风控你审核提不了款怎么办 七扇门|6个风控的血泪教训
专业出黑
在线金融业务中,风控规则是个很机密的内容。一旦风控规则产生漏洞,立刻就会招来大波袭击。捕头这些年,亲身经历、看过很多类似案例,很多情况下这些漏洞如果再细心一点,考虑的再全面一点,都可以避免。下面就介绍一下其中几个实践案例,供大家思考。
公积金验证漏洞
某电商消费金融公司,在分期借环节设计了一个环节:用户提交自己的网上公积金账号密码,金融公司去爬取相关信息后,可以增加对应的借款额度。本身在业务设计上是一个正确的逻辑,通过公积金账户,可以证明客户具有相对正规的工作,也可以从公积金反推出客户月均收入情况。
但这个环节中,有一个细小的疏漏。技术上,没有把公积金账号对应的人名借款的人名做比对。简单来说,就是张三、李四、王二麻子都可以用小明的公积金账户来提升额度。业务上线第二天一早,被黑中介掌握了这个漏洞,于是铺天盖地的狂刷。在下午4点公司发现漏洞之前,黑中介们至少刷出了一千万的新增额度。
解决方案:
很简单,姓名和其他信息比对。所有共用同一公积金账号的,视为欺诈,黑名单处理。
信用卡账单造假
某小贷公司推出的信用贷,用户提交自己的邮箱账号和密码,公司去爬取信用卡账单,然后根据信用卡情况进行授信。公司的设计概念是,信用卡审核需要更严苛的资质审核,因此通过信用卡账单,可以规避对应风险,再通过对账单的分析,可以评估出授信额度。
理想很美好。某宝随手搜一下账单技术,就会找到很多,而且分门别类,哪些公司可以用哪些不可以用都有明确说法。
解决方案:
关键在信用卡账单的发件邮箱,点到即止,说多了坏人也知道了。
某银行XX贷款网申资料篡改
某行搞了一个XX贷的活动,用户在网上提交资料可进入预约,预约获批后可获得对应申请额度。
1、用户在网站上填写个人资料,申请额度等信息后点击确定,会弹出窗口提示预约成功。
2、随后进入资料补充界面,可以补充其他财力资料。
问题来了,当用户进入2页面的时候,可以通过网页调试工具编辑用户资料信息。而在这一步并无审核,审核都在第1页面上。也就是说,我可以先用一个真实用户的身份信息来申请,以此通过风控校验。然后在第二页使用工具修改个人资料信息为一个其他人,而由于这一步不会再进行个人信息校验,所以可以顺利替换为其他人。说起来有点绕,画个简单的示意图如下:
后果就是,欺诈分子使用其他人的资料进行贷款申请,而实际对应的现金款则会打到篡改后的账户上。幸好被发现及时,损失还算可控,不然这个漏洞能亏死。
解决方案:
第2页的个人资料只做展示,不做进件资料提交。
假房产证提额
XX贷,为什么你们都叫某某贷。新公司新产品,业务流程是:当客户还款三个月后,可申请提额。提额过程中有一个选项是提供房产证图片,可申请到1-3万的额度。
房产证图片就可以提额,哪位产品经理想出来的主意?从哪里招来的风控?分分钟被PS戳死。
解决方案:
多花点钱招点有实际经验的风控吧。
某手机贷
这家小贷公司的母公司是一家手机厂商,于是结合手机做了一个小贷产品。使用该品牌手机时间越长,则通过几率大,额度高。究其原理,实际上是在手机上可以获取很多用户信息,从而为信用审核提供很多数据支撑。
该信审的这个逻辑,迅速被黑中介们发现。接下来就很简单,去买该品牌的二手机,额度就增加了。发展到后来,连手机都不用买了,直接刷该厂商的操作系统就行。
解决方案:
该公司一开始还在考虑,如何对抗刷机、二手机。而我的建议是,直接取消这种授信方法,这个授信方法不合理,在设计的时候就没考虑到,如果被人发现了怎么办?与其在这种对抗上反复折腾,不如直接从根子上掐掉。
不同渠道客户的漏洞
现在做信用贷现金贷的很多公司,背后都有集团母公司,看着这两年金融市场比较火,组了个公司想摸条鱼。在实际业务上,就需要母公司帮助获客导流。于是这些公司在一诞生就含着金钥匙,但同时也带来了一些甜蜜的烦恼。
某某钱包就是这样一个公司,用户前来申请某某钱包,可以有几种渠道,可以新注册一个用户,也可以用钱包的母公司账户渠道,也可以用其他兄弟公司的账户渠道。
问题来了,某某钱包的风控规则,有相当一部分是关于设备的规则,也就是利用了风控里的设备指纹等技术。但这些技术,都需要在用户手机端安装对应的包,但母公司和兄弟公司则不会替某某钱包安装这个东西。还是看图:
这样就等于是,钱包自有用户需要经过更严格的风控审核,而其他用户则不需要。于是中介们很快总结出了这个规律,从集团和其他渠道大量注册,从而绕过了设备风控。
解决方案:
集团用户体系可以用,但并不代表集团会帮你做风控。可以用点小甜头来吸引客户安装自有APP,一方便提升了APP装机量,另一方面也实现了设备风控,何乐而不为?
案例还有很多,无法一一介绍。一个神**手是子弹喂出来的,一个好的风控人员,也是无数血泪教训培养出来的。多花点钱,招个接地气有实战经验的风控人员,可以帮你挽回很多不必要的损失。
在风控人员的培养上,有没有成本低一些的方法?也有,后期我们也会向大家介绍,与传统打法不一样的风控人员成长之路。记得关注我们的微信号。
(本文由7扇门原创)
7扇门
我们是来自于中国平安集团旗下前海征信的专业风控、反欺诈团队。定期分享风控专业知识和反欺诈前沿技术,探讨实际应用。每周涨点知识,多点谈资,定期举办沙龙活动,欢迎关注。
