关于银行和第三方支付风控那些事

2016-11-09 17:04:00 作者:唯品会安全应急响应中心 分类 : 比特网

  做风控这么长时间,接触了行业内形形色色的黑色产业链、违规违法案件,来自黑产、竞争对手的打击对一个互联网企业尤其是电商行业的副作用不言而喻,大家都苦不堪言。

  所谓风控,无外乎就是在一大堆看似正常的用户中将一小撮不正常的用户提出来,这当中就会有“求真取伪”的问题。风控包含的范围太广了,很幸运的做过电商行业基本所有的风控场景。

  这里想谈谈支付风控的那些事儿,毕竟这是一件痛苦并快乐的事情。

  一、来自背锅侠的序言

  做支付风控的人是世间最单纯的,恩,因为我们的对手每天捞到的收入说不定比我们一个月的工资还多,道魔互博,熟悉黑产链的我们面对着诱惑依然拿着微薄的收入。

  做支付风控的人也是最苦逼的,因为,我们是最好的背锅侠:老板要看止损收益,可是骗子迟迟不来;骗子突然来了一大波,然后又有规则被绕过了~~excuse me,求我们的心理阴影面积。

  虽然我们心惊胆战的面对着每一天的支付风控运营报告,但是作为维护互联网电商生态安全的侠客(背锅),我们站在用户感知不到的层面保护每一笔交易支付的安全,内心的成就感满满。(来自一个背锅侠的内心OS)

  二、 这是个最坏的时代,也是个最好的时代

  随着电商规模的不断发展,电商平台的GMV也呈现爆发式的增长。但是与之而来的是,日益猖獗的伪卡、盗卡交易在电商平台大肆横行。对于这种非面对面的高并发量的线上行为,产生损失的金额与概率远远会比线下交易高很多。

  虽然支付宝等第三方支付渠道采用了包赔的解决方案,但是其产生的高额交易手续费增加了平台的运营费用,一个天秤座的电商平台表示自己很纠结。对于一个风控零门槛的电商平台来说,每天几十万的资损都异常轻松。

  面对着这么坏的一个时代,一些好的现象也在发生,如一直被诟病的手机号码问题国家工信部正在推进解决,虽然这个进度也被人诟病;行业内外的数据共通机制也在由点及面的形成。

  越来越精细的设备指纹服务对于靠刷机、模拟器等作案的团伙是一个打击;芯片卡的推行、伪基站的打击、媒体的广泛传播,让盗号团伙愈发困难……

  一切都开始变得那么有情调~

  有一天,我突然在想,会不会有一天我就那么失业了?但是,我使劲的掐了掐大腿,提醒自己别做梦了。

  就目前互联网上的数据泄露情况与个人敏感信息的保存门槛之低,我们还是有存在的意义的。所以,我要继续开始做风控系统了~~

  三、支付风控三要素:数据、规则和人

  面对如此严峻的盗刷态势,市面上的第三方风控公司雨后春笋般起来,一般的模式有两种:云模式或者本地部署。

  当然也有很多公司选择自建风控系统,当然二者的优劣不言而喻,前者建设周期短、项目成功率高,但是系统昂贵,就我接触的系统x盾、x盛、x安来看,也更容易与公司的业务产生水土不服的情况,迭代更新协调的成本反而会更高。

  所以在公司有专门做风控的产品或者技术的前提下,选择自建的效果远远会比购买要好,七位数的系统购买费用够养活一个团队我们这些单纯的背锅侠了,我们很容易养活的~

  但是无论是外部购买系统还是内部自建系统,做支付风控的三要素无外乎是数据、规则和人。

  3.1 风控系统:宝宝饿了,快给我喂数据

  数据自不用言明。数据的使用也是采购外部风控系统最大的痛点之一:如果是云模式,电商平台需要担心敏感信息外露的情况。

  如银行卡号、身份证号;如果是本地部署,对于这些标准化的系统产品而言,他们的数据接收方式也许不能适应公司自身的数据结构,这其中的改造成本也是非常巨大的。当然这些问题也是我遇到过的~

  对于支付风控而言,需要喂给风控系统的数据包括该笔实时交易数据以及历史数据,当然对于历史数据的采集,为了保证系统实时性,一般都需要根据规则采用预处理的模式。

  对于数据的种类、来源、存储等,各大电商平台因为自身业务特点可能大相径庭,但是不管采集过程如何,在支付风控系统内部,规则引擎至少要包括如下种类的数据。涉及保密,具体字段暂不详表

  对于特定的支付业务场景,比如话费充值等,还有专门特定的数据需求,此处暂不赘述

  3.2 喂了数据之后我要消化呀——规则

  不言而喻,往风控系统输入大规模的数据之后,系统需要对这些数据做一个反馈,是欺诈或者高危或者正常,对外界而言,风控系统只是一个黑盒,而在这个风控系统内部,是非常复杂的规则逻辑。这里的规则专门用来消化数据使用的。

  支付将支付环节的数据推送到风控系统,与此同时,系统内部抓取该用户、该订单、该银行卡、该手机号等维度下的所有信息,跑大批的风控规则,进而输出结果,这样的逻辑很简单。

  但是真正在运营过程中才会发现一套规则体系的不易。

  规则是在道魔相抗衡的过程中逐渐形成的,这也就是说每一条规则都是血淋淋的欺诈案例积累出来的。

  而一套规则体系的诞生往往伴随的是规则有效性的评估,这里也是需要长期的经验积累的。比如一条新增规则是否能够在尽可能少的误杀情况下抓住最多的案例,这是一个策略制定者最头疼的问题。

  3.3 规则的边际有效性递减

  当然,这里的较为有效只是相对的,规则的总体有效率说出来可能会让大家震惊。因为随着欺诈水平的越来越高,欺诈团伙也开始通过诸多手段途径尝试绕过电商平台的风控引擎,因此这些欺诈行为也越来越跟正常人的行为一样。

  我们想在如海一般的数据里捞出我们需要的数据并且根据蛛丝马迹来找寻可疑订单是非常不易的,这也是为什么风控做到最后规则有效性会越来越低的原因。

  经济学上对这种现象有一种较为合理的解释,边际有效性递减:即随着风控系统的不断深入,想多抓住一条新的欺诈订单就需要抓住更多的正常订单才可以。

  一套规则体系行之有效的规则准确率可能只有个位数的百分点。以发展多年的美国银行的信用卡反欺诈规则体系为例,其规则的有效性人工核查之后不到三十分之一。

  而一般来说,甚至有的规则有效性会更低,但是这样的规则还是要放在规则体系内的,因为这条规则以前发生过未拦截到的欺诈案例。

  对于这种有效性不断递减的反欺诈规则,仅仅依靠系统直接拒绝已然不能满足繁复的业务需求,因为正常订单被误判后的客户体验太差了。

  因此为了解决这种问题,交易中的人工监控需要被引进来,即人工来判断该笔订单是否有欺诈,如果有则拒绝支付,如果没有则支付成功。

  这里需要根据事前支付与事后支付的特点,及公司的业务特征,来构建合理的系统交互流程,以及更重要的人工运营流程。

  关于系统交互流程及人工运营流程又是一个非常庞大的话题,值得再开一篇。

  进一步的,在支付中如果想降低运营负担,提升客户支付体验的话,那么在客人跳转收银台的时候如果能够提前预知风险,那么在收银台渲染的过程中则将高危渠道关闭,那么这不失为一个好的选择,目前业内已经有多家公司有这样的措施。

  当然还有一些其他的优化措施,这些优化的方向需要再开一篇描述更详细的文档、辅助以流程图说明等。

  3.4 刀剑出鞘,侠客所指——人

  如果简单点说把数据+规则+计算引擎=风控系统的话,其实这也仅仅是一把武器而已,但是这对于一个公司的互联网风控体系而言则远远不够,体系=体制+系统,那么能把这把刀剑用好的最大的因素来源于人,来源于风控人员及更多交互部门运营人员的配合机制。

  其实对于运营机制,很多互联网企业对此并不是特别在意,尤其是没有配备风控专业岗位人员的公司,认为只要购买了一套成熟的系统之后则一劳永逸,但是事实上,缺了人和体制的作用,那么这把刀剑也是一把未开锋的剑。

  具体而言,在一个公司的风控体系中,需要涉及到的“人”主要包括以下:

  (1)打刀剑的“打铁匠”们

  所谓打铁匠,则不言而喻,指的就是风控系统的产品和开发团队,他们是打造整个风控系统最为核心的环节,将业务的需求转化为系统的实现过程。

  对于支付的欺诈案件,需要作出的防范规则是多样性的,这需要铁匠们能够实现各种各样的规则。需要以开发的语言准确表达风控运营对于欺诈案件的描述,这是一个需要经验积累的过程。

  (2)用刀剑的“侠客”们

  整个支付风控系统最不可或缺的就是风控的运营们,利用风控系统能够准确识别盗刷欺诈案件;根据盗刷欺诈案件不断反哺规则体系和系统功能迭代。

  当然,在系统之外,还有更多运营层面的东西,如对支付的渠道的CB问题、公司内部的交互体系,这些都是整个风控体系的核心。

  (3)侠客们的酒肉朋友

  风控的运营想要发挥作用,光光依靠自身的力量是不足的,所以他们还有属于他们的酒肉朋友。在公司外部,有诸多的同行,及时分享新型支付欺诈案件特征,共享欺诈案件数据,学习欺诈案件的防控心得,这些都需要这些酒肉朋友的支撑。

  对内,财务、业务部门、客服部门、市场地推人员都是支付风控的小伙伴们,没有他们的支撑很难做到及时的止损,风控的作用就难以发挥出来。

  四、总结

  如以上分析,想要做好支付风控,以上三要素不可或缺。当然,在这过程中,还有诸多细枝末节的东西需要去把控。

  如对欺诈案件敏锐的嗅觉、支付欺诈案件清晰的追溯逻辑等等,这些都是需要真正做过风控的人才能够有经验去掌控的,所以也许外行人看起来很简单。

  但是其实在这每个模块的跟进中,想要去不断完善只能去不断的做好迭代,运营在这其中的作用不可或缺,风控一定是以业务为导向的,运营体系的扩充与完善需要很大的篇幅去描述,而决定风控发展方向的一定是一个懂业务的产品经理或者技术经理。

  总之,支付风控对于电商企业而言是整个风控体系中最重要的一环,做好支付风控对于其他环节的风控手段总是大有裨益的。

  因为支付风控的运营体系、规则体系在整个风控环节中都是最困难的,做好支付风控再去做反作弊、反恶意等其他模块都会非常容易。

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。