最近看了一些支付风控方面的文章,顺便了解一下支付风控的流程,于是将看的几篇文章整理了一下,写了这篇笔记。对于这块本人非专业人士,如有理解不当的地方请多多指正
最近看了一些支付风控方面的文章,顺便了解一下支付风控的流程,于是将看的几篇文章整理了一下,写了这篇笔记。对于这块本人非专业人士,如有理解不当的地方请多多指正。
1、支付风险类型2、支付风控流程3、支付宝风控策略4、参考文章
支付风险主要需要防范一下几种类型的风险:
账户风险是指黑客通过技术手段攻破服务器系统,修改账户数据,并可能导致的损失。 对于传统金融系统,行业标准要求通过专线进行网络连接,和互联网网络进行隔离,最大程度降低账户风险。对于第三方支付系统,一般通过互联网连接,需要建立严密的技术防范机制,避免黑客的攻破。
支付的交易风险主要是交易过程中的各种恶意行为,主要是指欺诈和刷单等行为,欺诈一般指盗用用户身份进行交易,刷单一般指商户为了获取补贴,信誉等行为恶意刷单。 对于欺诈的风险,一般通过交易数据分析,建立大数据模式,获取到交易的异常行为,比如异地交易,超额度交易等,并通过增强验证的方式,降低欺诈交易的成功可能性。欺诈交易一般发生在信用卡领域,通过信用卡线上三要素交易或者线下签名交易,无验证密码机制,容易出现欺诈的情况。根据欺诈的具体案例,资金损失可能由用户,商户,发卡行,或者收单行承担。针对恶意刷单情况,可以通过数据分析,识别用户多次同店交易,或者用户关联关系,防止刷单的风险。一般刷单行为有如下特征:
资金风险指的是二清单位或者支付机构挪用沉淀资金的风险,导致商户资金损失的情况。 沉淀资金主要有两种形式:
沉淀资金是客户的钱,支付公司不能挪用。支付公司可以获得沉淀资金的利息收益,但是不能够用这个资金来进行投资或者公司内部的消费。监管层面严格打击二清或者挪用沉淀资金情况,金融机构或者支付公司需要直接与商户清算,按照监管要求将沉淀资金缴纳在指定账户中。
合规风险是指金融机构或者支付公司在开展业务时,未遵照当地法律法规的要求,导致可能出现的制裁风险。比如在开展跨境汇款业务时,需要交易报备外管局,按照每人每年5万美金结售汇额度,不得使用资金池直接调拨,不能还原用户交易明细情况,否则可能被停止跨境支付牌照。 金融机构或者支付企业需要认知学习和践行当地的法律法规,及时与监管层面沟通汇报,并在允许的范围内开展业务。
洗钱风险是指通过将黑钱洗成合法收入的风险,洗钱滋生犯罪,被各国监管层面严格打击。第三方支付目前成为洗钱的重灾区。主要手段包括:通过一些第三方支付平台发行的商户POS机虚构交易套现;将诈骗得手的资金转移到第三方支付平台账户,在线购买游戏点卡、比特币、手机充值卡等物品,再转卖套现;利用第三方支付平台转账功能,将赃款在银行账户和第三方支付平台之间多次切换,使得公安机关无法及时查询资金流向,逃避打击。 规避洗钱风险需要建立KYC机制,开户时候识别和留存用户身份,并在支付系统建立风控模型,识别并拒绝洗钱交易。另外,需要对于大额交易按规定上报监管。
套现风险指商户违规帮助用户进行信用卡套现,导致可能出现发卡行资金损失情况。我国法律明确禁止使用信用卡套现,使用信用卡套现是违法的。但是在线支付系统中,使用信用卡进行套现,几乎是不需要成本的。 信用卡套现的手段也很多,一般是通过客户和商家的勾结来完成,比如:
规避套现风险需要金融机构和支付企业对于商户交易数据监控,建立风控模式,对于信贷比异常的商户进行调查或者用户刷卡关联关系,识别并降低新用户卡盗刷情况。
支付风控涉及到多方面的内容,包括反洗钱、反欺诈、客户风险等级分类管理等。 其中最核心的功能在于对实时交易进行风险评估,或者说是欺诈检测。如果这个交易的风险太高,则会执行拦截。由于反欺诈检测是在交易时实时进行的,在要求不能误拦截的同时,还有用户体验上的要求,即不能占用太多时间,一般要求风控操作必须控制在100ms以内,对于交易量大的业务,10ms甚至更低的性能要求都是必须的。 目前主流的风险等级划分有三种方式, 三等级、四等级、五等级。
常见的规则有:
规则引擎存在的问题:
1.一刀切,容易被薅羊毛的人嗅探到。比如规则规定超过5000元就进行拦截,那羊毛号会把订单拆分成4999元来做。 一天限制10笔,那就薅到9笔就停手了。
2.规则冲突问题。当一笔交易命中IP白名单和额度黑名单的时候应该如何处理?规则引擎看起来简单,但也是最实用的一类模型。 它是其它风控模型的基础。实践中,首先使用已知的规则来发现存在问题的交易,人工识别交易的风险等级后,把这些交易作为其它有监督学习的训练数据集。
在各种支付风控模型中,决策树模式是相对比较简单易用的模型。当有一笔交易发生时,我们使用决策树来判断这笔交易是否是高风险交易。
该模型为参考《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》编制,仅具参考意义。
网上能找到的介绍支付宝风险策略的一些内容,拼凑了一下,内容可能会比较古老。 支付宝产品体系中有一个叫CTU的风控大脑,现已升级为AlphaRisk,会根据策略对交易进行风险进行打分,区间在0-1。当交易风险大于0.93时,将会直接拒绝交易。风险程度高的时候,支付宝会要求进行二次校验,来判定是否账户本人。当我们每笔交易发生时,支付宝风控大脑会从账户、设备、位置、行为、关系、偏好六大维度,判断是否是本人。每一个大类里面都会包含很多细的策略。而这样的策略总计有1万条左右,CTU通过运算这些复杂策略来进行风险判定。案例故事 广州用户黄XX,6月7日接到一条10086的短信(小偷通过伪基站发送的钓鱼短信),他点击了短信中的链接,依据指示先后输入了自己的身份证信息和银行卡信息,同时,手机中了木马病毒。小偷登陆了黄某的支付宝,并修改了密码。随后,小偷进入淘宝,下单购买一台4600多元的iphone5。就在小偷得意之时,他发现自己就是不能支付成功,而且很快,这个支付宝账户被限权,无法进行任何支付行为!小偷明明拿到密码,却为何无法动黄某支付宝里的钱?策略分析:1)登陆支付宝的手机并非黄XX的手机(设备)。2)登陆地点为深圳,黄XX平时都在广州的(位置)。3)黄XX平时经常购买招财宝,肯定记得密码。深更半夜修改支付密码太可疑,一般只有忘记密码才会去改密(行为)。4)黄XX平时就爱理财,淘宝不多,从来没买过数码产品,改密后直奔淘宝下单iphone5(偏好)。
支付宝扫码支付风控的一些规避方法,可以反推出一些风控的规则:1、 规则一:30分钟内,不要连续刷3笔(包括失败交易),两笔交易时间间隔大于5分钟,交易金额不要一样,不要贴近限额;2、 规则二:非正常营业时间,(21:00-次日9:00)尽量不要出现大额的交易;3、规则三:不要重复提交相同金额的订单,不同交易的交易金额要不一样;4、 规则四:单笔交易金额不要是整数,十位个位都不要是零;3个数字不要一样;5、规则五:单卡单日交易总笔数≤3笔,且失败交易比例≤30%;6、 规则六:单笔交易金额不要过大,控制在1W以内。二、不能刷注册身份证人的信用卡三、刚开通的时候请不要大额支付信用卡,请尽量先使用余额,储蓄卡支付几笔以后再使用信用卡支付,第一次信用卡支付额度不要超过1万四、不可以长期都是几个固定微信或者支付宝账号使用五、请尽量贴近营业执照正常消费金额及消费时间六、不可以短时间内同一账号频繁支付
支付宝收款基本风控规则:1新入网的商户,需要慢慢增加日流水。单日同一个人交易过于频繁,容易触发风控。2在网商户,禁止夜间交易过于频繁(22点-次日8点)。资金交易呈现规律性分散交易、集中交易特征。交易金额为一定金额的整数倍,或接近于一定金额的整数倍容易触发风控(如199元、201元等)。3资金交易金额、频度与客户身份、财务状况、经营内容、经济行为等明显不符。4交易时间与体育彩票开奖时间、境外主要博彩机构开奖时间、重大体育赛事确定结果时间等具有高度关联性。5未经审核批准,擅自变更网址、经营产品或服务项目。
1.支付风控场景分析2.支付风控模型和流程分析3.支付宝是通过什么条件判断对方是骗子的?
【作者】:Labryant【原创公众号】:风控猎人【简介】:某创业公司策略分析师,积极上进,努力提升。乾坤未定,你我都是黑马。【转载说明】:转载请说明出处,谢谢合作!~
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.jufenglt.com/data/attach/logo/logo.png', '推荐 的问题《支付风控学习笔记》','http://jufenglt.com/q-7360.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
最近看了一些支付风控方面的文章,顺便了解一下支付风控的流程,于是将看的几篇文章整理了一下,写了这篇笔记。对于这块本人非专业人士,如有理解不当的地方请多多指正。
目录1、支付风险类型
一、支付风险类型2、支付风控流程
3、支付宝风控策略
4、参考文章
支付风险主要需要防范一下几种类型的风险:
1. 账户风险账户风险是指黑客通过技术手段攻破服务器系统,修改账户数据,并可能导致的损失。
对于传统金融系统,行业标准要求通过专线进行网络连接,和互联网网络进行隔离,最大程度降低账户风险。对于第三方支付系统,一般通过互联网连接,需要建立严密的技术防范机制,避免黑客的攻破。
2.交易风险支付的交易风险主要是交易过程中的各种恶意行为,主要是指欺诈和刷单等行为,欺诈一般指盗用用户身份进行交易,刷单一般指商户为了获取补贴,信誉等行为恶意刷单。
对于欺诈的风险,一般通过交易数据分析,建立大数据模式,获取到交易的异常行为,比如异地交易,超额度交易等,并通过增强验证的方式,降低欺诈交易的成功可能性。欺诈交易一般发生在信用卡领域,通过信用卡线上三要素交易或者线下签名交易,无验证密码机制,容易出现欺诈的情况。根据欺诈的具体案例,资金损失可能由用户,商户,发卡行,或者收单行承担。针对恶意刷单情况,可以通过数据分析,识别用户多次同店交易,或者用户关联关系,防止刷单的风险。
一般刷单行为有如下特征:
- 小号刷单。谁也不会用自己的注册账号来刷单,这样被封的代价就太大了。 小号的来源,可能是商家自己组织注册的,但大部分还是从专业刷单机构手中获取的。
- 使用虚拟机。大部分网站都会为访问设备植入识别码。通过虚拟机,可以在一个物理机上模拟多台机器访问,随用随建。一般使用VMWare来建立虚拟机。而对手机设备,则会采用手机模拟器。
- 使用VPN。 这样可以伪装使用全国任何一个地区的IP,甚至可以使用国外的VPN。
- 使用手机IP:移动和联通的IP出口少,所以大部分手机端的出口IP并不多。 这些IP是电商的白名单,把某个IP封了,那会有大量的手机无法正常访问。 所以刷单人员会选择使用这些IP。
- 刷虚拟物品:虚拟物品不涉及到物流环节,交易流程简单,很容易就可以把量刷上去。
- 低价刷单:为了降低成本,往往会将单品价格调低,或者成交金额调低来支持刷单。
- 交易商品少:刷单时,仅选择少量几个商品进行。
- 互刷: 一些商家会勾结起来,相互刷单。
3.资金风险资金风险指的是二清单位或者支付机构挪用沉淀资金的风险,导致商户资金损失的情况。 沉淀资金主要有两种形式:
沉淀资金是客户的钱,支付公司不能挪用。支付公司可以获得沉淀资金的利息收益,但是不能够用这个资金来进行投资或者公司内部的消费。监管层面严格打击二清或者挪用沉淀资金情况,金融机构或者支付公司需要直接与商户清算,按照监管要求将沉淀资金缴纳在指定账户中。
4.合规风险合规风险是指金融机构或者支付公司在开展业务时,未遵照当地法律法规的要求,导致可能出现的制裁风险。比如在开展跨境汇款业务时,需要交易报备外管局,按照每人每年5万美金结售汇额度,不得使用资金池直接调拨,不能还原用户交易明细情况,否则可能被停止跨境支付牌照。
5.洗钱风险金融机构或者支付企业需要认知学习和践行当地的法律法规,及时与监管层面沟通汇报,并在允许的范围内开展业务。
洗钱风险是指通过将黑钱洗成合法收入的风险,洗钱滋生犯罪,被各国监管层面严格打击。第三方支付目前成为洗钱的重灾区。主要手段包括:通过一些第三方支付平台发行的商户POS机虚构交易套现;将诈骗得手的资金转移到第三方支付平台账户,在线购买游戏点卡、比特币、手机充值卡等物品,再转卖套现;利用第三方支付平台转账功能,将赃款在银行账户和第三方支付平台之间多次切换,使得公安机关无法及时查询资金流向,逃避打击。
6.套现风险规避洗钱风险需要建立KYC机制,开户时候识别和留存用户身份,并在支付系统建立风控模型,识别并拒绝洗钱交易。另外,需要对于大额交易按规定上报监管。
套现风险指商户违规帮助用户进行信用卡套现,导致可能出现发卡行资金损失情况。我国法律明确禁止使用信用卡套现,使用信用卡套现是违法的。但是在线支付系统中,使用信用卡进行套现,几乎是不需要成本的。 信用卡套现的手段也很多,一般是通过客户和商家的勾结来完成,比如:
规避套现风险需要金融机构和支付企业对于商户交易数据监控,建立风控模式,对于信贷比异常的商户进行调查或者用户刷卡关联关系,识别并降低新用户卡盗刷情况。
二、支付风控流程支付风控涉及到多方面的内容,包括反洗钱、反欺诈、客户风险等级分类管理等。 其中最核心的功能在于对实时交易进行风险评估,或者说是欺诈检测。如果这个交易的风险太高,则会执行拦截。由于反欺诈检测是在交易时实时进行的,在要求不能误拦截的同时,还有用户体验上的要求,即不能占用太多时间,一般要求风控操作必须控制在100ms以内,对于交易量大的业务,10ms甚至更低的性能要求都是必须的。
目前主流的风险等级划分有三种方式, 三等级、四等级、五等级。
- 三等级的风险分为 低风险、中风险和高风险。 大部分交易是低风险的,不需要拦截直接放行。 中风险的交易是需要进行增强验证,确认是本人操作后放行。 高风险的交易则直接拦截。
- 四风险等级,会增加一个中高风险等级。此类交易在用户完成增强验证后,还需要管理人员人工核实,核实没问题后,交易才能放行。
- 五风险等级,会增加一个中低风险等级。此类交易是先放行,但是管理人员需要进行事后核实。 如果核实有问题,通过人工方式执行退款,或者提升该用户的风险等级。
基于规则的风控常见的规则有:
使用白名单或者黑名单来设置规则。具体名单如上文所述,包括用户ID、IP地址、设备ID、地区、公检法协查等。 比如:
1.用户ID是在风控黑名单中。
2.用户身份证号在反洗钱黑名单中。
3.用户身份证号在公检法协查名单中。
4.用户所使用的手机号在羊毛号名单列表中。
5.转账用户所在地区是联合国反洗钱风险警示地区。
对支付、提现、充值的频率按照用户账号、IP、设备等进行限制,一旦超出阈值,则提升风控等级。
1.频率需综合考虑(五)分钟、(一)小时、(一)天、(一)周等维度的数据。由于一般计算频率是按照自然时间段来进行的,所以如果用户的操作是跨时间段的,则会出现频率限制失效的情况。 当然,比较复杂的可以用滑窗来做。
2.对不同的风险等级设置不同的阈值。
3.用户提现频次5分钟不能超过2次, 一小时不能超过5次,一天不能超过10次。
4.用户提现额度一天不能超过1万。
5.用户支付频次5分钟不能超过2次,一小时不能超过10次,一天不能超过100次。
和特定各业务相关的一些规则,比如:
1.同一个人绑定银行卡张数超过10张。
2.同一张银行卡被超过5个人绑定。
3.同一个手机号被5个人绑定。
4.一个周内手机号变更超过4次。
5.同一个对私银行卡接受转账次数一分钟超过5次。
用户行为和以前的表现不一致,比如:
1.用户支付地点与常用登录地点不一致
2.用户支付使用个IP与常用IP地址不一致
3.用户在短时间内,上一次支付的地址和本次支付的地址距离非常远。 比如2分钟前在中国支付的,2分钟后跑到美国去支付了。
用户在某个业务上的消费行为被风控网关多次拦截。 规则引擎优点:
1.性能高: 对订单按照规则进行匹配,输出结果。一般不会涉及到复杂的计算。
2.易于理解和分析: 交易被拦截到底是触犯了那条规则,很容易输出。
3.开发相对简单。
规则引擎存在的问题:
1.一刀切,容易被薅羊毛的人嗅探到。比如规则规定超过5000元就进行拦截,那羊毛号会把订单拆分成4999元来做。 一天限制10笔,那就薅到9笔就停手了。
2.规则冲突问题。当一笔交易命中IP白名单和额度黑名单的时候应该如何处理?
决策树模型规则引擎看起来简单,但也是最实用的一类模型。 它是其它风控模型的基础。实践中,首先使用已知的规则来发现存在问题的交易,人工识别交易的风险等级后,把这些交易作为其它有监督学习的训练数据集。
在各种支付风控模型中,决策树模式是相对比较简单易用的模型。当有一笔交易发生时,我们使用决策树来判断这笔交易是否是高风险交易。
评分模型该模型为参考《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》编制,仅具参考意义。
三、支付宝风控策略网上能找到的介绍支付宝风险策略的一些内容,拼凑了一下,内容可能会比较古老。
支付宝产品体系中有一个叫CTU的风控大脑,现已升级为AlphaRisk,会根据策略对交易进行风险进行打分,区间在0-1。当交易风险大于0.93时,将会直接拒绝交易。风险程度高的时候,支付宝会要求进行二次校验,来判定是否账户本人。当我们每笔交易发生时,支付宝风控大脑会从账户、设备、位置、行为、关系、偏好六大维度,判断是否是本人。每一个大类里面都会包含很多细的策略。而这样的策略总计有1万条左右,CTU通过运算这些复杂策略来进行风险判定。
案例故事
广州用户黄XX,6月7日接到一条10086的短信(小偷通过伪基站发送的钓鱼短信),他点击了短信中的链接,依据指示先后输入了自己的身份证信息和银行卡信息,同时,手机中了木马病毒。小偷登陆了黄某的支付宝,并修改了密码。随后,小偷进入淘宝,下单购买一台4600多元的iphone5。就在小偷得意之时,他发现自己就是不能支付成功,而且很快,这个支付宝账户被限权,无法进行任何支付行为!小偷明明拿到密码,却为何无法动黄某支付宝里的钱?
策略分析:
1)登陆支付宝的手机并非黄XX的手机(设备)。
2)登陆地点为深圳,黄XX平时都在广州的(位置)。
3)黄XX平时经常购买招财宝,肯定记得密码。深更半夜修改支付密码太可疑,一般只有忘记密码才会去改密(行为)。
4)黄XX平时就爱理财,淘宝不多,从来没买过数码产品,改密后直奔淘宝下单iphone5(偏好)。
支付宝扫码支付风控的一些规避方法,可以反推出一些风控的规则:
1、 规则一:30分钟内,不要连续刷3笔(包括失败交易),两笔交易时间间隔大于5分钟,交易金额不要一样,不要贴近限额;
2、 规则二:非正常营业时间,(21:00-次日9:00)尽量不要出现大额的交易;
3、规则三:不要重复提交相同金额的订单,不同交易的交易金额要不一样;
4、 规则四:单笔交易金额不要是整数,十位个位都不要是零;3个数字不要一样;
5、规则五:单卡单日交易总笔数≤3笔,且失败交易比例≤30%;
6、 规则六:单笔交易金额不要过大,控制在1W以内。
二、不能刷注册身份证人的信用卡
三、刚开通的时候请不要大额支付信用卡,请尽量先使用余额,储蓄卡支付几笔以后再使用信用卡支付,第一次信用卡支付额度不要超过1万
四、不可以长期都是几个固定微信或者支付宝账号使用
五、请尽量贴近营业执照正常消费金额及消费时间
六、不可以短时间内同一账号频繁支付
支付宝收款基本风控规则:
四、参考文章1新入网的商户,需要慢慢增加日流水。单日同一个人交易过于频繁,容易触发风控。
2在网商户,禁止夜间交易过于频繁(22点-次日8点)。资金交易呈现规律性分散交易、集中交易特征。交易金额为一定金额的整数倍,或接近于一定金额的整数倍容易触发风控(如199元、201元等)。
3资金交易金额、频度与客户身份、财务状况、经营内容、经济行为等明显不符。
4交易时间与体育彩票开奖时间、境外主要博彩机构开奖时间、重大体育赛事确定结果时间等具有高度关联性。
5未经审核批准,擅自变更网址、经营产品或服务项目。
1.支付风控场景分析
2.支付风控模型和流程分析
3.支付宝是通过什么条件判断对方是骗子的?