互金江湖,危机四伏 互联网金融是传统金融机构与互联网企业利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。近年来,互联网金融是一个热点,新的业务模式带来新的增长点的同时,也对风控带来了新的挑战。其中,操作风险中的外部欺诈风险尤其值得关注。

 

巴塞尔新资本协议中,将操作风险事件分为:内部欺诈,外部欺诈,就业政策和工作场所安全性,客户、产品及业务,实物资产的损坏,营业中断及系统瘫痪,执行、交割及流程管理。其中盗窃,伪造,黑客攻击损失,盗窃信息等都被归到外部欺诈风险中。

 

在互联网金融的业务场景下,由于互联网的以下特性导致上述外部欺诈风险较之线下业务更为严重:

 

互联网隐蔽性:在互联网金融的业务场景下,客户不再面对面和和业务人员交流,而是通过网络与服务器交换数据就自动化的完成绝大部分的业务。这些业务不再需要服务提供商与客户面对面打交道,而互联网通讯协议本身又是匿名的。这就给欺诈者带来了伪装身份的便利,俗话说“在互联网上,没人知道你是一条狗”。欺诈者通过简单的技术手段就可以完成年龄,性别,身份等伪装,通过网络实施各种欺诈活动。

 

互金产品的客户选择:如线上小额贷等互金产品,其针对的客户群本身就是缺乏足够的信用记录,无法在银行等渠道获得授信。如农民工,学生等群体。其中很多人信用意识不高,存在占小便宜心理,有动机去用各种手段骗取授信。

 

产品本身的缺陷:在快速抢占市场的压力下,各互金公司都催促开发部门尽快推出在线产品。在项目进度压力下,产品设计实现过程中容易产生种种疏漏,或者从业者经验不足风控考虑不周,有些产品甚至在业务压力下放松对风控的要求,这些现象都增加了操作风险。另外,基础IT运维能力不足也容易把敏感数据和业务流程暴露在黑客的攻击之下。

 

兵来将挡,水来土掩


既然知道了风险的来源,那么自然就有应对之道,下面几种招式是互金企业的应对之道。


第一式,大数据马步

 

在互联网金融业务中,系统理论上可以记录用户所有网络行为。并且根据业务需求获得一些隐私相关的业务信息,如用户GPS位置,邮寄地址,email,手机号等。合理利用这些信息可以对风控和业务来的很大的帮助。

 

下面是对数据利用的几个典型场景:对用户在客户端的行为轨迹分析和对业务API的访问,区分正常用户和恶意用户;通过对用户访问数据的统计分析,发现异常访问,提供各个层面的风险预警;通过对用户访问内容的分析,基于设备指纹或用户ID关联,赋予用户标签,形成用户画像。

 

大数据是金融风控的基础,充分利用互联网服务过程中全面收集用户信息的便利,将线上线下数据结合,借助Apache等开源框架下一系列大数据处理利器,配合机器学习神功,有助于各互金公司练就扎实的风控数据底盘,在互联网惊涛中巍然不动。

 

 

 

第二式,火眼金睛


 

互联网上各种欺诈行为常常需要伪装身份。互金企业需要练就火眼金睛,用各种身份识别手段让他们原形毕露。江湖上目前常用的几种方法是:

 

http://www.gsdata.cn/验证码:短信验证码是常用的一种鉴别存档或者当前输入手机号码的确在被某一用户使用的手段。配合电话号码身份验证,逻辑上可以证明用户的身份。短信验证码是一种简单快捷的身份验证方式,但欺诈分子已经有多种应对手段。

 

 

语音验证码:通过拨打电话,鉴别存档或者当前输入手机号码的确在被某一用户使用的手段,由于语音识别技术的成熟,与其短信验证效果区别不大。

 

图形验证码:图形验证码的主要目的是为了区分人与机器,防止大规模机器作弊,但目前黑产已有多种手段应对,甚至出现了打码平台这样从原理上击溃图形验证码的手段,

 

拖动滑块式验证码:通过拖动图片或滑动滑块,配合机器学习技术验证是否是真人。目前已投入实用,但大规模推广还需要时间。

 

设备指纹技术:通过各种手段对设备进行唯一标识的技术,目前有公司已经将人工智能技术应用于这个领域,取得了不错的效果。

 

人脸识别:通过深度学习算法识别人脸,通常用于身份证或存档照片比对等场景

 

虹膜识别:类似于人脸识别,但需要专用设备,互联网上应用较少见。

 

基于人脸识别的活体检测:人脸识别的升级版,不仅可以完成照片比对,还可以识别是否是真人。

 

 

四要素验证等已经在传统业务中成熟使用的技术。

 

上述招式配合使用,可以收到安全与用户使用方便兼得的功效。

 

 

 


第三式,求助外援


 

现在黑产,早已不是昔日单打独斗的小盗,开发者,伪装工具提供者,培训者,实施者,变现者通过网络紧密合作,形成了完整的地下产业链。面对专业化的欺诈产业链,各企业单打独斗显然独木难支。一个好汉三个帮,众多第三方解决方案提供商都有自己在特定领域的独门秘籍,目前市场上的供应商可以分为下面几类:

 

整体的风控解决方案提供商/外包商:这类供应商提供风控基础构架,并根据客户需求做一定的定制化开发。一些供应商还担任集成商的角色,负责集成各种服务。

 

风控建模外包:有一些专业团队提供专门领域的风控建模服务,帮助数据分析能力不足的互金企业解决紧急的风控建模问题。不过长远来说,互金公司还是要建立自己的风控能力。

 

数据提供商:第三方数据提供商一直是风控数据的重要来源。传统的各要素验证服务无论线上线下都在使用。一些SaaS风控解决方案提供商,在为各互金企业提供服务的过程中,也整合各家数据提供黑名单服务。另外,一些非互金领域的互联网企业,在收集到大量的用户数据后,也将风控数据输出作为一种变现手段。这些非传统风控数据的出现,可以丰富风控数据维度,有助于弥补因网络隐蔽性带来的风险。不过,市场上的数据良莠不齐,互金企业需要建立相应的评估体系快速筛选出合适自己业务的数据。

 

各领域解决方案提供商:这类供应商常常以SaaS服务的方式提供各领域解决方案,如短信验证,人脸识别,生物探测,设备指纹等。对于大客户,也能提供私有化部署的方案。一般来说,SaaS方式收费较低,但在使用SaaS服务的过程中,必然有部分业务或用户数据被供应商收集;而私有化部署虽然能够保护业务数据,但需要支付较高的成本。

 

第三方数据源和解决方案在专业领域可以弥补互金公司在技术或资源上以及经验的不足,充分利用好这些外部服务有助于互金企业快速搭建业务和风控平台,减轻研发压力。可以把更多的资源投入到核心业务流程和系统安全上。

 

互联网江湖波澜壮阔,到处是闪亮的财富机会,暗处也隐含着致命的危机。各互金公司唯有练好内功,找好外援,方能立于不败之地。

 

牛科技-科技创新媒体