乾貨貼|互聯網金融風控基礎知識(一)
這可能是寫給產品經理關於風控最全的基礎乾貨了。前一陣寫了一篇關於互聯網金融支付基礎知識的文章,今天繼續介紹互金風控的基礎知識。作為一個互金的產品經理,本文能幫助你更好的熟悉互金平台的各種風控需求,你甚至拿來就可以用。同時,作為運營、技術和風控,它能幫你站在各自角度更好的理解風控。文章提到的各種方案並不是一定非得實施,但了解這些能讓產品人員知道哪些地方需要進行風控,且牢固樹立風控意識,做到處變不驚。
1 風控的定義
首先了解兩個概念:風險管理和風險控制。風險管理:是指如何在項目或者企業在一定的風險的環境里,把風險減至最低的管理過程。它的基本程序包括風險識別、風險估測、風險評價、風險控制和風險管理效果評價等環節。風險控制:是指風險管理者採取各種措施和方法,消滅或減少風險事件發生的各種可能性,或者減少風險事件發生時造成的損失。所以其實風險控制是風險管理中的一個環節。風控是風險控制的簡稱。
(風險管理流程)
在互金行業,風控的內涵非常寬廣,包含了對所有可能風險事件的控制,涉及人員操作風險、業務操作風險、技術操作風險和外部事件帶來的風險。本文所闡述的風控並不是把所有風險相關的知識都囊括其中,比如指定公司內部各種規範以防範風險事件發生。本文側重業務上和技術上風險控制討論。
2 風控應用場景
廢話少說,那麼風控在什麼地方能用到呢?按照其定義,風控被運用到互金的各個地方,主要包括信貸中的個人信貸與小微企業信貸、投資過程中的風險控制、平台資金安全、平台技術安全、用戶資金安全、用戶賬戶安全、推廣運營活動等環節。通俗來說,風控用於還款能力、還款意願的判斷,反欺詐反作弊反薅羊毛,防止外部對內部系統的攻擊,防範平台和用戶的資金出現問題等等。
從行業維度來看,風控運用於互金行業中的消費金融、供應鏈金融、信用借貸、理財平台、P2P、大數據徵信、第三方支付(第四方聚合支付)等各細分領域,同時還可用於電商、遊戲、社交等「傳統」互聯網公司。甚至可以說,任何互聯網公司都需要風控。
(風控應用場景)
當然,互金行業的風控不只是一上來就各種數據,各種演算法建模,各種風險評估。實際上,用戶的賬戶、投資支付等環節往往存在著各種風險,了解這部分也非常重要。本文是互聯網金融風控基礎知識的第一篇,主要闡述用戶賬戶安全、投資支付安全以及推廣運營種的風險控制。
3 用戶賬戶安全
較於互聯網其他行業,互聯網金融產品的賬號與資金安全顯得更為非常重要。若用戶遭受經濟損失,則平台的利益與口碑可能雙輸。基於此,互聯網金融產品(無論是移動端還是Web端),均採取各種措施來保護用戶帳號資金安全。對於互金平台,用戶體驗和安全永遠是魚和熊掌,在保證安全的前提下提高用戶體驗。在產品設計與後台開發的時候,應事前預計各種情況並給出解決產品層面和技術層面的方案。
用戶賬戶安全涉及到木馬植入,暴力破解密碼,拖庫撞庫、虛假註冊、簡訊轟炸、手機丟失等行為。在註冊登錄等場景下均可能出現各種問題。
3.1 註冊行為
1)建立註冊手機號黑名單。在註冊時就進行控制。此處可採用第三方風控平台建立的號碼黑名單。
2)實名認證。通過直接實名認證或者銀行卡綁定完成註冊後的實名認證,增加平台對用戶的了解。當然,按照監管要求,所有投資借貸支付均需實名認證。
3.2 簡訊驗證碼
互金平台可能遇到的情況包括垃圾註冊,調用簡訊介面進行轟炸,干擾了正常的簡訊下發且大量消耗簡訊服務費。黑客可通過抓包的形式,獲取簡訊介面,並通過代理IP,採用不同的手機號,源源不斷的請求簡訊介面。本人所在的項目就遇到過類似的情況。防止措施包括:
1)產品層面採用圖形驗證:在用戶註冊時,為了識別出機器人註冊,需輸入驗證碼或者拖動滑條等方式。
2)IP地址和手機號碼地理位置映射:IP地址和手機號碼本身攜帶著地理位置屬性,通過建立GEO-IP庫和手機號碼歸屬地庫映射,從而判斷出風險。
3)請求限制:同一IP請求簡訊介面達到一定次數(例如5次)則限制該IP請求24小時。單個手機號碼60s只能請求1次簡訊介面,1小時內至多請求3次,24小時內至多請求5次。
4)簡訊預警: 通過評估平台簡訊業務量,帳號開設日發送上限,限定每天最大發送額度,超出一定限度則提醒相關人員。
3.3 登錄行為
1)判定用戶是否在常駐地登錄。建立地理柵欄,若用戶當前登錄地與用戶號碼歸屬地、常駐地存在差異,通過下發簡訊通知用戶。
2)移動端採用Touch ID、圖形繪製進入app。為了讓用戶獲取更高的安全保障,在用戶完成註冊行為後就立馬啟用Touch ID、圖形繪製,也可以在用戶完成充值投資後立馬提示用戶。
3)修改密碼等場景下,需要輸入原始密碼並進行簡訊驗證。(但此處存在一個悖論,我就是因為不知道原密碼才來改密碼的啊……請慎重)
4)常用設備登錄。普通用戶常用設備為1台,多則兩台。每台設備均對應特定的型號,若用戶賬號與最近登錄設備不一致,通過下發簡訊告知用戶。
5)登錄連續輸入密碼錯誤5次,則限制該賬號24小時不能登錄。
以上關於登錄註冊的風險控制,並非要全部都做,也不是做完了所有的功能就安全了。需要開發能力開發優先順序進行評估,同時產品經理需要梳理好各個功能的關係,防止出現無解的情況。
4 投資風控
對於理財類平台,在相同的量級下用戶往往追捧高收益。在某些理財平台,熱門高收益的理財產品一開標就被秒光的情況很常見。此時一些會技術的用戶會利用腳本進行作弊,以達到秒標的目的。因此這些熱門平台存在一標難求的情況,佔用了其他用戶的資源。為了防止這類問題:
1)程序識別自動投標。程序自動投標有以下特徵,單個用戶的投標操作頻繁,對相應頁面(介面)的在1分鐘內大於10次,且在開標時間點之前就已經頻繁請求。平台可以根據情況設定閾值,進行識別。通過撰寫相應的腳本識別出這類用戶,據規則將涉及自動投資的賬戶交給運營處理。
2)產品層面增加投資過程難度。如機器投標的情形非常猖獗,對平台造成了很大的影響,則應考慮犧牲用戶體驗而增加投資難度。與註冊行為類似,在投資流程中增加滑動驗證碼、計算題、辨別倒立的漢字等等(例如淘寶在秒殺活動中加入了計算題,四字成語的首字母)。
5 推廣運營風控
隨著互聯網不斷發展,獲客成本很高。而互聯網金融獲取一個投資用戶的成本在幾百元。在競爭日趨激烈的互金行業,特別是理財類產品,產品要獲客需要去不同的平台推廣以獲取目標用戶。但某些平台為了業績,營造流量很大的氛圍,通過虛擬機+代理IP點擊廣告。同時,某些渠道通過購買用戶信息,機器模擬註冊,甚至完成實名認證和甚至銀行卡驗證。對此,消耗了推廣費用卻沒有獲得真正的用戶。
在互聯網中,有一群人稱為「羊毛黨「,各種信用卡的,賺取積分各種獎品優惠券。哪裡有紅包哪裡就有他們的身影。他們是真實用戶,但他們來平台的目的不是參加活動或者投資,這些人不能成為平台用戶,且佔用消耗了平台資源。
5.1 建立完善內部系統「黑名單」(「灰名單」)
通過自己或者通過第三方,建立羊毛黨用戶的「黑名單」(「灰名單」)。這類用戶的特點是,平時不活躍,在平台有推廣活動有紅包優惠時,表現比較活躍。通過分析用戶行為,建立羊毛黨用戶的「黑名單」。不過建立這樣的名單是一項長期的過程。
5.2 推廣效果監控系統
在通過渠道推廣之前,謹慎考慮每個渠道的用戶質量與渠道本身的口碑。如不能確定推廣渠道的優劣,前期可以小部分投放推廣。大量投放之前,運營團隊與產品、技術團隊一道,搭建市場推廣效果監控系統。在活動頁面埋點,監測頁面UV、PV量。同時監控不同渠道的註冊轉化率、投資轉化率、投資額度等關鍵指標。差的渠道,註冊轉化率,投資比例都會很低。這樣不同的渠道優劣很容易就區分開來。
5.3 電話回訪
通過「人肉」的方法判定渠道的優劣。在不同的渠道隨機抽取用戶播放回訪電話,並詢問用戶在哪裡看到當前的產品的,同時對用戶做一個產品體驗調查。重點關注用戶所在的區域,用戶的年齡性別職業等信息,與目標用戶的特徵進行比較。筆者所在的項目遇到過,在試推廣階段發現某個渠道的註冊手機號多來自廣東,果斷棄之。
5.4 建立自動預警機制
首先,辨別作弊者的行為特徵,然後量化這種行為。再通過撰寫特定的腳本識別出這種行為,識別後自動告知運營人員。最後可將這些用戶加入系統的「黑名單「(「灰名單「)。採用這種「機器+人工」方式可以有效幫助運營對抗羊毛黨。比如,在短時間內(1個小時內)完成了登錄註冊綁定投資,同時多個新用戶(5個或更多)被同一個人邀請,很快(1個小時內)完成了登錄註冊和投資,且平均投資額度很低(<20元)。這樣的用戶肯定存疑。當然類似的規則需要不斷新增與完善。產品層面要考慮從後台能查看到具體用戶的所有行為軌跡。
PS:以上內容若有不對的地方,還請大家不吝批評並不斷完善!本文參考了李小翀、互聯網金融產品經理的日常等人,《P2P貸款》、《互聯網信貸風險與大數據》等書的觀點,在此統一表示感謝。
作者:楊大興,公眾號:遊俠兒(youxiaer917),關注互聯網金融,愛閱讀愛健身的PM一枚。也可加本人wechat(ydx880917)交流。
附:乾貨|互聯網金融支付基礎知識 知乎專欄
推薦閱讀:
※不投自我證明階段的創始人,強烈看好互金領域-投研社訪談多牛資本蔣海炳
※新趨勢:銀行業巨頭正在與金融科技初創公司媾和
※你為何註定被淘汰?從P2P內幕說起