黑产生态链及4大金融场景反欺诈策略分享
本文的分享有分3大块,第1块的话是黑产生态链,第2块是传统反欺诈通用策略,第3块是网络信贷、信用卡、车险理赔、电商分期4大场景的传统反欺诈方案。
黑产生态链
现在整个欺诈团伙,其实这里有3万的诈骗团伙,200多万的从业者,然后已经造成了61亿的数据泄露,还有差不多4千亿的经济的损失,整个黑产的规模已经达到上千亿了。假设每个从业者服务过了十个借贷的用户,欺诈用户群可能就达到2000万。
(公开信息整理,大数据猎人 制图)
金融机构历年的历史统计,欺诈群体在整个不同产品线上分布的情况,在线上现金贷的欺诈命中比例是最高的。
这个命中百分比的意思是,如果是有100个人去申请的话,它可能里面有20个人或者10个人有欺诈行为的,它整体的欺诈占比非常高的。而信用卡汽车金融消费分期这些都相对是有场景的,它整个对风控的一个把控流程,相对来说比现金贷这些没场景是更高一点。然后看一下年龄的话,主要是25到40岁,这2个阶段的欺诈占比相对来说更高。
然后我们可以看一下整个黑产业的一个链条,它包括了工具及平台,包括卡源卡商、猫池厂商、号商、解码平台、打码平台等,还有数据泄露方式及交易平台,一般常见的都是黑户拖库撞库,还有一些内部人员的盗库。
(公开信息整理,大数据猎人制图)
还有一些从微博微信,支付宝或者是网络的一些论坛公开信息的关联扒取,黑客拿来作为一个补充。还有一些欺诈链接,通过短信、QQ群、微信等,用户都有可能点进去之后都是一个诈骗的一个网站。而数据泄露交易的平台主要是存在地下黑市,还有我们现在常说的一个暗网。
数据的使用方,包括了非法营销的一些导流平台,诈骗团伙及一些金融机构内部的一些考核方部门的人,这些人是背着KPI的,他们可能会跟外部的那些欺诈团伙有一定的合作。
常见的黑产其实除了电信欺诈, 羊毛党、信贷欺诈和盗号盗刷 ,这三大块的话是金融业内公认的欺诈发生概率相对较高的,而且影响是最大的三大板块。按照上中下游去分,每个版块的流程不太一样,像羊毛党主要是围绕号码去针对注册环节的黑产,上游包括了一些黑代理商、虚拟运营商、物联网卡的一些代理商。
黑代理商是什么意思? 指有些运营商的代理商,他们把手中的一些卡,都是非实名的,我们其实都能买到,他们就把这些卡是拿去给到那些欺诈团伙去薅羊毛。
中游 是包括辅助黑产实现手机号群发接收验证码,破解不同网站的一个登陆验证码的打码平台,模拟用户登陆操作的群控平台。
黑产的目标是如何确定的? 主要通过俗称的网赚平台发布导流任务或者成功薅羊毛的团队分享攻略。通过拿到各平台的优惠券,折价卖出去实现变现。如果是稀缺产品,则会增加价格卖出去。
信贷欺诈板块主要的一个要素是用户四要素,包括姓名身份证银行卡及手机卡。一般是通过黑客从别的地方拿回来,或者是去一些偏远山区低价收购。
例如我们之前在网络看到的深圳三和的无业游民,这些人的身份证信息会被低价收购,然后通过一些线上的包装,找到那些风控相对更加弱点的贷款机构,俗称贷款口子,去骗贷。
(公开信息整理,大数据猎人制图)
信贷欺诈的主要方式
有伪冒的申请,伪冒申请主要是指个人拿了别人的信息,或指朋友的、家里人的信息申请,有些平台审核不严谨一点,它就直接通过了,所以才有了活体识别的应用。恶意申请主要指拿自己真实的个人信息去申请,但申请成功就不准备还了,抱着凭本事贷的钱不用还的心态。
团伙欺诈 就是一堆不法分子拿了一堆用户信息进行骗贷。
盗号盗刷 主要集中在借记卡,信用卡及金融账户环节。主要通过拿到的银行卡信息通过多个目标平台撞库获取金融账户权限,实现盗刷。或者定向发送木马链接,欺诈用户点击获取交易密码等,实现盗刷。
而刚才说到我们 金融欺诈 那一块,我们这边把它分为六大高发环节,包括我们前端的一个营销注册要抵御羊毛党批量攻击,或者是一些自动化垃圾注册。账户登录,要预防我们的账号密码被破解了。贷款申请的行为又防止一些个人的用户信息被人盗用,或者是被一些团伙欺诈过来申请。
接下来是信贷欺诈发生比较多的的五大行为:
(大数据猎人制图)
- 虚假联系人,像我们填写那什么,夫妻朋友同事可能前面都是假的一些手机号。
- 虚假信息,主要是指他的工作单位、学历信息、资质信息、证书信息等都是假的,还有居住地址都可能是假的。
- 资产资料造假,一般是发生在那些抵押贷款场景,需要一些车房产类的一些资产证明。冒充他人申请及团伙欺诈上面有说过,这里就不重复了。
……
通过统计,虚假联系人和虚假信息这两块在整个欺诈行为过程中发生的概率比较大,起码占90%以上。
黑卡怎么获取用户的信息
接下里,我们看一下黑卡怎么获取用户的信息,整个流程其实有三块——拖库、撞库及洗库,整体目标就是为了获取一个完整的数据库。
(大数据猎人制图)
拖库是什么意思?
指的就是黑客通过这些泄露的账号密码、后台的一些漏洞,还有些用弱密码及权限漏洞等,突破之后,拿到一些基础的用户信息,包括姓名身份证银行卡、手机号,还有一些年龄性别等,甚至还有用户的一些消费信息、酒店信息什么的,主要看泄露平台数据库的字段情况。
然后针对一些只有个人身份信息的,要需要撞库去获取更多信息。比如他拿数据去电商平台,可以账户拿到一些用户的电商消费记录,还有一些收货地址;去理财平台,可以拿到用户在投理财平台中的一些投资的一些金额;去借贷一些平台,可以拿到用户的借贷及还款情况等,把整个数据库给完善起来,最后进行洗库,就是变现,通过导流营销或做欺诈,洗库过程获得的一些额外的信息会重新完善用户数据库。
黑产会批量伪造“真实”用户行为,身份证信息通过拿到的数据库中包含的身份证号信息或者外面收购的身份证件。手机卡号通过手机黑卡渠道,例如物联网卡、海外卡、虚拟卡号等,可以收取手机验证码的即可,甚至有些是黑客通过已有的用户身份信息去伪冒申请一个新的号码使用。
银行卡的话主要关注虚拟卡,现在比较听得多的可能是二三类账户,但虚拟卡跟二三类账户有些区别。虚拟卡的话,它其实是直接个人网上申请就行,它有点像信用卡的主副卡,用的都是一张主卡的金额。 黑产们通过这种虚拟卡可以去到那些金融公司,通过银行卡实名绑卡环节。
(大数据猎人制图)
黑产工具与平台
改机工具
设备信息主要依靠改机工具,包括安卓,IOS这些手机的一些基本信息的修改,包括手机型号,IMEI、IMSI.MAC地址及GPS位置等。通过修改设备的信息防止被目标机构平台能够识别出来,因为这个设备可能已经在这个平台是黑名单了。
模拟工具包括接码、打码平台模拟真实手机号收验证码及登录验证码破解。通过模拟工具去模拟个人的使用行为,为什么要模拟呢?
金融机构公司知道每个用户的设备里面下载多少APP,下载多少个借贷、赌博APP等。所以欺诈团伙需要修改用户的使用轨迹或把这些不良使用记录及内存全删除了。然后模拟正常的一个使用行为,一般正常的一个用户使用手机,他可能早上7点起床可能先刷一下微信,然后去了公司它可能要打开滴滴打卡,然后中午要打开饿了么点外卖,,然后到下班的时候要打卡,它整个模拟个人的流程才能显示这手机是一个真实良好的用户在使用的。
现在的互联网机构没有做设备监控的,就很容易被黑厂去攻破。
我们这边简单看一下改进工具的功能页面,刚才也说到,有些黑产的设备在金融机构已经进入黑名单,如果你再用一样的手机设备去申请的话,基本上是不能通过风控的。但是如果自己重新买一台手机成本太高了,他们直接就拿这种改机的一些工具把这些设备信息删除修改,修改完之后变成一个新的设备,然后再去申请的话,这样通过率就可能高点。
(来源网络)
接码打码集合平台
这个是接码打码的一个集合平台。我们平时登录网站,下面有一些文字、图片验证码,为了防止一些机器行为。打码平台就是为了实现机器批量破解注册验证码。简单的验证码可以直接通过机器识别破解验证码,有些比较复杂的,他们就会请一些无业游民或一些比较闲的阿姨,他们在电脑前就看到打码平台发过来的一些任务,人工打码。
(来源网络)
猫池 ,就是控制批量手机卡收发信号的设备。
(来源网络)
群控, 一个电脑可以控制几百台上千台的手机,及每台手机的不同的使用下载、卸载、登录、浏览等行为。
(来源网络)
上文提到的模拟个人手机行为的,有个工具叫做 模拟精灵 ,在不同的时间段,它可以设置在手机上是点击哪个程序,点击程序在里面待多久,去模拟整个人的一个状态。
(来源网络)
除了个人的设备行为数据,黑产还可以帮客户实现更多的数据整容。例如你的在职情况,居住情况、资质情况、消费水平及关联人情况等。
(大数据猎人制图)
淘宝之前有代接公司电话,伪造在这个公司就职的假象。收入证明,他们会帮你用私刻印章伪造。居住情况,我们之前见的比较多的是去一些小区里的邮箱拿别人的水电费就冒充在那住。
(来源网络)
消费水平,一般通过银行流水体现,一个是信用卡流水,看消费能力及负债情况。本来有3万的额度里面经常用剩2000或者一百,他们就严重觉得你这个人的消费能力是不是过高,如果和工作不匹配就可能有问题。然后信用卡的消费项目可以通过POS机伪造常消费商户类型,显示个人的消费偏好及兴趣等。一个是银行卡流水,可以通过代刷流水和代付工资处理。
(来源网络)
关联人的情况,金融风控用到了一个运营商的授权,也是为了获取客户通讯录联系人的真实性。如果是他们没有通过运营商的一个授权去获取的话,只能通过app的授权去把手机的通讯录拿到。因为黑产会把催收电话删除,增加一些优质的一些重复的号码,一些官方服务的号码,例如10086等。前缀号相似的号段,大多是些集团号,黑产增加这个号码是为了营造一种他在集团这边工作的一个状态。
金融机构反欺诈通用的规则策略
以下是整个金融行业信贷反欺诈通用策略集合:
(大数据猎人制图)
有些注册环节只需要手机号即可,这时身份验证是不需要用到此环节,这个环节的重点是识别手机号是否为风险号码,例如虚拟号,被关注的欺诈号码集合,海外号等。这些大多可以根据号码前缀即可分辨。
注册过程的用户填写的昵称信息、出生日期信息、性别、邮箱、工作和居住地址、公司电话等,都可以通过关联分析找出异常情况,例如以上信息某部分群体填写时存在一定的规律或相似度,则这部分群体可能是一个团队的行为。
用户真实身份信息实名验证环节,一个是对用户身份要素的真实性验证,属于静态信息验证,它包括了身份证要素2要素、银行卡3/4要素及手机号3要素验证,要素验证类型的选择是根据商户场景设置需要的身份确权决定的,像实名制用的较多的是身份证要素验证,绑卡和交易环节用的是银行卡要素验证,需要确认手机号是否本人的则使用运营商手机号要素验证。
另一个是用户的动态验证或者说真实性验证,通过活体识别功能确认用户本人使用,然后叠加人像比对接口,将用户的身份证信息及身份证的照片与活体识别采集到的用户头像信息交叉与公安系统的个人信息对比确认真实意愿。
以上的一些数据大多是无感知的调用即可获取,但有些是需要用户有感知的授权才能获取的,这些接口往往也更具真实及参考价值。例如学历信息、运营商通话记录、社交信息、社保公积金信息、信用卡还款信息及人行征信数据等。
学历信息是有些针对22岁以下群体,需要知道哪些是非在校生,针对这些人群进行信贷营销,也是为了避免踩红线。
运营商通话记录授权获取比APP授权爬取手机的通讯录相对更真实,真实通话记录的造假成本和时间成本不是一般人可以接受的。
除了第三方提供的成熟的数据接口,其实还有很多商户自身产品载体与用户交互产生的数据可以利用。例如用户设备信息和用户在借贷页面交互的行为数据。
设备信息的获取只要是入口在APP的商户一般都可以获取,如无APP则可以通过覆盖用户设备的第三方的接口获取即可。这些主要是看某要素的交叉关联情况,从而发现团伙欺诈的行为。
例如关注设备本身记录的手机品牌、手机型号、操作系统、IMEI、MAC、ID及分辨率等维度是否在商户历史用户信息中已存在一个或多个维度,且这些一个或多个维度是与另外一个或多个用户有关联的。设备所用的联网IP或所在的GPS位置,可以通过一样的方式找出异常。
交互过程的行为数据,往往在团伙作案中也会有一定的规律,例如注册申请时间分布,注册过程的时间长度,输入信息的市场长度,各个页面停留及退出的时间等等,都有可能有相似的规律。
针对一些需要知道用户的手机号码相关更深入信息的场景,例如贷前审核需要知道的通讯录信息来判断用户有无异常通讯行为、在网时长来判断号码是否新开的,号码状态判断手机号是否在申请贷款过程中有关机、注销等异常行为。还有一些机构会通过用户手机号长期的流量使用情况及话费情况,侧面判断用户的资质。
以下分享4个金融场景欺诈参与方、主要欺诈行为及相关传统反欺诈策略。
4大金融场景传统反欺诈策略
网络借贷
网络借贷欺诈参与方主要有个人、团伙和中介,主要欺诈行为包括虚假联系人、虚假信息、资产类资料造假、冒充他人申请及团伙欺诈。
(大数据猎人制图)
针对冒充他人申请:大多数机构都是通过银行卡4要素接口+活体识别判断是否本人操作;少部分没使用活体识别的,会通过在网时长和在网状态判断用户手机号是否本人实名或使用,侧面判断用户真实意愿,虽然这个不是非常准确。
(大数据猎人制图)
针对虚假信息:通过身份证、运营商及银行卡接口核验要素信息真实性;通过学信网授权信息(或铁路信息接口)判断用户学历信息真实性,铁路接口有个字段是记录了学生票信息,可以拿来识别部分用户的学历情况;通过社保局授权信息核对用户社保缴费情况及在职时间、收入等信息;通过位置核验接口,核验用户常住地址是否与填写的地址一致,及居住地址侧面反应的用户收入情况。
针对资产类资料虚假:通过车辆信息核验接口核验用户是否真实拥有此辆车。
针对虚假联系人:运营商核验要素信息真实性;通过在网时长和在网状态识别联系人异常情况;通过城市核验及APP位置信息交叉验证申请人位置是否异常;通过获取通话详单,通过通话时长,主被拨打频次等交叉验证联系人是否真实;结合后台读取的用户授权的设备信息,交叉验证通讯录真实性。
针对团伙欺诈:通过在网时长和在网状态批量识别手机号异常情况;白名单规则识别,利用铁路出行活跃名单识别正常出行行为的用户;黑名单规则识别利用借贷多头名单、行业不良名单、公检法名单等排除高风险用户;关联规则搭建,关注同一时间申请用户地区高度集中的、属于高风险地区、有相同联系人的、申请公司或公司地址相近的、设备号IP地址一致的客户群体、手机号绑定多个身份证或身份证绑定多个手机号的等。
信用卡
信用卡欺诈,它跟网络借贷不太一样,参与方包括个人、团伙和商户。欺诈行为有冒充他人申请、失卡冒用、恶意透支、伪造信用卡、商户欺诈。
(大数据猎人制图)
针对冒充他人申请:
银行卡4要素接口+活体识别是否本人操作;运营商3要素核验手机号是否用户本人持有;通过在网时长和在网状态识别手机号异常情况。
(大数据猎人制图)
针对失卡冒用:
针对发卡途中丢失被截取,可在激活过程中必须要求申请时绑定手机号才可以线上激活,或要求本人线下激活。
线上激活可以采用手机验证码+活体识别功能判断是否本人操作;针对用户丢失或被盗情况,信用卡中心应该做好非常规行为预警,例如消费金额大于平常消费金额,消费类型非日常类型,消费商户地址非常出没地区等,电话确认异常情况或要求用户在APP端活体识别解除异常状态。
针对恶意透支:
通过设置消费规则集,识别用户刷卡异常行为,及时制止。刷卡金额大、刷卡商户类型突变、商户类型为套现商户集、刷卡商户有风险、刷卡位置非常驻地、刷卡时间非常规时间、刷卡频次突然增高等。
针对伪造信用卡:
通过城市位置核验,监控伪造卡刷卡位置与真实卡主的位置,判断是否伪卡;通过发现刷卡异常行为判断;通过原卡用户最近刷卡位置与伪造卡刷卡位置比对判断。
针对商户欺诈:
通过企业信息识别异常商户行为;通过套现用户反查商户是否为套现商户;设置商户类型行业指数,监控商户流水异常情况;舆情监控商户欺诈信息
电商分期
电商分期欺诈参与方包括:商家、竞争对手、消费者。主要欺诈行为有恶意引导及商家套现。
(大数据猎人制图)
恶意引导的话主要是竞争对手,引导一些黑产团伙去攻破对手的的情况。
(大数据猎人制图)
主要针对以下几个环节进行反欺诈:
- 用户进入页面方式: 判断用户是从外链直接进入或是从官网进入产品页,如商户无产品推广,此时产品浏览及订单量激增则有异常。
- 用户浏览环节: 通过每个页面的浏览时间,点击跳转行为,挖掘用户意向真实性。
- 用户注册环节: 注册过程通过身份核验用户身份信息及手机号真实性;注册用户是否命中黑名单;注册用户群是否有关联情况;注册用户资料填写规律、时间及修改行为等判断异常。
- 用户下单付款环节: 通过银行卡核验绑卡准确性;通过运营商接口判断手机号在网状态和时长;关联性分析-收货地址关联性、收货电话关联性、购买物品类型关联性。
- 商家套现 是有一些不良目的商家入驻平台,他们可能有一堆存货卖不出去,他们入驻到电商平台之后,要借助电商平台提供的分期业务,把他们的那些存量商品快速套现。
主要通过以下几个方式进行反欺诈:
- 注册用户关联分析:根据用户的点击、浏览、注册、下单、咨询行为判断用户是否为虚假用户。
- 产品价格虚高:同品牌产品价格比平台同类价格高,有可能有套现预谋行为。
- 销售额异常:同类产品一个周期内,比平台其他大多同类型店铺销售量都大,需要关注消费量激增异常情况原因。
- 客服交流异常:销售量激增,客服交流却很少,或者用户与客服交流的话术样本差不多,需关注此类异常。
- 收货确认异常:发货后,用户收货确认时间比较集中,收货地址也出现集中性,需要关注此类异常。
车险理赔
车险理赔欺诈参与方,包括修理厂司机,保险的一些从业人员,还有鉴定机构医院等,主要是在查勘环节、核损环节及定损环节去做反欺诈。
(大数据猎人制图)
查勘环节常见欺诈类型:保单起止10天内出现、夜间出险、车辆多次出险、老旧车型。
(大数据猎人制图)
针对保单起止10天内出现: 通过全国车辆首次上线日期查验,获取最新承保日期,结合保险公司内部的承保日期,关注两者承保日期不一致的情况;对于保单起期与保险起止日期小于10天的,列入反欺诈关注名单。
针对夜间出险: 关注晚上10点,早上6点间的小额单方事故及双方事故,特别是出险地点相对偏僻且无摄像头地段。
针对车辆多次出险: 设置规则,针对注销、撤案、拒赔等非正常案件报案次数大于3次的列入重点关注
针对老旧车型: 通过全国车辆首次上线日期查验,获取车辆初登日期,判断是否为车龄8年以上的老旧车型
核损环节常见欺诈类型: 无年检、信息不真实。
针对无年检: 通过车辆年检接口查询是否有正常年检。
针对信息不真实: 通过车辆4要素核验,车人证件是否一致准确。
定损环节常见欺诈类型: 工时异常、维修方式和逻辑异常、车辆信息异常、配件欺诈、配置欺诈。
针对工时异常: 自建维修工时库及价格库,识别工时单价或时长超出正常值的情况。
针对维修方式和逻辑异常: 通过车辆配件核验接口,确认配件信息,防止维修过程出险更换低价配件替换原配件的情况。
针对车辆信息异常: 通过车辆配置接口获取配置信息,防止车辆更改车牌号及VIN码等骗保。
针对配件欺诈: 通过车辆配件接口获取配置信息,全国车辆首次上线日期查询车辆初登日期,判断配件损耗情况,防止出现配件用量过多,未进行残值处理或定损辅料与主配件不符合等。
针对配置欺诈: 通过车辆配置接口获取配置信息,防止替换配置低于原始车辆情况,出现差价骗保。
最后
黑产的欺诈手段是与互金信贷系列产品风控规则的不断优化而迭代的。反欺诈的手段简单分类其实只有2种:一是技术反欺诈手段,例如设备指纹、活体识别等;二是数据类接口:各种核验接口,借贷数据、消费信息等。
黑产的欺诈手段选择也是有针对性选择的,而这个选择,其实都有一个共性,成本低及简单可控。
成本低是指,刷流水和消费记录什么的,成本都不高。
简单可控是指,挂靠公司,调整欺诈策略什么的都是可控的,且在一定时空范围就可以实现。例如活体识别破解,只要知道活体识别的识别方式,在一台电脑上逆向破解即可,而这个破解如果是针对大厂的产品,其边际成本也会随之降低,例如刷流水什么的,一台POS机则可以实现全国各种商户类型的消费记录。
技术反欺诈手段的短板其实很明显,只要内部技术被破解泄露了,黑产只要就可以找到漏洞破解,或者按照特定规则作假信息,例如改机工具这些。
而数据类接口的短板是,现各机构主要策略使用的借贷数据及不良名单的有效性越来越不理想,主要原因是中间掺杂了很多白名单及灰名单,干扰太大。不良名单大多是公开的,黑产只要收购些山区人民的身份信息材料即可,这些人肯定不在不良名单,但却不是真实意愿的的用户群。
因此猎人更关注的是创新技术在反欺诈的应用及高成本作假的数据接口有哪些。下期会分享铁路出行相关的风控应用逻辑,同时欢迎业内人士交流相关经验。
#专栏作家
大数据猎人,微信公众号:date- hunter,人人都是产品经理专栏作家。多年金融行业(基金、理财、保险、信贷等行业)相关战略研究、行业分析、商业模式搭建经验,熟悉金融+大数据+风控+营销领域。
本文原创发布于人人都是产品经理。未经许可,禁止转载。
题图来自 Unsplash,基于 CC0 协议
作者暂无likerid, 赞赏暂由本网站代持,当作者有likerid后会全部转账给作者(我们会尽力而为)。Tips: Until now, everytime you want to store your article, we will help you store it in Filecoin network. In the future, you can store it in Filecoin network using your own filecoin.
Support author:
Author's Filecoin address:
Or you can use Likecoin to support author: