钛媒体注：本文根据钛媒体旗下的微信公开课“钛坦白”第21期的分享整理。本期是“聚焦金融科技”系列分享的第三期，也是“支付安全与创新”分享的第二期，本期我们请来了五位钛客，分享支付领域的新技术、新方案、新方法。以下是同盾科技联合创始人兼反欺诈及基础风控部产品总监祝伟的分享：

钛客：祝伟，同盾科技联合创始人兼反欺诈及基础风控部产品总监。祝伟先生在网络安全、反欺诈领域拥有超过8年的业务和管理经验。2010年加入阿里巴巴集团，曾先后任职于阿里云集团安全中心、阿里集团安全部，深度参与阿里巴巴集团多个安全及反欺诈核心产品的研发工作。现任在同盾科技负责反欺诈及基础风控产品的整体规划与研发工作。

分享主题：基于大数据风控的支付创新

下面是祝伟在钛坦白分享的干货，由钛媒体整理：

同盾创立于2013年，为合作伙伴提供包括账户反欺诈、信用反欺诈、交易反欺诈、支付反欺诈、营销反欺诈等方面的反欺诈和风控服务。今天我为大家分享一下同盾在支付风控领域的一些经验。

大数据风控是什么？

在我们看来，大数据风控理念更侧重于云端实时风险分析，通过对用户行为数据的关联分析中发现蛛丝马迹，从而阻止欺诈的进一步发生。

云端大数据风控的魅力在于，即便用户侧已经处于不安全状态，比如用户因木马钓鱼或因某网站被拖库导致账户密码等信息已发生泄漏，通过云端的数据关联分析我们依然能判断出账户异常，并立即作出响应。

支付的五个场景和欺诈风险特征分析

关于大数据风控在支付行业的应用，我们主要从如下场景展开分析：

场景1：注册场景

对于有账户体系的支付，在注册场景主要面临垃圾注册的欺诈风险。那么欺诈者注册这么多小号的目的是什么？就动机而言，我们的分析遵循利益诱导机制：第一，支付平台可能通过营销活动吸引新注册用户，注册送红包类似，对于欺诈者而言可以通过注册很多小号而薅羊毛；第二，欺诈者通过注册小号，为后续发起洗钱、盗卡等欺诈行为打伏笔。

欺诈风险特征1：在用户注册时，当我们寄希望于用图片验证码完成人机图灵测试时，你会惊讶的发现黑色产业链上下游链条中，已出现打码平台这样颠覆三观的人力众包平台。你可以想象这样的场景，一群闲来无事的大妈，悠然的坐在网吧，一遍织着毛衣一遍有偿的帮助电脑那头的黑产者看图识码。在这样的攻击方式下，图片验证码依然沦陷成为摆设。应对此类欺诈行为，我们在云端更多的分析用户注册行为的异常，举例子而言，如当前注册请求来源IP地址是否是代理、同一个设备上发起的注册行为是否过于频繁等。

 欺诈风险特征2：在用户注册时，当业务尝试限制用户只能通过手机号注册，且要求进行手机下行短信验证码验证时，这时黑产链条中不仅有打码平台，还有收码平台。通过收码平台，欺诈者以廉价的方式获取非常多的虚假手机号进行注册，且通过收码平台提供的收短信验证码的客户端工具，欺诈者可以轻松绕过手机短信验证码环节。应对此类欺诈行为，同盾通过积累的数千万虚假手机号库来进行识别，并有定期的清洗机制确保数据的精准性。

场景2：登录场景

对于有账户体系的支付，在登录场景主要面临账户被盗和撞库风险。

首先，对于账户盗用风险，往往用户是因木马钓鱼或互联网泄露数据等各种不安全操作，导致持有的账密信息被盗取。欺诈者在获取账密信息后，会尝试越权登录访问用户支付后台页面，进而发起盗卡交易行为，如购置虚拟商品等，导致用户账户资金损失。此外，越权访问获取支付账户的个人信息利用价值非常大，往往也会被欺诈者在黑产市场中反复交易利用。

对于账户撞库风险，无疑是任何平台的梦魇。互联网是个信息爆炸的时代，互联网用户在网络上注册开通了许许多多的应用或网站服务。但由于人之初性本懒，许多人在不同网站的账户和密码其实是同一个。那么会存在一个木桶短板效应，只要其中某一个应用或网站的安全性较弱导致被黑帽子攻陷，该网站的账密数据库进而发生泄漏，这个过程我们称之为拖库。

黑帽子在完成拖库之后，进而会对数据进行清洗、封装，并对一些有价值的平台进行定向撞库攻击，即用已泄露账密进行模拟登录尝试，尝试成功即意味着单个账户撞库成功。账户撞库风险的危害在于导致数据大规模性泄露，但与此同时黑产者攻击的成本正随着工具自动化而逐步降低。

欺诈风险特征1：用户登录行为异常。我们曾通过规则模型实时计算出一个用户两次登录时间间距小于2s，但根据登录IP解析位置距离偏移却超过10公里，如果是你会怎么看待这次登录行为？当然，我们前提是通过一些IP技术排除掉运营商地址分配漂移的特殊情况。从实际情况来讲，此类移动行为已超出载人工具的时速范围，唯一的可能性是挂IP代理进行登录，意图隐匿登录来源。当规则模型中检测到此类异常行为，那么系统只会将欺诈风险可能性提高。

欺诈风险特征2：用户登录环境异常。尤其是在撞库风险过程中，黑产往往会使用成熟的工具程序进行批量模拟登录接口。那么，通过同盾在登录页面布控的人机识别检测程序，往往我们能发现登录来源设备是缺失或者伪造，且用户交互的行为存在明显缺陷。

欺诈风险特征3：用户登录习惯异常。通过长时间对用户登录行为的跟踪分析，我们可以分析出账户常用设备、常用登录地等行为习惯。在此数据分析基础上，同盾提供一套可信设备体系，即对于在可信设备上的行为业务应快速通过放行，而发生在非可信设备上的行为应加入重点关注。这其实也是做大数据风控所追求的，即在业务中让好人有更好的用户体验，而让坏人寸步难行。

场景3：绑卡场景

在用户绑卡场景中，平台通常已经是从卡的维度进行风险防控：第一，对卡进行卡号、身份证、姓名、预留手机的四要素验证；第二，业务策略限制，为了防盗卡要求只能同卡进出。

其实即便要求同卡进出，还是会存在被欺诈者利用的风险，这块会在分享的最后案例中进行阐述。

在绑卡安全保护服务中，同盾会结合绑卡用户信息、设备、IP等维度进行关联分析，对于中介或者团伙的批量绑卡行为特征进行快速甄别。

场景4：支付场景

在支付场景中，平台主要面临的风险是导致资损的盗卡支付及监管层面要求的反洗钱反套现监控。

盗卡支付风险起因还是在于个人隐私信息泄露，很有可能你在绑卡的时候，你的银行卡、密码、CVV码、身份证、手机号信息已经在地下黑产转卖了好几手了。现在也有很多黑产通过各种渠道如邮件或伪基站，发送钓鱼链接诱导用户主动送上自己的信息。洗钱套现行为更多是金融账户持有人侧的违规行为，通过利用系统或者账户卡的漏洞空子，来达到经济上的收益。

欺诈风险特征1：盗卡行为异常。沉默的支付账户突然发生一笔小额支付，成功后随后若干次等额进行支付操作。此类行为往往具有高风险性，欺诈者在盗卡成功后进行初次激活，在进行小额尝试成功后进而进行批量的资金转移。

欺诈风险特征2：洗钱行为异常。通过对一周或者一个月内的账户资金流入流出分析，如果资金的流动是密集集中在一些账户，而这些账户活跃的IP、设备是同一个或者相近的，那么风险异常是非常高的。

场景5：信用支付场景

在大众创业万众创新的今天，支付行业也在做不同的金融创新业务，如信用支付或分期类业务。

那么在信用支付场景中，除了欺诈风险，我们更关注的是金融账户持有人的信用风险。但根据不同阶段，我们的关注点不一样。在预授信阶段，需要对金融账户进行贷前初审。而在已放款阶段，需要对借款人进行贷后的持续跟踪管理。

下面主要说下预授信阶段：

首先，对借款人的基本身份信息进行分析验证，举一个例子，通过在同盾已服务的云端2000+的信贷行业客户（包括小贷、P2P、消费金融、汽车金融、银行等行业客户）进行数据关联分析，我们能识别出用户是否在较多平台使用了不同身份材料进行申请借贷，如果发现客户使用过多材料，那么客户为中介或者刻意规避的意图会导致风险指数较高。

其次，在同盾全局庞大失信名单库中，我们会对借款人的不良历史进行分析，如果借款人曾经在法院存在失信或执行等纠纷记录或在同盾合作的信贷平台有过逾期或者失联等不良表现行为，那么这种用户再次违约的风险是高于正常用户的。

此外，我们会在云端通过数据分析用户近期是否在较多的平台存在多头申请和多头负债的记录，多头申请数据可以预测用户对资金的渴望，而负债数据则可以预测用户的经济压力，通过多头申请及负债的具体计算数据我们可以进一步作出违约风险的预测评判。

最后，通过对用户申请环境的设备、IP、身份信息等多维度的复杂网络关联分析，我们可以进一步分析当前申请者是否可能是中介机构或者欺诈团伙。

除了如上的不同业务场景风险及对应的同盾产品服务，同盾还为用户提供设备指纹技术、代理扫描技术、欺诈情报产品、决策引擎产品。

在同卡进出业务策略下被欺诈利用的案例

欺诈场景中涉及到几方包括基金理财平台、支付通道、受害小白及欺诈者。在绑卡环节中，基金理财平台做了银行卡、姓名、身份证、预留手机的四要素验证，并在业务限制策略上要求同卡进出。

对于欺诈者而言，首先会通过制作手机木马钓鱼软件进行传播，目前较多的是Android端。一旦有小白用户手机不幸中招，那么该手机接受的校验短信码会被木马钓鱼软件所拦截控制。欺诈者通过该方式能够收集一批中招受控制的手机及号码，随后从黑市交易的泄露数据中进行筛选匹配，找出匹配的泄露银行卡、姓名、身份证信息。之后通过理财平台新注册账户，并完成绑卡操作，注意绑定的是小白用户信息。随后通过基金理财平台完成一笔5w元支付，购买基金或理财产品。受害小白用户这时会莫名收到银行卡被划扣的短信通知，会显得较为紧张。

欺诈者紧随其后致电受害小白，当然电话号码类似+95555这种，以银行工作人员口吻告知小白其银行卡账户异常，会帮助其进行处理。欺诈者随后通过基金理财平台赎回部分资金操作，以赢得小白客户的信任。当小白用户坚定欺诈者是银行工作人员后，欺诈者就会开始再重复第一次购买行为，并告知小白用户其账号异常会实施冻结操作，并建议小白通过ATM机转到安全账户，最终一起借助平台实施的电信诈骗就顺利的完成了。

在本案例中，虽然平台做了严格的同卡进出的限制，但最终还是充当了一个骗子对用户资金操作的通道，成为骗子的帮凶，整个过程中平台的信息也通过短信验证码的方式暴露给受骗用户，导致不必要的纠纷及品牌损失。（本文首发钛媒体，根据同盾科技联合创始人兼反欺诈及基础风控部产品总监祝伟在钛坦白上的分享整理）
…………………………………………

钛坦白第21期“支付安全与创新2”五位钛客的分享已经结束，干货会陆续发在钛媒体上，请关注：钛坦白干货

钛坦白第22期：聚焦金融科技之区块链2

地点：钛坦白|区块链（微信群）

8月8号（周一）

19点-20点 万向区块链实验室首席研究员余文波

20点-21点 能源区块链实验室创始合伙人、信达证券首席区块链专家曹寅

21点-22点 IBM全球企业咨询服务部大中华区银行业总经理范斌

8月9号（周二）

19点-20点 唯链科技联合创始人CTO帅初

20点-21点 BTCC首席技术官王立栋

21点-22点 到达科技技术合伙人、CTO刘敬思

合作：请发相关介绍到邮箱jiayinge@tmtpost.com，找负责人佳音沟通

报名入群听课：在微信公号“钛媒体”（taimeiti），发送“钛坦白”获取