干貨貼:互聯網金融風控基礎知識(一)

6 評論 49995 瀏覽 434 收藏 14 分鐘

這可能是寫給產品經理關于風控最全的基礎干貨了。前一陣寫了一篇關于互聯網金融支付基礎知識的文章,受到了很多人點贊與收藏,今天繼續介紹互金風控的基礎知識。作為一個互金的產品經理,本文能幫助你更好的熟悉互金平臺的各種風控需求,你甚至拿來就可以用。同時,作為運營、技術和風控,它能幫你站在各自角度更好的理解風控。文章提到的各種方案并不是一定非得實施,但了解這些能讓產品人員知道哪些地方需要進行風控,且牢固樹立風控意識,做到處變不驚。

1 風控的定義

首先了解兩個概念:風險管理和風險控制。

風險管理:是指如何在項目或者企業在一定的風險的環境里,把風險減至最低的管理過程。它的基本程序包括風險識別、風險估測、風險評價、風險控制和風險管理效果評價等環節。

風險控制:是指風險管理者采取各種措施和方法,消滅或減少風險事件發生的各種可能性,或者減少風險事件發生時造成的損失。所以其實風險控制是風險管理中的一個環節。風控是風險控制的簡稱。

(風險管理流程)

在互金行業,風控的內涵非常寬廣,包含了對所有可能風險事件的控制,涉及人員操作風險、業務操作風險、技術操作風險和外部事件帶來的風險。本文所闡述的風控并不是把所有風險相關的知識都囊括其中,比如指定公司內部各種規范以防范風險事件發生。本文側重業務上和技術上風險控制討論。

2 風控應用場景

廢話少說,那么風控在什么地方能用到呢?按照其定義,風控被運用到互金的各個地方,主要包括信貸中的個人信貸與小微企業信貸、投資過程中的風險控制、平臺資金安全、平臺技術安全、用戶資金安全、用戶賬戶安全、推廣運營活動等環節。通俗來說,風控用于還款能力、還款意愿的判斷,反欺詐反作弊反薅羊毛,防止外部對內部系統的攻擊,防范平臺和用戶的資金出現問題等等。

從行業維度來看,風控運用于互金行業中的消費金融、供應鏈金融、信用借貸、理財平臺、P2P、大數據征信、第三方支付(第四方聚合支付)等各細分領域,同時還可用于電商、游戲、社交等“傳統”互聯網公司。甚至可以說,任何互聯網公司都需要風控。

(風控應用場景)

當然,互金行業的風控不只是一上來就各種數據,各種算法建模,各種風險評估。實際上,用戶的賬戶、投資支付等環節往往存在著各種風險,了解這部分也非常重要。本文是互聯網金融風控基礎知識的第一篇,主要闡述用戶賬戶安全、投資支付安全以及推廣運營種的風險控制。

3 用戶賬戶安全

較于互聯網其他行業,互聯網金融產品的賬號與資金安全顯得尤為重要。若用戶遭受經濟損失,則平臺的利益與口碑可能雙輸。基于此,互聯網金融產品(無論是移動端還是Web端),均采取各種措施來保護用戶帳號資金安全。對于互金平臺,用戶體驗和安全永遠是魚和熊掌,在保證安全的前提下提高用戶體驗。在產品設計與后臺開發的時候,應事前預計各種情況并給出解決產品層面和技術層面的方案。

用戶賬戶安全涉及到木馬植入,暴力破解密碼,拖庫撞庫、虛假注冊、短信轟炸、手機丟失等行為。在注冊登錄驗證碼發送等場景下均可能出現各種問題。

3.1?? 注冊行為

  • 建立注冊手機號黑名單。在注冊時就進行控制。此處可采用第三方風控平臺建立的號碼黑名單。
  • 實名認證。通過直接實名認證或者銀行卡綁定完成注冊后的實名認證,增加平臺對用戶的了解。當然,按照監管要求,所有投資借貸支付均需實名認證。

3.2 短信驗證碼

互金平臺可能遇到的情況包括垃圾注冊,調用短信接口進行轟炸,干擾了正常的短信下發且大量消耗短信服務費。黑客可通過抓包的形式,獲取短信接口,并通過代理IP,采用不同的手機號,源源不斷的請求短信接口。本人所在的項目就遇到過類似的情況。防止措施包括:

  • 產品層面采用圖形驗證:在用戶注冊時,為了識別出機器人注冊,需輸入驗證碼或者拖動滑條等方式。
  • IP地址和手機號碼地理位置映射:IP地址和手機號碼本身攜帶著地理位置屬性,通過建立GEO-IP庫和手機號碼歸屬地庫映射,從而判斷出風險。
  • 請求限制:同一IP請求短信接口達到一定次數(例如5次)則限制該IP請求24小時。單個手機號碼60s只能請求1次短信接口,1小時內至多請求3次,24小時內至多請求5次。
  • 短信預警: 通過評估平臺短信業務量,帳號開設日發送上限,限定每天最大發送額度,超出一定限度則提醒相關人員。

3.3 登錄行為

  • 判定用戶是否在常駐地登錄。建立地理柵欄,若用戶當前登錄地與用戶號碼歸屬地、常駐地存在差異,通過下發短信通知用戶。
  • 移動端采用Touch ID、圖形繪制進入app。為了讓用戶獲取更高的安全保障,在用戶完成注冊行為后就立馬啟用Touch ID、圖形繪制,也可以在用戶完成充值投資后立馬提示用戶。
  • 修改密碼等場景下,需要輸入原始密碼并進行短信驗證。(但此處存在一個悖論,我就是因為不知道原密碼才來改密碼的啊……請慎重)
  • 常用設備登錄。普通用戶常用設備為1臺,多則兩臺。每臺設備均對應特定的型號,若用戶賬號與最近登錄設備不一致,通過下發短信告知用戶。
  • 登錄連續輸入密碼錯誤5次,則限制該賬號24小時不能登錄。

以上關于登錄注冊的風險控制,并非要全部都做,也不是做完了所有的功能就安全了。需要開發能力開發優先級進行評估,同時產品經理需要梳理好各個功能的關系,防止出現無解的情況。

4 投資風控

對于理財類平臺,在相同的量級下用戶往往追捧高收益。在某些理財平臺,熱門高收益的理財產品一開標就被秒光的情況很常見。此時一些會技術的用戶會利用腳本進行作弊,以達到秒標的目的。因此這些熱門平臺存在一標難求的情況,占用了其他用戶的資源。為了防止這類問題:

  • 程序識別自動投標。程序自動投標有以下特征,單個用戶的投標操作頻繁,對相應頁面(接口)的在1分鐘內大于10次,且在開標時間點之前就已經頻繁請求。平臺可以根據情況設定閾值,進行識別。通過撰寫相應的腳本識別出這類用戶,據規則將涉及自動投資的賬戶交給運營處理。
  • 產品層面增加投資過程難度。如機器投標的情形非常猖獗,對平臺造成了很大的影響,則應考慮犧牲用戶體驗而增加投資難度。與注冊行為類似,在投資流程中增加滑動驗證碼、計算題、辨別倒立的漢字等等(例如淘寶在秒殺活動中加入了計算題,四字成語的首字母)。

5 推廣運營風控

隨著互聯網不斷發展,獲客成本很高。而互聯網金融獲取一個投資用戶的成本在幾百元。在競爭日趨激烈的互金行業,特別是理財類產品,產品要獲客需要去不同的平臺推廣以獲取目標用戶。但某些平臺為了業績,營造流量很大的氛圍,通過虛擬機+代理IP點擊廣告。同時,某些渠道通過購買用戶信息,機器模擬注冊,甚至完成實名認證和甚至銀行卡驗證。對此,消耗了推廣費用卻沒有獲得真正的用戶。

在互聯網中,有一群人稱為“羊毛黨“,各種信用卡的,賺取積分各種獎品優惠券。哪里有紅包哪里就有他們的身影。他們是真實用戶,但他們來平臺的目的不是參加活動或者投資,這些人不能成為平臺用戶,且占用消耗了平臺資源。

反作弊措施:

5.1?? 建立完善內部系統“黑名單”(“灰名單”)

通過自己或者通過第三方,建立羊毛黨用戶的“黑名單”(“灰名單”)。這類用戶的特點是,平時不活躍,在平臺有推廣活動有紅包優惠時,表現比較活躍。通過分析用戶行為,建立羊毛黨用戶的“黑名單”。不過建立這樣的名單是一項長期的過程。

5.2 推廣效果監控系統

在通過渠道推廣之前,謹慎考慮每個渠道的用戶質量與渠道本身的口碑。如不能確定推廣渠道的優劣,前期可以小部分投放推廣。大量投放之前,運營團隊與產品、技術團隊一道,搭建市場推廣效果監控系統。在活動頁面埋點,監測頁面UV、PV量。同時監控不同渠道的注冊轉化率、投資轉化率、投資額度等關鍵指標。差的渠道,注冊轉化率,投資比例都會很低。這樣不同的渠道優劣很容易就區分開來。

5.3 電話回訪

通過“人肉”的方法判定渠道的優劣。在不同的渠道隨機抽取用戶播放回訪電話,并詢問用戶在哪里看到當前的產品的,同時對用戶做一個產品體驗調查。重點關注用戶所在的區域,用戶的年齡性別職業等信息,與目標用戶的特征進行比較。筆者所在的項目遇到過,在試推廣階段發現某個渠道的注冊手機號多來自廣東,果斷棄之。

5.4 建立自動預警機制

首先,辨別作弊者的行為特征,然后量化這種行為。再通過撰寫特定的腳本識別出這種行為,識別后自動告知運營人員。最后可將這些用戶加入系統的“黑名單“(“灰名單“)。采用這種“機器+人工”方式可以有效幫助運營對抗羊毛黨。比如,在短時間內(1個小時內),5個或更多用戶被同一個人邀請,完成了登錄注冊和投資,但平均投資額度很低(<10元)。這樣的用戶肯定存疑。類似的規則需要不斷新增與完善。

PS:以上內容若有不對的地方,還請大家不吝批評并不斷完善!本文參考了李小翀、互聯網金融產品經理的日常等人,《P2P貸款》、《互聯網信貸風險與大數據》等書的觀點,在此統一表示感謝。如果你喜歡的話就請收藏并點贊。后續還有第二篇,請持續關注。

 

作者:游俠兒,公眾號:游俠兒,關注大數據、互聯網金融,愛閱讀愛健身。

本文由 @游俠兒 原創發布于人人都是產品經理。未經許可,禁止轉載。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 用戶賬戶資金安全風控有哪些措施

    來自廣東 回復
  2. 干貨滿滿,受教了

    來自廣東 回復
  3. 干貨滿滿 同行致敬!

    回復
  4. 搜索你的公眾號名稱,出來好些個公眾號,沒法區分怎么辦

    來自廣東 回復
    1. 請搜索 youxiaer917

      來自浙江 回復
  5. 修改密碼和找回密碼需求分開來不就好了么….

    來自北京 回復