反欺诈黑产总结

读反欺诈行业调研白皮书记录

黑产

• 羊毛党
• 信贷欺诈
• 盗号盗刷

羊毛党

羊毛党专注于市场上各类机构的营销活动，以低成本甚至零成本换取高额奖励，其主要活跃在 O2O 平台或电商平台。

平台进行各项交易，投入大量资金推出各种新用户注册返利优惠活动。互金羊毛党利用手机黑卡到各互联网金融平台大量的注册新用户，平台的活动经费大量落入互金羊毛党的账户中，活动的效果大打折扣，有的平台甚至因为互金羊毛党薅羊毛而倒闭。

随着互联网业务的发展，互金羊毛党也由最初的单兵作战演变成为有组织的团体作战。不仅有专业工具、技能，且每个互金羊毛党群体都会有几名主要负责人，管理并指挥羊毛党统一作案。

• 保护费：互金羊毛党群体的负责人会直接跟网贷平台市场、渠道、风控甚至机构负责人进行商议，要求平台提供一笔大额资金，以确保该互金羊毛党群体不会对平台进行攻击
• 内外勾结：部分网贷平台市场、渠道负责人可能会主动跟互金羊毛党联系，要求其在平台中进行大批量注册，造成平台用户数量短期内高速增长的假象，从而骗取互金平台负责人的信任。

黑产生态链，主要包括黑卡运营商、手机卡商、猫池厂商、收码平台、打码平台、改机工具以及群控工具等。

• 黑卡运营商：实名卡、物联网卡、海外卡以及虚拟卡
• 手机卡商：手机卡商从黑卡运营商那里大量购买手机黑卡，手机黑卡插入猫池设备并接入收码平台
• 猫池厂商： 猫池就是将相当数量的 Modem 使用特殊的拨号请求接入设备连接在一起，可以同时接受多个用户拨号连接的设备，可以实现对多张手机卡的管理
• 收码平台： 收码平台是负责连接手机卡商和羊毛党等有手机验证码需求的群体，提供软件支持、业务结算等服务，通过业务分成获利的平台
• 打码平台： 收码平台主要负责接收验证码，打码平台则主要负责将验证码发送至网贷平台，防止平台对相同 IP、设备发起的打码行为进行限制，只要通过简单配置，就可以实现 IP 的“自动切换”、“秒级切换”、“断线重拨”、“清理 COOKIES 缓存”、“虚拟网卡 (MAC) 信息”、“多地域 IP 资源调换”等可规避网站 IP 及相关防御策略的服务。
• 改机工具： 其可以通过修改设备底层信息来帮助羊毛党规避机构平台对于**“同一设备”的探测**，简单来说，“一台手机 + 改机工具 = 无数台手机”。
  • IOS： HOOk
  • Android： Xposed
  • 预防措施：服务端根据采集到的非个人敏感特征信息，OSI 七层协议栈，网络特征，通过动态综合加权、相似度等算法生成唯一指纹 GID，一台设备终身一个全球唯一 GID
• 群控平台： 群控是指通过一台电脑或者手机设备控制批量手机的行为，可以分为线控和云控两种形式。

羊毛党对于平台的攻击，一般只限于营销、注册以及登录环节。由于羊毛党攻击金融机构使用的手机卡大多是虚拟卡以及没有经过实名验证的手机卡，金融机构针对线上申请的信贷业务，可以设置规则禁止虚拟卡的申请，并通过运营商 3 要素验证申请人姓名、身份证、手机或者通过银联 4 要素将银行卡同时进行核验，一定程度上可防止羊毛党对信贷申请环节的线上批量攻击

信贷欺诈

信贷欺诈是指通过资料盗用、包装的方法，骗取银行贷款的行为，：虚假信息（占比 77.25%）、虚假联系人（占比 17.57%）、资产类资料虚假（占比 2.43%）、冒充他人申请（占比 0.61%）、团伙骗贷（占比 0.46%）。

信贷欺诈类型

• 工作信息欺诈：工作收入是申请人的第一还款来源，直接影响金融机构对申请人的资信评估

  • 职业信息虚假欺诈行为:（1）申请表单位虚构；（2）申请表单位真实存在，但申请人非申请表单位员工等
  • 代办包装欺诈行为：（1）申请表单位为信贷中介；（2）申请表单位真实，但单位电话为中介电话；(3) 申请人通过缴交社保公积金的方式挂靠申请表单位
  • 工作相关联系信息虚假： （1）申请表单位信息真实，但固定电话虚假；（2）申请表单位信息真实，但单位地址虚假；（3）申请表单位信息真实，但单位联系人虚假

• 虚假联系人： （1）虚构联系人；（2）联系人身份虚假；（3）联系人为申请人本人

• 资产类资料虚假： （1）房产证虚假；（2）行驶证虚假

• 冒充他人申请：

  • 白马攻击： 本人知情
    • （1）资信较好的用户（名义申请人）利用自己的资料为无法获得金融机构授信的用户（实际申请人）获得贷款、信用卡等服务
    • （2）欺诈分子通过返利、承诺无需还款或部分还款等方式，诱骗其它用户提供资料帮其申请贷款
  • 黑马攻击：本人不知情，欺诈分子通过黑、灰产购买用户的身份证、手机号以及银行卡信息，并伪造身份证申请信用卡、贷款
  • 人脸攻击：通过电脑制作带背景的动图，并且合成制作眨眼、摇头、说话、张嘴等动作，从而通过平台的人脸识别，达到冒用身份的目的。
    

• 团伙骗贷：团伙骗贷，是指欺诈分子有组织、有计划的对一家或多家金融机构实行贷款诈骗的行为。团伙骗贷通常表现为同一批申请人申请时间、地点接近，工作单位、工作岗位相似，资产资料有较为明显的共通点。多名欺诈分子对金融机构进行试探性申请，一旦通过申请后，欺诈团伙就会按照这名同伙的资料为其它申请人进行包装，并总结金融机构的风控政策与审核规律，使之后的申请更容易获得金融机构通过；第一组负责寻找合适的申请人；第二组通过黑产购买用户信息、虚假证件、资料并进行包装；第三组专门研究金融机构的风控策略，并负责电话审核的应答。另外由于团伙欺诈金额较大，通常伴随着内外勾结行为，其中银行的客户经理。

信贷欺诈手段

• 固话转接：家庭固话伪装成优质单位的工作电话，自己接听金融机构的核实电话，伪装成在优质单位上班， 部分申请人由于经常需要外出，会将固定电话设置成来电转接状态；以及固话转接代接服务。

• 固话代接：电商通常先跟申请人确认需要哪个城市的固话以及固话用途，大致上可以分成（1）办理信用卡；（2）办理贷款；（3）签证；（4）入职调查等

• 中介包装：部分中介是风控转行而来，对各家平台的风控政策有研究。有部分中介只接受本地的申请。

• 养卡：养卡”公司先用自己的现金替持卡人将欠款还上，让信用卡显示正常还款，随后再

  通过刷 POS 机等虚假消费的方式把卡上相应额度的现金套出来。风控严格的话对提额度严格，不能轻易提额。
  

• 内外勾结：指金融机构内部人员与外部中介、欺诈团伙串通，将公司内部的风控政策、策略。

  • 透露客户信息：偷查个人征信报告或直接在借款人知情的情况下，内部人员和中介机构联合利用泄露信息薅羊毛
  • 协助审批中介包装进件： 直接提供虚假信息或者直接进行批核；内部操作风险，相关审核人员对不符合资质的申请人直接批复通过
  • 泄露金融机构风控政策： 是能够接触到风险以及审批政策的岗位，可以直接将风险、审批政策透露给黑中介
    • 加强管理体系建设
      • 管理模块化：不同岗位设置不同的权限，仅能够了解岗位权限内的信息
      • 管理整体化：各部门之间相互协调、相互配合，共同运作风险管理机制
      • 管理纵深化： 核心人员由专职团队统一管理，比如相关流程、相关指标以及相关动向
      • 管理制约化： 管理制度和业务流程相互制约，风险管理体系应按照相互制约的原则来设置业务流程及内部控制机制
      • 管理定制化： 使风险管理体系 “因地制宜、因时制宜”，以达到风险控制与管理的目的
    • 完善信息安全及反馈制度
      • 内部信息安全管理： 对于开会讨论的信息，会后及时进行清除
      • 及时反馈： 信息管理系统建立风险预警系统并及时反馈、协调、完善和纠正，以达到风险控制的目的
      • 设立内控部门： 调查内部员工是否存在操作失当以及内外勾结的情况
      • 定期宣导：
    • 提升核心人员素质
      • 提升队伍整体素质
      • 完善人员选聘机制

  关键参与者-信贷中介

  信贷中介主要通过寻找各类信贷平台的风控漏洞，帮助黑户以及其它两类高危群体进行资料包装，以获得信贷平台的授信，并从授信额度中，抽取 15%-50% 不等的回扣作为收入。网贷平台通常无需面签，资料盗用、包装难度相对于线下业务容易。所以成为中介主要攻击的对象，中介们通过分享这类风控漏洞，吸引更多有资金需求却无法获得授信的高危客户群体前来办理业务。部分专业论坛会有讨论，来自全国各地的中介、黑户及各类资信不良的群体，在论坛中乐此不疲的讨论如何包装下款、办卡提额，如何应对轰炸催收等敏感话题。

  • 普通口子：风控漏洞

  • 多件套口子： ”多件套“是指经过中介、黑产不断研究平台风控规则后，将申请资料、风控规则、政策都相似的平台进行整合，帮助申请人一次性申请多笔贷款的特殊“口子”

  • 技术攻略论坛：指导申请人申请各类信用卡、贷款的要点，并介绍专

    业的破解工具，指导资信不良群体自行破解信贷平台风控

  • 微信qq群：缴纳会费的会员一对多或者一对一指导

  • 发展二级代理：将申请人发展成为下线或者二级代理商，增加获客渠道

从业者画像

• 广州、深圳、郑州、杭州既是中介群的发起地，也是中介群成员分布集中的地区，在制定反欺诈风险政策的时候需要更加严格谨慎
• 从性别比例上来看，黑中介群的成员的男女比例为 6：4，女性在中介从业者中占有相当大的比例
• 在中介 QQ 群成员当中，公布年龄段的成员共 86,353 人，根据年龄分布统计，90 后的人数最多，占比达 72%，是中介的主要参与者。

盗刷盗号

盗刷盗号是指黑客利用金融平台的安全漏洞进而获得用户的金融账户、密码等信息，并提供给欺诈分子进行盗刷的行为。

获取用户金融账户的方式主要有：

• 通过在 ATM 机上安装银行卡信息采集器或者通过非接触式银行卡采集器获取银行卡信息，并利用空白银行卡进行复制
• 通过 POS 机的交易记录获得银行卡信息，并利用空白银行卡进行复制
• 黑客通过技术手段获得银行卡密码以及其它金融账户信息。

跟身份盗用的信贷欺诈不同，盗刷盗号无需获得申请人身份证信息，且由于金融机构给与的金融账户在使用时仅需输入登录密码、交易密码即可，无需进行身份验证，获得用户金融账户以及密码，就相当于获得用户身份。所以盗刷盗号比冒用身份信贷欺诈成功概率更高

盗刷盗号常用的技术手段为拖库、洗库和撞库

拖库

拖库也称“脱裤”，是欺诈分子通过技术手段或者社会工程的方式盗取用户信息的行为。步骤有：

• 第 1 步，黑客对目标网站进行扫描，查找其存在的漏洞，常见漏洞包括 SQL 注入、文件上传漏洞等；
• 第 2 步，通过该漏洞在网站服务器上建立“后门 (webshell)”，通过该后门获取服务器操作系统的权限；
• 第 3 步，利用系统权限直接下载备份数据库，或查找数据库链接，将其导出到本地

技术攻击

技术手段包括利用 web 应用及服务器漏洞、远程下载数据库文件、水坑攻击、XSS 劫持。

针对通过技术手段进行拖库的行为，网站需要对数据库进行加密保护，并定期进行对网站篡改、网站挂马等行为进行监控检查。

社会工程学

社会工程学，是一种通过人际交流的方式，对目标心理弱点、本能反应、好奇心、信任、贪婪等心理设置陷阱并骗取所需要的信息，并通过密码心理学、逻辑分析等方法刻画用户画像的行为，是非技术渗透手段。这种手段进行拖库非常有效，而且应用效率极高，社会工程学已是企业安全最大的威胁之一。

社会工程学的拖库攻击方式主要有邮件钓鱼（Spear-Phishing）攻击、网站钓鱼（Website Attack）攻击、群发邮件（Mass Mailer）攻击、伪造短信（SMS Spoofing）攻击以及近期发现的伪基站攻击。另外，社会工程学还包括熟人伪装、面试伪装以及通过身份伪装跟公司员工交谈的方式，套取公司系统信息。

提升对异常邮件、信息的警惕，并做好公司内部的相关安全教育。同时要完善规范公司的信息安全制度，防止敏感信息的泄露。

洗库

“洗库”，是指黑客、欺诈分子在完成拖库后，通过技术手段将有价值的用户数据归纳分析，变卖给黑产、欺诈分子变现的行为。在黑客、欺诈分子完成“撞库”后，会将获得的信息分成四类：

• 金融类账户
• 姓名、身份证、手机、邮箱、住址、QQ 等个人信息
• 游戏账号
• 其它信息

欺诈分子利用伪基站的方式获得申请人手机号、短信信息，再通过黑客或者黑产渠道获得对应的个人信息以及金融账户信息，然后通过网银或者其它线上金融渠道，将金融账户的资金转入自己的银行账号提现或者直接进行大额消费

撞库

完成洗库后，黑客在售卖个人信息的同时，会将该部分信息进行整理，批量尝试在另一网站或平台匹配登录的行为，称为撞库

黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在 A 网站的账户从而尝试登录 B 网址

部分金融机构网站在输入一次验证码后可进行多次登录尝试，黑产往往会利用所有和后端数据库存在交互的端口进行“check-user-exist”的尝试，故而建议网站验证码可做如下业务逻辑调整：

• 判断账号是否存在

  • 注册接口快速验证：许多网站在填写注册信息时，会通过 AJAX 对账户名是否可用做实时验证，避免出现一个验证码可进行多次登陆验证的操作
  • 登录接口返回信息： 推荐的返回信息显示为「账号或密码错误」，避免黑客通过判断账号是否存在
  • 找回密码接口：部分网站在找回密码的流程中，填写手机号或邮箱后会有一次带「账号不存在」提示信息，此处也常常被黑客用来判断账户存在与否，建议金融机构将返回信息删去

• 业务安全的集中管理

  许多网站的主登陆口往往有比较严格的审计措施，会根据登陆 IP、频率等触发验证码或封 IP。但当公司业务增多，安全管理复杂度大幅增加，不同子站各用一套自己登陆验证，缺乏统一登陆接口的问题便会暴露。比如某个子产品的登陆功能，或者公司网站挂个论坛，往往会走单独的登陆接口，当这些边缘业务接口没有接入审计功能，便成为黑客攻击的温床。

解决方案

将贷前欺诈风险筛查分为 7 大板块：

• 设备反欺诈
• 身份核验
• 信息核验
• 历史行为检验
• 反欺诈综合评分
• 团伙欺诈排查
• 人工审批部分

设备反欺诈主要针对申请人申请设备是否存在异常来评判风险情况，而身份和信息核验主要针对申请人是否本人以及提供的基本信息是否可信等，在以上三个环节检验完成后，会从申请人的历史借贷行为查看客户是否出现过不良和高风险行为，这个阶段筛选后会从综合的欺诈评分以及关系网络查验申请人总体是否存在欺诈风险以及是否属于团伙欺诈类客群。在这些自动化决策筛选完毕后，最后进入人工

设备反欺诈

欺诈分子会利用技术手段对机构网站以及申请入口等漏洞进行攻击，同时也会直接盗用客户账户，以妨碍机构业务正常开展并使用户及机构方遭到损失并从中获利。

百融谛听设备反欺诈通过部署 JS 代码或者SDK 代码在客户端主动地收集与设备相关的信息和特征，如采集浏览器、设备配置等，同时传令被动式共同采集设备信息，并利用聚类分类、关联分析等算法生成设备指纹（GID），通过识别设备端的环境风险、行为画像、实名关联、应用偏好、群体风险等来预防群控、撞库、盗号等欺诈风险

• 唯一性稳定性更强，不易篡改：主动式采集与被动式抓取相结合
• 同一设备跨平台打通： 通过客户端采集设备非敏感信息特征，联合服务端 OSI 协议栈分析，打通同一设备中 app 与 web 之间的平台壁垒，实现一台设备终身唯一 GID，且稳定性更强，不易篡改
• 群控设备实时识别：通过分析群控设备的多种环境特征，操作习惯，采用前端采集传感器信息加后端算法实时分析，能够准确实时识别设备是否属于群控设备

身份核验

虚假身份是指通过购买真实自然人信息进行骗贷的欺诈行为，即冒用。因为信息真实，普通反欺诈手段无法识别。

• 对贷款借款人的身份进行核实，身份验证作为反欺诈的第一道防线，是对信贷借款人的信息做确认

• 由于银行卡四要素是申请人在银行开户面签时留下的资料，通过银行卡四要素验证 + 人脸识别进行验证，能够较为有效的防止身份盗用；

• 针对信用卡发卡等无需绑定还款卡的网申场景，可以通过运营商三要素验证 + 人脸识别进行初步验证

• 结合其它反欺诈手段进行综合判断，如通过手机在网时长 / 在网状态以及设备信息来识别借身份冒用的风险

信息核验

虚假信息是指真实的借款人通过包装身个人工作、家庭、联系人、财力信息等进行骗贷的欺诈行为。对于中介资料包装，机构可通过让申请人提供工作、收入以及财力证明并进行人工核实。能通过申请人工作稳定时长、工作跟家庭地址的变动频率以及是否为高风险地址等维度对申请人的欺诈风险进行综合评估。

历史行为核验

• 特殊名单验证: 包含本人、社会关系人在银行、小贷、P2P 和消费金融机构是否存在历史不良纪录、命中次数及最近一次命中时间，包括短时逾期、不良、资信不佳、拒绝和失联等。
  

• 法院不良信息: 覆盖最高法以及省市各级法院的最新公布名单，包括执行法院、立案时间、执行案号、执行标的、案件状态、执行依据、执行机构、生效法律文书确定的义务、被执行人的履行情况、失信被执行人的行为等信息

• 借贷意向验证: 基于个人在金融机构中出现的多次申请的情况进行分析，评估个人的共债倾向。

• 实名信息验证： 查看申请人关联信息是否涉及团伙性欺诈或疑似黑中介等行为，如一个手机号在一个月内关联 3 个或以上身份证号，则有可能是中介作案或者团伙作案。

反欺诈评分

基于逻辑回归算法，开发相应的客群评分模型，适合冷启动客户快速开展业务。风险策略：分值在 0~100 分之间，分数越高欺诈风险越高，违约的可能性越高，不同的客群审批策略有所不同。

团伙欺诈

团伙欺诈是指利欺诈分子有组织、有目的、有计划的对金融机构进行批量的欺诈申请。由于欺诈成本较高，故团伙欺诈一般会有多套共用信息，通过信息的错配，利用机构间信息孤岛的缺陷进行大规模、多平台的集中攻击。

可以把表示不同实体与关系的多个图叠加形成一个大图，并且可以在该大图上定义不同类的实体之间的新的关系，我们把这样混合多个实体与关系的图称之为图谱

关系图谱在团伙欺诈中的运用：

• 一致性检验：一致性检验的思路就是尝试推导出申请人信息与关系图谱不一致的地方，不一致的、矛盾的地方越多，申请人欺诈的嫌疑越大。比如，申请人 A 和张三存在身份证不相同但手机号却相同的情况， ，申请人 A 与李四的公司名称不同但公司电话却相同，所以这里也存在信息不一致的情况，申请人 A 的欺诈风险很高，可能是团伙欺诈也有可能是代办包装。

• 团伙欺诈检测：
  • 需要在个人实体集上识别出团伙： 可以综合图论算法、关联挖掘算法、机器学习算法来建立团伙识别算法
  • 确认该团伙是否属于欺诈团伙： 有一种方法是建立一个团伙风险相关的指标，若团伙的指标大于阈值，例如团伙关联欺诈信息或者异常信息越多，综合评分越高，当高于一定风险水平时，即判定为团伙欺诈。另一种更简单有效的方法是动态维护一个欺诈种子库 ( 欺诈名单 )，若团伙包含有欺诈种子，即可判断该团伙为欺诈团伙。在实际应用中，可以把两种方法结合达到较好效果
  • 综合团伙欺诈风险评定： 当申请人可能不属于任何欺诈团伙，或者团伙欺诈在既定维度评定申请人风险较弱时，可以计算该申请人到最近的欺诈团伙的路径与距离等方法，申请人亲密关系网络的关联信息个数或某类亲密关系的占比等，应用这些变量于建立申请客户欺诈评分与信用评分，去综合评判客户的团伙欺诈风险

人工核查

在贷前防控流程的最后一步中，针对人工审批。可提供智能语音机器人以替代部分人工的工作，如审

批和回访。在类似决策树的机器人审批流程中，灰色部分为非正常借款核实情况，例如客户未接电话、否认自己有借款签字行为等，而橙色部分为正常借款情况，例如本人已签字或者亲属代签等。同时这些结果标签都会直接进入数据库，进行二次流转和处理。以此来节省人力成本且随性化审批策略。

总结

反欺诈是一项长期的工作，反欺诈的技术手段在提升，欺诈分子也在不断优化攻击方式，金融信贷机构需要对黑产产业进行监控，才能做到知己知彼，百战不殆。 同时需要认识到欺诈行为是无法完全避免的，金融信贷机构需要做的是提高欺诈分子的作案成本，只有当整个行业的欺诈成本提高，欺诈分子认为无利可图，才会退出行业。最重要的一点金融信贷机构需要做好内控以及信息管理工作，很多欺诈风险都是由于信息安全以及人为的操作原因引起的，没有完善的内控以及信息安全体系，风控技术再完善也只会是亡羊补牢。