VSRC感谢业界小伙伴——独孤qiu败投稿精品原创类文章,对互联网黑灰产有兴趣以及对风控体系策略设计有兴趣的同学欢迎加作者微信号 duguqiubaiwp 共同交流!
对于电商行业的风控而言,一个不懂业务的产品经理不是一个好产品。
着实,想要做好一个好的风控产品经理,对于风控业务知识的理解必须得足够深刻,才能在业务需求的基础上做到更深层次的产品设计。
之前写了几篇与风控业务相关的文章,但毕竟是产品经理出身,对于业务的理解仅仅是作为一个风控产品经理的前提,不管做什么都脱离不了一个PM的本质核心:项目推动、流程设计、进度把控。
电商行业的风控尤其如此,与所在行业、所在公司、所在产品线的特征等息息相关。在电商行业当中,因为支付渠道的多样化,有很多的支付渠道出现盗刷之后需要电商企业自行赔付的,因此这块的损失也是个大头,深耕电商行业,支付风控也是重点。
但是,电商行业的支付风控不是简简单单买一套系统、配上规则策略就可以实现的,时至今日我还是依然很反感购买第三方系统来搭建风控体系,这大大的禁锢了风控可能的边界,虽然大家都认为购买的这套系统是暂时的临时应急措施,但是很明显随着第三方系统与业务的耦合程度越来越高,大量的开发工作依赖于这套系统,替换成本越来越高也不会有人去提起这件事。
支付风控的实现与系统和运营都是密不可分的,因此这里以下都是用体系=系统+运营来表达。所谓风控的目的,无外乎就是你把你的地势(风控门槛)抬高了,就把脏水排到别人家去,你不去抬高自己的地势,脏水就会到你家来~~~
电商行业支付风控体系的现状
支付环节风控规则简单
目前支付在现有渠道上安插部分支付风控规则,但是因为支付能够拿到的数据字段有限、规则引擎并发处理能力较弱,所以可配置的规则模式也较为简单。
缺乏大量字段数据的支撑,很难做到对现有交易欺诈案件的核查以及更进一步凝练新的有效的交易规则,这不适应于当前支付风控这种需要不断迭代更新的规则策略生态集。
交易后风控止损能力弱,管控措施不及时,预警机制不足
现有的管控手段除了直拒之外,都是在做事后风控,而事后风控哪怕发现风险也没办法及时止损,因此现有的模式下,交易风控的止损能力十分薄弱。
而目前的风控系统可选择的管控措施也不及时,如不能快速对可疑维度做及时的管控。
可用支付方式不断缩减
在当前不断恶化的欺诈形势下,收银台已经不断缩减用户可见的支付方式,部分易出现损失的支付方式已经被关闭,而这些支付方式是很多客户常用的支付方式。支付方式较少,客户支付体验也较差。
电商支付风控系统设计的目标
足够高效、精确、灵活的规则策略集
通过跨部门的数据采集及后续数据的不断扩充,完成电商网站内部数据集市的搭建工作。通过丰富的识别字段、技术措施以及规则引擎,能够对欺诈案件提供一套行之有效的防范手段。
快速管控、及时止损
通过风控系统在关键节点的介入,对高风险交易能够做到及时预警,在交易中完成交易的定性,识别欺诈案件并做到及时止损。
拓展现有的支付方式
拓宽现有的支付方式,做到在同类竞品网站中能够实现的支付方式在电商网站均可完成支付,并做到良好的风险控制。
不断降低用户负面感知体验和人工运营成本
在后续的项目过程中,不断地提升风控模块的功能性拓展,使风控尽可能的做在绝大多数用户感知不到的节点;另外,通过不同节点的分流,不断降低人工运营的成本。
去年下半年以来,随着国家公安系统对支付盗刷的打击,各大电商网站的支付盗刷情况大大好转,似乎已经偃旗息鼓,各个公司的支付风控团队似乎也处于较为轻松的状态,
但是年后以来尤其近两个月,有多家支付渠道被黑产重点盯上,尤其是今年重点着力推广对抗支付宝和微信的某联,近期的盗刷压力应该非常大。
另外,最近两年各种风控研讨会都开始必谈大谈机器学习建模,但是机器学习的本质只是规则的一种实现方式而已,其应用在生产环境中必须依赖于一套强有力的风控体系。
姑且不论机器学习在电商行业支付风控领域的效果如何,电商行业的支付场景复杂是否能够得到契合业务场景和运营需要的规则需要质疑,
单单机器学习所需要的坏样本的量级和时间周期也不是一个电商企业能够承受的,所以依赖机器学习在电商行业支付风控领域的应用短期来看还稍显局促。
不过不论如何,一套完善的风控体系是不管机器学习还是专家规则的实现方式的必要载体。
就我过去浅显的工作经验,我接触到的企业的支付风控体系的设计可以分为以下几大类:
非人工事中介入的支付风控体系(直拒类)
这一块的风控体系非常简单简单粗暴,适合高并发大量小金额的场景交易,该类型企业的盗刷现象并不严重,只需要依赖于该系统结合一些偶发性的支付盗刷案件针对性的制定针对性的阻断规则即可,这一块也适合初涉支付风控领域的电商企业试水,通过前台适当的提示性展示,将用户引导至第三方支付渠道从而转嫁高风险交易。
目前使用这种支付风控体系设计的企业已经比较少,一般来说都是支付风控做的不怎么样的企业,要么技术不行要么运营不行,以牺牲一定的用户体验来实现风险控制的目的,在一定阶段是有一定的适用性的。
人工事中介入的支付风控体系
在发展到一定阶段,支付风控模块在前期的基础上已经遇到了一些瓶颈,直拒类规则带来的误杀会引来大量客诉,支付成功率的下降也对支付部门的考核带来一定压力,另外,大金额低并发量的电商企业对于误杀的容忍度更低,因此随着业务的发展,对支付风控体系的精细化运营诉求也不断成了发展的瓶颈,目前业内的电商企业很多都引入了人工事中介入的运营机制。
各家产品线特征不同,公司所处环境也不同,因此很难说哪种支付方式和处理预案是合适的,只能说平衡各方利益之后的方案才是最适合的。人工事中介入的支付风控体系比较灵活,也是可以不断开拓创新的地方,不过总的来说,常见的处理框架如下图:
不过结合着支付渠道的不同也会有不同的处理方案。常见的主要见以下两种:
扣款前支付风控体系
扣款前就可以执行风控规则的主要是指使用CVV的moto交易,扣款权在电商网站这边,即电商网站可以拿到CVV主动去银行扣款。这种支付方式用户支付体验极好但是风险极高,对于电商网站的风控运营体系有着比较高的要求,主要常见于OTA行业,类似的支付方式银行基本已经不再开放通道了。
对于这种类型的支付渠道,用户的支付信息触发风控规则之后风控系统可以无限期挂起(当然还要取决于用户体验和前端订单的占位时间,理论上可以无限期挂起),等到有足够的人工确认风险之后可以采用放行交易,由电商网站去银行发起扣款。
扣款后支付风控体系
扣款后的支付风控体系主要指近期非常流行的快捷、网银支付等,扣款权在银行,银行扣完款之后通知电商网站是否支付成功,对于电商网站来说,这种支付方式一般使用事后的风控体系,主要是由于用户输入短信验证码的时间有限,一般来说快捷支付的短信验证码只有5分钟有效期,如果用户输入短信验证码触发风控规则之后电商网站不向银行发起扣款请求,电商网站只有5分钟的时间判定是否存在风险。但是对于这种事后监控的风控体系,五分钟的时间肯定是远远不够的,因此对于这种支付方式主要还是采用事后的风控体系。
用户输入支付信息之后先去银行发起快捷扣款请求,再去调用风控系统,如果没有触发规则,那么则由支付通知订单系统发起订单支付成功通知。如果触发规则,则由风控系统挂起,支付通知订单系统等等,由风控人工来排查,如果放行则走第一步通知流程,如果拒绝交易则通知支付走退款流程。
当然结合各个电商网站的产品特性不同,则由不同的处理方案,比如需要发货的实物产品、话费等虚拟产品、火车票机票等有占位时限的特殊产品等等。对于不同的产品特性,结合各个公司对于风险的承受能力,则会有不同的处理方案和应对策略。
当然这其中还要涉及到外卡交易的问题,很多国际化的电商平台都支持visa 或者AE的外卡支付,对于外卡来说损失率会远远高于内卡,但是企业平台的特性需要必须得开通外卡支付,那么这个时候可能就需要接一些外卡的风控平台,比如RED或者CYbersouce等,针对返回的不同code,把处理流程封装在支付风控系统的架构内,也需要花一些精力去实现。
市面上已存在的改进方案
对于前面两种支付风控体系的方案,流程上的最大弊端在于用户在提交支付之后有可能会被拒绝支付发起扣款流程,这样的用户体验就很差。被拒绝支付的交易可能会有相当一部分的好订单,而针对这些客户而言,等他再次发起支付时可能火车票已经无座或者机票已经涨价了,这样的客户体验损失是难以弥补的。
因此针对此,市面上已经有相当一部分大型电商平台尝试着做一些支付体验的优化方案。最常见的方案是在收银台渲染环节,用户在跳转收银台渲染的时候由收银台调用风控系统判断是否可以展示高危渠道。
目前业内了解到业内小狮子和小海豚两家公司已经采用了类似的方案,其实对于有信贷类支付产品的电商网站而言这种方案更合适不过了,因为用户在开通虚拟信用卡的时候其身份信息已经拿到,等于其支付环节数据在一开始就可以获取到,因此在跳转收银台支付渲染的时候可以调用完整的支付风控规则来判定是否存在盗刷或者骗贷风险以进一步决定是否可以展示这种信贷类支付渠道。
可能的优化方案
支付风控,不可避免的都会对用户体验造成一定损伤,要么支付失败、要么可选支付渠道较少,对于企业而言,引导客户去渠道费率较高的第三方支付也不符合企业的利益,因此确实很难去达到一个很好地平衡。
对于支付风控体系的设计,我相信还有很多的优化方案。对于电商企业而言,所谓高危用户的本质就是用户提供的证据不足以证明“我就是本人”,而不论短信验证码、CVV等等都是证明自己是自己的证据,只是这个证据目前来看已然不是很充分。
我相信很多人的卡信息已经在暗网上泄露出来了,花钱可能就能购买一份非常齐全的用户资料然后刷卡消费。因此对于这么严峻的诈骗盗刷形势,是否还有其他证据可以让用户来证明自己是本人呢?这个问题很多企业已经尝试在做了,比如淘宝在登录的时候对于高危登录行为需要你输入你近期购买过的物品,对于撞库和盗号而言,这也是一个非常强有力的证据证明自己是本人,当然这避免不了熟人作案~~~
最近因为工作关系,接触到了很多外部的征信数据,也让我的视角可以不断的扩延开,对于纠缠了我很久的问题似乎也有了可能的解决方案。
征信数据的存在是为了辅助信贷机构对于用户的身份信息、信用信息等进行审核,主要是用于信贷行为。但是是否有可能将二者结合起来使用?
对于调用外部征信渠道的用户,如果用户能够正确回答特定的问题就可以比较好的证明用户即本人。因为虽然个人信息目前在网上基本已经被泄露的一干二净,但是所谓的黑产还是术业有专攻的,盗刷类的黑产手里面的用户个人数据多以卡数据为主,如果在电商网站上的支付者可以提供其他方面的信息,可以基本排除盗刷风险。当然对于没办法验证的信息可以适时转入人工处理。
如果这种方案有效的话,对于前面几种支付风控架构方案的弊端算是个很好的补充,用户可以实时证明自己,高危支付行为不需要等待即可完成确认,避免误伤行为;对于企业而言也不需要引导客户进入高费率渠道,节约企业的经营成本;企业的风控团队也可以节约大量使用人工介入的成本,提高了经营效率。
那现在重点来了,调用外部征信渠道的时候,哪些问题可能是确信有效且覆盖面广的呢?确信有效自不必说,覆盖面广也是为了节约足够的对接成本。我也考虑了一些,当然是否有效也需要数据验证
实时芝麻信用分
芝麻信用分目前应该覆盖了几亿人群,这几亿人群与在电商网站在线支付的人群是高度重合的,所以应该大部分可以用。对于能够实时提供实时芝麻信用分的人群应该可以重点认为是低危人群,目前蚂蚁金服已开放了相关服务,能否对接还依赖于用户授权和法务问题
驾照号及有效期
驾照目前应该覆盖了四亿人群,对于能够正确输入驾照号和有效期基本应该可以确信为本人。目前市面上也有相关的征信服务公司提供相关服务
父母的出生年月
对于该问题,目前市面上也有部分公司能够提供,只要能够回答该问题,也基本上可以排除陌生人作案,当然不排除熟悉的人作案手法,当然这就另当别论了。
以上各种问题可以随机展示给触发规则的用户,之所以有以上的认知是基于认为支付类的黑产手里面没有这些信息,当然我相信只要想搞也是能够搞到的,但是这会大大的提高支付黑产的门槛,然后市面上这么多电商网站,自然而然他就会去其他风控措施不严的网站了。
就跟前面说的一样吧,所谓风控的目的,无外乎就是你把你的地势抬高了,脏水排到别人家去,你不去抬高自己的地势,脏水就会到你家来。
当然使用以上的方案还有一些可能的问题需要评估
用户感知体验的问题:对于输入自己的隐私信息很多人都是很敏感的,所以对于这些敏感客户可能还是需要走正常的人工介入的流程。这方面是否会带来客诉等可能需要有足够友好的文案提示、客服介入等手段
法律合规监管问题:对于以上需要调用外部征信渠道数据的问题,是否符合网络安全法规定,是否能够满足合规监管规定,这方面我没有去尝试过,所以也有待进一步的核实。
不过不管怎样,我相信支付风控体系的架构可能还会有很多更好的创新方案,可能由于我眼界的不够宽阔,相信将其他领域的很多方案与支付风控体系设计整合起来会有很多不错的点子,希望后续可以不断挖掘吧。
【本文由唯品会安全应急响应中心入驻安全脉搏专栏账号发布 文章作者:独孤qiu败 转载注明来源安全脉搏】