乾貨貼｜互聯網金融風控基礎知識（一）

這可能是寫給產品經理關於風控最全的基礎乾貨了。前一陣寫了一篇關於互聯網金融支付基礎知識的文章，今天繼續介紹互金風控的基礎知識。作為一個互金的產品經理，本文能幫助你更好的熟悉互金平台的各種風控需求，你甚至拿來就可以用。同時，作為運營、技術和風控，它能幫你站在各自角度更好的理解風控。文章提到的各種方案並不是一定非得實施，但了解這些能讓產品人員知道哪些地方需要進行風控，且牢固樹立風控意識，做到處變不驚。

1 風控的定義

首先了解兩個概念：風險管理和風險控制。風險管理：是指如何在項目或者企業在一定的風險的環境里，把風險減至最低的管理過程。它的基本程序包括風險識別、風險估測、風險評價、風險控制和風險管理效果評價等環節。風險控制：是指風險管理者採取各種措施和方法,消滅或減少風險事件發生的各種可能性,或者減少風險事件發生時造成的損失。所以其實風險控制是風險管理中的一個環節。風控是風險控制的簡稱。

（風險管理流程）

在互金行業，風控的內涵非常寬廣，包含了對所有可能風險事件的控制，涉及人員操作風險、業務操作風險、技術操作風險和外部事件帶來的風險。本文所闡述的風控並不是把所有風險相關的知識都囊括其中，比如指定公司內部各種規範以防範風險事件發生。本文側重業務上和技術上風險控制討論。

2 風控應用場景

廢話少說，那麼風控在什麼地方能用到呢？按照其定義，風控被運用到互金的各個地方，主要包括信貸中的個人信貸與小微企業信貸、投資過程中的風險控制、平台資金安全、平台技術安全、用戶資金安全、用戶賬戶安全、推廣運營活動等環節。通俗來說，風控用於還款能力、還款意願的判斷，反欺詐反作弊反薅羊毛，防止外部對內部系統的攻擊，防範平台和用戶的資金出現問題等等。

從行業維度來看，風控運用於互金行業中的消費金融、供應鏈金融、信用借貸、理財平台、P2P、大數據徵信、第三方支付（第四方聚合支付）等各細分領域，同時還可用於電商、遊戲、社交等「傳統」互聯網公司。甚至可以說，任何互聯網公司都需要風控。

（風控應用場景）

當然，互金行業的風控不只是一上來就各種數據，各種演算法建模，各種風險評估。實際上，用戶的賬戶、投資支付等環節往往存在著各種風險，了解這部分也非常重要。本文是互聯網金融風控基礎知識的第一篇，主要闡述用戶賬戶安全、投資支付安全以及推廣運營種的風險控制。

3 用戶賬戶安全

較於互聯網其他行業，互聯網金融產品的賬號與資金安全顯得更為非常重要。若用戶遭受經濟損失，則平台的利益與口碑可能雙輸。基於此，互聯網金融產品（無論是移動端還是Web端），均採取各種措施來保護用戶帳號資金安全。對於互金平台，用戶體驗和安全永遠是魚和熊掌，在保證安全的前提下提高用戶體驗。在產品設計與後台開發的時候，應事前預計各種情況並給出解決產品層面和技術層面的方案。

用戶賬戶安全涉及到木馬植入，暴力破解密碼，拖庫撞庫、虛假註冊、簡訊轟炸、手機丟失等行為。在註冊登錄等場景下均可能出現各種問題。

3.1 註冊行為

1）建立註冊手機號黑名單。在註冊時就進行控制。此處可採用第三方風控平台建立的號碼黑名單。

2）實名認證。通過直接實名認證或者銀行卡綁定完成註冊後的實名認證，增加平台對用戶的了解。當然，按照監管要求，所有投資借貸支付均需實名認證。

3.2 簡訊驗證碼

互金平台可能遇到的情況包括垃圾註冊，調用簡訊介面進行轟炸，干擾了正常的簡訊下發且大量消耗簡訊服務費。黑客可通過抓包的形式，獲取簡訊介面，並通過代理IP，採用不同的手機號，源源不斷的請求簡訊介面。本人所在的項目就遇到過類似的情況。防止措施包括：

1）產品層面採用圖形驗證：在用戶註冊時，為了識別出機器人註冊，需輸入驗證碼或者拖動滑條等方式。

2）IP地址和手機號碼地理位置映射：IP地址和手機號碼本身攜帶著地理位置屬性，通過建立GEO-IP庫和手機號碼歸屬地庫映射，從而判斷出風險。

3）請求限制：同一IP請求簡訊介面達到一定次數（例如5次）則限制該IP請求24小時。單個手機號碼60s只能請求1次簡訊介面，1小時內至多請求3次，24小時內至多請求5次。

4）簡訊預警： 通過評估平台簡訊業務量，帳號開設日發送上限，限定每天最大發送額度，超出一定限度則提醒相關人員。

3.3 登錄行為

1）判定用戶是否在常駐地登錄。建立地理柵欄，若用戶當前登錄地與用戶號碼歸屬地、常駐地存在差異，通過下發簡訊通知用戶。

2）移動端採用Touch ID、圖形繪製進入app。為了讓用戶獲取更高的安全保障，在用戶完成註冊行為後就立馬啟用Touch ID、圖形繪製，也可以在用戶完成充值投資後立馬提示用戶。

3）修改密碼等場景下，需要輸入原始密碼並進行簡訊驗證。（但此處存在一個悖論，我就是因為不知道原密碼才來改密碼的啊……請慎重）

4）常用設備登錄。普通用戶常用設備為1台，多則兩台。每台設備均對應特定的型號，若用戶賬號與最近登錄設備不一致，通過下發簡訊告知用戶。

5）登錄連續輸入密碼錯誤5次，則限制該賬號24小時不能登錄。

以上關於登錄註冊的風險控制，並非要全部都做，也不是做完了所有的功能就安全了。需要開發能力開發優先順序進行評估，同時產品經理需要梳理好各個功能的關係，防止出現無解的情況。

4 投資風控

對於理財類平台，在相同的量級下用戶往往追捧高收益。在某些理財平台，熱門高收益的理財產品一開標就被秒光的情況很常見。此時一些會技術的用戶會利用腳本進行作弊，以達到秒標的目的。因此這些熱門平台存在一標難求的情況，佔用了其他用戶的資源。為了防止這類問題：

1）程序識別自動投標。程序自動投標有以下特徵，單個用戶的投標操作頻繁，對相應頁面（介面）的在1分鐘內大於10次，且在開標時間點之前就已經頻繁請求。平台可以根據情況設定閾值，進行識別。通過撰寫相應的腳本識別出這類用戶，據規則將涉及自動投資的賬戶交給運營處理。

2）產品層面增加投資過程難度。如機器投標的情形非常猖獗，對平台造成了很大的影響，則應考慮犧牲用戶體驗而增加投資難度。與註冊行為類似，在投資流程中增加滑動驗證碼、計算題、辨別倒立的漢字等等（例如淘寶在秒殺活動中加入了計算題，四字成語的首字母）。

5 推廣運營風控

隨著互聯網不斷發展，獲客成本很高。而互聯網金融獲取一個投資用戶的成本在幾百元。在競爭日趨激烈的互金行業，特別是理財類產品，產品要獲客需要去不同的平台推廣以獲取目標用戶。但某些平台為了業績，營造流量很大的氛圍，通過虛擬機+代理IP點擊廣告。同時，某些渠道通過購買用戶信息，機器模擬註冊，甚至完成實名認證和甚至銀行卡驗證。對此，消耗了推廣費用卻沒有獲得真正的用戶。

在互聯網中，有一群人稱為「羊毛黨「，各種信用卡的，賺取積分各種獎品優惠券。哪裡有紅包哪裡就有他們的身影。他們是真實用戶，但他們來平台的目的不是參加活動或者投資，這些人不能成為平台用戶，且佔用消耗了平台資源。

5.1 建立完善內部系統「黑名單」（「灰名單」）

通過自己或者通過第三方，建立羊毛黨用戶的「黑名單」（「灰名單」）。這類用戶的特點是，平時不活躍，在平台有推廣活動有紅包優惠時，表現比較活躍。通過分析用戶行為，建立羊毛黨用戶的「黑名單」。不過建立這樣的名單是一項長期的過程。

5.2 推廣效果監控系統

在通過渠道推廣之前，謹慎考慮每個渠道的用戶質量與渠道本身的口碑。如不能確定推廣渠道的優劣，前期可以小部分投放推廣。大量投放之前，運營團隊與產品、技術團隊一道，搭建市場推廣效果監控系統。在活動頁面埋點，監測頁面UV、PV量。同時監控不同渠道的註冊轉化率、投資轉化率、投資額度等關鍵指標。差的渠道，註冊轉化率，投資比例都會很低。這樣不同的渠道優劣很容易就區分開來。

5.3 電話回訪

通過「人肉」的方法判定渠道的優劣。在不同的渠道隨機抽取用戶播放回訪電話，並詢問用戶在哪裡看到當前的產品的，同時對用戶做一個產品體驗調查。重點關注用戶所在的區域，用戶的年齡性別職業等信息，與目標用戶的特徵進行比較。筆者所在的項目遇到過，在試推廣階段發現某個渠道的註冊手機號多來自廣東，果斷棄之。

5.4 建立自動預警機制

首先，辨別作弊者的行為特徵，然後量化這種行為。再通過撰寫特定的腳本識別出這種行為，識別後自動告知運營人員。最後可將這些用戶加入系統的「黑名單「（「灰名單「）。採用這種「機器+人工」方式可以有效幫助運營對抗羊毛黨。比如，在短時間內（1個小時內）完成了登錄註冊綁定投資，同時多個新用戶（5個或更多）被同一個人邀請，很快（1個小時內）完成了登錄註冊和投資，且平均投資額度很低（<20元）。這樣的用戶肯定存疑。當然類似的規則需要不斷新增與完善。產品層面要考慮從後台能查看到具體用戶的所有行為軌跡。

PS：以上內容若有不對的地方，還請大家不吝批評並不斷完善！本文參考了李小翀、互聯網金融產品經理的日常等人，《P2P貸款》、《互聯網信貸風險與大數據》等書的觀點，在此統一表示感謝。

作者：楊大興，公眾號：遊俠兒（youxiaer917），關注互聯網金融，愛閱讀愛健身的PM一枚。也可加本人wechat（ydx880917）交流。

附：乾貨｜互聯網金融支付基礎知識 知乎專欄