笔记 《风控要略:互联网业务反欺诈之路》 马传磊 等

Posted hugeo-coala

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了笔记 《风控要略:互联网业务反欺诈之路》 马传磊 等相关的知识,希望对你有一定的参考价值。

备注

表示自己的话或者是分段标题

表示书中片段

开始

我们可以只依赖第三方风控吗?昂贵的金额只是一方面

业务安全真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险了防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果

在业务安全领域中和黑产的对抗,很大程度上是技术和资源的对抗。

了解业务安全的前世今生

从互联网诞生至2014年,互联网安全行业关注的热点基本都聚焦在网络安全、系统安全和应用安全这三大基础安全领域上。

2014年前后,随着互联网业务的爆炸式发展,黑产团伙开始从“攻击系统获利”的传统套路进化到“利用有任务风控缺失进行大规模牟利”的模式,并且逐渐形成规模庞大、分工明确的黑色产业链。一批新兴的乙方风控企业,则选择惠及更多的企业,将技术算法赋能给其他风控能力薄弱的互联网公司,共享黑产对抗成果。

在2014之后的几年时间里,互联网风控反欺诈阵营和黑产集团展开了波澜壮阔的鏖战,双方各有胜负。

公安部在2019年的“净网行动”对黑产生态进行了系统性的打击,黑色产业链在经历了5年多的野蛮发展之后,终于得到了有效的遏制。

联合风控会是业务安全的趋势吗?

据统计,国内黑产成员超过50万人,黑产团伙之间已经形成了相互分工、紧密合作的产业生态。由于企业之间信息和数据的割裂,欺诈分子往往能顺利游走于不同平台之间。

注册登录风控

从不同业务场景来看,注册登录场景中的风险占比是最高的,可以高达40%,因为对于绝大部分的业务流程来说,注册登录是所有后续业务的门槛。如果能在注册登录场景中做好风控,把绝大部分的黑产拒之门外,在后续的其他环节中,风险就会降低很多。

验证码

一般的短信验证码,通过猫池和管理软件配合就能自动读取出来,实现注册登录的自动化操作。为了对抗猫池,很多平台逐渐演变出了新型的验证码形式,例如语音验证码,或要求用户向指定号码发送一条验证码短信。

虚假号码:丧心病狂的“老人机团伙”

在虚假号码产业链中,有一些高技术的团伙在用一种特殊的方式提供手机接码的能力,当我们厘清他们的运作体系时,也对这些团伙的创造力和执行力感到惊叹,只是遗憾他们没有用到正途上。
“老人机团伙”拥有自己开发的手机rom系统,预植入了后门逻辑,然后与很多公司合作生产各种品牌的“老人机”。当手机插卡之后,rom中的后门就会通过短信的方式上报手机号,黑产用这些手机号注册各类网络平台账号,当验证码发到老人手机上时会被后门再次转发到黑产手中,使用者自己根本看不到这些短信,所以也无法觉察自己的手机被黑产使用了,只能从运营商的短信详单里发现端倪。
这种规模的黑产手机号一度超过1000万的量级,互联网厂商也无法验证这些手机号为黑号,因为即使打电话过去,不仅不是空号,并且有人接听。

情报

精易论坛是软件破解者和黑产工具的集中营,它具有各种封装好的破解库和现成工具线上担保交易。

群控

2017年,一批持有大量设备的群控中心推出了“云手机”服务。至此,群控进入SaaS时代,黑产不需要自建群控系统,就可以租到大量真实设备。

风险防控体系

终端风控层主要由设备指纹、生物探针和智能验证码构成、其中最重要的一环是设备指纹。唯一性与稳定性需要权衡。

生物探针和智能验证码虽然功能大体一致,但是使用场景有所区别,前者适用于全业务场景监测是否机器,后者适用于特定场景对抗机器批量行为。生物探针能够在应用后台自动识别人机,不影响用户交互,而只能验证码是一款有悖于用户交互体验的产品。

风险态势感知系统侧重于宏观的系统分析。其核心功能是感知、展示和预测整个业务体系的风险事件变化趋势。当风险决策结果发生非预期的波动时,运营人员就必须人工分析策略漏杀、误杀的情况。

数据画像层包括黑产攻击事件、黑手机号名单、IP画像、设备画像、黑产使用的手机号、IP、手机设备等资源是相对有限的,会重复用于针对各个不同互联网平台的攻击活动。在为多个客户提供SaaS防控的过程中,沉淀黑产风险数据形成画像体系是一个非常有效的“联防联控”技术手段。

欺诈情报体系作为贯彻整个流程的重要子系统,为整体的防控效果提供了“攻击者视角”的能力补充和评估。通过对黑产社区的监控、黑产动态的追踪和自动化分析研判,欺诈情报体系能够快速感知到防护体系中的弱点,驱动风控运营人员进行针对性的优化。黑产的攻击方式是不断变化的,防控策略也需要不断升级。

设备指纹

风控行业对设备的定义是指用户和业务系统交互的载体,可以是一个浏览器、一步手机,也可以是一个微信小程序。

在互联网反欺诈对抗中,设备ID类规则是防刷单、防薅羊毛、虚假设备识别、反爬虫、账号安全等场景的核心规则。

根据国家法律要求,设备指纹在生成设备ID的过程中,不能使用用户的个人隐私信息,如通讯录、短信、手机号和通话记录都是不可触碰的数据。尽管这些数据有非常强的唯一性,可以有效地提高设备指纹的准确性。

生物探针

人和人,人和机器的行为都是不一样的,所以生物探针可以用来判断当前是机器还是人类,以及是不是本人

生物探针通过采集用户使用智能终端时的传感器数据(加速度计、陀螺仪、重力加速度计、磁场传感器)和屏幕轨迹数据,为每一位用户建立多维度的生物行为特征模型,生成用户专属画像进行人机识别、本人识别。

生物探针相较其他用户认证方式,主要优势如下:

  • 用户无感知
  • 可持续在线验证
  • 用户行为习惯不易窃取和仿冒
  • 安全合规

生物探针的缺点是采集上报的数据包比较大,容易受网络波动影响,未来可以通过终端智能计算、5G边缘计算解决网络传输带来的问题。

智能验证码

CAPTCHA(Completely Automated Public Turing Test to Tell Computers And Human Apart)全自动区分计算机和人类的图灵测试。

打码平台聚集了大量想在网上赚钱的劳工。攻击者拿到验证码图片后,上传给打码平台、打码平台会把图片下发给这些劳工,由他们来解答,然后把正确答案返回。
由于打码平台的存在,验证码的图片到底是什么类型,已经变得不再重要了。因为我们对抗的不是机器,而是真实的人类。这样的话,图灵测试就完全失去了它的意义。

google的reCaptcha是一种方案,用户界面非常友好,它可以被认为是当前比较先进的验证码,它拥有强大的人机识别算法。

在攻击者获取验证图片的这个步骤前,我们也增加了门槛。每张图片从后端传输到前段的过程中都是经过切割打乱处理的,所以攻击者无法通过抓包的方式直接拿到最终展示给用户的图片。

海量数据的实时指标计算

在对业务事件的实时风险决策判断中,无论是基于专家规则还是风控模型,都需要依赖对一定时间范围数据进行回溯加工的变量,这些变量称为指标。

在风控反欺诈业务中,为了实时进行业务事件的风险判断,要求指标计算延迟非常低,一般在毫秒或者几十毫秒级别。这里低延迟包含两个维度:一个维度是最新的事件被指标统计在内的延迟,另一个维度是计算结果的响应时间延迟。

  • 基于数据库SQL的计算方案
  • 基于事件驱动的计算方案
  • 基于实时计算框架的计算方案
风险态势感知

发现漏杀和误杀

  • 专家水平有差异,可能给黑产留下可乘之机
  • 黑产攻击手法多变
  • 运营人员操作风险
  • 产品和系统Bug

从上面的综述可以看出反欺诈体系建设中的风险预警的重要性:如何快速发现现有风控系统的防御盲区,预警随着线上已经逐渐失效的风控策略

  • 基于统计分析
    – 核心风控指标数据:调用量,拒绝率啥的
    – 核心业务数据:交易金额同比环比,退货率,地域分布,类目分布,营销优惠券使用情况
  • 基于无监督学习
  • 基于欺诈情报
    – 当业务系统发生业务漏洞,无法防控黑产,被黑产利用时,黑产往往会通过论坛、社交网站、社交软件等方式进行讨论和分享。
名单体系

业内曾经有这样一个观点:第一代风控系统基于名单数据,第二代风控系统基于规则,第三代风控系统基于机器学习。姑且不论这种观点的准确性,至少说明了风险数据名单确实是一种有效的风险控制手段。它不能100%解决业务风险,但相比其他风控技术手段而言,它的性价比比较高。

注意名单投毒导致的客诉

欺诈情报体系

我们把欺诈情报分为三大类:技术情报、数据情报和事件情报

- 技术情报: 学习黑产技术和工具
- 数据情报:名单,订单找商户
- 事件情报:已经发生,正在发生或者即将发生的信息

以上是关于笔记 《风控要略:互联网业务反欺诈之路》 马传磊 等的主要内容,如果未能解决你的问题,请参考以下文章

信贷的模式

flink:风控/反欺诈检测系统案例研究1,2,3

flink:风控/反欺诈检测系统案例研究1,2,3

flink:风控/反欺诈检测系统案例研究1,2,3

flink:风控/反欺诈检测系统案例研究1,2,3

中原银行实时风控体系建设实践