网贷反欺诈分析及解决方案

管薇薇

（中国银行江苏省分行风险管理部，江苏 南京 210000）

一、网贷欺诈的特点

互联网金融在提升服务效率的同时，也大大降低了金融欺诈的成本。在互联网贷款审批高度自动化的趋势下，业务流程中的人工干预环节也越来越少，这在无形之中提高了网贷欺诈的成功率。网贷欺诈是指借款人恶意利用网贷产品的业务流程、审批规则和网络安全等漏洞，通过虚构事实或者隐瞒事实真相等的方法，达到非法骗取授信额度，再迅速转移贷款资金的行为。

随着网贷市场的不断发展，网贷欺诈的出现也逐渐从单一的、偶发性的事件逐渐发展成为规模化的、组织化的黑色产业。很多网贷黑产组织内部有明确的职责分工，并有一套完整的骗贷解决方案，这种网贷黑产组织的欺诈手段呈现专业化、智能化、集团化的特点，且其网贷欺诈过程手段多样、隐秘性强，使得众多金融机构和互联网金融平台的资产受到了严重侵害。

此外，网贷欺诈有很强的扩散性，一旦提供网贷服务的金融机构在业务流程的设计中出现了反欺诈漏洞，各种黑产团伙便会群攻而上，能够在很短时间内成功通过大量网贷业务的审批，而金融机构或者互联网金融平台往往都来不及应对，瞬间资产损失惨重，甚至可能直接导致某些规模较小的互联网金融平台因此倒闭。

二、网贷欺诈的手段

做好网贷反欺诈的第一步是要了解悉网贷欺诈的作案方式及常见作案手段，与单个分散的网贷诈骗相比，网贷黑产的团伙作案方式更具破坏性。网贷黑产团伙的作案呈现组织化、规模化、流程化的特点，且通常具有一整套标准化的“解决方案”，主要包括：申请人身份包装、线上申请行为部署、网贷产品漏洞针对性攻击。

（一）申请人身份包装

网贷的业务是依托互联网渠道的纯线上贷款产品，申请全程没有人工干预。虽然网贷产品通过实名验证、人脸识别、大数据征信等先进技术对申请人身份进行验证和核实，但网贷黑产对申请人的身份包装手法也是不断完善升级。由于申请人身份审核是网贷申请成功的第一步，因此在网贷黑产团伙实施欺诈前会首先构建一套符合网贷产品申请人身份准入要求的资料，申请人身份包装的要素一般包含身份信息、手机实名验证、信用卡信息、工作单位信息、社保公积金账户信息、手机通话记录等。有些身份信息要素的包装需要花费较长的时间去包装，对网贷黑产来说，这种时间投入叫做“养号”。通过“养号”包装出来的申请人身份往往很难与真实申请人身份做区分，这是网贷反欺诈中的一个难点问题。

（二）线上申请行为部署

一旦申请人身份包装准备完毕后，网贷欺诈团伙就开始正式的线上网贷业务申请了。在经历了几年的市场摸索和经验积累后，现在的网贷产品基本都部署了自己的反欺诈规则和模型，尤其是在线上申请行为的分析上，网贷产品内置的反欺诈模型会对每个申请人的操作步骤、时间、路径等都会做实时的反欺诈分析，一旦发现可疑申请行为，都会阻断申请流程。然而，网贷欺诈黑产也在不断总结，很多黑产组织已经形成了一套对抗反欺诈规则完整策略，并且还定期对策略“优化升级”。

（三）网贷产品漏洞针对性攻击

网贷黑产在挖掘一个新的网贷产品之前，通常会先对网贷产品的产生背景进行调查，即网贷产品的模型构建团队和产品设计思路。调查网贷产品的产生背景，主要是看有没有可复制的模式。例如，一个招商银行的人出来创业，其风控规则可能就与招商银行类似。然后再看能否找到内部人，如果有内鬼帮忙则能节省大量试错成本。在了解了网贷产品的产生背景后，网贷黑产就可以抓住网贷产品设计上的漏洞进行针对性攻击。由于网贷产品漏洞的针对性攻击不存在普遍性。

上述三种网贷欺诈手段构成了一套完整的网贷欺诈部署策略。了解和熟悉网贷黑产的反欺诈作案手段是做好网贷反欺诈的前提。

三、网贷反欺诈解决方案

网贷反欺诈的具体实现方法上每家金融机构做法不尽相同，对规模较小的金融机构或互联网金融平台来说，受制于技术和人才的因素，采用直接购买外部专业的反欺诈规则库可能是性价比最高的选择（如：同盾反欺诈规则库这类），本文部对此类做法不做详细阐述。另一些规模较大的金融机构或互联网金融平台，在具备技术和人才实力的基础上，可以自主构建反欺诈规则或模型，这样有利于未来反欺诈规则的积累和迭代优化。

从上文对网贷欺诈特点和作案手段的分析来看，做好网贷反欺诈需要处理好三个关键问题：一是要有大量的数据作为欺诈行为分析的数据基础；二是需要构建能精准识别欺诈行为的模型；三是需要构建良好的反欺诈策略。

（一）数据采集

反欺诈的数据采集包括两类：一类是非实时的数据采集，与平台模型的数据准备一样，可以提前搜集好；另一类是实时采集数据，又叫埋点数据，需要在网贷申请人申请网贷产品时跟随申请人的操作流程实时采集，因此采集的数据量大、时效性强。

对于非实时采集的数据，可以通过业务人员经验、欺诈事件的积累等做好数据采集清单。根据前文对网贷欺诈手段的分析中，我们可以总结出以下需要提前做好数据采集清单：

1.中介常用的软件列表：包括清机软件、定位软件等，还需考虑每个软件对操作系统的要求。

2.同类网贷产品列表：市场上类似的网贷产品名称、产品所属的金融机构名称、产品的推出时间等。

3.知名企业名单：申请人所在地的大型企业、事业单位等（网贷黑产往往会把申请人包装成大企业或事业单位的员工）。

4.合作的渠道信息：包括合作渠道日常的流量情况、是否有线下地推的配合、渠道正在开展的推广活动等信息。

5.当地个体工商户的名录：可通过对接工商信息验证（网贷黑产有时也会把申请人包装成个体工商户）。

对于实时数据采集，则更多的要考虑申请人线上申请的操作行为，根据网贷产品特征和网贷欺诈申请行为特征设置线上数据采集埋点，一般需要采集的实时数据包括：

一是申请渠道信息：读取申请人本次申请的渠道来源，是app、网页、二维码推荐还是合作导流渠道。

二是实时地址信息：申请人当前操作的IP地址、手机定位、申请设备MAC地址等。

三是操作时长：申请人当前页面的停留时间、当前操作的用时等。

四是操作持续信息：申请人当前操作的上一步/下一步操作是什么、与本次操作间隔时长多久、有无步骤反复等。

五是读取应用列表：在获得申请人授权的情况下读取客户安装的app清单，提取安装的小贷软件、清机软件、定位软件等信息。

（二）反欺诈模型

由于反欺诈模型对判断的实时性要求很高，因此实时的反欺诈模型一般是通过比对规则库的形式来实现。而非实时的反欺诈模型建设一般会通过已发生过的大量申请数据构建算法来进行，然后再将模型结果以规则库的形式在实时反欺诈识别中应用。因此，不论是实时的反欺诈模型还是非实时反欺诈模型结果的应用，最终大多以规则库的形式在网贷产品用于识别网贷欺诈。

反欺诈规则库一般是提前集中部署的一类规则库，并设定有相应的参数和触发阈值。通过将申请人的信息或行为与反欺诈规则库做比对，命中的被识别为欺诈行为，未命中的则判断为非欺诈行为。这类规则库的构建可以分为以下几类：

1.相似性规则。如：手机号与虚拟号段编号规则相似。

2.集中性规则。如：某一时间段发生集中的注册/申请，或某一个IP集中注册。

3.一致性规则。如：申请人信息是否与黑名单或多头借贷一致，申请设备是否与曾发生过欺诈的设备信息一致。

4.稀有性规则。如：某一群组都采用少见的iPhone 5C登录；

5.陈旧性规则。如：采用很久之前的旧版app申请，或使用老旧的手机型号或操作系统申请。

6.非常规性规则。如：申请时间都是夜间或凌晨，申请操作路径总是为最短路径且用时极短。

反欺诈模型的构建思路是从数据中提取客户多维度异常模式，探索大数据反欺诈规则，并逐步实现智能、主动、精准、全覆盖的异常识别功能。因此，在非实时的反欺诈模型中需要引入大数据、机器学习等算法挖掘深层的隐含信息，再将非实时反欺诈模型的结果提炼成规则用于实时的反欺诈识别中。

（三）策略部署

与一般的模型策略部署思路类似，反欺诈模型在策略部署上也分为准入、评分和贷后监控三部分。三部分策略部署重点不同：准入策略属于“一票否决”式策略；评分策略用于对欺诈可能性的概率大小判断；贷后监控则是通过对贷款申请成功后的资金流向、还款情况等进行持续的反欺诈判断。

准入策略中常用的规则包括：身份验证、黑单验证、多头借贷判断、第三方反欺诈评分等。对于身份验证和黑名单验证，一般是命中后立刻做拒绝处理；对多头借贷和第三方反欺诈评分这类，一般是设定不同触发阈值，例如：多头借贷的机构数大于3家直接拒接，2至3家转入人工判断，2家以下准入通过。

反欺诈评分是对欺诈行为的综合判断后给出的评分结果，反欺诈评分在使用上可以作为客户评分的一部分，也可以单独使用。值得注意的是，反欺诈评分往往是对申请行为的持续分析得出的结果，是对无法通过单一规则判断的欺诈行为的预测。例如，反欺诈评分卡可能会综合每一步的IP是否一致、每一步的操作设备是否一致、整体申请用时、申请行为操作路径等数据给出申请人的欺诈概率评分。在反欺诈评分应用时，一般也是划分分值区间部署对应的通过、转人工或拒接处理。

贷后监控中的反欺诈是对客户贷款申请成功后的欺诈可能性所做的持续跟踪判断。由于很多网贷欺诈申请者在贷款申请成功后的一段时间内会故意制造正常消费、还款的假象，因此在欺诈行为会存在一段潜伏期。因此反欺诈工作也不能在放款完成后就终止，而是需要继续对申请人的提款行为、资金流向、还款行为等进行监控，并构建贷后反欺诈规则库来及时做好预警提示，以尽可能减少欺诈发生后的损失。

网贷反欺诈方案不仅要考虑反欺诈的效果，还要同时考虑客户体验问题，在设计线上反欺诈规则、模型和策略时应当确保在很短时间内做出欺诈行为的判断，尽可能做到反欺诈识别的客户无感化。此外，网贷欺诈与反欺诈问题永远是一个“道高一尺魔高一丈”的过程，因此，反欺诈规则、模型和策略部署也需要不断跟随欺诈手段的更新而变化才能适应复杂而多变的网贷市场。此外，网贷反欺诈还需要线上、线下配合开展，仅仅依赖线上反欺诈解决方案往往很难达到良好的效果。

四、总结

随着近年来互联网金融和消费金融的快速发展，不仅是互联网金融平台在推进网贷业务模式，许多传统的金融机构也不断将贷款业务向线上转移。尽管网贷业务在发展之初遇到了网贷欺诈这类妨碍其健康发展的阻力，但我们相信通过新技术的应用和网贷行业自身的积累和探索，网贷欺诈的黑产终究会难以生存下去。