笔记 《风控要略：互联网业务反欺诈之路》 马传磊 等

Posted 2021-10-25 hugeo-coala

备注

表示自己的话或者是分段标题

表示书中片段

开始

我们可以只依赖第三方风控吗？昂贵的金额只是一方面

业务安全真正力量是内生的，专业的安全风控公司可以提供工具、平台和策略建议，但是只有业务方真正理解风险了防控思路，才能在与黑产的对抗中设计好业务规则、运营好安全策略，取得较好的效果

在业务安全领域中和黑产的对抗，很大程度上是技术和资源的对抗。

了解业务安全的前世今生

从互联网诞生至2014年，互联网安全行业关注的热点基本都聚焦在网络安全、系统安全和应用安全这三大基础安全领域上。

2014年前后，随着互联网业务的爆炸式发展，黑产团伙开始从“攻击系统获利”的传统套路进化到“利用有任务风控缺失进行大规模牟利”的模式，并且逐渐形成规模庞大、分工明确的黑色产业链。一批新兴的乙方风控企业，则选择惠及更多的企业，将技术算法赋能给其他风控能力薄弱的互联网公司，共享黑产对抗成果。

在2014之后的几年时间里，互联网风控反欺诈阵营和黑产集团展开了波澜壮阔的鏖战，双方各有胜负。

公安部在2019年的“净网行动”对黑产生态进行了系统性的打击，黑色产业链在经历了5年多的野蛮发展之后，终于得到了有效的遏制。

联合风控会是业务安全的趋势吗？

据统计，国内黑产成员超过50万人，黑产团伙之间已经形成了相互分工、紧密合作的产业生态。由于企业之间信息和数据的割裂，欺诈分子往往能顺利游走于不同平台之间。

注册登录风控

从不同业务场景来看，注册登录场景中的风险占比是最高的，可以高达40%，因为对于绝大部分的业务流程来说，注册登录是所有后续业务的门槛。如果能在注册登录场景中做好风控，把绝大部分的黑产拒之门外，在后续的其他环节中，风险就会降低很多。

验证码

一般的短信验证码，通过猫池和管理软件配合就能自动读取出来，实现注册登录的自动化操作。为了对抗猫池，很多平台逐渐演变出了新型的验证码形式，例如语音验证码，或要求用户向指定号码发送一条验证码短信。

虚假号码：丧心病狂的“老人机团伙”

在虚假号码产业链中，有一些高技术的团伙在用一种特殊的方式提供手机接码的能力，当我们厘清他们的运作体系时，也对这些团伙的创造力和执行力感到惊叹，只是遗憾他们没有用到正途上。
“老人机团伙”拥有自己开发的手机rom系统，预植入了后门逻辑，然后与很多公司合作生产各种品牌的“老人机”。当手机插卡之后，rom中的后门就会通过短信的方式上报手机号，黑产用这些手机号注册各类网络平台账号，当验证码发到老人手机上时会被后门再次转发到黑产手中，使用者自己根本看不到这些短信，所以也无法觉察自己的手机被黑产使用了，只能从运营商的短信详单里发现端倪。
这种规模的黑产手机号一度超过1000万的量级，互联网厂商也无法验证这些手机号为黑号，因为即使打电话过去，不仅不是空号，并且有人接听。

情报

精易论坛是软件破解者和黑产工具的集中营，它具有各种封装好的破解库和现成工具线上担保交易。

群控

2017年，一批持有大量设备的群控中心推出了“云手机”服务。至此，群控进入SaaS时代，黑产不需要自建群控系统，就可以租到大量真实设备。

风险防控体系

终端风控层主要由设备指纹、生物探针和智能验证码构成、其中最重要的一环是设备指纹。唯一性与稳定性需要权衡。

生物探针和智能验证码虽然功能大体一致，但是使用场景有所区别，前者适用于全业务场景监测是否机器，后者适用于特定场景对抗机器批量行为。生物探针能够在应用后台自动识别人机，不影响用户交互，而只能验证码是一款有悖于用户交互体验的产品。

风险态势感知系统侧重于宏观的系统分析。其核心功能是感知、展示和预测整个业务体系的风险事件变化趋势。当风险决策结果发生非预期的波动时，运营人员就必须人工分析策略漏杀、误杀的情况。

数据画像层包括黑产攻击事件、黑手机号名单、IP画像、设备画像、黑产使用的手机号、IP、手机设备等资源是相对有限的，会重复用于针对各个不同互联网平台的攻击活动。在为多个客户提供SaaS防控的过程中，沉淀黑产风险数据形成画像体系是一个非常有效的“联防联控”技术手段。

欺诈情报体系作为贯彻整个流程的重要子系统，为整体的防控效果提供了“攻击者视角”的能力补充和评估。通过对黑产社区的监控、黑产动态的追踪和自动化分析研判，欺诈情报体系能够快速感知到防护体系中的弱点，驱动风控运营人员进行针对性的优化。黑产的攻击方式是不断变化的，防控策略也需要不断升级。

设备指纹

风控行业对设备的定义是指用户和业务系统交互的载体，可以是一个浏览器、一步手机，也可以是一个微信小程序。

在互联网反欺诈对抗中，设备ID类规则是防刷单、防薅羊毛、虚假设备识别、反爬虫、账号安全等场景的核心规则。

根据国家法律要求，设备指纹在生成设备ID的过程中，不能使用用户的个人隐私信息，如通讯录、短信、手机号和通话记录都是不可触碰的数据。尽管这些数据有非常强的唯一性，可以有效地提高设备指纹的准确性。

生物探针

人和人，人和机器的行为都是不一样的，所以生物探针可以用来判断当前是机器还是人类，以及是不是本人

生物探针通过采集用户使用智能终端时的传感器数据（加速度计、陀螺仪、重力加速度计、磁场传感器）和屏幕轨迹数据，为每一位用户建立多维度的生物行为特征模型，生成用户专属画像进行人机识别、本人识别。

生物探针相较其他用户认证方式，主要优势如下：

• 用户无感知
• 可持续在线验证
• 用户行为习惯不易窃取和仿冒
• 安全合规

生物探针的缺点是采集上报的数据包比较大，容易受网络波动影响，未来可以通过终端智能计算、5G边缘计算解决网络传输带来的问题。

智能验证码

CAPTCHA（Completely Automated Public Turing Test to Tell Computers And Human Apart）全自动区分计算机和人类的图灵测试。

打码平台聚集了大量想在网上赚钱的劳工。攻击者拿到验证码图片后，上传给打码平台、打码平台会把图片下发给这些劳工，由他们来解答，然后把正确答案返回。
由于打码平台的存在，验证码的图片到底是什么类型，已经变得不再重要了。因为我们对抗的不是机器，而是真实的人类。这样的话，图灵测试就完全失去了它的意义。

google的reCaptcha是一种方案，用户界面非常友好，它可以被认为是当前比较先进的验证码，它拥有强大的人机识别算法。

在攻击者获取验证图片的这个步骤前，我们也增加了门槛。每张图片从后端传输到前段的过程中都是经过切割打乱处理的，所以攻击者无法通过抓包的方式直接拿到最终展示给用户的图片。

海量数据的实时指标计算

在对业务事件的实时风险决策判断中，无论是基于专家规则还是风控模型，都需要依赖对一定时间范围数据进行回溯加工的变量，这些变量称为指标。

在风控反欺诈业务中，为了实时进行业务事件的风险判断，要求指标计算延迟非常低，一般在毫秒或者几十毫秒级别。这里低延迟包含两个维度：一个维度是最新的事件被指标统计在内的延迟，另一个维度是计算结果的响应时间延迟。

• 基于数据库SQL的计算方案
• 基于事件驱动的计算方案
• 基于实时计算框架的计算方案

风险态势感知

发现漏杀和误杀

• 专家水平有差异，可能给黑产留下可乘之机
• 黑产攻击手法多变
• 运营人员操作风险
• 产品和系统Bug

从上面的综述可以看出反欺诈体系建设中的风险预警的重要性：如何快速发现现有风控系统的防御盲区，预警随着线上已经逐渐失效的风控策略

• 基于统计分析
  – 核心风控指标数据：调用量，拒绝率啥的
  – 核心业务数据：交易金额同比环比，退货率，地域分布，类目分布，营销优惠券使用情况
• 基于无监督学习
• 基于欺诈情报
  – 当业务系统发生业务漏洞，无法防控黑产，被黑产利用时，黑产往往会通过论坛、社交网站、社交软件等方式进行讨论和分享。

名单体系

业内曾经有这样一个观点：第一代风控系统基于名单数据，第二代风控系统基于规则，第三代风控系统基于机器学习。姑且不论这种观点的准确性，至少说明了风险数据名单确实是一种有效的风险控制手段。它不能100%解决业务风险，但相比其他风控技术手段而言，它的性价比比较高。

注意名单投毒导致的客诉

欺诈情报体系

我们把欺诈情报分为三大类：技术情报、数据情报和事件情报

- 技术情报： 学习黑产技术和工具
- 数据情报：名单，订单找商户
- 事件情报：已经发生，正在发生或者即将发生的信息