银行交易风险控制业务场景大全

一、渠道讲解

进行银行交易风险监控系统的业务分析和系统设计，首先要理清楚涉及哪些业务渠道，然后才是每个渠道有哪些风险场景。

所谓银行渠道，就是指银行对外（主要是指客户、合作商户）提供服务的方式，如银行的各级分行、城市中心支行、网点，自动柜员机，POS机，银行的门户网站、银行的商城系统积分系统，银行开发的app，银行电话热线等。相对应的就有了银行的各个渠道的业务系统。其分类繁多，而其中的交易风险层出不穷，也各具特点，可以说是相当复杂。这要求进行交易风险系统建设的相关需求分析人员、设计架构人员都必须有深刻的业务理解。

银行全渠道交易风控中，要与风控系统对接的渠道有哪些？一般包括：手机银行、网上银行、微信银行、电话银行（即Callcenter）、短信银行、ATM/CRS、POS、快捷支付/网联支付、柜面系统、银行官网、。其中根据用户是否通过互联网方式接入，又把手机银行、网上银行、微信银行、快捷支付/网联支付统称为互联网渠道，其他的如电话银行（即Callcenter）、短信银行、ATM/CRS、POS被称为传统电子渠道，柜面系统属于物理渠道。除此以外，随着业务的拓展，还会出现如二维码收单、POS收单的细分渠道。

一般而言，这些渠道都是由电子银行部管理，而有些国有大行和股份制银行会把其中一些与信用卡相关的业务渠道独立出来，划分到信用卡中心来管理。

二、场景讲解

1、盗卡伪卡异地盗刷场景

先看某报纸上的一个伪卡盗刷的案例，如下：

产业链条分析：

买卖银行卡信息：有可能是银行内部人员参与了银行卡信息泄露和买卖；也有新的短程射频技术可以读取到附近银行卡信息。

买卖身份信息：第三方公司如保险公司、旅游公司等的从业人员泄露了客户信息并买卖；

提供POS刷卡套现：非法商家参与；

制作伪卡：具备制卡技术的人员

作案：具体作案的人员，通过伪卡进行异地盗刷。

作案步骤分析：

作案人员购买银行卡信息，或通过其他技术读取银行卡信息。

作案人员购买身份信息。

作案人员通过非法制卡的渠道制作伪卡。

作案人员到非法商家处进行刷POS机盗刷套现。

反欺诈平台可以设置规则组合，针对异常交易时间、异地、金额超限等方式进行事中控制。例如判断交易是否在异常时间段发生，交易金额是否连续递减，交易地点是否不符合行为习惯，交易金额是否超限额等来判断并截断交易

2、电信诈骗场景

作案步骤分析：

通过第三方库网站（如社交网站、博彩等）进行撞库、购买客户隐私数据等方式先筛查目标对象。

在非常规时间（凌晨1点到6点）通过伪基站、GSM技术漏洞进行目标手机劫持并获取短信验证码

登陆网银，修改绑定的手机号，然后盗刷。盗刷的过程也是很有特点的，会尝试调整账户限额，后去试探银行账户余额，如先试一笔3万，如果不成功就试2万5，连续递减直到盗刷成功。

被盗刷客户第二天起床后，就发现手机很多莫名的短信和发现资金已经不见。

反欺诈平台可以设置规则组合，例如判断交易是否在异常时间段发生，交易金额是否连续递减，交易前是否有修改绑定行为，交易金额是否超限额等来判断并截断交易

3、营销反欺诈场景

营销欺诈场景也是比较丰富，黑产集中且实用较多前沿工具。包括薅羊毛（稍后单独叙述）、黄牛囤货等欺诈行为。避免银行的营销费用因恶意欺诈行为而造成浪费，确保营销资源有效利用。大力度引入外部黑灰产数据，通过黑灰名单、大数据风控模型、多维度风险画像进行风险识别，已经是银行目前正在实践的课题。

营销类欺诈的研究，以设备指纹技术和定制化风控模型为基础，利用跨平台数据优势，帮助平台监测、识别各种营销类欺诈行为，包括：恶意抢红包、黄牛刷单、虚假秒杀、作弊点击等，从而过滤可疑流量，提升营销效果、保护平台用户利益

恶意抢红包。常见的方式有：

下载APP进行注册，完成任务后领取现金红包

活动期间，新用户实名认证绑卡领取现金红包

邀请新用户注册使用APP，完成任务后领取赏金

恶意刷券，常见的方式有：

黄牛使用群控设备批量领取优惠券后囤货

中介批量领取平台优惠券后消费或开展代买业务

4、薅羊毛场景

名词解释：羊毛党即热衷参与各类营销活动，包括但不限于: 折扣、返现、抽奖、优惠券，但并不能转化为平台活跃或带来经济价值的用户

交易风险控制系统中的薅羊毛场景是针对团伙性的薅羊毛行为，而不是针对普通银行客户的薅羊毛行为。

团伙性的薅羊毛行为，会使用专业化的工具，例如app模拟器、大批量的僵尸银行账户和卡号、大批量的僵尸手机号，专业的电脑程序等。获利如实物礼品、积分等会通过其他渠道变现而获利。

团伙性的薅羊毛行为使得银行设计的营销活动、促活跃的活动被浪费掉了。不仅仅没起到促活跃的作用，奖品礼品被刷走，银行损失了人力财力，而且助长了黑色产业。

作案步骤分析：

羊毛党首先是收集大量的银行账号即僵尸户，并养了大量的僵尸手机号。

羊毛党定期分析银行的促活跃营销活动，分析参与步骤和获利方式。

羊毛党针对促活跃营销活动的具体活动步骤，开发定制模拟器程序。

羊毛党利用机器猫、模拟器等自动化工具和大批账户，通过薅羊毛程序去参加银行活动。并获利。

在获得银行的大量奖品和礼品后，通过其他渠道变现获利。

交易风险监控系统的薅羊毛规则，主要针对同一批设备指纹、IP、帐号进行频繁交易这一特点来设计。如：设置规则组合，判断多笔交易使用了同一个机器、多个活动使用了相同的一批账户，操作时间比较短，礼品寄送地址比较类似等来判断和拦截这些交易。或对设备指纹、IP、帐号进行名单管理，如：同一终端多个客户参与优惠交易，加入灰名单，如果已是灰名单，且触发过2次以上本规则，则加入黑名单。

5、二三类账户交易风险场景

首先摘录一段关于二三类账户盗用资金的新闻：

日前有媒体报道，上海某市民忽然发现自己支付宝账户中被莫名绑定了多张自己的虚拟借记卡（二三类户），但并非她本人办理，最终在支付账户内发生资金盗取的风险案例。就此事件暴露的银行卡风险相关问题，记者采访了业内相关风险安全专家。

风险安全专家表示，从目前报道信息看，此事疑似用户个人信息泄露导致的持卡人资金风险。报道中该持卡人在支付机构被盗用资金的原因，初步分析，主要在于用户信息泄露、某些支付机构通过银行卡找回登陆密码的流程存在安全漏洞，导致持卡人在支付机构的账户资金被盗用。但由于报道中涉及某些支付机构以及多家银行账户信息，相关情况还有待进一步核实。

自2016年12月1日起，银行在现有个人银行账户基础上，将个人银行账户分为一类银行账户、二类银行账户和三类银行账户(以下简称Ⅰ类户、Ⅱ类户、Ⅲ类户)，个人在银行开立账户，每人在同一家银行只能开立一个Ⅰ类户，如果已经有Ⅰ类户的，再开户时只能是Ⅱ、Ⅲ类账户。

据国人民银行支付结算司相关负责人介绍，给银行账户分类的作用，是每个人可根据自己的需要，主动管理自己的账户，把经常使用网络支付的账户降级，将不同的账户按需要分类管理，这样既能保证资金安全，也方便支付。

从二三类账户的设立初衷看，二三类户是银行为方便客户远程开户、提升体验而设立的，通过分级分类管理的原则保障用户安全与便捷的平衡。

一类、二类、三类户的区别

Ⅰ类户，指的是通过传统银行柜面开立的、满足实名制所有严格要求的账户，属于全功能的银行结算账户，安全等级最高。简单而言就是你手里拿的储蓄卡或者是借记卡。它的功能包括存款，购买理财产品、支取现金、转账、消费以及缴费支付等。

Ⅱ类户是不能存取现金、也不能向非绑定账户转账，这类账户单日支付限额为1万元，比如说信用卡就是如此。

Ⅲ类户则主要用于快捷支付比如闪付免密支付等，仅能办理小额消费及缴费支付，不得办理其他业务，户内余额不超过1000元。Ⅱ类、Ⅲ类户都没有实体卡片。对Ⅱ类、Ⅲ类户限额，主要是有效控制客户资金风险。

与Ⅰ类账户必须到柜台当面办理不同，Ⅱ类、Ⅲ类账户可以通过“绑定”Ⅰ类账户的办法在网上开设。

作案步骤分析

骗子通过第三方购买客户泄露信息。

骗子在线上通过银行的客户端APP或网上银行开通多个二三类账户,并预留了骗子的手机号码。（这个过程往往使用了多开器、模拟器等黑产技术）

骗子通过支付机构的账户（如支付宝、微信支付）绑定此二三类账户，并找回密码的方式，通过预留手机号破获支付机构账户的密码。

骗子进行资金盗用的欺诈活动。把资金转走。

骗子再次重复以上步骤，进行其他被骗客户的二三类账户开户和盗用资金。

二三类户的风险还不仅仅发生在资金盗用的场景，还会被利用于洗钱、薅羊毛、虚拟注册等场景

规则要点

二三类风险规则主要针对于频繁开通、绑定、解绑二三类账户这一特点，可以通过设备指纹、IP、证件号、手机号进行关联聚合分析，如：同一设备，在【10】分钟内开通【2】个以上2、3类账户；或对设备指纹、IP、证件号、手机号进行名单管理，如：在敏感时间【1:00-5:00】使用高风险IP开通2,3类账户，设备、IP、手机号加入灰名单。如果已是灰名单，且触发过2次以上本规则，则加入黑名单。

6、信用卡伪卡消费或套现

信用卡伪卡是指不是信用卡本人所使用的信用卡而是不法份子通过其技术手段复制出原卡信息进行违法刷卡套现的卡。

信用卡的构造与门卡的构造相同，是靠卡片上的磁条记录持卡人的资料代码，另外还有一组识别码。如果与刷卡机连线，或是用一台有记忆储存设备的读卡机(侧录器)，将信用卡在上面刷一下，就能将真卡的数字全部记录下来。

犯罪团伙取得这些数字后，用空白的卡片(俗称白卡)贴上磁条，输入侧录的代码，再用凸字机打出，打印防伪标签，这样就做出了一张与发卡银行所发的信用卡相同的假卡。持假卡消费的人，通常在被发现或被停卡之前，会连续大量刷卡消费，直到刷爆为止。

对于商户而言，留意持卡人。若遇到的持卡人有以下行为举止，商户们就要警惕了，他/她很可能使用的就是伪卡！穿着打扮与言行举止像土豪，出手阔绰，专买贵的；当大金额交易被拒付后，常常要求分单或马上改用其他卡片；通过给回扣要求使用信用卡套取现金，签字极为简单、潦草；急于成交，选购速度快，还不会还价！

伪卡的交易损失将由商户承担，商户无法承担的转由服务商承担！所以商户朋友们一定要擦亮双眼，防范伪卡交易！

7、虚假注册

参考：http://finance.ifeng.com/a/20160910/14872638_0.shtml

富国银行的员工在客户不知情或未征得其同意的情况下，提交申请了565443个信用卡账户。许多客户并未授权开通信用卡，但在自己名下却产生了信用卡年费、利息以及其他费用。这其中有员工的业绩要求也有利益的诱惑。

国内的黑产业在观察和模仿国外的欺诈行为，也进行大量的虚假注册。通过获取或制作虚假身份信息、虚假手机号码来进行大量的银行卡信用卡的伪造。获取保利。

在互联网应用时，一些不法用户会注册多个虚假手机号码，并通过虚假手机号码进行盈利活动，例如，获取提供商提供的红包、抵用券等。

8、信用卡套现场景

这里讨论的是卡主自发的消费套现。卡主开通多张信用卡，循环刷循环还。一般会频繁替代他人刷卡、大额刷卡，并且在换卡日前还款，然后又继续刷卡行为。

这其中不乏移动POS终端的影子，在信用卡套现中，移动POS机器扮演的虚拟交易商家的收款机起到了极大的助推作用。

参考：http://dy.163.com/v2/article/detail/E2UBBNKN0519WU10.html

特点：

经常单次大额刷卡
经常在固定商户的POS上刷卡
同一张卡短时间内在多个pos机上刷卡
经常一次性把信用卡刷爆

对于银行的风控系统，会对多个维度进行风险刻画，形成商户风险画像、设备风险画像、客户风险画像，通过多维度的特征比较，来识别是那方面的特征值出现来异常并判断是否是信用卡套现。

规则一般有：

是否同一设备ID值，是否同一IP进行了大量的低息刷卡消费。

是否在同一个商家进行了频繁的消费。频率远高于普通商家。

是否交易金额是100的整数倍，单笔金额是否超过限额，多笔总额是否超过限额。

9、信用卡积分套现

信用卡积分是银行为了激励持卡人刷卡消费而给予的反馈，持卡人在商户刷卡消费，银行赚取手续费收入，反过来赠送持卡人相应数量的积分（通常刷卡消费一元人民币可累积一积分）；积分累积到一定数量，可以在银行信用卡商城兑换礼品，部分银行信用卡积分还可以在合作商户兑换成刷卡金，部分卡种还能转换成航空公司的里程，兑换免费机票等等。而以上商品又可以在某宝上进行有价转让，变成钱。

利用这一个规则，部分持卡人通过在POS机上虚假交易进行刷卡套现。在银行端，套现交易看起来是正常的有积分交易，持卡人就可以顺理成章地以极低的成本得到大量积分。需要注意的是，并非所有的刷卡交易都可以累积积分，如房产、汽车、批发、医院等领域的消费以及金融和政府类支付交易都不算入积分。

作案步骤：

同一个账户与商户合作，频繁制造虚假交易。

钱流转到商户后，商务又继续通过其他渠道转入到账户中，然后继续虚假交易。不断循环。

所得积分，到银行兑换礼品，如航空里程。

到某宝上有价转让，并变现。

作案特点：同一个账户在同一商户频繁进行刷卡积分的虚假交易，且总金额超过一定程度。做进行的交易提供较高比例的积分，较低比例手续费甚至无手续费。
推荐规则：

继续统计量：统计账户有积分交易的刷卡次数排名前三的商户的交易次数、交易金额。统计排名前三的商户的所得积分。

判断交易的手续费比例低于特定比例。

判断同一账户在同一商户的交易次数是否超出设定次数，判断交易总金额是否大于设定的金额。

判断总积分是否超出设定数值，排名前三的积分是否查处设定数值。

三、事中&事后

事中风控和事后风控对交易的控制是不一样的。

事后风控是进行批量数据分析处理，也是跑规则来判断风险的等级，按照风险等级进行预警，如设定监控、黄色预警、橙色预警、红色预警。有些银行也会命名为低风险警告、中风险警告、高风险警告。

事后风控无法做到首笔反欺诈。事后风控的结果是进行相关账户的资金冻结、把风险等级较高的账户列入黑灰名单。

事中风控能够进行实时的交易风控。现在银行的交易风控解决方案都向事中风控的方向前进。

事中风控所依赖的数据维度也在不断扩展。除了行内数据和行内业务渠道的交易数据，还增加了业务渠道的埋点数据、外部的官方数据、运营商数据、第三方数据，用以分析和刻画客户的交易行为，通过判断行为习惯于当前交易的偏差来判断是否出现风险。

所以事中能够比事后更快捷、更精确。

疑问在于，随着流计算技术的日益完善，数据的不断丰富，以后的大数据智慧风控方案中，是否完全使用事中模式而放弃事后分析？

四、规则讲解

规则是针对银行业务交易进行风险分析判断的具体实现。规则可以根据每个银行每个渠道的情况而变化万千。例如建行现在就形成了专家规则约1200+个，广发银行也有超过600个规则，广东省农信也积累超过200个规则。

此处，规则无法一一列举。以后有机会再做分享。

五、对以上风险行为进行总结

综上所述，业务场景是相互交叠的。

例如伪卡，可以是信用卡伪卡也可以是借记卡伪卡。伪卡后的盗刷可以是异地也可以是非异地，可以是消费成贵金属后变现，也可以与商家勾结来变现。

所以套现的方式也是多种多样，在不同的场景个不一样。从主被动关系来看，伪卡后盗刷的套现是被动的，卡主是受害人；而养卡套现是卡主故意开通多张卡来循环套现，是主动的，卡主是受益人；

营销欺诈的细类也很多了，包括攒积分、礼品、航班里程等。

但总的作案特征依然是这样：

1，身份不一致，身份信息需要核实。

2，账户或卡被盗抢被复制。

3，交易地点与卡主习惯地点不一致，交易时间与卡主习惯时间不一致。

4，使用了模拟器、多开器、猫池等工具。硬件设备信息篡改、伪装成新设备等。