做风控这么长时间,接触了行业内形形色色的黑色产业链、违规违法案件,来自黑产、竞争对手的打击对一个互联网企业尤其是电商行业的副作用不言而喻,大家都苦不堪言。
所谓风控,无外乎就是在一大堆看似正常的用户中将一小撮不正常的用户提出来,这当中就会有“求真取伪”的问题。风控包含的范围太广了,很幸运的做过电商行业基本所有的风控场景。这里想谈谈支付风控的那些事儿,毕竟这是一件痛苦并快乐的事情。
一个背锅侠的序言
做支付风控的人是世间最单纯的,恩,因为我们的对手每天捞到的收入说不定比我们一个月的工资还多,道魔互博,熟悉黑产链的我们面对着诱惑依然拿着微薄的收入。做支付风控的人也是最苦逼的,因为,我们是最好的背锅侠:老板要看止损收益,可是骗子迟迟不来;骗子突然来了一大波,然后又有规则被绕过了~~excuse me,求我们的心理阴影面积
虽然我们心惊胆战的面对着每一天的支付风控运营报告,但是作为维护互联网电商生态安全的侠客(背锅),我们站在用户感知不到的层面保护每一笔交易支付的安全,内心的成就感满满。
来自一个背锅侠的内心OS:
这是个最坏的时代,也是个最好的时代
随着电商规模的不断发展,电商平台的GMV也呈现爆发式的增长。但是与之而来的是,日益猖獗的伪卡、盗卡交易在电商平台大肆横行。对于这种非面对面的高并发量的线上行为,产生损失的金额与概率远远会比线下交易高很多。虽然支付宝等第三方支付渠道采用了包赔的解决方案,但是其产生的高额交易手续费增加了平台的运营费用,一个天秤座的电商平台表示自己很纠结。对于一个风控零门槛的电商平台来说,每天几十万的资损都异常轻松。
面对着这么坏的一个时代,一些好的现象也在发生。如一直被诟病的手机号码问题国家工信部正在推进解决,虽然这个进度也被人诟病;行业内外的数据共通机制也在由点及面的形成;越来越精细的设备指纹服务对于靠刷机、模拟器等作案的团伙是一个打击;芯片卡的推行、伪基站的打击、媒体的广泛传播,让盗号团伙愈发困难……一切都开始变得那么有情调~
有一天,我突然在想:会不会有一天我就那么失业了?
但是,我使劲的掐了掐大腿,提醒自己别做梦了。就目前互联网上的数据泄露情况与个人敏感信息的保存门槛之低,我们还是有存在的意义的。
所以,我要继续开始做风控系统了~~
支付风控三要素:数据、规则和人
面对如此严峻的盗刷态势,市面上的第三方风控公司雨后春笋般起来,一般的模式有两种:云模式或者本地部署。当然也有很多公司选择自建风控系统,当然二者的优劣不言而喻,前者建设周期短、项目成功率高,但是系统昂贵,就我接触的系统x盾、x盛、x安来看,也更容易与公司的业务产生水土不服的情况,迭代更新协调的成本反而会更高。所以在公司有专门做风控的产品或者技术的前提下,选择自建的效果远远会比购买要好,七位数的系统购买费用够养活一个团队我们这些单纯的背锅侠了,我们很容易养活的~
但是无论是外部购买系统还是内部自建系统,做支付风控的三要素无外乎是数据、规则和人
风控系统:宝宝饿了,快给我喂数据
数据自不用言明。数据的使用也是采购外部风控系统最大的痛点之一:如果是云模式,电商平台需要担心敏感信息外露的情况,如银行卡号、身份证号;如果是本地部署,对于这些标准化的系统产品而言,他们的数据接收方式也许不能适应公司自身的数据结构,这其中的改造成本也是非常巨大的。当然这些问题也是我所遇到过的
对于支付风控而言,需要喂给风控系统的数据包括该笔实时交易数据以及历史数据,当然对于历史数据的采集,为了保证系统实时性,一般都需要根据规则采用预处理的模式。
对于数据的种类、来源、存储等,各大电商平台因为自身业务特点可能大相径庭,但是不管采集过程如何,在支付风控系统内部,规则引擎至少要包括如下种类的数据。涉及保密,具体字段暂不详表
对于特定的支付业务场景,比如话费充值等,还有专门特定的数据需求,此处暂不赘述
喂了数据之后我要消化呀——规则
不言而喻,往风控系统输入大规模的数据之后,系统需要对这些数据做一个反馈,是欺诈或者高危或者正常,对外界而言,风控系统只是一个黑盒,而在这个风控系统内部,是非常复杂的规则逻辑。这里的规则专门用来消化数据使用的。
支付将支付环节的数据推送到风控系统,与此同时,系统内部抓取该用户、该订单、该银行卡、该手机号等维度下的所有信息,跑大批的风控规则,进而输出结果,这样的逻辑很简单,但是真正在运营过程中才会发现一套规则体系的不易。
规则是在道魔相抗衡的过程中逐渐形成的,这也就是说每一条规则都是血淋淋的欺诈案例积累出来的。而一套规则体系的诞生往往伴随的是规则有效性的评估,这里也是需要长期的经验积累的。比如一条新增规则是否能够在尽可能少的误杀情况下抓住最多的案例,这是一个策略制定者最头疼的问题。
而一条规则的组成需要上述几大类规则之间的组合,基于我们历史发生的欺诈案件,提炼出非常明显的欺诈特征,这样才能组合成一条较为有效的规则。
规则的边际有效性递减
当然,这里的较为有效只是相对的,规则的总体有效率说出来可能会让大家震惊。因为随着欺诈水平的越来越高,欺诈团伙也开始通过诸多手段途径尝试绕过电商平台的风控引擎,因此这些欺诈行为也越来越跟正常人的行为一样。我们想在如海一般的数据里捞出我们需要的数据并且根据蛛丝马迹来找寻可疑订单是非常不易的,这也是为什么风控做到最后规则有效性会越来越低的原因,经济学上对这种现象有一种较为合理的解释,边际有效性递减:即随着风控系统的不断深入,想多抓住一条新的欺诈订单就需要抓住更多的正常订单才可以。
一套规则体系行之有效的规则准确率可能只有个位数的百分点。以发展多年的美国银行的信用卡反欺诈规则体系为例,其规则的有效性人工核查之后不到三十分之一,而一般来说,甚至有的规则有效性会更低,但是这样的规则还是要放在规则体系内的,因为这条规则以前发生过未拦截到的欺诈案例。
对于这种有效性不断递减的反欺诈规则,仅仅依靠系统直接拒绝已然不能满足繁复的业务需求,因为正常订单被误判后的客户体验太差了,因此为了解决这种问题,交易中的人工监控需要被引进来,即人工来判断该笔订单是否有欺诈,如果有则拒绝支付,如果没有则支付成功。这里需要根据事前支付与事后支付的特点,及公司的业务特征,来构建合理的系统交互流程,以及更重要的人工运营流程。
进一步的,在支付中如果想降低运营负担,提升客户支付体验的话,那么在客人跳转收银台的时候如果能够提前预知风险,那么在收银台渲染的过程中则将高危渠道关闭,那么这不失为一个好的选择,目前业内已经有多家公司有这样的措施,如携程、苏宁易购等。当然还有一些其他的优化措施,这些优化的方向需要再开一篇描述更详细的文档、辅助以流程图说明等。
刀剑出鞘,侠客所指——人
如果简单点说把数据+规则+计算引擎=风控系统的话,其实这也仅仅是一把武器而已,但是这对于一个公司的互联网风控体系而言则远远不够,体系=体制+系统,那么能把这把刀剑用好的最大的因素来源于人,来源于风控人员及更多交互部门运营人员的配合机制。
其实对于运营机制,很多互联网企业对此并不是特别在意,尤其是没有配备风控专业岗位人员的公司,认为只要购买了一套成熟的系统之后则一劳永逸,但是事实上,缺了人和体制的作用,那么这把刀剑也是一把未开锋的剑。
具体而言,在一个公司的风控体系中,需要涉及到的“人”主要包括以下:
打刀剑的“打铁匠”们
所谓打铁匠,则不言而喻,指的就是风控系统的产品和开发团队,他们是打造整个风控系统最为核心的环节,将业务的需求转化为系统的实现过程。对于支付的欺诈案件,需要作出的防范规则是多样性的,这需要铁匠们能够实现各种各样的规则。需要以开发的语言准确表达风控运营对于欺诈案件的描述,这是一个需要经验积累的过程。
用刀剑的“侠客”们
整个支付风控系统最不可或缺的就是风控的运营们,利用风控系统能够准确识别盗刷欺诈案件;根据盗刷欺诈案件不断反哺规则体系和系统功能迭代;当然,在系统之外,还有更多运营层面的东西,如对支付的渠道的CB问题、公司内部的交互体系,这些都是整个风控体系的核心。
侠客们的酒肉朋友
风控的运营想要发挥作用,光光依靠自身的力量是不足的,所以他们还有属于他们的酒肉朋友。在公司外部,有诸多的同行,及时分享新型支付欺诈案件特征,共享欺诈案件数据,学习欺诈案件的防控心得,这些都需要这些酒肉朋友的支撑;对内,财务、业务部门、客服部门、市场地推人员都是支付风控的小伙伴们,没有他们的支撑很难做到及时的止损,风控的作用就难以发挥出来。
总结
如以上分析,想要做好支付风控,以上三要素不可或缺。当然,在这过程中,还有诸多细枝末节的东西需要去把控,如对欺诈案件敏锐的嗅觉、支付欺诈案件清晰的追溯逻辑等等,这些都是需要真正做过风控的人才能够有经验去掌控的。所以也许外行人看起来很简单,但是其实在这每个模块的跟进中,想要去不断完善只能去不断的做好迭代,运营在这其中的作用不可或缺。风控一定是以业务为导向的,运营体系的扩充与完善需要很大的篇幅去描述,而决定风控发展方向的一定是一个懂业务的产品经理或者技术经理。
总之,支付风控对于电商企业而言是整个风控体系中最重要的一环,做好支付风控对于其他环节的风控手段总是大有裨益的,因为支付风控的运营体系、规则体系在整个风控环节中都是最困难的,做好支付风控再去做反作弊、反恶意等其他模块都会非常容易。
一只一只在做风控的背锅侠,恨并爱着这个行业~