一文读懂反欺诈的四大关键环节、技术选择 _布谷新金融

清朝康熙年间，为了收复台湾，朝廷在福建地区大量招兵，凡是娶妻生子、有两个以上男丁的家庭，必须消化掉一个兵额，而为了应对朝廷的此项政策，有些地方官员捏造人员名册，骗取抚恤金并分得田地，当征兵报到时，以出海未归或兵民骚乱致死为由便可瞒天过海。这是一个典型的身份虚假和内外勾结的案件。

今天想跟大家简单聊聊两件事，一个是反欺诈我们要干些什么，另一个是选择什么技术。

首先跟大家分享一个真实的故事。One day，正在淘宝的我，突然发现屏幕的右下角出现了一个“低利率、高额度贷款”的banner广告栏，估计可能是我总浏览贷款类的平台和论坛的缘故，打开广告后，我惊呆了，这个网站非常的专业，产品介绍、企业文化等等应有尽有，但奇怪的是没有公司联系方式和合作伙伴的介绍，这不免让人起疑，转身看到这家公司的贷款利息简直是跳楼价，但服务费高的有点那个，又是一个疑点。

反正不急，我就用错误的信息连续填写了2次贷款申请，并进行了提交（目的是想看看对方会不会记录我的操作日志），大概过了3分钟，屏幕右下角又蹦出来一个对话框（不得不说这个公司对客户行为的分析还是有一套的），提示我加指定的QQ群可以享受优惠，但前提是要先提供我的电话号码（我估计肯定会有回拨，一是确认我不是模拟登陆，二是看看我是不是执法单位），OK,提供给你，接过来之后竟然是IVR（有点专业），确认了几项信息后过了大概5分钟，对方把QQ群号给了我。我随即注册了一个新QQ号（老QQ号可能被标记了），加进去之后的事情我就不多说啦。这有点像天下无贼，你拼命找他的时候他就在你身边。

一、业务那些事

第一件事，我们先说说反欺诈要干些什么，这里我们就从注册、登陆、贷款申请、贷后管理这几个环节说起。

（一）注册环节的反欺诈。

分两点：一是注册时用户身份虚假的风险。这里最具有代表性的就是虚假注册和恶意注册，所谓“虚假注册”的概念这两年有很大的变化，早年多被理解为那些用假姓名、假身份证号、假手机号进行注册的行为，但随着国家互联网信息办公室发布《移动互联网应用程序信息服务管理规定》，要求“app提供者对注册用户进行基于移动电话号码等真实身份信息认证”，很多APP都加入了身份认证的环节，这种低级的欺诈行为很少了。后来演变成买真的信息来注册（这里不提供买信息的渠道），这种行为不通过人脸识别等技术很难识破，但多数APP为了注册排名、客户转化率等，很少在注册环节加入人脸识别技术。而“恶意注册”的行为发生的倒不多见，多见于黑客攻击，如常见的DDOS攻击等等，这里就不多说了。

二是基于注册行为的异常分析。注册行为分析的重要性在于“注册行为”是客户在所有操作中的第一环节，也是填写信息较多、行为动作延续时间较长的一个环节，我们能获取的信息量也相应较大也较为及时。为了便于理解，举个例子：以抓取手机设备信息为例，如果在一台使用Android系统的手机上抓取不到MAC地址，这时候你就应该有所警觉了，一定程度上这可能是欺诈者的反爬取手段。再跟大家说一点，下载后的注册信息推送非常重要，原因就不言而喻了。

（二）登陆环节的反欺诈。

对于这个环节的欺诈风险防控，以“账户资金安全”考虑为例，在此我们做一个假设，对于掌握客户密码的人来说，也很有可能掌握了客户的银行卡信息。因此，在支用贷款资金时，应给借款人发送短信尽到提醒的业务。还要说的一点是基于登陆行为的分析。

这个很好解释，举个例子：1.客户在一段时间内在多地登陆可能是由于被讨债公司追讨，或者是黑产在网上售卖、发布的被盗号被异地多人购买；2.客户接到我们推送的贷款信息从来不点击登陆查看，而在沉睡后突然频繁登陆但不申请，可能是在养号并寻找贷款口子，以期待申请更高额度的贷款。

（三）贷款申请环节的反欺诈。

这里分5个方面。一是要验证申请人的真实身份，申请的人跟注册的人是不是一个人，申请的人和上次登陆的人是不是一个人，还有就是到底谁在申请；二是通过内外部的数据综合评估申请人的欺诈风险程度；三是针对申请过程中用户行为特征的分析，举例来说：在贷款申请提交后，系统又监测到申请人同时在其他贷款APP上提交了贷款申请信息；四是线下人员的风控能力；五是防范内外部联合欺诈风险，举例说明：从热力地图上看，销售人员的活动区域都是高档消费和中介聚集区，这个时候就该引起你的警惕了。

（四）贷后管理环节的反欺诈。

分两个方面说。一是对于循环类贷款而言，如两次支用间隔时间较长，在二次支用时应再对申请人的欺诈风险进行一次扫描和评估；二是对于非循环类贷款而言，在贷款支用后表现出的异常行为中发现风险隐患，举例说明：在贷款到账后客户很快删除了APP。

二、技术那些事

第二件事想跟大家聊聊反欺诈领域最常用的技术，有些技术你不做不可怕，不懂就很可怕。因为有的时候，欺诈风险管理最难解决的问题不是来自于业务层面，而是来自于技术层面。当我们感概自己的技术多么牛X的时候，一定要有敬畏之心，千万不要从先进成了先烈。下面挑两个最常见的技术说说：

（一）生物识别技术。

2017年的3.15晚会上，主持人用经过动态处理后的照片攻破了一款APP的人脸识别系统，随后使用观众照片也攻破了这款人脸识别系统。其实，人脸识别在身份核验的应用上主要是作为交叉验证增强安全性的，需要和其他验证手段交叉配合使用，单纯依靠人脸识别进行身份识别很可能会让你死在起跑线上。

今天，将照片剪辑成动态视频对“微表情活体识别”进行攻击成功了，然后我们用静默活体技术实现了在无需用户微表情配合的情况下进行活体识别，排除了照片攻击的威胁。

那明天呢？当然有人说，兵来将挡水来土掩，魔高一尺道高一丈，说的一点错都没有，3D模型、红外活体识别都可以应对类型不同的恶意攻击，并且已经能够量产应用。

而未来的身份验证方式也许并很可能朝着特征行为识别的方向发展，比如，根据客户的触屏力度、滑屏轨迹、步态、使用某一应用的频率等定位一个人的身份，这些特征会在无打扰的情况下进行采集，受到恶意攻击的可能性很低。当然这项技术在消费信贷领域，离实际量产应用还有一定的距离。

（二）设备指纹技术。

首先提出两个概念：“主动式设备指纹”和“被动式设备指纹”，平时，我们经常提到的“设备指纹”准确来说应该叫做“主动式设备指纹”，也就是通过在网站植入前端JS脚本或者移动端嵌入SDK来采集客户设备信息和设备所处环境的信息，包括了设备的MAC地址、IMEI、主板、显示屏、操作系统版本、NFC适配器信息、SIM标识信息、位置传感器信息。主动式设备指纹技术的开发、部署较为简单，大量的成功行业案例可以看到，但主动式设备指纹也存在一些明显的问题。

首先，存在侵犯用户隐私问题的争论，这也是为什么苹果官方已经限制SDK采集设备MAC等信息的原因。其次，主动式指纹不能实现App应用、手机web端、不同浏览器间的设备识别，这是由于嵌入Web页面的JS代码和APP中的SDK收集的设备特征不同，导致生成的设备指纹标识符也不相同,举例来说：有的是以网络Cookie中的用户名为标识，有的是以SDK采集的设备IMEI为标识，这样一来，主动式设备指纹技术就无法将同一用户在移动Web和App中的行为关联起来。

再次，主动式设备指纹所提取的行为特征均来自于客户端，欺诈者可以通过篡改工具轻易的篡改特征信息，如位置纂改器、一键新机等等。受制于主动式设备指纹表现出的问题，被动式设备指纹技术在金融领域被一些人提了出来。被动式设备指纹技术是通过提取设备的NOS、全协议栈、网络状态等相关特征，结合机器学习算法以标识和跟踪某一台设备，被动式设备指纹收集的都是公开信息，不存在上面主动式的问题，但技术门槛较高。

所以，不论是业务层面的反欺诈流程设计，还是技术方面的反欺诈技术应用，都涉及到一个问题，就是在什么样的空间、时间下来做这件事，只有把适当的技术应用到适当的流程，才会发挥出最好的效果。一切的前提是反欺诈人员要对欺诈风险有敏锐的嗅觉和精准定位，并且要时刻保持对欺诈风险的敬畏之心，这或许才是安身立命之本。

（个人观点，不当之处请批评指正）