导语:互联网金融中风险欺诈的分类方式
工欲善其事,必先利其器。同样的,工欲反欺诈,必先知欺诈。那么什么是欺诈(Fraud/Cheat)?关于“欺”“诈”两字的含义,《说文》中采取互训的方式进行解释,《说文·欠部》:“欺,诈也”;《说文·言部》:“诈,欺也”;《汉典》中对欺诈的解释是“用狡诈的手段骗人”。在百度百科上对欺诈的定义是指以使人发生错误认识为目的的故意行为。而在《民法通则》及相关司法解释规定,“民事欺诈行为是指…故意告知对方虚假情况,或者故意隐瞒真实情况,诱使对方做出错误的表示的行为”。《布莱克法律辞典(Black Law Dictionary)》中的解释是:“欺诈是指故意歪曲事实,诱使他人依赖于该事实而失去属于自己的有价财产或放弃某项法律权利”。
所以无论是从欺诈这个词的来源来看,抑或是从欺诈的词语定义和国内外的法律解释上来看,欺诈行为的要素有两个:一个是错误认识,第二就是故意行为。欺诈行为认定看的是过程,而不是结果。
而在金融领域的欺诈,也是以故意歪曲或隐瞒事实而诱使对方发生错误认识为目的的故意行为,通常而言这种行为的目的是使欺诈者获利。金融领域中“资金就是生产资料”的这一特点使得欺诈者的非法获利变得更加容易获得。例如在信贷业务上,通过伪冒他人身份(歪曲事实)或隐藏欺诈者还款意愿为零这一事实(隐瞒事实)来诱使平台认为这个人愿意还款(错误认识)的行为是典型的欺诈,这就是最典型的骗贷。而在获取用户补贴的场景中,以通过伪冒他人身份(歪曲事实)或隐藏欺诈者真实身份(隐瞒事实)而诱使平台方误把这笔补贴发放到了真实客户手上(错误认知)的行为也是一种欺诈,这种欺诈行为也就是俗称的“薅羊毛”,而这里的欺诈者也叫“羊毛党”。
现在说说互联网金融领域里对于欺诈的第一种分类方式,就是按欺诈者来自于哪方作为分类依据,把欺诈分为第一方欺诈、第二方欺诈、第三方欺诈。
所谓第一方欺诈,就是欺诈者拿自己的真实身份来进行欺诈。这种也就是最近业内的一句名言“老子凭本事骗来的钱为啥要还”所说的欺诈。在某种程度上看这句话还真是话糙理不糙,因为这种“硬”骗都可以骗到钱,那说明平台的风险控制确实有很大的风险。但实际上各位细心的读者可能已经发现了,这种分类方法中的第一方欺诈其实从严格意义上来说不是严格符合“欺诈”定义的,因为这种行为虽然符合“故意行为”,但不是完全的“错误认识”:所谓的“欺诈者”用的是自己的真实身份,至少在这个最重要的身份信息上没有误导平台。
第二方欺诈,是指欺诈者来自于企业内部,一般是企业的员工或者渠道进行内部欺诈或者内外勾结欺诈。第二方欺诈实际上就是巴塞尔协议中操作风险中的内部欺诈。在国内对于第二方的概念会有些混淆,有人把“借用”亲戚朋友身份进行欺诈的行为定义为第二方欺诈,但实际上这是有问题的:如果被“借用”身份者在欺诈过程中知情并且分享收益,那其实就是第一方欺诈;而如果被“借用”身份者在这个过程里毫不知情那就可以归类到第三方欺诈中。简单的说,第二方欺诈就是“内”骗。
而第三方欺诈,欺诈者既不是来自于客户,也不是来自企业内部,而是来自于与上述两方都无关的第三方。如果在信贷场景里,欺诈者和名义借贷者毫无关系,第三方欺诈中名义借贷者的大量身份往往都是欺诈者通过黑色产业链购买来或者养起来的。这时的欺诈者其实也就变成了黑产大军中的一个链条,可以说是发展成了“团”骗。
众所周知,对欺诈行为进行防范的一个重要障碍就是欺诈难以标注,是通过贷后的表现来推断贷前的意图。那么在欺诈本身就难以标注的基础上,再对于欺诈中的一二三方进行比例的划分可能就更加难以准确判断。下图是今年9月底我在某集团网络金融事业群做培训时受培学员做出的主观判断,我做了简单加总,可能这个结果对大家具有一定的参考性。
针对这三种欺诈,有效的应对方式分别是什么?限于本文篇幅和主题在这里不做展开,只是简单阐述一下。以骗贷为例,针对第一方欺诈主要用黑名单,只要你一次当贼,我就认为你永远是贼。对于第二方欺诈,主要是加强内控,防止内部未授权的权限获取,在流程的设置上尽量做到风险分散,操作可追溯。而对于第三方欺诈,欺诈方已经进化成了具有高度分工、高对抗性、高智能化的职业欺诈团伙,就需要采用对抗性强、低侵入、性价比优的各种能力和技术,这时候的思路就是用人工智能来应对智能欺诈,用机器学习来应对机器欺诈。
下面介绍第二种对欺诈的分类方式,即从欺诈行为的得利方与损失方两方的性质来进行划分,同时借用前几年开始流行的B2C说法,分成C骗C、C骗B、B骗C、B骗B四种类型。
C骗C(个人骗个人),是人类历史最古老的行为。亚当和夏娃的大儿子该隐杀了他的弟弟亚伯,但是欺骗上帝说我不知道,这是有记录的第一次骗。从这开始,撒谎、欺骗和欺诈便成了人类历史中不可或缺的主角,在此就不一一赘述,有时间翻历史书就好了。C骗C在互联网金融里碰到的不多,即使是名义上的Peer-to-Peer(P2P),也很少有不兜底的平台方(Business),所以这里的C骗C实质上还是C骗B。
C骗B,就是个人骗平台。在互联网金融里就是前面提到的以欺诈方与名义借贷方分类方式中的第一方欺诈,欺诈的主体也就是得利方是个人,而损失方是平台。这里的欺诈不管硬骗还是软骗,都基本还是个人行为。
B骗C,也就是团伙骗个人。欺诈者升级成团伙,然后来降维打击“手无寸铁”的个人用户,欺诈者当然不会手下留情,一定会痛下杀手。尤其是近几年,随着金融业务的互联网化、移动终端的普及、个人信息的不断泄漏,冒充公检法/退税/网购退款的电话诈骗、信用卡盗刷、拖库撞库等欺诈案件层出不穷。一直到去年8月“徐玉玉事件”发生后,这类团伙欺诈已经由行业内的局部问题变成了公平正义和稳定的全社会问题,执法机关的打击力度也空前提高。但是在这里我们暂且抛开社会影响不谈,我们先回到法律和经济层面,“B骗C”类诈骗的责任方在欺诈团伙和个人(个人丢失信息或偏听偏信),损失方是个人,都与平台无关——或者说平台方承担的只是信誉损失,而非经济损失。当然还有一类,就是互联网理财平台的庞氏骗局,例如e租宝,得利方是平台,损失方是个人,也是一种B骗C。
如果说B骗C是社会关注的热点,那B骗B(团伙骗平台)绝对就是互联网金融从业者的痛点了。因为一方是高度专业化的欺诈团伙,另一方是高度技术化的互联网金融平台,按理说属于势均力敌,至少是半斤对八两,但事实真的是这样吗?很遗憾,我们看到的可能更多的是B(团伙)能够成功地骗到B(平台),攻防的力量从来都不对等,将来可能也不会对等。为什么呢?我们认为主要的原因有二:其一是术业有专攻,即使是互联网金融的老司机们,关注的点包括资金、营销、运营、政策、风控,而欺诈团伙只关注风控漏洞(俗称口子),会把所有的关注点和技术都倾泻在一个点上,这就是“压强原理”;其二也是最重要的,有人开玩笑说欺诈可能是技术最能直接转化成利润的行业,可能确实如此。马克思教导我们:“有50%的利润,它就铤而走险;有100%的利润,它就敢践踏一切人间法律…”。其实在我国对于诈骗的法律惩罚力度还是比较大的,3000元以上即可入刑,但欺诈团伙仍如过江之鲫、层出不穷,最核心的原因还是收益大、风险低,一体两面,对应的就是个人或者平台的损失大、防范措施固化并且有限。
对于这种分类方式,我们仍然很难来衡量各类欺诈造成的损失比例。对于企业端B而言,无论是C骗B还是B骗B都是不愿意看到的,但大家的共识是团伙欺诈越来越变成欺诈风险的主要来源。尤其各家会把自己的违约数据和欺诈信息作为自己的核心机密,我们更加难以窥探全貌,但在某海外上市的P2P企业财报上我们可以窥见一斑。在这家企业披露的2016年财报里,有一笔折合人民币8130万的损失是由一起“有组织欺诈事件”造成的,这次欺诈事件背后其实就是团伙摸清了宜人贷的信审策略,盗取了大量的假身份并且批量制作了相应的信用卡账单,然后在一个时间段内密集攻击平台,两周之内掳获将近1个亿。相应地这家P2P企业2016年的营收是32亿元,所以我们可以由此及彼地来大概估计一下这类B骗B欺诈的损失比例是在什么样的数量级上。
第三种分类方式,是从欺诈者什么时候获取非法收益来划分,可以分为首轮欺诈(first payment default)和余额欺诈(bust-out)。首轮欺诈,顾名思义就是放款之时就是欺诈之日,这种欺诈者最简单的判断规则就是首期失联;而余额欺诈则相反,欺诈者首期会按时还款,会选择在其他的时间点——通常是把额度提到一个相对高点再获利离场,这类欺诈在判断时会比首轮欺诈更加难以确定。
第四种分类,我们也可以从欺诈者的非法收益来自于哪个环节来进行分类,这种分类特指前面提的针对B端的欺诈而言。我们用一个简化的公式来说明互联网金融公司的利润:
单个客户的利润=贷款收益-资金成本-信用成本-获客成本-运营成本-税收成本
因此从欺诈收益来自于那部分成本来区分,互联网金融里的欺诈可以主要分为骗贷、刷量、羊毛党、虚假短信等类型。
骗贷,就是以欺骗借贷本金为目的的欺诈,其非法收益来自于信用成本中的风险成本。骗贷是欺诈者尤其是欺诈团伙近几年来越来越投入资源的主战场,原因是金融已经深度互联网化、大量资金涌入互联网金融而导致欺诈的收益上升,防范信贷欺诈方式的缺失和单一、法律上追责取证困难而导致的骗贷的实施成本和法律风险没有提升。大量互联网金融企业经过了多年血与火的磨练,付出了大量的成本,有很多用数据和技术筑起了一道高墙,这部分互金企业已经在墙内享受胜利果实;但也有更多的企业仍在摸索过程中,例如前面说到的某美国上市P2P公司是业界翘楚,仍然会被团伙欺诈者短期内骗走8130万。同样地,当银行从有抵押/担保、线下、大额为主的贷款的走向纯信用、线上、小额为主的利润丰厚的互联网金融领域时,由于能力的缺失往往就可能也会面临比较大的骗贷风险。
而羊毛党欺诈,看中的则是获客成本中的补贴。前几年移动互联网火爆时,这批羊毛党大军就在市场上兴风作浪,甚至在某种程度上羊毛党成为移动互联网繁荣的推手,与资本、互联网企业达成了一种默契和平衡,各取所需、各安其命。随着移动互联网盛宴上半场的落幕,各个行业已经形成事实上的垄断,各种补贴不像之前那么疯狂,并且各个巨头会积累了丰富的羊毛党防控经验,相应地羊毛党把注意力集中到了利润相对丰厚的金融领域。著名的案例就是某券商准备发放1000万的注册补贴,计划某日半夜12点钟活动开始,结果1点钟不到所有补贴全部告罄,而通过事后数据分析基本上这一千万全部落入了羊毛党的口袋。而当羊毛党伏击战告罄之后,真正需要用补贴拉动的客户基本还都在睡梦中,绝大多数都不知道竟然还有这次补贴活动。从此,这家券商把所有计划的用户补贴全部取消,而在用户拓展上一直无法找到更好的替代方式,陷入了两难境地。
刷量,欺诈获取的则是获客成本中的广告费。在线广告中,通常采用的计价方式有CPC(cost per click,按点击付费)、CPA(cost per action,按行为付费)、CPS(cost per sales,按销售付费),在CPC模式中由于是以点击量来进行广告费的计价与结算,因此广告主和流量之间的猫鼠游戏就此产生。可以用一句比较绕的话来总结刷量:我在掺假量,你知道我在掺假量,我也知道你知道我掺假量。所以在线广告界有句话,掺假量比较少的就是好流量。刷量每一笔只有很少的钱,但是这种广告的量特别巨大,所以给广告主带来的损失加起来也是个吓人的数字。
以上就是我们多年从事专业反欺诈中总结出来的一些理解和认识,从欺诈者的来源、欺诈者与被欺诈者的性质、欺诈者获利的时间点以及欺诈者获利的环节四个角度的分类做了比较粗略的阐述。如果从哲学角度来看,我们在试图阐述我(欺诈者)是谁、从哪里来、到哪里去的三个终极哲学问题。其中有参考其他成熟的分类方式,也有我们自己总结的个性分类方式,希望对读者认识新形势下的互联网金融欺诈有所帮助。如果说欺诈行为是个西瓜,我们相信可能永远无法完全了解清楚欺诈行为的方方面面,但如果我们能够从不同角度多砍几刀,看到的切面越多我们对这个西瓜就越了解。要想战胜敌人首先要了解敌人,对欺诈的前世今生越清楚,我们越能更好地防范欺诈。这也是本文写作的目的所在。
欺诈与反欺诈的魔道之争可能永远不会结束,在未来也必然会有新的欺诈手法和欺诈形式不断涌现。但我们也会永远执着于用技术手段帮助企业防范欺诈风险,因为我们如果能多防住一些欺诈,可能就会使更多的好用户能得到金融产品的支持。这样我们就可能会用我们的绵薄之力,让金融变得更加温暖。