图片来源@视觉中国

文丨苏宁金融研究院

时下，新零售正在成为一种潮流，“大数据”反欺诈是新零售中必不可少的一环。

更进一步说，新零售下的“大数据”反欺诈管理系统，面临着诸多挑战和机遇。一方面，风控变得简单了，在拥有了海量的个人数据之后，对人的分析变得简单了；另一方面，随着新技术的应用普及，黑产份子的各种行为也变得更加隐蔽，他们的各种行为淹没在海量的普通消费者的数据中，导致对黑产的风控异常识别也变得更有挑战了。

综合近些年苏宁金融在风控管理上的一些经验，我们从垃圾注册防控、养账户群体的识别、盗卡盗账户防控等维度，来探讨新零售下的安全防护问题。

一

垃圾注册防控

垃圾注册防控是在用户进入系统时的第一道安全防控关卡。

互联网平台通常通过各种优惠措施，如注册奖励等手段实现短时间内聚集大量用户注册的目的。对于厂商而言，各种优惠措施如果是给每个真实的消费者，属于一个双赢的局面：用户获得了实际优惠，厂商获取了大批量的真实用户群体。

然而，“有人的地方就有江湖”，总有黑产分子利用互联网的隐匿性，通过技术手段实现批量的虚假账户注册，进而获取注册账户带来的利益。这样给用户和厂商都造成了损失：一方面，真实用户的注册权益被虚假用户挤占；另外一方面，厂商的营销目的因为海量虚假账户的注册而遭受损失。

垃圾注册的防控怎么做呢？其核心就是寻找其账户群体的规模聚集性。

互联网上的账户注册，都可以追踪到其注册的来源（IP地址），短时间内如果有大批量的账户在同一地址上发生注册行为，我们就能很快的锁定它们，并封堵漏洞。

例如，短时间内设置一个IP地址上的注册账户不能超过xx个。

同样，这也逼迫黑产分子进行垃圾注册技术的升级，即利用代理资源池IP地址列表来动态地变化账户注册的IP地址。

但是，当黑产分子利用软件控制每个IP上注册的账户数量时，以上的控制策略将很容易被攻破。黑产分子通过在每个IP上注册小数量的账户，分散多个IP进行（即代理IP资源池），依然能够实现垃圾注册攻击的成功。由此可见，简单的限制IP上的注册账户数量，无法防范和抵御垃圾注册的攻击。

这个时候，互联网厂商的防范垃圾注册的技术升级包括：

（1）识别IP的属性。通常代理资源池的IP和普通运营商提供给用户上网的IP是不一样的。

（2）寻找更为安全可靠的聚类算法。如时间密度函数算法，实现短时间内批量注册分组的识别。

（3）对注册权益的领取设置更为严格的条件。如需要实名认证来领取，这种措施也大大提升了黑产分子的成本。

二

养账户群体的识别

养账户群体识别是互联网电商的第二道防线。

当批量注册账户、防控漏杀的账户（黑产分子通过限制每个IP上注册的数量，以及拉长注册的时间，进而完成注册的账户群）成功进入电商账户体系后，他们会利用这些打入系统内部的账户进行如下的几种操作：

（1）针对注册新用户的权益进行变现，比如领取新人打折券、代用金等。

（2）通过养账户，择机进行营销薅羊毛。其中“养账户”表现为通过机器实现定期批量登录、浏览网页（模拟）等，伪装成为正常的用户，等待各种营销活动的出现。

（3）定期维护账户的登录、浏览，利用爬虫技术，获取商家的各种折扣信息。

（4）短时间内的定期维护账户，实现“白户”转为丰富造假账户，进行欺诈活动。

防范此类账户产生的危害需要聚焦一个核心点：“聚集性”。通常，此类账户都是黑产人员通过机器进行批量控制，因此其账户群体明显具有一致性的特征，如批量登录、批量打卡等。电商的反欺诈系统通过大数据的各种技术，识别出聚集性规模账户群。

此类聚集性规模账户群存在的风险，随着不同的业务线，呈现出高低不同的潜在风险因素。例如，在互联网金融领域，养账户群体，通过规律的登录、购买的行为，会被系统认定是普通的账户群，因此借贷时，群体规模风险没有识别出，造成损失；而在传统电商领域，养账户群则可能对各种营销发券进行攻击，导致营销活动的损失。

举例来说，苏宁金融的养账户群体的识别防控用到了两类技术：

（1）大数据环境下的聚集性检测技术—— 综合不同的事件（各种具体的营销事件）、时间、IP地址、设备ID、手机号码等多维度信息，实现规模账户聚集性的识别；

（2）关系图谱技术——通过手机、收货地址、设备等多维度的信息关联，实现账户群体的发现。

三

盗卡盗账户防控