黑產生態鏈及4大金融場景反欺詐策略分享

3 評論 14346 瀏覽 65 收藏 36 分鐘

本文的分享有分3大塊,第1塊的話是黑產生態鏈,第2塊是傳統反欺詐通用策略,第3塊是網絡信貸、信用卡、車險理賠、電商分期4大場景的傳統反欺詐方案。

黑產生態鏈

現在整個欺詐團伙,其實這里有3萬的詐騙團伙,200多萬的從業者,然后已經造成了61億的數據泄露,還有差不多4千億的經濟的損失,整個黑產的規模已經達到上千億了。假設每個從業者服務過了十個借貸的用戶,欺詐用戶群可能就達到2000萬。

(公開信息整理,大數據獵人 制圖)

金融機構歷年的歷史統計,欺詐群體在整個不同產品線上分布的情況,在線上現金貸的欺詐命中比例是最高的。

這個命中百分比的意思是,如果是有100個人去申請的話,它可能里面有20個人或者10個人有欺詐行為的,它整體的欺詐占比非常高的。而信用卡汽車金融消費分期這些都相對是有場景的,它整個對風控的一個把控流程,相對來說比現金貸這些沒場景是更高一點。然后看一下年齡的話,主要是25到40歲,這2個階段的欺詐占比相對來說更高。

然后我們可以看一下整個黑產業的一個鏈條,它包括了工具及平臺,包括卡源卡商、貓池廠商、號商、解碼平臺、打碼平臺等,還有數據泄露方式及交易平臺,一般常見的都是黑戶拖庫撞庫,還有一些內部人員的盜庫。

(公開信息整理,大數據獵人制圖)

還有一些從微博微信,支付寶或者是網絡的一些論壇公開信息的關聯扒取,黑客拿來作為一個補充。還有一些欺詐鏈接,通過短信、QQ群、微信等,用戶都有可能點進去之后都是一個詐騙的一個網站。而數據泄露交易的平臺主要是存在地下黑市,還有我們現在常說的一個暗網。

數據的使用方,包括了非法營銷的一些導流平臺,詐騙團伙及一些金融機構內部的一些考核方部門的人,這些人是背著KPI的,他們可能會跟外部的那些欺詐團伙有一定的合作。

常見的黑產其實除了電信欺詐,羊毛黨、信貸欺詐和盜號盜刷,這三大塊的話是金融業內公認的欺詐發生概率相對較高的,而且影響是最大的三大板塊。按照上中下游去分,每個版塊的流程不太一樣,像羊毛黨主要是圍繞號碼去針對注冊環節的黑產,上游包括了一些黑代理商、虛擬運營商、物聯網卡的一些代理商。

黑代理商是什么意思?指有些運營商的代理商,他們把手中的一些卡,都是非實名的,我們其實都能買到,他們就把這些卡是拿去給到那些欺詐團伙去薅羊毛。

中游是包括輔助黑產實現手機號群發接收驗證碼,破解不同網站的一個登陸驗證碼的打碼平臺,模擬用戶登陸操作的群控平臺。

黑產的目標是如何確定的?主要通過俗稱的網賺平臺發布導流任務或者成功薅羊毛的團隊分享攻略。通過拿到各平臺的優惠券,折價賣出去實現變現。如果是稀缺產品,則會增加價格賣出去。

信貸欺詐板塊主要的一個要素是用戶四要素,包括姓名身份證銀行卡及手機卡。一般是通過黑客從別的地方拿回來,或者是去一些偏遠山區低價收購。

例如我們之前在網絡看到的深圳三和的無業游民,這些人的身份證信息會被低價收購,然后通過一些線上的包裝,找到那些風控相對更加弱點的貸款機構,俗稱貸款口子,去騙貸。

(公開信息整理,大數據獵人制圖)

信貸欺詐的主要方式

有偽冒的申請,偽冒申請主要是指個人拿了別人的信息,或指朋友的、家里人的信息申請,有些平臺審核不嚴謹一點,它就直接通過了,所以才有了活體識別的應用。惡意申請主要指拿自己真實的個人信息去申請,但申請成功就不準備還了,抱著憑本事貸的錢不用還的心態。

團伙欺詐就是一堆不法分子拿了一堆用戶信息進行騙貸。

盜號盜刷主要集中在借記卡,信用卡及金融賬戶環節。主要通過拿到的銀行卡信息通過多個目標平臺撞庫獲取金融賬戶權限,實現盜刷?;蛘叨ㄏ虬l送木馬鏈接,欺詐用戶點擊獲取交易密碼等,實現盜刷。

而剛才說到我們金融欺詐那一塊,我們這邊把它分為六大高發環節,包括我們前端的一個營銷注冊要抵御羊毛黨批量攻擊,或者是一些自動化垃圾注冊。賬戶登錄,要預防我們的賬號密碼被破解了。貸款申請的行為又防止一些個人的用戶信息被人盜用,或者是被一些團伙欺詐過來申請。

接下來是信貸欺詐發生比較多的的五大行為:

(大數據獵人制圖)

  • 虛假聯系人,像我們填寫那什么,夫妻朋友同事可能前面都是假的一些手機號。
  • 虛假信息,主要是指他的工作單位、學歷信息、資質信息、證書信息等都是假的,還有居住地址都可能是假的。
  • 資產資料造假,一般是發生在那些抵押貸款場景,需要一些車房產類的一些資產證明。冒充他人申請及團伙欺詐上面有說過,這里就不重復了。

……

通過統計,虛假聯系人和虛假信息這兩塊在整個欺詐行為過程中發生的概率比較大,起碼占90%以上。

黑卡怎么獲取用戶的信息

接下里,我們看一下黑卡怎么獲取用戶的信息,整個流程其實有三塊——拖庫、撞庫及洗庫,整體目標就是為了獲取一個完整的數據庫。

(大數據獵人制圖)

拖庫是什么意思?

指的就是黑客通過這些泄露的賬號密碼、后臺的一些漏洞,還有些用弱密碼及權限漏洞等,突破之后,拿到一些基礎的用戶信息,包括姓名身份證銀行卡、手機號,還有一些年齡性別等,甚至還有用戶的一些消費信息、酒店信息什么的,主要看泄露平臺數據庫的字段情況。

然后針對一些只有個人身份信息的,要需要撞庫去獲取更多信息。比如他拿數據去電商平臺,可以賬戶拿到一些用戶的電商消費記錄,還有一些收貨地址;去理財平臺,可以拿到用戶在投理財平臺中的一些投資的一些金額;去借貸一些平臺,可以拿到用戶的借貸及還款情況等,把整個數據庫給完善起來,最后進行洗庫,就是變現,通過導流營銷或做欺詐,洗庫過程獲得的一些額外的信息會重新完善用戶數據庫。

黑產會批量偽造“真實”用戶行為,身份證信息通過拿到的數據庫中包含的身份證號信息或者外面收購的身份證件。手機卡號通過手機黑卡渠道,例如物聯網卡、海外卡、虛擬卡號等,可以收取手機驗證碼的即可,甚至有些是黑客通過已有的用戶身份信息去偽冒申請一個新的號碼使用。

銀行卡的話主要關注虛擬卡,現在比較聽得多的可能是二三類賬戶,但虛擬卡跟二三類賬戶有些區別。虛擬卡的話,它其實是直接個人網上申請就行,它有點像信用卡的主副卡,用的都是一張主卡的金額。 黑產們通過這種虛擬卡可以去到那些金融公司,通過銀行卡實名綁卡環節。

(大數據獵人制圖)

黑產工具與平臺

改機工具

設備信息主要依靠改機工具,包括安卓,IOS這些手機的一些基本信息的修改,包括手機型號,IMEI、IMSI.MAC地址及GPS位置等。通過修改設備的信息防止被目標機構平臺能夠識別出來,因為這個設備可能已經在這個平臺是黑名單了。

模擬工具包括接碼、打碼平臺模擬真實手機號收驗證碼及登錄驗證碼破解。通過模擬工具去模擬個人的使用行為,為什么要模擬呢?

金融機構公司知道每個用戶的設備里面下載多少APP,下載多少個借貸、賭博APP等。所以欺詐團伙需要修改用戶的使用軌跡或把這些不良使用記錄及內存全刪除了。然后模擬正常的一個使用行為,一般正常的一個用戶使用手機,他可能早上7點起床可能先刷一下微信,然后去了公司它可能要打開滴滴打卡,然后中午要打開餓了么點外賣,,然后到下班的時候要打卡,它整個模擬個人的流程才能顯示這手機是一個真實良好的用戶在使用的。

現在的互聯網機構沒有做設備監控的,就很容易被黑廠去攻破。

我們這邊簡單看一下改進工具的功能頁面,剛才也說到,有些黑產的設備在金融機構已經進入黑名單,如果你再用一樣的手機設備去申請的話,基本上是不能通過風控的。但是如果自己重新買一臺手機成本太高了,他們直接就拿這種改機的一些工具把這些設備信息刪除修改,修改完之后變成一個新的設備,然后再去申請的話,這樣通過率就可能高點。

(來源網絡)

接碼打碼集合平臺

這個是接碼打碼的一個集合平臺。我們平時登錄網站,下面有一些文字、圖片驗證碼,為了防止一些機器行為。打碼平臺就是為了實現機器批量破解注冊驗證碼。簡單的驗證碼可以直接通過機器識別破解驗證碼,有些比較復雜的,他們就會請一些無業游民或一些比較閑的阿姨,他們在電腦前就看到打碼平臺發過來的一些任務,人工打碼。

(來源網絡)

貓池,就是控制批量手機卡收發信號的設備。

(來源網絡)

群控,一個電腦可以控制幾百臺上千臺的手機,及每臺手機的不同的使用下載、卸載、登錄、瀏覽等行為。

(來源網絡)

上文提到的模擬個人手機行為的,有個工具叫做模擬精靈,在不同的時間段,它可以設置在手機上是點擊哪個程序,點擊程序在里面待多久,去模擬整個人的一個狀態。

(來源網絡)

除了個人的設備行為數據,黑產還可以幫客戶實現更多的數據整容。例如你的在職情況,居住情況、資質情況、消費水平及關聯人情況等。

(大數據獵人制圖)

淘寶之前有代接公司電話,偽造在這個公司就職的假象。收入證明,他們會幫你用私刻印章偽造。居住情況,我們之前見的比較多的是去一些小區里的郵箱拿別人的水電費就冒充在那住。

(來源網絡)

消費水平,一般通過銀行流水體現,一個是信用卡流水,看消費能力及負債情況。本來有3萬的額度里面經常用剩2000或者一百,他們就嚴重覺得你這個人的消費能力是不是過高,如果和工作不匹配就可能有問題。然后信用卡的消費項目可以通過POS機偽造常消費商戶類型,顯示個人的消費偏好及興趣等。一個是銀行卡流水,可以通過代刷流水和代付工資處理。

(來源網絡)

關聯人的情況,金融風控用到了一個運營商的授權,也是為了獲取客戶通訊錄聯系人的真實性。如果是他們沒有通過運營商的一個授權去獲取的話,只能通過app的授權去把手機的通訊錄拿到。因為黑產會把催收電話刪除,增加一些優質的一些重復的號碼,一些官方服務的號碼,例如10086等。前綴號相似的號段,大多是些集團號,黑產增加這個號碼是為了營造一種他在集團這邊工作的一個狀態。

金融機構反欺詐通用的規則策略

以下是整個金融行業信貸反欺詐通用策略集合:

(大數據獵人制圖)

有些注冊環節只需要手機號即可,這時身份驗證是不需要用到此環節,這個環節的重點是識別手機號是否為風險號碼,例如虛擬號,被關注的欺詐號碼集合,海外號等。這些大多可以根據號碼前綴即可分辨。

注冊過程的用戶填寫的昵稱信息、出生日期信息、性別、郵箱、工作和居住地址、公司電話等,都可以通過關聯分析找出異常情況,例如以上信息某部分群體填寫時存在一定的規律或相似度,則這部分群體可能是一個團隊的行為。

用戶真實身份信息實名驗證環節,一個是對用戶身份要素的真實性驗證,屬于靜態信息驗證,它包括了身份證要素2要素、銀行卡3/4要素及手機號3要素驗證,要素驗證類型的選擇是根據商戶場景設置需要的身份確權決定的,像實名制用的較多的是身份證要素驗證,綁卡和交易環節用的是銀行卡要素驗證,需要確認手機號是否本人的則使用運營商手機號要素驗證。

另一個是用戶的動態驗證或者說真實性驗證,通過活體識別功能確認用戶本人使用,然后疊加人像比對接口,將用戶的身份證信息及身份證的照片與活體識別采集到的用戶頭像信息交叉與公安系統的個人信息對比確認真實意愿。

以上的一些數據大多是無感知的調用即可獲取,但有些是需要用戶有感知的授權才能獲取的,這些接口往往也更具真實及參考價值。例如學歷信息、運營商通話記錄、社交信息、社保公積金信息、信用卡還款信息及人行征信數據等。

學歷信息是有些針對22歲以下群體,需要知道哪些是非在校生,針對這些人群進行信貸營銷,也是為了避免踩紅線。

運營商通話記錄授權獲取比APP授權爬取手機的通訊錄相對更真實,真實通話記錄的造假成本和時間成本不是一般人可以接受的。

除了第三方提供的成熟的數據接口,其實還有很多商戶自身產品載體與用戶交互產生的數據可以利用。例如用戶設備信息和用戶在借貸頁面交互的行為數據。

設備信息的獲取只要是入口在APP的商戶一般都可以獲取,如無APP則可以通過覆蓋用戶設備的第三方的接口獲取即可。這些主要是看某要素的交叉關聯情況,從而發現團伙欺詐的行為。

例如關注設備本身記錄的手機品牌、手機型號、操作系統、IMEI、MAC、ID及分辨率等維度是否在商戶歷史用戶信息中已存在一個或多個維度,且這些一個或多個維度是與另外一個或多個用戶有關聯的。設備所用的聯網IP或所在的GPS位置,可以通過一樣的方式找出異常。

交互過程的行為數據,往往在團伙作案中也會有一定的規律,例如注冊申請時間分布,注冊過程的時間長度,輸入信息的市場長度,各個頁面停留及退出的時間等等,都有可能有相似的規律。

針對一些需要知道用戶的手機號碼相關更深入信息的場景,例如貸前審核需要知道的通訊錄信息來判斷用戶有無異常通訊行為、在網時長來判斷號碼是否新開的,號碼狀態判斷手機號是否在申請貸款過程中有關機、注銷等異常行為。還有一些機構會通過用戶手機號長期的流量使用情況及話費情況,側面判斷用戶的資質。

以下分享4個金融場景欺詐參與方、主要欺詐行為及相關傳統反欺詐策略。

4大金融場景傳統反欺詐策略

網絡借貸

網絡借貸欺詐參與方主要有個人、團伙和中介,主要欺詐行為包括虛假聯系人、虛假信息、資產類資料造假、冒充他人申請及團伙欺詐。

(大數據獵人制圖)

針對冒充他人申請:大多數機構都是通過銀行卡4要素接口+活體識別判斷是否本人操作;少部分沒使用活體識別的,會通過在網時長和在網狀態判斷用戶手機號是否本人實名或使用,側面判斷用戶真實意愿,雖然這個不是非常準確。

(大數據獵人制圖)

針對虛假信息:通過身份證、運營商及銀行卡接口核驗要素信息真實性;通過學信網授權信息(或鐵路信息接口)判斷用戶學歷信息真實性,鐵路接口有個字段是記錄了學生票信息,可以拿來識別部分用戶的學歷情況;通過社保局授權信息核對用戶社保繳費情況及在職時間、收入等信息;通過位置核驗接口,核驗用戶常住地址是否與填寫的地址一致,及居住地址側面反應的用戶收入情況。

針對資產類資料虛假:通過車輛信息核驗接口核驗用戶是否真實擁有此輛車。

針對虛假聯系人:運營商核驗要素信息真實性;通過在網時長和在網狀態識別聯系人異常情況;通過城市核驗及APP位置信息交叉驗證申請人位置是否異常;通過獲取通話詳單,通過通話時長,主被撥打頻次等交叉驗證聯系人是否真實;結合后臺讀取的用戶授權的設備信息,交叉驗證通訊錄真實性。

針對團伙欺詐:通過在網時長和在網狀態批量識別手機號異常情況;白名單規則識別,利用鐵路出行活躍名單識別正常出行行為的用戶;黑名單規則識別利用借貸多頭名單、行業不良名單、公檢法名單等排除高風險用戶;關聯規則搭建,關注同一時間申請用戶地區高度集中的、屬于高風險地區、有相同聯系人的、申請公司或公司地址相近的、設備號IP地址一致的客戶群體、手機號綁定多個身份證或身份證綁定多個手機號的等。

信用卡

信用卡欺詐,它跟網絡借貸不太一樣,參與方包括個人、團伙和商戶。欺詐行為有冒充他人申請、失卡冒用、惡意透支、偽造信用卡、商戶欺詐。

(大數據獵人制圖)

針對冒充他人申請:

銀行卡4要素接口+活體識別是否本人操作;運營商3要素核驗手機號是否用戶本人持有;通過在網時長和在網狀態識別手機號異常情況。

(大數據獵人制圖)

針對失卡冒用:

針對發卡途中丟失被截取,可在激活過程中必須要求申請時綁定手機號才可以線上激活,或要求本人線下激活。

線上激活可以采用手機驗證碼+活體識別功能判斷是否本人操作;針對用戶丟失或被盜情況,信用卡中心應該做好非常規行為預警,例如消費金額大于平常消費金額,消費類型非日常類型,消費商戶地址非常出沒地區等,電話確認異常情況或要求用戶在APP端活體識別解除異常狀態。

針對惡意透支:

通過設置消費規則集,識別用戶刷卡異常行為,及時制止。刷卡金額大、刷卡商戶類型突變、商戶類型為套現商戶集、刷卡商戶有風險、刷卡位置非常駐地、刷卡時間非常規時間、刷卡頻次突然增高等。

針對偽造信用卡:

通過城市位置核驗,監控偽造卡刷卡位置與真實卡主的位置,判斷是否偽卡;通過發現刷卡異常行為判斷;通過原卡用戶最近刷卡位置與偽造卡刷卡位置比對判斷。

針對商戶欺詐:

通過企業信息識別異常商戶行為;通過套現用戶反查商戶是否為套現商戶;設置商戶類型行業指數,監控商戶流水異常情況;輿情監控商戶欺詐信息

電商分期

電商分期欺詐參與方包括:商家、競爭對手、消費者。主要欺詐行為有惡意引導及商家套現。

(大數據獵人制圖)

惡意引導的話主要是競爭對手,引導一些黑產團伙去攻破對手的的情況。

(大數據獵人制圖)

主要針對以下幾個環節進行反欺詐:

  • 用戶進入頁面方式:判斷用戶是從外鏈直接進入或是從官網進入產品頁,如商戶無產品推廣,此時產品瀏覽及訂單量激增則有異常。
  • 用戶瀏覽環節:通過每個頁面的瀏覽時間,點擊跳轉行為,挖掘用戶意向真實性。
  • 用戶注冊環節:注冊過程通過身份核驗用戶身份信息及手機號真實性;注冊用戶是否命中黑名單;注冊用戶群是否有關聯情況;注冊用戶資料填寫規律、時間及修改行為等判斷異常。
  • 用戶下單付款環節:通過銀行卡核驗綁卡準確性;通過運營商接口判斷手機號在網狀態和時長;關聯性分析-收貨地址關聯性、收貨電話關聯性、購買物品類型關聯性。
  • 商家套現是有一些不良目的商家入駐平臺,他們可能有一堆存貨賣不出去,他們入駐到電商平臺之后,要借助電商平臺提供的分期業務,把他們的那些存量商品快速套現。

主要通過以下幾個方式進行反欺詐:

  • 注冊用戶關聯分析:根據用戶的點擊、瀏覽、注冊、下單、咨詢行為判斷用戶是否為虛假用戶。
  • 產品價格虛高:同品牌產品價格比平臺同類價格高,有可能有套現預謀行為。
  • 銷售額異常:同類產品一個周期內,比平臺其他大多同類型店鋪銷售量都大,需要關注消費量激增異常情況原因。
  • 客服交流異常:銷售量激增,客服交流卻很少,或者用戶與客服交流的話術樣本差不多,需關注此類異常。
  • 收貨確認異常:發貨后,用戶收貨確認時間比較集中,收貨地址也出現集中性,需要關注此類異常。

車險理賠

車險理賠欺詐參與方,包括修理廠司機,保險的一些從業人員,還有鑒定機構醫院等,主要是在查勘環節、核損環節及定損環節去做反欺詐。

(大數據獵人制圖)

查勘環節常見欺詐類型:保單起止10天內出現、夜間出險、車輛多次出險、老舊車型。

(大數據獵人制圖)

針對保單起止10天內出現:通過全國車輛首次上線日期查驗,獲取最新承保日期,結合保險公司內部的承保日期,關注兩者承保日期不一致的情況;對于保單起期與保險起止日期小于10天的,列入反欺詐關注名單。

針對夜間出險:關注晚上10點,早上6點間的小額單方事故及雙方事故,特別是出險地點相對偏僻且無攝像頭地段。

針對車輛多次出險:設置規則,針對注銷、撤案、拒賠等非正常案件報案次數大于3次的列入重點關注

針對老舊車型:通過全國車輛首次上線日期查驗,獲取車輛初登日期,判斷是否為車齡8年以上的老舊車型

核損環節常見欺詐類型:無年檢、信息不真實。

針對無年檢:通過車輛年檢接口查詢是否有正常年檢。

針對信息不真實:通過車輛4要素核驗,車人證件是否一致準確。

定損環節常見欺詐類型:工時異常、維修方式和邏輯異常、車輛信息異常、配件欺詐、配置欺詐。

針對工時異常:自建維修工時庫及價格庫,識別工時單價或時長超出正常值的情況。

針對維修方式和邏輯異常:通過車輛配件核驗接口,確認配件信息,防止維修過程出險更換低價配件替換原配件的情況。

針對車輛信息異常:通過車輛配置接口獲取配置信息,防止車輛更改車牌號及VIN碼等騙保。

針對配件欺詐:通過車輛配件接口獲取配置信息,全國車輛首次上線日期查詢車輛初登日期,判斷配件損耗情況,防止出現配件用量過多,未進行殘值處理或定損輔料與主配件不符合等。

針對配置欺詐:通過車輛配置接口獲取配置信息,防止替換配置低于原始車輛情況,出現差價騙保。

最后

黑產的欺詐手段是與互金信貸系列產品風控規則的不斷優化而迭代的。反欺詐的手段簡單分類其實只有2種:一是技術反欺詐手段,例如設備指紋、活體識別等;二是數據類接口:各種核驗接口,借貸數據、消費信息等。

黑產的欺詐手段選擇也是有針對性選擇的,而這個選擇,其實都有一個共性,成本低及簡單可控。

成本低是指,刷流水和消費記錄什么的,成本都不高。

簡單可控是指,掛靠公司,調整欺詐策略什么的都是可控的,且在一定時空范圍就可以實現。例如活體識別破解,只要知道活體識別的識別方式,在一臺電腦上逆向破解即可,而這個破解如果是針對大廠的產品,其邊際成本也會隨之降低,例如刷流水什么的,一臺POS機則可以實現全國各種商戶類型的消費記錄。

技術反欺詐手段的短板其實很明顯,只要內部技術被破解泄露了,黑產只要就可以找到漏洞破解,或者按照特定規則作假信息,例如改機工具這些。

而數據類接口的短板是,現各機構主要策略使用的借貸數據及不良名單的有效性越來越不理想,主要原因是中間摻雜了很多白名單及灰名單,干擾太大。不良名單大多是公開的,黑產只要收購些山區人民的身份信息材料即可,這些人肯定不在不良名單,但卻不是真實意愿的的用戶群。

因此獵人更關注的是創新技術在反欺詐的應用及高成本作假的數據接口有哪些。下期會分享鐵路出行相關的風控應用邏輯,同時歡迎業內人士交流相關經驗。

#專欄作家#

大數據獵人,微信公眾號:大數據獵人,人人都是產品經理專欄作家。多年金融科技行業相關戰略研究、行業分析、商業模式及產品體系研究經驗,擅長政府數據+企業數據+公開數據多源數據融合流通交易及應用

本文原創發布于人人都是產品經理。未經許可,禁止轉載。

題圖來自 Unsplash,基于 CC0 協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 干貨滿滿,感謝分享,可惜圖片好多看不清

    來自廣東 回復
  2. 軟路由確實能解決IP問題,,現在也有一部分使用物聯網卡,更能從根本上解決問題

    來自上海 回復
  3. 6666666666666給力

    來自上海 回復