銀行交易風險控制業務場景大全

 

目錄

---

一、渠道講解

進行銀行交易風險監控系統的業務分析和系統設計，首先要理清楚涉及哪些業務渠道，然後纔是每個渠道有哪些風險場景。

所謂銀行渠道，就是指銀行對外（主要是指客戶、合作商戶）提供服務的方式，如銀行的各級分行、城市中心支行、網點，自動櫃員機，POS機，銀行的門戶網站、銀行的商城系統積分系統，銀行開發的app，銀行電話熱線等。相對應的就有了銀行的各個渠道的業務系統。其分類繁多，而其中的交易風險層出不窮，也各具特點，可以說是相當複雜。這要求進行交易風險系統建設的相關需求分析人員、設計架構人員都必須有深刻的業務理解。

銀行全渠道交易風控中，要與風控系統對接的渠道有哪些？一般包括：手機銀行、網上銀行、微信銀行、電話銀行（即Callcenter）、短信銀行、ATM/CRS、POS、快捷支付/網聯支付、櫃面系統、銀行官網、。其中根據用戶是否通過互聯網方式接入，又把手機銀行、網上銀行、微信銀行、快捷支付/網聯支付統稱爲互聯網渠道，其他的如電話銀行（即Callcenter）、短信銀行、ATM/CRS、POS被稱爲傳統電子渠道，櫃面系統屬於物理渠道。除此以外，隨着業務的拓展，還會出現如二維碼收單、POS收單的細分渠道。

一般而言，這些渠道都是由電子銀行部管理，而有些國有大行和股份制銀行會把其中一些與信用卡相關的業務渠道獨立出來，劃分到信用卡中心來管理。

二、場景講解

---

1、盜卡僞卡異地盜刷場景

先看某報紙上的一個僞卡盜刷的案例，如下：

 

產業鏈條分析：

買賣銀行卡信息：有可能是銀行內部人員參與了銀行卡信息泄露和買賣；也有新的短程射頻技術可以讀取到附近銀行卡信息。

買賣身份信息：第三方公司如保險公司、旅遊公司等的從業人員泄露了客戶信息並買賣；

提供POS刷卡套現：非法商家參與；

製作僞卡：具備制卡技術的人員

作案：具體作案的人員，通過僞卡進行異地盜刷。

作案步驟分析：

    作案人員購買銀行卡信息，或通過其他技術讀取銀行卡信息。

    作案人員購買身份信息。

    作案人員通過非法制卡的渠道製作僞卡。

    作案人員到非法商家處進行刷POS機盜刷套現。

反欺詐平臺可以設置規則組合，針對異常交易時間、異地、金額超限等方式進行事中控制。例如判斷交易是否在異常時間段發生，交易金額是否連續遞減，交易地點是否不符合行爲習慣，交易金額是否超限額等來判斷並截斷交易

---

2、電信詐騙場景

作案步驟分析：

通過第三方庫網站（如社交網站、博彩等）進行撞庫、購買客戶隱私數據等方式先篩查目標對象。

在非常規時間（凌晨1點到6點）通過僞基站、GSM技術漏洞進行目標手機劫持並獲取短信驗證碼

登陸網銀，修改綁定的手機號，然後盜刷。盜刷的過程也是很有特點的，會嘗試調整賬戶限額，後去試探銀行賬戶餘額，如先試一筆3萬，如果不成功就試2萬5，連續遞減直到盜刷成功。

被盜刷客戶第二天起牀後，就發現手機很多莫名的短信和發現資金已經不見。

反欺詐平臺可以設置規則組合，例如判斷交易是否在異常時間段發生，交易金額是否連續遞減，交易前是否有修改綁定行爲，交易金額是否超限額等來判斷並截斷交易

---

3、營銷反欺詐場景

營銷欺詐場景也是比較豐富，黑產集中且實用較多前沿工具。包括薅羊毛（稍後單獨敘述）、黃牛囤貨等欺詐行爲。避免銀行的營銷費用因惡意欺詐行爲而造成浪費，確保營銷資源有效利用。大力度引入外部黑灰產數據，通過黑灰名單、大數據風控模型、多維度風險畫像進行風險識別，已經是銀行目前正在實踐的課題。

營銷類欺詐的研究，以設備指紋技術和定製化風控模型爲基礎，利用跨平臺數據優勢，幫助平臺監測、識別各種營銷類欺詐行爲，包括：惡意搶紅包、黃牛刷單、虛假秒殺、作弊點擊等，從而過濾可疑流量，提升營銷效果、保護平臺用戶利益

• 惡意搶紅包。常見的方式有：

下載APP進行註冊， 完成任務後領取現金紅包

活動期間，新用戶實名認證綁卡領取現金紅包

邀請新用戶註冊使用APP，完成任務後領取賞金

• 惡意刷券，常見的方式有：

黃牛使用羣控設備批量領取優惠券後囤貨

中介批量領取平臺優惠券後消費或開展代買業務

 

4、薅羊毛場景

名詞解釋：羊毛黨即熱衷參與各類營銷活動，包括但不限於: 折扣、返現、抽獎、優惠券，但並不能轉化爲平臺活躍或帶來經濟價值的用戶

交易風險控制系統中的薅羊毛場景是針對團伙性的薅羊毛行爲，而不是針對普通銀行客戶的薅羊毛行爲。

團伙性的薅羊毛行爲，會使用專業化的工具，例如app模擬器、大批量的殭屍銀行賬戶和卡號、大批量的殭屍手機號，專業的電腦程序等。獲利如實物禮品、積分等會通過其他渠道變現而獲利。

團伙性的薅羊毛行爲使得銀行設計的營銷活動、促活躍的活動被浪費掉了。不僅僅沒起到促活躍的作用，獎品禮品被刷走，銀行損失了人力財力，而且助長了黑色產業。

• 作案步驟分析：

羊毛黨首先是收集大量的銀行賬號即殭屍戶，並養了大量的殭屍手機號。

羊毛黨定期分析銀行的促活躍營銷活動，分析參與步驟和獲利方式。

羊毛黨針對促活躍營銷活動的具體活動步驟，開發定製模擬器程序。

羊毛黨利用機器貓、模擬器等自動化工具和大批賬戶，通過薅羊毛程序去參加銀行活動。並獲利。

在獲得銀行的大量獎品和禮品後，通過其他渠道變現獲利。

 

交易風險監控系統的薅羊毛規則，主要針對同一批設備指紋、IP、帳號進行頻繁交易這一特點來設計。如：設置規則組合，判斷多筆交易使用了同一個機器、多個活動使用了相同的一批賬戶，操作時間比較短，禮品寄送地址比較類似等來判斷和攔截這些交易。或對設備指紋、IP、帳號進行名單管理，如：同一終端多個客戶參與優惠交易，加入灰名單，如果已是灰名單，且觸發過2次以上本規則，則加入黑名單。

---

5、二三類賬戶交易風險場景

首先摘錄一段關於二三類賬戶盜用資金的新聞：

日前有媒體報道，上海某市民忽然發現自己支付寶賬戶中被莫名綁定了多張自己的虛擬借記卡（二三類戶），但並非她本人辦理，最終在支付賬戶內發生資金盜取的風險案例。就此事件暴露的銀行卡風險相關問題，記者採訪了業內相關風險安全專家。

風險安全專家表示，從目前報道信息看，此事疑似用戶個人信息泄露導致的持卡人資金風險。報道中該持卡人在支付機構被盜用資金的原因，初步分析，主要在於用戶信息泄露、某些支付機構通過銀行卡找回登陸密碼的流程存在安全漏洞，導致持卡人在支付機構的賬戶資金被盜用。但由於報道中涉及某些支付機構以及多家銀行賬戶信息，相關情況還有待進一步覈實。

自2016年12月1日起，銀行在現有個人銀行賬戶基礎上，將個人銀行賬戶分爲一類銀行賬戶、二類銀行賬戶和三類銀行賬戶(以下簡稱Ⅰ類戶、Ⅱ類戶、Ⅲ類戶)，個人在銀行開立賬戶，每人在同一家銀行只能開立一個Ⅰ類戶，如果已經有Ⅰ類戶的，再開戶時只能是Ⅱ、Ⅲ類賬戶。

據國人民銀行支付結算司相關負責人介紹，給銀行賬戶分類的作用，是每個人可根據自己的需要，主動管理自己的賬戶，把經常使用網絡支付的賬戶降級，將不同的賬戶按需要分類管理，這樣既能保證資金安全，也方便支付。

從二三類賬戶的設立初衷看，二三類戶是銀行爲方便客戶遠程開戶、提升體驗而設立的，通過分級分類管理的原則保障用戶安全與便捷的平衡。

• 一類、二類、三類戶的區別

Ⅰ類戶，指的是通過傳統銀行櫃面開立的、滿足實名制所有嚴格要求的賬戶，屬於全功能的銀行結算賬戶，安全等級最高。簡單而言就是你手裏拿的儲蓄卡或者是借記卡。它的功能包括存款，購買理財產品、支取現金、轉賬、消費以及繳費支付等。

Ⅱ類戶是不能存取現金、也不能向非綁定賬戶轉賬，這類賬戶單日支付限額爲1萬元，比如說信用卡就是如此。

Ⅲ類戶則主要用於快捷支付比如閃付免密支付等，僅能辦理小額消費及繳費支付，不得辦理其他業務，戶內餘額不超過1000元。Ⅱ類、Ⅲ類戶都沒有實體卡片。對Ⅱ類、Ⅲ類戶限額，主要是有效控制客戶資金風險。

與Ⅰ類賬戶必須到櫃檯當面辦理不同，Ⅱ類、Ⅲ類賬戶可以通過“綁定”Ⅰ類賬戶的辦法在網上開設。

• 作案步驟分析

       騙子通過第三方購買客戶泄露信息。

       騙子在線上通過銀行的客戶端APP或網上銀行開通多個二三類賬戶,並預留了騙子的手機號碼。（這個過程往往使用了多開器、模擬器等黑產技術）

       騙子通過支付機構的賬戶（如支付寶、微信支付）綁定此二三類賬戶，並找回密碼的方式，通過預留手機號破獲支付機構賬戶的密碼。

       騙子進行資金盜用的欺詐活動。把資金轉走。

       騙子再次重複以上步驟，進行其他被騙客戶的二三類賬戶開戶和盜用資金。

       二三類戶的風險還不僅僅發生在資金盜用的場景，還會被利用於洗錢、薅羊毛、虛擬註冊等場景

• 規則要點

    二三類風險規則主要針對於頻繁開通、綁定、解綁二三類賬戶這一特點，可以通過設備指紋、IP、證件號、手機號進行關聯聚合分析，如：同一設備，在【10】分鐘內開通【2】個以上2、3類賬戶；或對設備指紋、IP、證件號、手機號進行名單管理，如：在敏感時間【1:00-5:00】使用高風險IP開通2,3類賬戶，設備、IP、手機號加入灰名單。如果已是灰名單，且觸發過2次以上本規則，則加入黑名單。

---

6、信用卡僞卡消費或套現

信用卡僞卡是指不是信用卡本人所使用的信用卡而是不法份子通過其技術手段複製出原卡信息進行違法刷卡套現的卡。

信用卡的構造與門卡的構造相同，是靠卡片上的磁條記錄持卡人的資料代碼，另外還有一組識別碼。如果與刷卡機連線，或是用一臺有記憶儲存設備的讀卡機(側錄器)，將信用卡在上面刷一下，就能將真卡的數字全部記錄下來。

 

犯罪團伙取得這些數字後，用空白的卡片(俗稱白卡)貼上磁條，輸入側錄的代碼，再用凸字機打出，打印防僞標籤，這樣就做出了一張與髮卡銀行所發的信用卡相同的假卡。持假卡消費的人，通常在被發現或被停卡之前，會連續大量刷卡消費，直到刷爆爲止。

對於商戶而言，留意持卡人。若遇到的持卡人有以下行爲舉止，商戶們就要警惕了，他/她很可能使用的就是僞卡！穿着打扮與言行舉止像土豪，出手闊綽，專買貴的；當大金額交易被拒付後，常常要求分單或馬上改用其他卡片；通過給回扣要求使用信用卡套取現金，簽字極爲簡單、潦草；急於成交，選購速度快，還不會還價！

僞卡的交易損失將由商戶承擔，商戶無法承擔的轉由服務商承擔！所以商戶朋友們一定要擦亮雙眼，防範僞卡交易！

7、虛假註冊

 

參考：http://finance.ifeng.com/a/20160910/14872638_0.shtml

 

富國銀行的員工在客戶不知情或未徵得其同意的情況下，提交申請了565443個信用卡賬戶。許多客戶並未授權開通信用卡，但在自己名下卻產生了信用卡年費、利息以及其他費用。 這其中有員工的業績要求也有利益的誘惑。

 

國內的黑產業在觀察和模仿國外的欺詐行爲，也進行大量的虛假註冊。通過獲取或製作虛假身份信息、虛假手機號碼來進行大量的銀行卡信用卡的僞造。獲取保利。

 

在互聯網應用時，一些不法用戶會註冊多個虛假手機號碼，並通過虛假手機號碼進行盈利活動，例如，獲取提供商提供的紅包、抵用券等。

8、信用卡套現場景

 

這裏討論的是卡主自發的消費套現。卡主開通多張信用卡，循環刷循環還。一般會頻繁替代他人刷卡、大額刷卡，並且在換卡日前還款，然後又繼續刷卡行爲。

這其中不乏移動POS終端的影子，在信用卡套現中，移動POS機器扮演的虛擬交易商家的收款機起到了極大的助推作用。

 

參考：http://dy.163.com/v2/article/detail/E2UBBNKN0519WU10.html

特點：

• 經常單次大額刷卡
• 經常在固定商戶的POS上刷卡
• 同一張卡短時間內在多個pos機上刷卡
• 經常一次性把信用卡刷爆

 

對於銀行的風控系統，會對多個維度進行風險刻畫，形成商戶風險畫像、設備風險畫像、客戶風險畫像，通過多維度的特徵比較，來識別是那方面的特徵值出現來異常並判斷是否是信用卡套現。

規則一般有：

是否同一設備ID值，是否同一IP進行了大量的低息刷卡消費。

是否在同一個商家進行了頻繁的消費。頻率遠高於普通商家。

是否交易金額是100的整數倍，單筆金額是否超過限額，多筆總額是否超過限額。

9、信用卡積分套現

信用卡積分是銀行爲了激勵持卡人刷卡消費而給予的反饋，持卡人在商戶刷卡消費，銀行賺取手續費收入，反過來贈送持卡人相應數量的積分（通常刷卡消費一元人民幣可累積一積分）；積分累積到一定數量，可以在銀行信用卡商城兌換禮品，部分銀行信用卡積分還可以在合作商戶兌換成刷卡金，部分卡種還能轉換成航空公司的里程，兌換免費機票等等。而以上商品又可以在某寶上進行有價轉讓，變成錢。

利用這一個規則，部分持卡人通過在POS機上虛假交易進行刷卡套現。在銀行端，套現交易看起來是正常的有積分交易，持卡人就可以順理成章地以極低的成本得到大量積分。需要注意的是，並非所有的刷卡交易都可以累積積分，如房產、汽車、批發、醫院等領域的消費以及金融和政府類支付交易都不算入積分。

• 作案步驟：

同一個賬戶與商戶合作，頻繁製造虛假交易。

錢流轉到商戶後，商務又繼續通過其他渠道轉入到賬戶中，然後繼續虛假交易。不斷循環。

所得積分，到銀行兌換禮品，如航空里程。

到某寶上有價轉讓，並變現。

• 作案特點：同一個賬戶在同一商戶頻繁進行刷卡積分的虛假交易，且總金額超過一定程度。做進行的交易提供較高比例的積分，較低比例手續費甚至無手續費。
• 推薦規則：

繼續統計量：統計賬戶有積分交易的刷卡次數排名前三的商戶的交易次數、交易金額。統計排名前三的商戶的所得積分。

判斷交易的手續費比例低於特定比例。

判斷同一賬戶在同一商戶的交易次數是否超出設定次數，判斷交易總金額是否大於設定的金額。

判斷總積分是否超出設定數值，排名前三的積分是否查處設定數值。

三、事中&事後

事中風控和事後風控對交易的控制是不一樣的。

事後風控是進行批量數據分析處理，也是跑規則來判斷風險的等級，按照風險等級進行預警，如設定監控、黃色預警、橙色預警、紅色預警。有些銀行也會命名爲低風險警告、中風險警告、高風險警告。

事後風控無法做到首筆反欺詐。事後風控的結果是進行相關賬戶的資金凍結、把風險等級較高的賬戶列入黑灰名單。

事中風控能夠進行實時的交易風控。現在銀行的交易風控解決方案都向事中風控的方向前進。

事中風控所依賴的數據維度也在不斷擴展。除了行內數據和行內業務渠道的交易數據，還增加了業務渠道的埋點數據、外部的官方數據、運營商數據、第三方數據，用以分析和刻畫客戶的交易行爲，通過判斷行爲習慣於當前交易的偏差來判斷是否出現風險。

所以事中能夠比事後更快捷、更精確。

 

疑問在於，隨着流計算技術的日益完善，數據的不斷豐富，以後的大數據智慧風控方案中，是否完全使用事中模式而放棄事後分析？

 

四、規則講解

規則是針對銀行業務交易進行風險分析判斷的具體實現。規則可以根據每個銀行每個渠道的情況而變化萬千。例如建行現在就形成了專家規則約1200+個，廣發銀行也有超過600個規則，廣東省農信也積累超過200個規則。

此處，規則無法一一列舉。以後有機會再做分享。

五、對以上風險行爲進行總結

綜上所述，業務場景是相互交疊的。

例如僞卡，可以是信用卡僞卡也可以是借記卡僞卡。僞卡後的盜刷可以是異地也可以是非異地，可以是消費成貴金屬後變現，也可以與商家勾結來變現。

所以套現的方式也是多種多樣，在不同的場景個不一樣。從主被動關係來看，僞卡後盜刷的套現是被動的，卡主是受害人；而養卡套現是卡主故意開通多張卡來循環套現，是主動的，卡主是受益人；

營銷欺詐的細類也很多了，包括攢積分、禮品、航班裏程等。

但總的作案特徵依然是這樣：

1，身份不一致，身份信息需要覈實。

2，賬戶或卡被盜搶被複制。

3，交易地點與卡主習慣地點不一致，交易時間與卡主習慣時間不一致。

4，使用了模擬器、多開器、貓池等工具。硬件設備信息篡改、僞裝成新設備等。