互联网反欺诈体系建设系列 ( II )——排兵布阵

围观次数:1,015 views

“是故智者之虑,必杂于利害,杂于利而务可信也,杂于害而患可解也。是故屈诸侯者以害,役诸侯者以业,趋诸侯者以利。故用兵之法,无恃其不来,恃吾有以待之;无恃其不攻,恃吾有所不可攻也。”

————《孙子兵法·九变篇》

1 互联网反欺诈的不对称性

不夸张的讲,欺诈者对于技术的运用能力、对于业务的熟悉程度和对于目标的执着要远超过甲方互联网反欺诈的从业人员。造成这种局面主要有几个原因:

  1. 欺诈者仅需要在企业的互联网反欺诈体系上打穿一个洞即可欺诈成功,属于“一招鲜吃遍天”;而互联网反欺诈的从业人员面对的是一个庞杂的组织&系统&业务,“木桶效应”明显。

  2. 欺诈行为可以为欺诈者带来巨大的经济利益和物质回报,欺诈者是为了自己利益而战;而互联网反欺诈的从业人员往往是找一份工作拿一份工资,亏的反正是企业。

  3. 互联网黑产发展到今天,已经形成了分工明确的上下游产业链,互通有无,术业有专攻;而互联网反欺诈由于其特殊性,仍然相对割裂,同业间的交流仍然较少,意味着每个企业的反欺诈人员都是以一己之力对抗一个产业链。

  4. 对欺诈者而言,欺诈行为就是其“核心业务”,拥有最高的优先级,整个产业链“心往一处想、力往一处使”;而对于企业而言,互联网反欺诈只是其保障业务开展的众多职能中一个小小的组成部分,反欺诈工作的开展还需要平衡战略需要、业务需求、经济成本等诸多桎梏。

总结下来,互联网欺诈和反欺诈之间在资源投入、受重视程度、难易程度等方面的差异,使得互联网欺诈与反欺诈的这个无硝烟战场上,打的是一场非对称的战争

在这场战争中,反欺诈一方想要获取胜利,其难度不亚于美国打的反恐战争。因此,互联网反欺诈尤为需要有整体考量和统筹排兵布阵。


2 互联网反欺诈体系的构成

为了能够有效的管控互联网业务开展过程中的各类欺诈风险,一个完整的互联网反欺诈体系应当包含以下部分:


2.1 欺诈特征检测

欺诈特征检测是互联网反欺诈体系的基石,直接决定了互联网反欺诈体系的天花板。从欺诈特征数据的来源角度,欺诈特征检测又可以分为内部欺诈特征识别外部欺诈情报监测。

    内部欺诈特征识别,是指基于企业自行获取或外部对接的各类原始数据,对欺诈行为进行识别的过程。

    常见的内部欺诈特征识别可以分为四大类,根据发展的时间长短和成熟程度包括信誉库、专家规则、有监督机器学习、无监督机器学习

    内部欺诈特征的识别涉及技术广泛,需要长期的研究和积累,许多有实力的企业已经在此方面有了很多突破。目前市场上也有越来越多的反欺诈厂商提供各种类型的反欺诈数据和服务,对于互联网反欺诈体系建设处于起步阶段的企业而言也是一个不错的选择。


    外部威胁情报监测,是指通过互联网和线下的渠道,收集与企业相关的欺诈情报和线索,如羊毛口子、资料包装方法、风控规则和系统漏洞等。

    孙子曰“知己知彼,百战不殆”,互联网反欺诈体系需要时刻保持对黑产动态的关注,必要时需要深入黑产内部,了解和掌握黑产的最新套路和手段,拿到黑产动向的第一手资料,及时调整和完善自身的策略进行应对

2.2 欺诈风险处置

互联网反欺诈体系应当制定反欺诈策略和规则,明确对于欺诈风险的可接受水平和处置方式

在确立欺诈风险的可接受水平时,反欺诈团队应当与企业内部各业务部门进行充分的讨论和沟通,切忌单方面确定欺诈风险接受水平。

常见的欺诈风险处置手段包括:

  • 风险消除,对于无法控制和接受的欺诈风险,应当通过制定反欺诈策略或优化业务逻辑进行拦截和隔离;

  • 风险降低,对于无法消除的欺诈风险,应当采取措施,平衡业务体验和风险水平,降低风险级别,如二次验证(牺牲用户体验)、人工审核(增加用户等待时间)等;

  • 风险转移,通过引入第三方,分散和转移欺诈风险,如购买保险、合作商分担等;

  • 风险接受,对于可以带来收益大于损失的欺诈风险,应当予以接受。

再次重申,欺诈风险的处置应当综合考虑业务发展的需要,总体原则是实现业务收益和欺诈损失的平衡。

2.3 欺诈监控指标

反欺诈运营工作是互联网反欺诈体系的重要组成部分。互联网反欺诈体系应当建立起全面的欺诈监控指标,对于反欺诈体系的运转情况进行实时监控。

欺诈监控指标应当与互联网反欺诈的需求结合定制。常见的互联网反欺诈监控指标包括:

  • 业务类监控指标,侧重于对业务的进展情况进行实时的关注,如注册量、下单量、进件数、转化率等;

  • 策略类监控指标,侧重于对反欺诈策略和规则的触发情况进行实时关注,如反欺诈规则的拦截率、反欺诈的触发数等;

欺诈监控指标应当随着反欺诈体系的防护对象而及时调整,不同的业务类型如营销、信贷、支付的监控指标也各不相同。

2.4 欺诈调查

欺诈调查工作是互联网反欺诈体系必不可少的一环。从复杂的案例中抽丝剥茧提取欺诈特征、梳理欺诈路径也应当是每一位反欺诈人员的基本技能。

作为互联网反欺诈体系的组成部分之一,欺诈调查承担着验证反欺诈体系的有效性驱动反欺诈体系优化迭代两个重要作用。

欺诈调查工作包括事中和事后两种

  • 事中欺诈调查指在业务开展过程中将疑似欺诈行为冻结,转欺诈调查人员排除后方可继续进行;

  • 事后欺诈调查指对各渠道反馈回来的欺诈线索和案例进行人工调查和分析,对其中的欺诈行为进行认定,并用于对欺诈特征检测、欺诈风险处置和欺诈监控指标的效果评估;


互联网体系建设系列

 1 互联网反欺诈体系漫谈

 2 互联网反欺诈体系建设系列(I)——概述


关注互联网安全,欢迎关注分享


发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助