面对如此严峻的盗刷态势,市面上的第三方风控公司雨后春笋般起来,一般的模式有两种:云模式或者本地部署。
当然也有很多公司选择自建风控系统,当然二者的优劣不言而喻,前者建设周期短、项目成功率高,但是系统昂贵,就我接触的系统x盾、x盛、x安来看,也更容易与公司的业务产生水土不服的情况,迭代更新协调的成本反而会更高。
所以在公司有专门做风控的产品或者技术的前提下,选择自建的效果远远会比购买要好,七位数的系统购买费用够养活一个团队我们这些单纯的背锅侠了,我们很容易养活的。
但是无论是外部购买系统还是内部自建系统,做支付风控的三要素无外乎是数据、规则和人。
1 风控系统:宝宝饿了,快给我喂数据
数据自不用言明。数据的使用也是采购外部风控系统最大的痛点之一:如果是云模式,电商平台需要担心敏感信息外露的情况。
如银行卡号、身份证号;如果是本地部署,对于这些标准化的系统产品而言,他们的数据接收方式也许不能适应公司自身的数据结构,这其中的改造成本也是非常巨大的。当然这些问题也是我遇到过的。
对于支付风控而言,需要喂给风控系统的数据包括该笔实时交易数据以及历史数据,当然对于历史数据的采集,为了保证系统实时性,一般都需要根据规则采用预处理的模式。
对于数据的种类、来源、存储等,各大电商平台因为自身业务特点可能大相径庭,但是不管采集过程如何,在支付风控系统内部,规则引擎至少要包括如下种类的数据。
2 喂了数据之后我要消化呀——规则
不言而喻,往风控系统输入大规模的数据之后,系统需要对这些数据做一个反馈,是欺诈或者高危或者正常,对外界而言,风控系统只是一个黑盒,而在这个风控系统内部,是非常复杂的规则逻辑。这里的规则专门用来消化数据使用的。
支付将支付环节的数据推送到风控系统,与此同时,系统内部抓取该用户、该订单、该银行卡、该手机号等维度下的所有信息,跑大批的风控规则,进而输出结果,这样的逻辑很简单。
但是真正在运营过程中才会发现一套规则体系的不易。
规则是在道魔相抗衡的过程中逐渐形成的,这也就是说每一条规则都是血淋淋的欺诈案例积累出来的。
而一套规则体系的诞生往往伴随的是规则有效性的评估,这里也是需要长期的经验积累的。比如一条新增规则是否能够在尽可能少的误杀情况下抓住最多的案例,这是一个策略制定者最头疼的问题。
3 规则的边际有效性递减
当然,这里的较为有效只是相对的,规则的总体有效率说出来可能会让大家震惊。因为随着欺诈水平的越来越高,欺诈团伙也开始通过诸多手段途径尝试绕过电商平台的风控引擎,因此这些欺诈行为也越来越跟正常人的行为一样。
我们想在如海一般的数据里捞出我们需要的数据并且根据蛛丝马迹来找寻可疑订单是非常不易的,这也是为什么风控做到最后规则有效性会越来越低的原因。
经济学上对这种现象有一种较为合理的解释,边际有效性递减:即随着风控系统的不断深入,想多抓住一条新的欺诈订单就需要抓住更多的正常订单才可以。
一套规则体系行之有效的规则准确率可能只有个位数的百分点。以发展多年的美国银行的信用卡反欺诈规则体系为例,其规则的有效性人工核查之后不到三十分之一。
而一般来说,甚至有的规则有效性会更低,但是这样的规则还是要放在规则体系内的,因为这条规则以前发生过未拦截到的欺诈案例。
对于这种有效性不断递减的反欺诈规则,仅仅依靠系统直接拒绝已然不能满足繁复的业务需求,因为正常订单被误判后的客户体验太差了。
因此为了解决这种问题,交易中的人工监控需要被引进来,即人工来判断该笔订单是否有欺诈,如果有则拒绝支付,如果没有则支付成功。
这里需要根据事前支付与事后支付的特点,及公司的业务特征,来构建合理的系统交互流程,以及更重要的人工运营流程。
关于系统交互流程及人工运营流程又是一个非常庞大的话题,值得再开一篇。
进一步的,在支付中如果想降低运营负担,提升客户支付体验的话,那么在客人跳转收银台的时候如果能够提前预知风险,那么在收银台渲染的过程中则将高危渠道关闭,那么这不失为一个好的选择,目前业内已经有多家公司有这样的措施。
当然还有一些其他的优化措施,这些优化的方向需要再开一篇描述更详细的文档、辅助以流程图说明等。
4 刀剑出鞘,侠客所指——人
如果简单点说“数据+规则+计算引擎=风控系统”的话,其实这也仅仅是一把武器而已,但是这对于一个公司的互联网风控体系而言则远远不够,体系=体制+系统,那么能把这把刀剑用好的最大的因素来源于人,来源于风控人员及更多交互部门运营人员的配合机制。
其实对于运营机制,很多互联网企业对此并不是特别在意,尤其是没有配备风控专业岗位人员的公司,认为只要购买了一套成熟的系统之后则一劳永逸,但是事实上,缺了人和体制的作用,那么这把刀剑也是一把未开锋的剑。
具体而言,在一个公司的风控体系中,需要涉及到的“人”主要包括以下:
(1)打刀剑的“打铁匠”们
所谓打铁匠,则不言而喻,指的就是风控系统的产品和开发团队,他们是打造整个风控系统最为核心的环节,将业务的需求转化为系统的实现过程。
对于支付的欺诈案件,需要作出的防范规则是多样性的,这需要铁匠们能够实现各种各样的规则。需要以开发的语言准确表达风控运营对于欺诈案件的描述,这是一个需要经验积累的过程。
(2)用刀剑的“侠客”们
整个支付风控系统最不可或缺的就是风控的运营们,利用风控系统能够准确识别盗刷欺诈案件;根据盗刷欺诈案件不断反哺规则体系和系统功能迭代。
当然,在系统之外,还有更多运营层面的东西,如对支付的渠道的CB问题、公司内部的交互体系,这些都是整个风控体系的核心。
(3)侠客们的酒肉朋友
风控的运营想要发挥作用,光光依靠自身的力量是不足的,所以他们还有属于他们的酒肉朋友。在公司外部,有诸多的同行,及时分享新型支付欺诈案件特征,共享欺诈案件数据,学习欺诈案件的防控心得,这些都需要这些酒肉朋友的支撑。
对内,财务、业务部门、客服部门、市场地推人员都是支付风控的小伙伴们,没有他们的支撑很难做到及时的止损,风控的作用就难以发挥出来。
最后总结
如以上分析,想要做好支付风控,以上三要素不可或缺。当然,在这过程中,还有诸多细枝末节的东西需要去把控。
如对欺诈案件敏锐的嗅觉、支付欺诈案件清晰的追溯逻辑等等,这些都是需要真正做过风控的人才能够有经验去掌控的,所以也许外行人看起来很简单。
但是其实在这每个模块的跟进中,想要去不断完善只能去不断的做好迭代,运营在这其中的作用不可或缺,风控一定是以业务为导向的,运营体系的扩充与完善需要很大的篇幅去描述,而决定风控发展方向的一定是一个懂业务的产品经理或者技术经理。
总之,支付风控对于电商企业而言是整个风控体系中最重要的一环,做好支付风控对于其他环节的风控手段总是大有裨益的。
因为支付风控的运营体系、规则体系在整个风控环节中都是最困难的,做好支付风控再去做反作弊、反恶意等其他模块都会非常容易。
汇法风险信息网在贷后管理方面,建立企业、个人信誉数据库,收录的信息量远超国内其他同类裁判文书数据库(包括官方数据库),可以帮助客户在贷前(交易前)预防风险、在贷后(交易后)监控风险变化。