是一个团伙,也有可能是一个中介。
通过可疑号码分析,由此判断申请号码是虚假号码,还是通讯小号。通过虚拟机侦测,由此判断对方使用了虚拟机,还是安卓模拟器。通过地址数据分析,甄别地址的虚假,以及以属于高风险地址。通过IP代理测试,识别是否是机器人注册,这是因为如果线上申请贷款会留有IP地址,由此分析当前申请的IP地址是否异常。通过归属地分析,评判IP、手机号、身份证的归属地,方便在规则策略里面进行交叉比对。
此外,重点对申请行为分析,以此判断其是否短时间频繁申请贷款,以及是否在敏感时间(如凌晨发起贷款申请)、多个平台申请。
二是贷前反欺诈的大数据能力表现(图8)。
图8 贷前反欺诈的大数据能力表现
来源 | 同盾科技
社交数据方面,包括社交数据、通讯小号库、格式错误和欺诈骚扰风险名单库;申请人身份数据方面,包括身份证号码、使用手机信息、年龄和工作单位等;社会征信数据方面,包括法院执行、失信、结案数据,租车违约数据,欠税数据等;信贷数据表现方面,包括信贷逾期、助学贷款欠费、逾期后还款的名单,包括多头申请、多头负债的信贷行为表现。
同盾科技还会列出高、中、低风险关注名单。当前申请人有没有在同盾科技风险名单库里面,让金融机构迅速做出判断。可以这样理解这份风险名单,在各行各业同盾科技通过一些模型,帮客户分析不同的风险。比如,对产生内容的游戏行业,同盾科技的模型关注的风险在于有没有人发表涉黄等不良言论。又如,对于电子商务行业,同盾科技的模型会识别有没有欺诈者在电商交易的数据里面刷单,从而规避欺诈风险。但是,在信贷行业,信用的最终指向还款能力和还款意愿。
同盾科技通过上述社交类、身份类、社会类以及过往信贷类的大量数据,结合当前信贷申请人的实际情况,最终通过模型产生一个综合评价。
细微观察许允丑妻,探索出信贷风控的解决之道。
其一是信用评分。也就业界称之为“同盾智信分”。基于银行信贷、非银信贷、航旅、社交、支付、保险、基金理财、游戏、电商、O2O等全网覆盖的数据,同时,立足负债信息、稳定性、负面信息、行为偏好、还款能力、还款意愿信用评分的六个维度,于是,同盾科技有了通用分——信用评分。信用评分的分值范围在300-900之间,其特征属性表现在,分数与违约概率、逾期概率双双呈现强烈的负相关。
其二是定制评分。即联合建模。根据客户诉求朱无视 ,叠加一些第三方数据,这样进一步提升分数。同盾科技与金融机构在信用评估分析方面开展了合作,按行业细分便有了定制服务,其实就是属于定制评分,比如,针对消费分期、账单分期、现金贷等子行业。客户将一些历史数据,再加上变量,再结合同盾科技的变量,双方联合建模,那么,通过数据探索,最终会得到更好的评分预测效果。
其三是贷中贷后风险监控。也就是客户信息跟踪。对客户持续监控,是同盾科技贷中、贷后风险监控的基本内容。开展对用户多头申请、多头负债、逾期风险等级监控;开展通信小号、贷款失信、租赁失信风险名单更新的进阶监控;开展刑事犯罪监控;基于同盾科技专有大数据模型的高风险行为监控;开展贷款人常用地址活跃度监控,以及自定义监控频率与内容,还款日之前短信提醒预催收。比如,贷款申请人在A机构取得贷款之后,立即又跑到B机构申请贷款。又如,贷款申请人在A机构近期归还贷款,却在B机构贷款平台是逾期。其实,这些数据同盾科技已经汇总出来,在金融机构对其用户贷中、贷后阶段,给予帮助。
其四是贷后“轻催收”。金融机构贷款范围广,尤其属于短时逾期的客群,线下催收人力、资金成本过高,各地文化、经济结构差异大,催收风险也形色各异。“轻催收”智能方案通过系统外呼,融入一些智能决策,进入到短时逾期(M0-M2)的人群,通过电话外呼、短信通知,智能话术标准化程度高、风险低,触达及反馈率高,免人工干预,有效地保护了用户隐私数据,完全充当了“逾期管家”的角色。前提是有大量的短时逾期的用户,甚至可能是遗忘的原因,很容易被“催”出来还款。电话外呼,触达提醒,远比传统外包的催收机构通过上门催收的客户体验要好很多。对于同盾科技来讲,通过大数据、各种算法,令催收成效达到一个最优解,同时,将催收成本控制在合理范围之内。
【股份制银行合作案例】
在某家股份制银行不同业务流程中,同盾科技匹配了相应的合作内容。一是用户进入银行阶段。用户通过银行出于获客需要自建的App,或者是其他获客应用的合作渠道,被引流到这家银行,在此阶段,同盾科技通过数据分析将用户分层ap汉人,开展精准的营销奖励。二是用户在银行发生业务阶段。用户进入银行之后会发生一些业务。如,用户申请一张信用卡,做消费分期,申请一笔车(房)贷款。与此同步,同盾科技帮助银行对申请用户定制欺诈分、信用分,最终做出信用评分,包括授信策略、风险定价。当然,银行有自己的风控系统,也会与其他数据机构开展合作,此外,同盾科技配合银行开展风控业务的同时,后者也会去调取中国人民银行的征信报告,融入风控模型。三是贷后监控阶段。同盾科技出具催收模型,开展流失预警。
从合作成效来看,基于阶段性配置的解决方案的实施,有效地帮助这家银行控制了信贷风险。
【互联网消费金融平台合作案例】
一段时间以来,校园分期消费吸引了专业诈骗团伙的注意。此前,一起分期诈骗案就是诈骗团伙仅花费300元,购买学生的虚假资料,实施了行骗。此外,诈骗团伙经常在线上套取用户账户密码,通过分期购业务网购手机“套现”。2014年8月,同盾科技与某大型互联网消费金融平台开展了监控、评级、借款、注册和审核事件等诸多场景的合作。同盾科技向该互联网消费金融平台提交的信贷风险解决方案,有效保障平台在对抗身份冒用、虚假申请、盗卡支付、信用卡套现等风险。同时,该平台的审批效率由原来30%提高到60%以上,自动审批率也达到90%以上,有效地提升了客户业务审批效率。
反欺诈“道”高于“魔”
通俗来讲,信贷风控主要解决信用问题,针对的是一些“老赖”。反欺诈主要制止或者在一定程度上抑制“黑产”欺诈的产生,对抗的是“黑产”制造者,合作对象更多的是互联网公司、电商、O2O、非银行支付机构和金融机构,以及包括之前比较火的直播平台等。反欺诈所面临的挑战与信贷风控完全不一样,主要是解决互联网业务场景的欺诈风险。
互联网业务场景。互联网公司开展业务的时候,通常都会有渠道推广行为,需要将自己的App,或者让自己的产品更多地触达用户。当互联网公司吸引到用户之后,用户会在其平台产生自己的账号,相应产生注册或者登录行为。互联网公司为了刺激用户的活跃度,于是要举办活动,如积分、抽奖等。接下来用户在平台上有相应的交易支付。除此之外,平台还会让用户开展社交互动,如发帖、传播视频等。
来自“黑产”制造者的攻击。在上述典型的互联网公司的业务场景里,“黑产”制造者总能找到林林总总的方式(图9),着手发起有针对性的攻击,从而牟取利益。
图9 互联网公司业务场景面临欺诈风险示意
来源 | 同盾科技
我们分步骤观察,发现“黑产”制造者的攻击“生生不息”。在渠道推广阶段,“黑产”制造者的手段是虚假刷量、伪造激活。在注册登记阶段,“黑产”制造者注册大量的垃圾账号,最简单的手法是参与抽奖,复杂一些会通过垃圾账号获取比较多的好处。当“黑产”制造者取得了泄露出来的用户个人信息,采取“撞库”方式,一旦“撞库”成功便拥有了用户的账号权限,可能将其电商平台账户的沉淀资金转移出去,再进一步拿用户的信息从事电信诈骗。在营销活动阶段,“黑产”制造者可能进行“黄牛”占座、抽奖套利。在交易支付阶段,“黑产”制造者可能刷单炒信、盗卡盗用。而在社交互动阶段绮户春,“黑产”制造者可能着手涉黄,推送垃圾广告。
“黑产”制造者欺诈行为特点。
其一,分工“专业化”。很多网站根据手机定位用户,但是,人们发现为什么“黑产”制造者可以在短时间内控制很多手机的权限,这是因为“黑产”里面有虚假号码的存在。这个“产业链”中,有人处在上游,专门去运营商那里打卡。然后,有人专门把卡“养”在设备或手机里面,业界称之“收码平台”。还有“工具开发者”专门通过“养卡”软件暴露出来的接口编写攻击性的软件。那么,对于技术能力不强的人来说,充当“黑产”下游操作者,只得购买那些攻击性的软件。因此美丽的万物,“黑产”制造者可以在短时间内有能力控制几万个或者几百万个号码。
其二,组织“团伙化”。众所周知,一般互联网产品面临着欺诈风险,并且,每一种风险都是“魔高一尺”,这是因为“黑产”制造者攻击的手段不尽相同,而且从过去的“单打独斗”,到现在的“群体攻击”。“黑产”从上游到下游,每一个团伙可能只负责业务链中的一小段,通过互联网的虚拟空间连接组织起来,便可以产生大规模的攻击。通过复杂网络,我们发现“黑产”制造者团伙化、组织化的情况。2016年同盾科技对某客户的线上登录和注册的场景所作的统计(图10),以一斑窥全貌。其实,主要有两个主体,一个是蓝色的小点,一个是红色的小点。蓝色表示设备,可以是手机或电脑;红色则代表手机号码。不难发现,当许多手机通过中间设备关联起来之后,呈现出一个网络化的情况。在此例中,中间设备关联了将近5000多个手机号码。同盾科技综合全网的数据画出来,体现出非常典型的集中化的趋势,大量“黑产”设备在业务场景中互相关联出来。
其三,全网“流窜化”。通过分析不同行业的客户,同盾科技甚至发现“黑产”制造者,在不同行业之间进行流窜。就是说“黑产”制造者不会针对性地单一攻击O2O,攻击银行,他们是哪边有空子就往哪边钻进去。
图10 “黑产”制造者欺诈行为特点分析
来源 | 同盾科技
“黑产”危害。这些危害可谓罄竹难书,主要包括违反监管、真正用户的资金产生损失、真正用户的体验下降,以及企业的商业信息泄露和品牌商誉受损等。
反欺诈解决方案。无论信贷风控,还是反欺诈,机制相类似,只不过针对不同的场景有不同的模型、规则应用。同盾科技的反欺诈解决方案在事前、事中、事后服务客户。
其一,在事前,“未知攻焉知防”。同盾科技要准确地掌握“黑产”制造者在干什么,采用哪些方法和工具,攻击目标是什么,这样才能有针对性地去做防控。正所谓“未知攻焉知防”。同盾科技的情报收集人员会在“黑产”制造者经常聚集的论坛,以及QQ和微信群,分成“薅羊毛”刷单、垃圾注册撞库攻击、官方软件破解、批量自动化软件、垃圾信息和营销、短信轰炸、模拟器及攻击软件八大类别,搜集他们的聊天记录。情报处理人员会通过语言处理技术,以及文本语音分析技术,“沉淀”变成情报。情报分析人员从中获取相应有价值的信息。这样,同盾科技向客户出具一份“欺诈情报”,还有一份是应对欺诈所出具的“反欺诈情报”。
其二,在事中,按场景“埋点”对接结果。此阶段同盾科技向客户提供业务风控服务,后者在自己的应用场景“埋点”,调到同盾科技API姚俊良,从而得到相应的决策结果。于此,我们具体来看看同盾科技向客户提供业务风控服务的主要产品和服务到底是什么。在渠道推广保护方面,帮助客户识别设备作弊行为,定期向客户提供渠道风险报告;在账户安全保护方面,帮助客户防范垃圾注册,识别人机行为,防范“撞库”“拖库”;在营销活动保护方面,帮助客户识别批量抢红包、重复刷券及作弊点击等欺诈行为;在交易支付保护方面,帮助客户识别虚假交易、刷单炒信和黄牛刷票等行为,防范盗卡盗刷、信用套现和洗钱等行为;在内容安全防护方面,帮助客户识别文本和图片中的垃圾广告、涉黄、恶意言论等不良信息;在接口安全保护方面,帮助客户监控重要接口调用、客户端环境探测、识别接口业务数据风险。
其三,在事后,“拾遗补缺”全过程服务完美收官。尽管如此,还是会出现“挂万漏一,百密一疏”的情形。事前、事中总归会有一些漏掉的分析,或者事件在推进出现了新情况,通过事后的团伙分析、案件“沉淀”,运用复杂网络和推行案件管理,对经验实行再总结,进一步优化、校验同盾科技解决方案,从而提升实施效果。
事前、事中、事后依赖数据、技术和工具优势。同盾科技的数据来源于跨行业“双联”(即“联防联控”),消除了客户自由配置出现的“数据孤岛”现象。前面已经提到“黑产”制造者是流窜化的团伙,如果局限在自己做电商,仅仅防范攻击电商的“黑产”制造者,自己做O2O,仅仅防范攻击O2O的“黑产”制造者,显然,其力量极其有限度,成效也极其不明显。因为电商经营者没有想到“黑产”制造者在攻击电商之前,已经攻击过O2O,在发现电商的漏洞之后,又折身返场。同盾科技则不同,构建了“云”平台,从更高维度识别“黑产”制造者。当然,核心还是离不开“双联”。
在技术方面,得益于设备“指纹”、数据建模等。如,在同盾科技,便有数十人的专业团队从事设备“指纹”研究、运维,与单个企业在考虑成本的前提下相比,显而易见有着较强的研发能力。而在工具方面,依托决策(规则)引擎、模型平台等。实际上,同盾科技在帮助客户克服了工具研发成本高的难题。
同盾科技多年与客户合作也体会到,对客户来讲,重点关注业务发展,欺诈只是业务发展过程中出现的一些问题,可用于反欺诈的资源十分有限。这时候出现一个专业的第三方公司帮助解决,可以起到事半功倍的效果。
【互联网平台新注册用户体验补贴案例】
某互联网平台为配合公司周年庆祝活动,对新注册用户进行体验补贴,该补贴可以购买理财产品。该活动自然被嗅觉灵敏的“黑产”制造者获悉,他们作弊步骤分三步:第一步,从上游卡商批量获取虚假卡号,每一个虚假卡号就是一部新手机;第二步,利用自动注册机批量注册,或者用软件伪造一台新的设备继续注册;第三步,领取补贴并购买理财产品,达到成功提现的目的。对于一般人来说,为了获取多一点补贴,至多在第一步动点心思,用自己的手机注册,再从其他的地方借手机,如,找自己的家人。对于“黑产”制造者来讲,有了新手机,并注册凯里一中,两点全部绕过正常限制,这个有商机的活动便被“黑产”制造者完全废掉。
一个细节在于,国内基本上手机号码已经变成了通用的ID,什么场景都可以用手机号码注册,邮箱已经退位到注册的次要地位。同盾科技有一个手机号码的画像,对其风险分析,除了“黑名单”之外,还会用手机号码去沉淀分享行为。也就是基于大数据建模,沉淀数据。比如,不仅知道某个手机号码是“黑产”制造者,甚至准确定位到它的拥有者到底是一个“黄牛”,还是一个“薅羊毛党”人士。当然,鉴于运营商会回收手机号码,当某个手机号码一直放在库里,过一段时间会被一个新的用户拿去使用,这样便会造成“误杀”,因此,同盾科技会采取持续“清洗”的策略。
在与某互联网平台合作中,同盾科技的方案棋高一着,也只需要三步便完成业务风控服务。首先,在客户端注册场景“埋点”,传入注册时手机、IP和注册时间等数据。比如,“黑产”制造者的手机不是正常的用户在使用,都是虚假号码,同盾科技可以在庞大的手机号库里面迅速做出甄别。同时,除了追踪设备之外文明礼仪黑板报,还能判断出当前的设备是否处在异常环境,是否安装了攻击软件或模块。其次,“云”平台端配置相关模型。在同盾科技风控“云”平台端,对于虚假号码、IP网络类型、设备风险和风险标签识别,以及异常行为、垃圾注册,一一配置了相关规则或模型,以便迅速做出判断。第三,同盾科技向客户返回注册行为风险得分,类别处置。于是,客户系统对于低于20分的注册用户,采取直接通过,享受申领补贴的待遇;向20-80分的注册用户弹出滑动验证码,继续验证身份真伪,这是处在模棱两可的中间地带,必须进入“人工审核”,用户接受二次校验,避免“误伤”真正的用户;而高于80分的注册用户,则直接拒绝。
同盾科技的综合防控里面,包括用户行为的逻辑,正常的用户在注册之后,先浏览,慢慢选,再下单,而不是一注册就完成那个特定项目的购买动作。“黑产”自动化之后,“黑产”制造者也会高效地做完正常用户的事情。但是,做假总有破绽,如“黑产”制造者的时间逻辑异常、IP归属地比较集中,这些都能帮助客户拒绝掉“黑产”制造者这类“伪用户”。
同盾科技风险防控效果显著。活动之前注册用户日均拒绝率为2%,而活动期间注册用户日均拒绝率在急升至35%的情况下,来电投诉率却维持在1%以下。这是因为,活动期间日均新增2000个虚假号码被同盾科技识别出来,尔后被这家互联网平台拒绝了。
【某理财平台优惠活动案例】
今年8月,某理财平台开展了一场优惠活动,“黑产”制造者闻讯准备“薅羊毛”。他们嚣张“下战书”,直接对理财平台讲,“干脆我们不薅你了,你直接把钱打给我钟绍图。”此举遭到理财平台的断然拒绝。后来,从同盾科技后台监测到“黑产”制造者连续三天攻击该理财平台,涉及4万个账户,金额约50万元。
当然,“黑产”制造者也是“有脾气”的。同盾科技帮助另一家客户成功实施了多次拦截,于是“黑产”制造者录制了一段视频发来,声称“你看我可以这样防止你的拦截”。但是阴霾娃娃,最终还是邪不压正。
【游戏平台充值案例】
今年9月初,同盾科技发现某游戏客户遭到“黑产”制造者的蓄意攻击,通过游戏平台不断充值,从而牟利。“黑产”制造者发起的攻击持续了两天,涉及账户近10万个,最终同盾科技帮助客户拦截金额近1亿元。
受访对象:同盾科技有限公司创始人、CEO蒋韬,周不疑联合创始人祝伟,联合创始人、技术副总裁张新波,副总裁黄晓如,反欺诈研究院丁杨,钟立群、袁伟斌对此文亦有贡献。
《金卡生活》杂志
中国银联 主管主办
理论研究 实务探讨
长按二维码关注我们
以同盾科技智能风险管理为个案
解构“双轮”驱动信贷风控及反欺诈应用模型
9月6日,尽管以网络信息、人工智能为研究方向,也解决不了因“之江实验室”挂牌,杭州人工智能小镇西溪方向道路限行拥堵的线下、非智能现实。《金卡生活》杂志在“秋老虎”仍在肆虐这一天,开始了同盾科技有限公司(以下简称“同盾科技”)驱动大数据技术、人工智能工具“双轮”,在信贷风险控制、反欺诈应用的研究。
2013年,几个志同道合的年轻人开始在有着天堂美誉的杭城创业,同盾科技从诞生的那一天起,牢牢锁定行业智能风险管理服务提供商的清晰定位。也是从创立伊始,同盾科技便将大数据、人工智能与风险管理深度结合,在行业率先树立跨行业“联防联控”的风控理念,从而帮助更多的中小企业,解决其业务场景当中所存在的信贷风险和欺诈风险。精准的定位,以及在市场中的斩获,同盾科技深得资本的垂青,先后迎来IDG资本、华创资本、宽带资本、启明创投和尚珹资本的投资。
蜜蜂扇动40次翅膀同盾科技给你一次风险决策分析
同盾科技除了杭州总部,在北京、上海、深圳、广州、成都、西安和重庆还设有分支机构,现有员工超过600人,其中风控专家和数据工程师占到团队的70%,那么,这个团队到底做些什么?深入了解发现,其内部将业务分成两部分:一是服务于金融机构,提供信贷行业风险管理全生命周期解决方案;二是面向互联网行业的电商、O2O、支付等行业,提供反欺诈服务。
市场表现斐然。我们看到,一是同盾科技市场规模逐步放大,服务行业客户超过7000家。其中,金融客户达3000多家,包括银行、保险客户100多家,汽车金融类客户100多家,小额贷款金融客户700多家,消费金融类客户400多家,P2P及其他消费金融客户1700多家。二是覆盖设备终端与日增多。通过设备“指纹”技术,帮助客户定位其用户使用的终端,覆盖设备已经达到30亿台(部);掌握与欺诈相关的虚假手机号码达3000多万个。三是数据处理能力日益强大刺鲶。目前合作客户累计API(Application Programming Interface,应用程序编程接口)调用量已经超过260亿次,API调用量每天峰值达到1.3亿次,日均约1亿次左右,而API响应时间仅在200毫秒之内。
事实上在线数独游戏,合作客户都是实时调用信息。比如,一个互联网用户在线向某家金融机构申请一笔贷款,那么,后者会实时将这笔申请,通过API的方式传送到云端霍震寰,于是就得到了同盾科技的帮助。在同盾科技看来,它是一个API调用。这家金融机构耽搁的时间不会很长,也就是说同盾科技API的响应时间很短。遇到信贷风险和欺诈事件,谁的心情都不会好,但如果将事件想象成一只苍蝇在耳边飞,但你只需要忍耐耳边的苍蝇连续扇动70次翅膀;或者你与同盾科技安之若素,移步办公区花坛盛开的秋菊旁边,观看蜜蜂连续扇动40次翅膀……接着,你便可以拿到从同盾科技调用的你所需的信息。可以想象一下,同盾科技已经累积了260亿次风险行为分析,而客户花费的也只是苍蝇、蜜蜂分别连续扇动70次、40次翅膀的时间。四是准确的行业观察为客户保驾护航。同盾科技帮助大量的客户保障资金安全,账户安全保护累计超过了10亿次。此外,在金融行业保护信贷资金总额已经超过万亿元(图1)。
图1 同盾科技数据表现一览
来源 | 同盾科技
“科技画像”
从工具、技术和解决方案三个维度,可以窥见同盾“科技全貌”。继续抽丝剥茧,我们姑且将同盾的“科技画像”划分为基石层、中坚层和顶层三级架构(图2)。
图2 同盾“科技画像”
制图 | 陈厚文
基石层,即“杀手级”工具。包括决策(规则)引擎、模型平台、复杂网络和案件管理等,这些工具构成同盾“科技画像”的底层基础。同时,同盾科技也会将底层的工具开放给有能力、有意愿的客户。
首先,具体来看决策(规则)引擎。基于时间、流程、名单、跨事件、“团伙”、安卓系统、位置、习惯、统计和通用等灵活配置的各类规则,于是得出接受、复核和拒绝等准确的输出结果(图3)。当人工智能工具走向标准化,应用才有普及和推广的价值。譬如,有能力的客户可以将自己的风控策略、规则,直接部署到同盾科技平台上面孙穗芳,之所以称作“引擎”,在于它暗合了“即时部署,即时生效”的原理。
图3 决策(规则)引擎示意
来源 | 同盾科技
其次,探析复杂网络。第一步,打通场景。对于信用信贷、基金理财、银行网申、电商、O2O、第三方支付和游戏平台,首先要将这些线上业务的场景打通。第二步,建立关联关系。“团伙”、中介之间有着一定的关联关系,可能在同一个设备ID下面有过关联,电商买家下单要使用手机号码,贷款申请人提出申请也使用了手机号码,于是,手机号码编织起人与人的关联关系。第三步,构建复杂网络。可以将复杂网络理解为通过“图”的方式,将关联关系打通。如,一个节点是身份证号码,一个节点是银行卡号码,在这里定位了人的关系。它的边就是表明两个节点之间有没有联系。通过这种方式,能够可视化的让关联关系呈现出来,帮助客户做事后的调查分析,进一步挖掘关联关系(图4)。
图4 复杂网络应用示意
来源 | 同盾科技
复杂网络最早应用于搜索场景,用谷歌搜索比尔?盖茨的妻子是谁?搜索之后网络给出正确答案,然后还会呈现一个网络关联关系。这是基于数据挖掘,展现主题背后的资源,数据与数据之间的关联关系。
但是,卖瓜的当然说瓜甜。运用复杂关系网络监测欺诈“团伙”显得格外实用和得体。具体表现在以下三方面。一是在规则中配置疑似“团伙”规则,支持通过用户的各个维度[8]和设备ID匹配识别。二是规则引擎实时,“团伙”识别在毫秒级响应。三是命中“团伙”,查看“团伙”分布详情。同时,借助可视化工作平台,基于一个线索或案件,进行关联调查,可以无限展开神医世子妃,从而展示案件之间的关系。最后普大喜奔,基于一批线索或案件,进行自动关联,使用社团分割算法分群,自动识别疑似“团伙”,形成疑似“团伙”分析报告。
再次,笼统看一下案件管理系统。它包括,汇集案件数据、策略及模型调优依据,沉淀的经典型案件数据,以及具有高效案件调查的平台,灵活的任务配置。
中坚层,即核心技术。包括设备“指纹”、代理检测、人机识别、地理定位技术、AI 风控模型、“黑产”(黑色产业链)工具识别和实时欺诈团伙检测等。
首先,我们来认识设备“指纹”的“庐山真面目”。设备“指纹”是同盾科技向客户提供SDK(Software Development Kit软件开发工具包),通俗理解成一个软件包。客户将SDK集成到他的App里面,或者集成到他的网页里面。当客户的用户在使用App或网页的时候,SDK便会运行起来,从而同盾科技就会识别到当前那些用户的设备环境是否异常,是否存在风险。于是,同盾科技采集用户在终端设备留存的一些软硬件属性,通过一定的算法,重新生成一个非常“唯一”的标识,这样诞生了设备“指纹”,同盾科技给业界贡献了核心技术的同时,也贡献了形象的科技比喻。
我们进一步地看到,设备“指纹”具备两大功能,一是设备唯一标识,二是设备异常环境的识别。而造成设备环境异常不外乎以下因素诱发:其一,模拟器。很多“黑产”制造者没有一台真正的手机,也一下子找不到那么多的手机,而是在一台廉价电脑上安装模拟器,于是模拟出来上百台、上千台的手机。但是,每一部手机成为一台新的设备,于是出现了典型的异常环境。其二,Root(系统中唯一的超级管理员,它具有等同于操作系统的权限)和“越狱”。手机厂商有严格的限制,但是“黑产”制造者突破了限制,“越狱”获得了手机系统的最高权限未来浩劫,于是改进手机系统底层,方便自己发起有针对性的攻击。其三,Xposed作弊框架(是一款可以在不修改AndroidPackage的情况下影响程序运行、修改系统的框架服务)。对“黑产”制造者来讲,攻击每个网站的时候,都要写一个针对性的程序,他觉得麻烦。于是将一些常用的攻击手法抽象出来变成统一的大的平台,然后只要在平台上写一些插件,便可以开展快捷、高效、方便的攻击行为。即形成所谓的“作弊框架”。此外,App重新打包,也是引起设备环境异常的因素。
那么,我们最后来厘清设备“指纹”技术的优势,林林总总,不一而足。但是,主要包括:一是兼容iOS、安卓和PC系统,实现跨平台支持;二是百分之百兼容主流手机机型;三是实现“三防”,即防破解、防调试、防重放;四是异步运行,性能优异;五是集成包精简,仅需要100K左右(图5)。
图5 设备“指纹”技术
来源 | 同盾科技
设备“指纹”的用途不仅仅用作反欺诈,还可以用在精准营销场景 。但是,精准营销场景的设备“指纹”和反欺诈的设备“指纹”,二者在风险偏好和功能偏好上不尽相同。精准营销场景不是特别关注是不是能够真正定位到“黑产”制造者,更多关注一个人群的覆盖面。比如,某产品希望能够推送给“白领”,这时不需要精确地定位到每一个“白领”猇亭之战,只需要能够做好这个人群的覆盖即可。即便里面有一些错误,将一些“蓝领”定位成“白领”,其实问题无关紧要,至多推送一个广告而已。所以,精准营销场景的设备“指纹”不是特别关注准确度,它更多关注覆盖面。反欺诈则不同。反欺诈遇到的问题往往是小概率、高危的事情,1000人里面999人都是正常用户,只有一个人是“黑产”制造者,反欺诈的设备“指纹”特别关注准确度。做反欺诈的时候定位要非常精确,一定要把这个人找出来,否则客户便要遭受损失。
顶层,即系统性解决方案。除了“杀手级”工具、核心技术构成同盾“科技画像”的基础层、中坚层之外,包括信贷风控服务、反欺诈服务和信息核验服务等解决方案在内,则构成了同盾“科技画像”的顶层。
信贷风控服务,旨在为客户提供一个从贷前、贷中和贷后完整生命周期的解决方案,甚至也与客户通过联合建模的方式假脸姐妹团,做到深度的分析和评估。
反欺诈服务。它包含了业务风控、欺诈洞察、内容安全防护和一些风控数据产品。
信息核验服务。它重点放在对应关系的验证上面。同盾科技与外部合规信息核验服务合作,主要包括与公安类、工商类、地址类信息对接,将这些信息核验服务提供给客户。如,在贷前审核阶段,同盾科技向金融机构出具信息核验报告,返回“是”与“否”的结果。
信贷风险解决之道
分析发现,同盾科技向金融机构提供大数据的处理和分析,技术学习,以及可信计算,当然,也包括提供网络欺诈分析、身份识别和实时计算等技术服务。更直白地说,金融机构在开展信贷业务的过程中,面临着诸多风险,而针对这些风险,同盾科技适时向金融机构一对一匹配高吻合度的解决方案。
警惕!信贷面临的风险。我们首先来分析信贷业务面临的风险。
一是申请身份造假。包括贷款申请人伪冒申请,贷款申请人盗取其他人的身份信息和申请资料,伪冒他人骗取贷款;贷款申请人通过“黑产”下游购买身份信息,从而用伪冒身份信息骗贷。此外,也包括贷款申请人自身材料虚假,即贷款申请人对自己的身份或资质证明资料进行造假,以期通过申请,或者获得更高的额度。
二是信用风险。包括一些金融机构征信数据维度不足,出现信用“白户”问题;也包括跨平台负债严重,金融机构无法全面获知风险;同时包括金融机构获取风险信息相对滞后。
三是内部欺诈。申请身份造假的贷款人与金融机构内部销售人员,甚至与风控人员联手,泄露客户信息,产生“飞单”,合谋骗贷。
不遗留死角,匹配风控环节。在众所周知的风险面前,同盾科技主要是帮助金融机构评判当前借款人的资质,预测借款人的还款能力和还款意愿。具体来说,基于信贷业务,在金融客户完整的业务流程所涉及的各个环节,都融入了同盾科技的解决方案(图6)。
图6 基于业务流程设计信贷风控环节
来源 | 同盾科技
在最早的营销环节,从用户申请贷款开始,同盾科技就会提供“兴趣雷达”服务。进入贷前申请的阶段,同盾科技会匹配“贷前反欺诈”“适时‘团伙’识别”“信息核验”“信用评分”等服务。而到了贷中阶段,同盾科技会持续提供一些监控,帮助金融机构监控有没有出现信用恶化等不良情况,做到及时预测风险。最后在贷后环节,同盾科技也会向金融机构提供“贷后监控”解决方案,而针对短时间信用恶化逾期的客群,同盾科技帮助金融机构做自动化的智能催收。而针对老用户开展的“沉默监控”则显得意义深远。已经发卡,或者已经获取了一定的信贷需求以后文工团蒋雯,但是,用户并没有激活、使用,同盾科技帮助金融机构在这些用户身上[12],尽早“唤醒”他们,从而形成实质的交易。
贷前,基于人工智能及大数据的二维分析。在贷前反欺诈方面,通过人工智能及大数据两个维度,帮助金融机构开展风险分析。
一是人工智能洞察潜在的信贷风险(图7)。
图7 贷前反欺诈技术洞察分析
来源 | 同盾科技
通过设备“指纹”等技术洞察潜在的信贷风险。在申请环节,如果是一个团伙做伪冒申请,当时他们申请使用的电脑没有变化,但是,可以发现他们在一天之内用不同的账号、不同的银行卡、不同的身份证来去提交信息。同盾科技提供设备“指纹”技术分析,在金融机构看来是很有效的信息抓取,它有可能是一个团伙,也有可能是一个中介。
通过可疑号码分析,由此判断申请号码是虚假号码,还是通讯小号。通过虚拟机侦测,由此判断对方使用了虚拟机,还是安卓模拟器。通过地址数据分析,甄别地址的虚假,以及以属于高风险地址。通过IP代理测试,识别是否是机器人注册,这是因为如果线上申请贷款会留有IP地址,由此分析当前申请的IP地址是否异常。通过归属地分析,评判IP、手机号、身份证的归属地,方便在规则策略里面进行交叉比对。
此外,重点对申请行为分析,以此判断其是否短时间频繁申请贷款,以及是否在敏感时间(如凌晨发起贷款申请)、多个平台申请。
二是贷前反欺诈的大数据能力表现(图8)。
图8 贷前反欺诈的大数据能力表现
来源 | 同盾科技
社交数据方面,包括社交数据、通讯小号库、格式错误和欺诈骚扰风险名单库;申请人身份数据方面,包括身份证号码、使用手机信息、年龄和工作单位等;社会征信数据方面,包括法院执行、失信、结案数据,租车违约数据,欠税数据等;信贷数据表现方面,包括信贷逾期、助学贷款欠费、逾期后还款的名单,包括多头申请、多头负债的信贷行为表现。
同盾科技还会列出高、中、低风险关注名单。当前申请人有没有在同盾科技风险名单库里面,让金融机构迅速做出判断。可以这样理解这份风险名单,在各行各业同盾科技通过一些模型,帮客户分析不同的风险。比如,对产生内容的游戏行业,同盾科技的模型关注的风险在于有没有人发表涉黄等不良言论。又如,对于电子商务行业,同盾科技的模型会识别有没有欺诈者在电商交易的数据里面刷单,从而规避欺诈风险。但是,在信贷行业,信用的最终指向还款能力和还款意愿。
同盾科技通过上述社交类、身份类、社会类以及过往信贷类的大量数据,结合当前信贷申请人的实际情况,最终通过模型产生一个综合评价。
细微观察许允丑妻,探索出信贷风控的解决之道。
其一是信用评分。也就业界称之为“同盾智信分”。基于银行信贷、非银信贷、航旅、社交、支付、保险、基金理财、游戏、电商、O2O等全网覆盖的数据,同时,立足负债信息、稳定性、负面信息、行为偏好、还款能力、还款意愿信用评分的六个维度,于是,同盾科技有了通用分——信用评分。信用评分的分值范围在300-900之间,其特征属性表现在,分数与违约概率、逾期概率双双呈现强烈的负相关。
其二是定制评分。即联合建模。根据客户诉求朱无视 ,叠加一些第三方数据,这样进一步提升分数。同盾科技与金融机构在信用评估分析方面开展了合作,按行业细分便有了定制服务,其实就是属于定制评分,比如,针对消费分期、账单分期、现金贷等子行业。客户将一些历史数据,再加上变量,再结合同盾科技的变量,双方联合建模,那么,通过数据探索,最终会得到更好的评分预测效果。
其三是贷中贷后风险监控。也就是客户信息跟踪。对客户持续监控,是同盾科技贷中、贷后风险监控的基本内容。开展对用户多头申请、多头负债、逾期风险等级监控;开展通信小号、贷款失信、租赁失信风险名单更新的进阶监控;开展刑事犯罪监控;基于同盾科技专有大数据模型的高风险行为监控;开展贷款人常用地址活跃度监控,以及自定义监控频率与内容,还款日之前短信提醒预催收。比如,贷款申请人在A机构取得贷款之后,立即又跑到B机构申请贷款。又如,贷款申请人在A机构近期归还贷款,却在B机构贷款平台是逾期。其实,这些数据同盾科技已经汇总出来,在金融机构对其用户贷中、贷后阶段,给予帮助。
其四是贷后“轻催收”。金融机构贷款范围广,尤其属于短时逾期的客群,线下催收人力、资金成本过高,各地文化、经济结构差异大,催收风险也形色各异。“轻催收”智能方案通过系统外呼,融入一些智能决策,进入到短时逾期(M0-M2)的人群,通过电话外呼、短信通知,智能话术标准化程度高、风险低,触达及反馈率高,免人工干预,有效地保护了用户隐私数据,完全充当了“逾期管家”的角色。前提是有大量的短时逾期的用户,甚至可能是遗忘的原因,很容易被“催”出来还款。电话外呼,触达提醒,远比传统外包的催收机构通过上门催收的客户体验要好很多。对于同盾科技来讲,通过大数据、各种算法,令催收成效达到一个最优解,同时,将催收成本控制在合理范围之内。
【股份制银行合作案例】
在某家股份制银行不同业务流程中,同盾科技匹配了相应的合作内容。一是用户进入银行阶段。用户通过银行出于获客需要自建的App,或者是其他获客应用的合作渠道,被引流到这家银行,在此阶段,同盾科技通过数据分析将用户分层ap汉人,开展精准的营销奖励。二是用户在银行发生业务阶段。用户进入银行之后会发生一些业务。如,用户申请一张信用卡,做消费分期,申请一笔车(房)贷款。与此同步,同盾科技帮助银行对申请用户定制欺诈分、信用分,最终做出信用评分,包括授信策略、风险定价。当然,银行有自己的风控系统,也会与其他数据机构开展合作,此外,同盾科技配合银行开展风控业务的同时,后者也会去调取中国人民银行的征信报告,融入风控模型。三是贷后监控阶段。同盾科技出具催收模型,开展流失预警。
从合作成效来看,基于阶段性配置的解决方案的实施,有效地帮助这家银行控制了信贷风险。
【互联网消费金融平台合作案例】
一段时间以来,校园分期消费吸引了专业诈骗团伙的注意。此前,一起分期诈骗案就是诈骗团伙仅花费300元,购买学生的虚假资料,实施了行骗。此外,诈骗团伙经常在线上套取用户账户密码,通过分期购业务网购手机“套现”。2014年8月,同盾科技与某大型互联网消费金融平台开展了监控、评级、借款、注册和审核事件等诸多场景的合作。同盾科技向该互联网消费金融平台提交的信贷风险解决方案,有效保障平台在对抗身份冒用、虚假申请、盗卡支付、信用卡套现等风险。同时,该平台的审批效率由原来30%提高到60%以上,自动审批率也达到90%以上,有效地提升了客户业务审批效率。
反欺诈“道”高于“魔”
通俗来讲,信贷风控主要解决信用问题,针对的是一些“老赖”。反欺诈主要制止或者在一定程度上抑制“黑产”欺诈的产生,对抗的是“黑产”制造者,合作对象更多的是互联网公司、电商、O2O、非银行支付机构和金融机构,以及包括之前比较火的直播平台等。反欺诈所面临的挑战与信贷风控完全不一样,主要是解决互联网业务场景的欺诈风险。
互联网业务场景。互联网公司开展业务的时候,通常都会有渠道推广行为,需要将自己的App,或者让自己的产品更多地触达用户。当互联网公司吸引到用户之后,用户会在其平台产生自己的账号,相应产生注册或者登录行为。互联网公司为了刺激用户的活跃度,于是要举办活动,如积分、抽奖等。接下来用户在平台上有相应的交易支付。除此之外,平台还会让用户开展社交互动,如发帖、传播视频等。
来自“黑产”制造者的攻击。在上述典型的互联网公司的业务场景里,“黑产”制造者总能找到林林总总的方式(图9),着手发起有针对性的攻击,从而牟取利益。
图9 互联网公司业务场景面临欺诈风险示意
来源 | 同盾科技
我们分步骤观察,发现“黑产”制造者的攻击“生生不息”。在渠道推广阶段,“黑产”制造者的手段是虚假刷量、伪造激活。在注册登记阶段,“黑产”制造者注册大量的垃圾账号,最简单的手法是参与抽奖,复杂一些会通过垃圾账号获取比较多的好处。当“黑产”制造者取得了泄露出来的用户个人信息,采取“撞库”方式,一旦“撞库”成功便拥有了用户的账号权限,可能将其电商平台账户的沉淀资金转移出去,再进一步拿用户的信息从事电信诈骗。在营销活动阶段,“黑产”制造者可能进行“黄牛”占座、抽奖套利。在交易支付阶段,“黑产”制造者可能刷单炒信、盗卡盗用。而在社交互动阶段绮户春,“黑产”制造者可能着手涉黄,推送垃圾广告。
“黑产”制造者欺诈行为特点。
其一,分工“专业化”。很多网站根据手机定位用户,但是,人们发现为什么“黑产”制造者可以在短时间内控制很多手机的权限,这是因为“黑产”里面有虚假号码的存在。这个“产业链”中,有人处在上游,专门去运营商那里打卡。然后,有人专门把卡“养”在设备或手机里面,业界称之“收码平台”。还有“工具开发者”专门通过“养卡”软件暴露出来的接口编写攻击性的软件。那么,对于技术能力不强的人来说,充当“黑产”下游操作者,只得购买那些攻击性的软件。因此美丽的万物,“黑产”制造者可以在短时间内有能力控制几万个或者几百万个号码。
其二,组织“团伙化”。众所周知,一般互联网产品面临着欺诈风险,并且,每一种风险都是“魔高一尺”,这是因为“黑产”制造者攻击的手段不尽相同,而且从过去的“单打独斗”,到现在的“群体攻击”。“黑产”从上游到下游,每一个团伙可能只负责业务链中的一小段,通过互联网的虚拟空间连接组织起来,便可以产生大规模的攻击。通过复杂网络,我们发现“黑产”制造者团伙化、组织化的情况。2016年同盾科技对某客户的线上登录和注册的场景所作的统计(图10),以一斑窥全貌。其实,主要有两个主体,一个是蓝色的小点,一个是红色的小点。蓝色表示设备,可以是手机或电脑;红色则代表手机号码。不难发现,当许多手机通过中间设备关联起来之后,呈现出一个网络化的情况。在此例中,中间设备关联了将近5000多个手机号码。同盾科技综合全网的数据画出来,体现出非常典型的集中化的趋势,大量“黑产”设备在业务场景中互相关联出来。
其三,全网“流窜化”。通过分析不同行业的客户,同盾科技甚至发现“黑产”制造者,在不同行业之间进行流窜。就是说“黑产”制造者不会针对性地单一攻击O2O,攻击银行,他们是哪边有空子就往哪边钻进去。
图10 “黑产”制造者欺诈行为特点分析
来源 | 同盾科技
“黑产”危害。这些危害可谓罄竹难书,主要包括违反监管、真正用户的资金产生损失、真正用户的体验下降,以及企业的商业信息泄露和品牌商誉受损等。
反欺诈解决方案。无论信贷风控,还是反欺诈,机制相类似,只不过针对不同的场景有不同的模型、规则应用。同盾科技的反欺诈解决方案在事前、事中、事后服务客户。
其一,在事前,“未知攻焉知防”。同盾科技要准确地掌握“黑产”制造者在干什么,采用哪些方法和工具,攻击目标是什么,这样才能有针对性地去做防控。正所谓“未知攻焉知防”。同盾科技的情报收集人员会在“黑产”制造者经常聚集的论坛,以及QQ和微信群,分成“薅羊毛”刷单、垃圾注册撞库攻击、官方软件破解、批量自动化软件、垃圾信息和营销、短信轰炸、模拟器及攻击软件八大类别,搜集他们的聊天记录。情报处理人员会通过语言处理技术,以及文本语音分析技术,“沉淀”变成情报。情报分析人员从中获取相应有价值的信息。这样,同盾科技向客户出具一份“欺诈情报”,还有一份是应对欺诈所出具的“反欺诈情报”。
其二,在事中,按场景“埋点”对接结果。此阶段同盾科技向客户提供业务风控服务,后者在自己的应用场景“埋点”,调到同盾科技API姚俊良,从而得到相应的决策结果。于此,我们具体来看看同盾科技向客户提供业务风控服务的主要产品和服务到底是什么。在渠道推广保护方面,帮助客户识别设备作弊行为,定期向客户提供渠道风险报告;在账户安全保护方面,帮助客户防范垃圾注册,识别人机行为,防范“撞库”“拖库”;在营销活动保护方面,帮助客户识别批量抢红包、重复刷券及作弊点击等欺诈行为;在交易支付保护方面,帮助客户识别虚假交易、刷单炒信和黄牛刷票等行为,防范盗卡盗刷、信用套现和洗钱等行为;在内容安全防护方面,帮助客户识别文本和图片中的垃圾广告、涉黄、恶意言论等不良信息;在接口安全保护方面,帮助客户监控重要接口调用、客户端环境探测、识别接口业务数据风险。
其三,在事后,“拾遗补缺”全过程服务完美收官。尽管如此,还是会出现“挂万漏一,百密一疏”的情形。事前、事中总归会有一些漏掉的分析,或者事件在推进出现了新情况,通过事后的团伙分析、案件“沉淀”,运用复杂网络和推行案件管理,对经验实行再总结,进一步优化、校验同盾科技解决方案,从而提升实施效果。
事前、事中、事后依赖数据、技术和工具优势。同盾科技的数据来源于跨行业“双联”(即“联防联控”),消除了客户自由配置出现的“数据孤岛”现象。前面已经提到“黑产”制造者是流窜化的团伙,如果局限在自己做电商,仅仅防范攻击电商的“黑产”制造者,自己做O2O,仅仅防范攻击O2O的“黑产”制造者,显然,其力量极其有限度,成效也极其不明显。因为电商经营者没有想到“黑产”制造者在攻击电商之前,已经攻击过O2O,在发现电商的漏洞之后,又折身返场。同盾科技则不同,构建了“云”平台,从更高维度识别“黑产”制造者。当然,核心还是离不开“双联”。
在技术方面,得益于设备“指纹”、数据建模等。如,在同盾科技,便有数十人的专业团队从事设备“指纹”研究、运维,与单个企业在考虑成本的前提下相比,显而易见有着较强的研发能力。而在工具方面,依托决策(规则)引擎、模型平台等。实际上,同盾科技在帮助客户克服了工具研发成本高的难题。
同盾科技多年与客户合作也体会到,对客户来讲,重点关注业务发展,欺诈只是业务发展过程中出现的一些问题,可用于反欺诈的资源十分有限。这时候出现一个专业的第三方公司帮助解决,可以起到事半功倍的效果。
【互联网平台新注册用户体验补贴案例】
某互联网平台为配合公司周年庆祝活动,对新注册用户进行体验补贴,该补贴可以购买理财产品。该活动自然被嗅觉灵敏的“黑产”制造者获悉,他们作弊步骤分三步:第一步,从上游卡商批量获取虚假卡号,每一个虚假卡号就是一部新手机;第二步,利用自动注册机批量注册,或者用软件伪造一台新的设备继续注册;第三步,领取补贴并购买理财产品,达到成功提现的目的。对于一般人来说,为了获取多一点补贴,至多在第一步动点心思,用自己的手机注册,再从其他的地方借手机,如,找自己的家人。对于“黑产”制造者来讲,有了新手机,并注册凯里一中,两点全部绕过正常限制,这个有商机的活动便被“黑产”制造者完全废掉。
一个细节在于,国内基本上手机号码已经变成了通用的ID,什么场景都可以用手机号码注册,邮箱已经退位到注册的次要地位。同盾科技有一个手机号码的画像,对其风险分析,除了“黑名单”之外,还会用手机号码去沉淀分享行为。也就是基于大数据建模,沉淀数据。比如,不仅知道某个手机号码是“黑产”制造者,甚至准确定位到它的拥有者到底是一个“黄牛”,还是一个“薅羊毛党”人士。当然,鉴于运营商会回收手机号码,当某个手机号码一直放在库里,过一段时间会被一个新的用户拿去使用,这样便会造成“误杀”,因此,同盾科技会采取持续“清洗”的策略。
在与某互联网平台合作中,同盾科技的方案棋高一着,也只需要三步便完成业务风控服务。首先,在客户端注册场景“埋点”,传入注册时手机、IP和注册时间等数据。比如,“黑产”制造者的手机不是正常的用户在使用,都是虚假号码,同盾科技可以在庞大的手机号库里面迅速做出甄别。同时,除了追踪设备之外文明礼仪黑板报,还能判断出当前的设备是否处在异常环境,是否安装了攻击软件或模块。其次,“云”平台端配置相关模型。在同盾科技风控“云”平台端,对于虚假号码、IP网络类型、设备风险和风险标签识别,以及异常行为、垃圾注册,一一配置了相关规则或模型,以便迅速做出判断。第三,同盾科技向客户返回注册行为风险得分,类别处置。于是,客户系统对于低于20分的注册用户,采取直接通过,享受申领补贴的待遇;向20-80分的注册用户弹出滑动验证码,继续验证身份真伪,这是处在模棱两可的中间地带,必须进入“人工审核”,用户接受二次校验,避免“误伤”真正的用户;而高于80分的注册用户,则直接拒绝。
同盾科技的综合防控里面,包括用户行为的逻辑,正常的用户在注册之后,先浏览,慢慢选,再下单,而不是一注册就完成那个特定项目的购买动作。“黑产”自动化之后,“黑产”制造者也会高效地做完正常用户的事情。但是,做假总有破绽,如“黑产”制造者的时间逻辑异常、IP归属地比较集中,这些都能帮助客户拒绝掉“黑产”制造者这类“伪用户”。
同盾科技风险防控效果显著。活动之前注册用户日均拒绝率为2%,而活动期间注册用户日均拒绝率在急升至35%的情况下,来电投诉率却维持在1%以下。这是因为,活动期间日均新增2000个虚假号码被同盾科技识别出来,尔后被这家互联网平台拒绝了。
【某理财平台优惠活动案例】
今年8月,某理财平台开展了一场优惠活动,“黑产”制造者闻讯准备“薅羊毛”。他们嚣张“下战书”,直接对理财平台讲,“干脆我们不薅你了,你直接把钱打给我钟绍图。”此举遭到理财平台的断然拒绝。后来,从同盾科技后台监测到“黑产”制造者连续三天攻击该理财平台,涉及4万个账户,金额约50万元。
当然,“黑产”制造者也是“有脾气”的。同盾科技帮助另一家客户成功实施了多次拦截,于是“黑产”制造者录制了一段视频发来,声称“你看我可以这样防止你的拦截”。但是阴霾娃娃,最终还是邪不压正。
【游戏平台充值案例】
今年9月初,同盾科技发现某游戏客户遭到“黑产”制造者的蓄意攻击,通过游戏平台不断充值,从而牟利。“黑产”制造者发起的攻击持续了两天,涉及账户近10万个,最终同盾科技帮助客户拦截金额近1亿元。
受访对象:同盾科技有限公司创始人、CEO蒋韬,周不疑联合创始人祝伟,联合创始人、技术副总裁张新波,副总裁黄晓如,反欺诈研究院丁杨,钟立群、袁伟斌对此文亦有贡献。