干货贴:互联网金融风控基础知识(一)

6 评论 49892 浏览 434 收藏 14 分钟

这可能是写给产品经理关于风控最全的基础干货了。前一阵写了一篇关于互联网金融支付基础知识的文章,受到了很多人点赞与收藏,今天继续介绍互金风控的基础知识。作为一个互金的产品经理,本文能帮助你更好的熟悉互金平台的各种风控需求,你甚至拿来就可以用。同时,作为运营、技术和风控,它能帮你站在各自角度更好的理解风控。文章提到的各种方案并不是一定非得实施,但了解这些能让产品人员知道哪些地方需要进行风控,且牢固树立风控意识,做到处变不惊。

1 风控的定义

首先了解两个概念:风险管理和风险控制。

风险管理:是指如何在项目或者企业在一定的风险的环境里,把风险减至最低的管理过程。它的基本程序包括风险识别、风险估测、风险评价、风险控制和风险管理效果评价等环节。

风险控制:是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。所以其实风险控制是风险管理中的一个环节。风控是风险控制的简称。

(风险管理流程)

在互金行业,风控的内涵非常宽广,包含了对所有可能风险事件的控制,涉及人员操作风险、业务操作风险、技术操作风险和外部事件带来的风险。本文所阐述的风控并不是把所有风险相关的知识都囊括其中,比如指定公司内部各种规范以防范风险事件发生。本文侧重业务上和技术上风险控制讨论。

2 风控应用场景

废话少说,那么风控在什么地方能用到呢?按照其定义,风控被运用到互金的各个地方,主要包括信贷中的个人信贷与小微企业信贷、投资过程中的风险控制、平台资金安全、平台技术安全、用户资金安全、用户账户安全、推广运营活动等环节。通俗来说,风控用于还款能力、还款意愿的判断,反欺诈反作弊反薅羊毛,防止外部对内部系统的攻击,防范平台和用户的资金出现问题等等。

从行业维度来看,风控运用于互金行业中的消费金融、供应链金融、信用借贷、理财平台、P2P、大数据征信、第三方支付(第四方聚合支付)等各细分领域,同时还可用于电商、游戏、社交等“传统”互联网公司。甚至可以说,任何互联网公司都需要风控。

(风控应用场景)

当然,互金行业的风控不只是一上来就各种数据,各种算法建模,各种风险评估。实际上,用户的账户、投资支付等环节往往存在着各种风险,了解这部分也非常重要。本文是互联网金融风控基础知识的第一篇,主要阐述用户账户安全、投资支付安全以及推广运营种的风险控制。

3 用户账户安全

较于互联网其他行业,互联网金融产品的账号与资金安全显得尤为重要。若用户遭受经济损失,则平台的利益与口碑可能双输。基于此,互联网金融产品(无论是移动端还是Web端),均采取各种措施来保护用户帐号资金安全。对于互金平台,用户体验和安全永远是鱼和熊掌,在保证安全的前提下提高用户体验。在产品设计与后台开发的时候,应事前预计各种情况并给出解决产品层面和技术层面的方案。

用户账户安全涉及到木马植入,暴力破解密码,拖库撞库、虚假注册、短信轰炸、手机丢失等行为。在注册登录验证码发送等场景下均可能出现各种问题。

3.1   注册行为

  • 建立注册手机号黑名单。在注册时就进行控制。此处可采用第三方风控平台建立的号码黑名单。
  • 实名认证。通过直接实名认证或者银行卡绑定完成注册后的实名认证,增加平台对用户的了解。当然,按照监管要求,所有投资借贷支付均需实名认证。

3.2 短信验证码

互金平台可能遇到的情况包括垃圾注册,调用短信接口进行轰炸,干扰了正常的短信下发且大量消耗短信服务费。黑客可通过抓包的形式,获取短信接口,并通过代理IP,采用不同的手机号,源源不断的请求短信接口。本人所在的项目就遇到过类似的情况。防止措施包括:

  • 产品层面采用图形验证:在用户注册时,为了识别出机器人注册,需输入验证码或者拖动滑条等方式。
  • IP地址和手机号码地理位置映射:IP地址和手机号码本身携带着地理位置属性,通过建立GEO-IP库和手机号码归属地库映射,从而判断出风险。
  • 请求限制:同一IP请求短信接口达到一定次数(例如5次)则限制该IP请求24小时。单个手机号码60s只能请求1次短信接口,1小时内至多请求3次,24小时内至多请求5次。
  • 短信预警: 通过评估平台短信业务量,帐号开设日发送上限,限定每天最大发送额度,超出一定限度则提醒相关人员。

3.3 登录行为

  • 判定用户是否在常驻地登录。建立地理栅栏,若用户当前登录地与用户号码归属地、常驻地存在差异,通过下发短信通知用户。
  • 移动端采用Touch ID、图形绘制进入app。为了让用户获取更高的安全保障,在用户完成注册行为后就立马启用Touch ID、图形绘制,也可以在用户完成充值投资后立马提示用户。
  • 修改密码等场景下,需要输入原始密码并进行短信验证。(但此处存在一个悖论,我就是因为不知道原密码才来改密码的啊……请慎重)
  • 常用设备登录。普通用户常用设备为1台,多则两台。每台设备均对应特定的型号,若用户账号与最近登录设备不一致,通过下发短信告知用户。
  • 登录连续输入密码错误5次,则限制该账号24小时不能登录。

以上关于登录注册的风险控制,并非要全部都做,也不是做完了所有的功能就安全了。需要开发能力开发优先级进行评估,同时产品经理需要梳理好各个功能的关系,防止出现无解的情况。

4 投资风控

对于理财类平台,在相同的量级下用户往往追捧高收益。在某些理财平台,热门高收益的理财产品一开标就被秒光的情况很常见。此时一些会技术的用户会利用脚本进行作弊,以达到秒标的目的。因此这些热门平台存在一标难求的情况,占用了其他用户的资源。为了防止这类问题:

  • 程序识别自动投标。程序自动投标有以下特征,单个用户的投标操作频繁,对相应页面(接口)的在1分钟内大于10次,且在开标时间点之前就已经频繁请求。平台可以根据情况设定阈值,进行识别。通过撰写相应的脚本识别出这类用户,据规则将涉及自动投资的账户交给运营处理。
  • 产品层面增加投资过程难度。如机器投标的情形非常猖獗,对平台造成了很大的影响,则应考虑牺牲用户体验而增加投资难度。与注册行为类似,在投资流程中增加滑动验证码、计算题、辨别倒立的汉字等等(例如淘宝在秒杀活动中加入了计算题,四字成语的首字母)。

5 推广运营风控

随着互联网不断发展,获客成本很高。而互联网金融获取一个投资用户的成本在几百元。在竞争日趋激烈的互金行业,特别是理财类产品,产品要获客需要去不同的平台推广以获取目标用户。但某些平台为了业绩,营造流量很大的氛围,通过虚拟机+代理IP点击广告。同时,某些渠道通过购买用户信息,机器模拟注册,甚至完成实名认证和甚至银行卡验证。对此,消耗了推广费用却没有获得真正的用户。

在互联网中,有一群人称为“羊毛党“,各种信用卡的,赚取积分各种奖品优惠券。哪里有红包哪里就有他们的身影。他们是真实用户,但他们来平台的目的不是参加活动或者投资,这些人不能成为平台用户,且占用消耗了平台资源。

反作弊措施:

5.1   建立完善内部系统“黑名单”(“灰名单”)

通过自己或者通过第三方,建立羊毛党用户的“黑名单”(“灰名单”)。这类用户的特点是,平时不活跃,在平台有推广活动有红包优惠时,表现比较活跃。通过分析用户行为,建立羊毛党用户的“黑名单”。不过建立这样的名单是一项长期的过程。

5.2 推广效果监控系统

在通过渠道推广之前,谨慎考虑每个渠道的用户质量与渠道本身的口碑。如不能确定推广渠道的优劣,前期可以小部分投放推广。大量投放之前,运营团队与产品、技术团队一道,搭建市场推广效果监控系统。在活动页面埋点,监测页面UV、PV量。同时监控不同渠道的注册转化率、投资转化率、投资额度等关键指标。差的渠道,注册转化率,投资比例都会很低。这样不同的渠道优劣很容易就区分开来。

5.3 电话回访

通过“人肉”的方法判定渠道的优劣。在不同的渠道随机抽取用户播放回访电话,并询问用户在哪里看到当前的产品的,同时对用户做一个产品体验调查。重点关注用户所在的区域,用户的年龄性别职业等信息,与目标用户的特征进行比较。笔者所在的项目遇到过,在试推广阶段发现某个渠道的注册手机号多来自广东,果断弃之。

5.4 建立自动预警机制

首先,辨别作弊者的行为特征,然后量化这种行为。再通过撰写特定的脚本识别出这种行为,识别后自动告知运营人员。最后可将这些用户加入系统的“黑名单“(“灰名单“)。采用这种“机器+人工”方式可以有效帮助运营对抗羊毛党。比如,在短时间内(1个小时内),5个或更多用户被同一个人邀请,完成了登录注册和投资,但平均投资额度很低(<10元)。这样的用户肯定存疑。类似的规则需要不断新增与完善。

PS:以上内容若有不对的地方,还请大家不吝批评并不断完善!本文参考了李小翀、互联网金融产品经理的日常等人,《P2P贷款》、《互联网信贷风险与大数据》等书的观点,在此统一表示感谢。如果你喜欢的话就请收藏并点赞。后续还有第二篇,请持续关注。

 

作者:游侠儿,公众号:游侠儿,关注大数据、互联网金融,爱阅读爱健身。

本文由 @游侠儿 原创发布于人人都是产品经理。未经许可,禁止转载。

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
海报
评论
评论请登录
  1. 用户账户资金安全风控有哪些措施

    来自广东 回复
  2. 干货满满,受教了

    来自广东 回复
  3. 干货满满 同行致敬!

    回复
  4. 搜索你的公众号名称,出来好些个公众号,没法区分怎么办

    来自广东 回复
    1. 请搜索 youxiaer917

      来自浙江 回复
  5. 修改密码和找回密码需求分开来不就好了么….

    来自北京 回复