網(wǎng)貸反欺詐分析及解決方案

管薇薇

（中國銀行江蘇省分行風險管理部，江蘇 南京 210000）

一、網(wǎng)貸欺詐的特點

互聯(lián)網(wǎng)金融在提升服務效率的同時，也大大降低了金融欺詐的成本。在互聯(lián)網(wǎng)貸款審批高度自動化的趨勢下，業(yè)務流程中的人工干預環(huán)節(jié)也越來越少，這在無形之中提高了網(wǎng)貸欺詐的成功率。網(wǎng)貸欺詐是指借款人惡意利用網(wǎng)貸產(chǎn)品的業(yè)務流程、審批規(guī)則和網(wǎng)絡安全等漏洞，通過虛構事實或者隱瞞事實真相等的方法，達到非法騙取授信額度，再迅速轉(zhuǎn)移貸款資金的行為。

隨著網(wǎng)貸市場的不斷發(fā)展，網(wǎng)貸欺詐的出現(xiàn)也逐漸從單一的、偶發(fā)性的事件逐漸發(fā)展成為規(guī)?；?、組織化的黑色產(chǎn)業(yè)。很多網(wǎng)貸黑產(chǎn)組織內(nèi)部有明確的職責分工，并有一套完整的騙貸解決方案，這種網(wǎng)貸黑產(chǎn)組織的欺詐手段呈現(xiàn)專業(yè)化、智能化、集團化的特點，且其網(wǎng)貸欺詐過程手段多樣、隱秘性強，使得眾多金融機構和互聯(lián)網(wǎng)金融平臺的資產(chǎn)受到了嚴重侵害。

此外，網(wǎng)貸欺詐有很強的擴散性，一旦提供網(wǎng)貸服務的金融機構在業(yè)務流程的設計中出現(xiàn)了反欺詐漏洞，各種黑產(chǎn)團伙便會群攻而上，能夠在很短時間內(nèi)成功通過大量網(wǎng)貸業(yè)務的審批，而金融機構或者互聯(lián)網(wǎng)金融平臺往往都來不及應對，瞬間資產(chǎn)損失慘重，甚至可能直接導致某些規(guī)模較小的互聯(lián)網(wǎng)金融平臺因此倒閉。

二、網(wǎng)貸欺詐的手段

做好網(wǎng)貸反欺詐的第一步是要了解悉網(wǎng)貸欺詐的作案方式及常見作案手段，與單個分散的網(wǎng)貸詐騙相比，網(wǎng)貸黑產(chǎn)的團伙作案方式更具破壞性。網(wǎng)貸黑產(chǎn)團伙的作案呈現(xiàn)組織化、規(guī)?；?、流程化的特點，且通常具有一整套標準化的“解決方案”，主要包括：申請人身份包裝、線上申請行為部署、網(wǎng)貸產(chǎn)品漏洞針對性攻擊。

（一）申請人身份包裝

網(wǎng)貸的業(yè)務是依托互聯(lián)網(wǎng)渠道的純線上貸款產(chǎn)品，申請全程沒有人工干預。雖然網(wǎng)貸產(chǎn)品通過實名驗證、人臉識別、大數(shù)據(jù)征信等先進技術對申請人身份進行驗證和核實，但網(wǎng)貸黑產(chǎn)對申請人的身份包裝手法也是不斷完善升級。由于申請人身份審核是網(wǎng)貸申請成功的第一步，因此在網(wǎng)貸黑產(chǎn)團伙實施欺詐前會首先構建一套符合網(wǎng)貸產(chǎn)品申請人身份準入要求的資料，申請人身份包裝的要素一般包含身份信息、手機實名驗證、信用卡信息、工作單位信息、社保公積金賬戶信息、手機通話記錄等。有些身份信息要素的包裝需要花費較長的時間去包裝，對網(wǎng)貸黑產(chǎn)來說，這種時間投入叫做“養(yǎng)號”。通過“養(yǎng)號”包裝出來的申請人身份往往很難與真實申請人身份做區(qū)分，這是網(wǎng)貸反欺詐中的一個難點問題。

（二）線上申請行為部署

一旦申請人身份包裝準備完畢后，網(wǎng)貸欺詐團伙就開始正式的線上網(wǎng)貸業(yè)務申請了。在經(jīng)歷了幾年的市場摸索和經(jīng)驗積累后，現(xiàn)在的網(wǎng)貸產(chǎn)品基本都部署了自己的反欺詐規(guī)則和模型，尤其是在線上申請行為的分析上，網(wǎng)貸產(chǎn)品內(nèi)置的反欺詐模型會對每個申請人的操作步驟、時間、路徑等都會做實時的反欺詐分析，一旦發(fā)現(xiàn)可疑申請行為，都會阻斷申請流程。然而，網(wǎng)貸欺詐黑產(chǎn)也在不斷總結，很多黑產(chǎn)組織已經(jīng)形成了一套對抗反欺詐規(guī)則完整策略，并且還定期對策略“優(yōu)化升級”。

（三）網(wǎng)貸產(chǎn)品漏洞針對性攻擊

網(wǎng)貸黑產(chǎn)在挖掘一個新的網(wǎng)貸產(chǎn)品之前，通常會先對網(wǎng)貸產(chǎn)品的產(chǎn)生背景進行調(diào)查，即網(wǎng)貸產(chǎn)品的模型構建團隊和產(chǎn)品設計思路。調(diào)查網(wǎng)貸產(chǎn)品的產(chǎn)生背景，主要是看有沒有可復制的模式。例如，一個招商銀行的人出來創(chuàng)業(yè)，其風控規(guī)則可能就與招商銀行類似。然后再看能否找到內(nèi)部人，如果有內(nèi)鬼幫忙則能節(jié)省大量試錯成本。在了解了網(wǎng)貸產(chǎn)品的產(chǎn)生背景后，網(wǎng)貸黑產(chǎn)就可以抓住網(wǎng)貸產(chǎn)品設計上的漏洞進行針對性攻擊。由于網(wǎng)貸產(chǎn)品漏洞的針對性攻擊不存在普遍性。

上述三種網(wǎng)貸欺詐手段構成了一套完整的網(wǎng)貸欺詐部署策略。了解和熟悉網(wǎng)貸黑產(chǎn)的反欺詐作案手段是做好網(wǎng)貸反欺詐的前提。

三、網(wǎng)貸反欺詐解決方案

網(wǎng)貸反欺詐的具體實現(xiàn)方法上每家金融機構做法不盡相同，對規(guī)模較小的金融機構或互聯(lián)網(wǎng)金融平臺來說，受制于技術和人才的因素，采用直接購買外部專業(yè)的反欺詐規(guī)則庫可能是性價比最高的選擇（如：同盾反欺詐規(guī)則庫這類），本文部對此類做法不做詳細闡述。另一些規(guī)模較大的金融機構或互聯(lián)網(wǎng)金融平臺，在具備技術和人才實力的基礎上，可以自主構建反欺詐規(guī)則或模型，這樣有利于未來反欺詐規(guī)則的積累和迭代優(yōu)化。

從上文對網(wǎng)貸欺詐特點和作案手段的分析來看，做好網(wǎng)貸反欺詐需要處理好三個關鍵問題：一是要有大量的數(shù)據(jù)作為欺詐行為分析的數(shù)據(jù)基礎；二是需要構建能精準識別欺詐行為的模型；三是需要構建良好的反欺詐策略。

（一）數(shù)據(jù)采集

反欺詐的數(shù)據(jù)采集包括兩類：一類是非實時的數(shù)據(jù)采集，與平臺模型的數(shù)據(jù)準備一樣，可以提前搜集好；另一類是實時采集數(shù)據(jù)，又叫埋點數(shù)據(jù)，需要在網(wǎng)貸申請人申請網(wǎng)貸產(chǎn)品時跟隨申請人的操作流程實時采集，因此采集的數(shù)據(jù)量大、時效性強。

對于非實時采集的數(shù)據(jù)，可以通過業(yè)務人員經(jīng)驗、欺詐事件的積累等做好數(shù)據(jù)采集清單。根據(jù)前文對網(wǎng)貸欺詐手段的分析中，我們可以總結出以下需要提前做好數(shù)據(jù)采集清單：

1.中介常用的軟件列表：包括清機軟件、定位軟件等，還需考慮每個軟件對操作系統(tǒng)的要求。

2.同類網(wǎng)貸產(chǎn)品列表：市場上類似的網(wǎng)貸產(chǎn)品名稱、產(chǎn)品所屬的金融機構名稱、產(chǎn)品的推出時間等。

3.知名企業(yè)名單：申請人所在地的大型企業(yè)、事業(yè)單位等（網(wǎng)貸黑產(chǎn)往往會把申請人包裝成大企業(yè)或事業(yè)單位的員工）。

4.合作的渠道信息：包括合作渠道日常的流量情況、是否有線下地推的配合、渠道正在開展的推廣活動等信息。

5.當?shù)貍€體工商戶的名錄：可通過對接工商信息驗證（網(wǎng)貸黑產(chǎn)有時也會把申請人包裝成個體工商戶）。

對于實時數(shù)據(jù)采集，則更多的要考慮申請人線上申請的操作行為，根據(jù)網(wǎng)貸產(chǎn)品特征和網(wǎng)貸欺詐申請行為特征設置線上數(shù)據(jù)采集埋點，一般需要采集的實時數(shù)據(jù)包括：

一是申請渠道信息：讀取申請人本次申請的渠道來源，是app、網(wǎng)頁、二維碼推薦還是合作導流渠道。

二是實時地址信息：申請人當前操作的IP地址、手機定位、申請設備MAC地址等。

三是操作時長：申請人當前頁面的停留時間、當前操作的用時等。

四是操作持續(xù)信息：申請人當前操作的上一步/下一步操作是什么、與本次操作間隔時長多久、有無步驟反復等。

五是讀取應用列表：在獲得申請人授權的情況下讀取客戶安裝的app清單，提取安裝的小貸軟件、清機軟件、定位軟件等信息。

（二）反欺詐模型

由于反欺詐模型對判斷的實時性要求很高，因此實時的反欺詐模型一般是通過比對規(guī)則庫的形式來實現(xiàn)。而非實時的反欺詐模型建設一般會通過已發(fā)生過的大量申請數(shù)據(jù)構建算法來進行，然后再將模型結果以規(guī)則庫的形式在實時反欺詐識別中應用。因此，不論是實時的反欺詐模型還是非實時反欺詐模型結果的應用，最終大多以規(guī)則庫的形式在網(wǎng)貸產(chǎn)品用于識別網(wǎng)貸欺詐。

反欺詐規(guī)則庫一般是提前集中部署的一類規(guī)則庫，并設定有相應的參數(shù)和觸發(fā)閾值。通過將申請人的信息或行為與反欺詐規(guī)則庫做比對，命中的被識別為欺詐行為，未命中的則判斷為非欺詐行為。這類規(guī)則庫的構建可以分為以下幾類：

1.相似性規(guī)則。如：手機號與虛擬號段編號規(guī)則相似。

2.集中性規(guī)則。如：某一時間段發(fā)生集中的注冊/申請，或某一個IP集中注冊。

3.一致性規(guī)則。如：申請人信息是否與黑名單或多頭借貸一致，申請設備是否與曾發(fā)生過欺詐的設備信息一致。

4.稀有性規(guī)則。如：某一群組都采用少見的iPhone 5C登錄；

5.陳舊性規(guī)則。如：采用很久之前的舊版app申請，或使用老舊的手機型號或操作系統(tǒng)申請。

6.非常規(guī)性規(guī)則。如：申請時間都是夜間或凌晨，申請操作路徑總是為最短路徑且用時極短。

反欺詐模型的構建思路是從數(shù)據(jù)中提取客戶多維度異常模式，探索大數(shù)據(jù)反欺詐規(guī)則，并逐步實現(xiàn)智能、主動、精準、全覆蓋的異常識別功能。因此，在非實時的反欺詐模型中需要引入大數(shù)據(jù)、機器學習等算法挖掘深層的隱含信息，再將非實時反欺詐模型的結果提煉成規(guī)則用于實時的反欺詐識別中。

（三）策略部署

與一般的模型策略部署思路類似，反欺詐模型在策略部署上也分為準入、評分和貸后監(jiān)控三部分。三部分策略部署重點不同：準入策略屬于“一票否決”式策略；評分策略用于對欺詐可能性的概率大小判斷；貸后監(jiān)控則是通過對貸款申請成功后的資金流向、還款情況等進行持續(xù)的反欺詐判斷。

準入策略中常用的規(guī)則包括：身份驗證、黑單驗證、多頭借貸判斷、第三方反欺詐評分等。對于身份驗證和黑名單驗證，一般是命中后立刻做拒絕處理；對多頭借貸和第三方反欺詐評分這類，一般是設定不同觸發(fā)閾值，例如：多頭借貸的機構數(shù)大于3家直接拒接，2至3家轉(zhuǎn)入人工判斷，2家以下準入通過。

反欺詐評分是對欺詐行為的綜合判斷后給出的評分結果，反欺詐評分在使用上可以作為客戶評分的一部分，也可以單獨使用。值得注意的是，反欺詐評分往往是對申請行為的持續(xù)分析得出的結果，是對無法通過單一規(guī)則判斷的欺詐行為的預測。例如，反欺詐評分卡可能會綜合每一步的IP是否一致、每一步的操作設備是否一致、整體申請用時、申請行為操作路徑等數(shù)據(jù)給出申請人的欺詐概率評分。在反欺詐評分應用時，一般也是劃分分值區(qū)間部署對應的通過、轉(zhuǎn)人工或拒接處理。

貸后監(jiān)控中的反欺詐是對客戶貸款申請成功后的欺詐可能性所做的持續(xù)跟蹤判斷。由于很多網(wǎng)貸欺詐申請者在貸款申請成功后的一段時間內(nèi)會故意制造正常消費、還款的假象，因此在欺詐行為會存在一段潛伏期。因此反欺詐工作也不能在放款完成后就終止，而是需要繼續(xù)對申請人的提款行為、資金流向、還款行為等進行監(jiān)控，并構建貸后反欺詐規(guī)則庫來及時做好預警提示，以盡可能減少欺詐發(fā)生后的損失。

網(wǎng)貸反欺詐方案不僅要考慮反欺詐的效果，還要同時考慮客戶體驗問題，在設計線上反欺詐規(guī)則、模型和策略時應當確保在很短時間內(nèi)做出欺詐行為的判斷，盡可能做到反欺詐識別的客戶無感化。此外，網(wǎng)貸欺詐與反欺詐問題永遠是一個“道高一尺魔高一丈”的過程，因此，反欺詐規(guī)則、模型和策略部署也需要不斷跟隨欺詐手段的更新而變化才能適應復雜而多變的網(wǎng)貸市場。此外，網(wǎng)貸反欺詐還需要線上、線下配合開展，僅僅依賴線上反欺詐解決方案往往很難達到良好的效果。

四、總結

隨著近年來互聯(lián)網(wǎng)金融和消費金融的快速發(fā)展，不僅是互聯(lián)網(wǎng)金融平臺在推進網(wǎng)貸業(yè)務模式，許多傳統(tǒng)的金融機構也不斷將貸款業(yè)務向線上轉(zhuǎn)移。盡管網(wǎng)貸業(yè)務在發(fā)展之初遇到了網(wǎng)貸欺詐這類妨礙其健康發(fā)展的阻力，但我們相信通過新技術的應用和網(wǎng)貸行業(yè)自身的積累和探索，網(wǎng)貸欺詐的黑產(chǎn)終究會難以生存下去。