二三类户开户风险和交易风险再讲
承接上文
上一篇文章《银行风控业务场景大全》讨论了多种交易欺诈场景,其中有关于二三类户的交易风险场景介绍。这是基于一段新闻的文摘来展开的,介绍了二三类户的历史背景和来由,介绍了一二三类户的作用和差别,也分析了作案步骤。但不研究不知道,研究后吓一跳,二三类户的风险远不止于资金的盗用。还会被利用于洗钱、营销欺诈、虚拟注册等。如果不进行控制,其对整个金融市场的影响相当深远。
央行发布了《中国人民银行支付结算司关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》(银支付〔2019〕55号),要求所有金融机构,必须采取措施防范二三类户开户及交易过程中的欺诈风险。我们来进一步进行详细分析。
II、III类户业务流程分为账户开立、资金转入、账户使用三个环节。以下从每个环节进行展开分析和提出解决方案
账户开立风险
分析:
二三类户的开户过程可以在线上实现,因为是线上,所以给了黑产技术发挥的空间。
二三类户的开立可以绑定他行的一类户。换句话说,一类户可以作为多个他行的二三类户的绑定认证。这直接导致二三类户的开户行无法得知黑产的行为特征。
黑产通过客户信息泄露和购买获取了客户信息,并通过模拟器、多开器等技术,在非常规时间连续并快速的欺诈行为。客户在短时间内无法进行阻止,而银行端的系统漏洞需要得到及时修复。
防止二三类户开户过程的风险,需要建立三道防线
第一道防线:基线安全防御
严格遵循监管要求的安全基线,做好开户环节的5要素、4要素验证,避免出现非Ⅰ类卡可批量开Ⅱ类账户的业务逻辑缺陷;
关于客户端提交的参数的校验,往往都是在业务系统的后端进行;但在这里,建议把这些验证工作交给反欺诈平台,业务系统专注于相关业务的体验、效率等提升,这样有利于降低耦合。
第二道防线:业务安全监控
通过设定规则和建立风控模型,尤其是针对频繁开销户的行为特征,进行风险系数评分和低中高风险评级,并以此提出差异化的控制策略:放行、预警、加强认证、挂起、冻结账户、拦截阻断;所针对的情况如下:
同一账户(包括同一银行卡、手机号码、身份证等)连续开立多个Ⅱ、Ⅲ类银行账户;同一持卡人大量办卡;
用户使用同一终端设备(包括同一设备ID、同一网络地址等情况)连续开立多个Ⅱ、Ⅲ类银行账户;
用户使用同一身份或同一终端设备在短时间内开立多家银行的Ⅱ、Ⅲ类银行账户;
不同用户申请使用同一绑定账户或手机号码开立Ⅱ、Ⅲ类银行账户;
开户行为偏离多数用户的一般习惯,如在异常时间段、异常网络地址、异常地理位置等申请开立Ⅱ、Ⅲ类银行账户;用户使用的手机号码属于网络销售的虚拟运营商手机号码等等问题。
第三道防线:应用运行环境安全监测
设备指纹的生成算法(我们采用与百度安全合作,使用百度的指纹算法)的参数,有些参数是必须项,有些参数是干扰项、有些参数是校验项。就像是测谎,同一个问题,变个说法问法来多问几次,看看结果是不是一致。
社保指纹算法能够有效防御包括模拟器、多开器、硬件设备信息篡改、伪装成新设备等情况,能够深化运行环境的安全保护。这体现了设备指纹等价值。
另外,二三类账户的开立需要有一类户的绑定,这个绑定的过程实际上是向一类户的开户行提交了一个签约绑定的报文。一类户的开户行就要进行风险分析和控制,通过规则把异常的欺诈绑定拒绝掉,则可以同时确保二三类户的开户行的交易风险。
资金转入风险
分析:
电子渠道开立的II、III类户仅能通过绑定账户转入资金
经柜面核身后,II、III类户还可通过非绑定账户转入资金幵办理存叏现金 • III类户账户余额丌超过1000元。
II、III类户可不绑定账户建立借记转账签约关系,通过借记转账交易向绑定账户扣款
绑定账户还可通过贷记交易向II、III类户划款
账户交易风险
监管要求:
II类户消费和缴费、向非绑定账户转出资金、取出现金日累计限额合计为1万元,年累计限额合计为20万元。
III类户消费和缴费、向非绑定账户转出资金日累计限额合计为5000元,年累计限额合计为10万元。
风险场景分析:
洗钱风险
欺诈分子可利用II、III类户账户间跨行互转、跨行使用等功能多次划转资金,以达到洗钱目的。
为了对大量资金进行洗钱,二三类户通常需要小额频繁交易,并且目标账户会是多个他行账户,他行账户的再次划转无法跟踪。
这里依然采取三道防线
第一道防线
直接限制段时间内的交易次数和交易总金额。
第二道防线
通过设定规则和建立风控模型,尤其是针对非常规时间进行频繁交易的行为特征,进行风险系数评分和低中高风险评级,并以此提出差异化的控制策略:放行、预警、加强认证、挂起、冻结账户、拦截阻断;所针对的情况如下:
同一账户(包括同一银行卡、手机号码、身份证等)连续进行多次转账交易,目标转出账户个数超过约定数量。
用户使用同一终端设备(包括同一设备ID、同一网络地址等情况)连续进行多次转账交易;
用户使用同一身份或同一终端设备在短时间内进行多个二三类户的转账交易;
第三道防线:应用运行环境安全监测
通过社保指纹算法,有效检测和防御包括模拟器、多开器、硬件设备信息篡改、伪装成新设备等情况,能够深化运行环境的安全保护。
受理侧风险同I类户
II、III类户在受理侧面临的虚假商户、合谋欺诈、*、账户 信息泄露等风险与一类户相同。
模型设计
要对二三类户的开户、资金转入、资金流出三个环节进行风险防控,要建设三道防线侦测交易欺诈行为,需要在多个维度提取特征值,并训练模型。
这些维度可以不限于客户维度、设备维度、IP维度、商户维度、卡号维度、帐号维度等,必须时应继续扩展,形成多维度风险刻画。其中以客户维度 风险刻画尤为复杂。
一般而言,客户维度的特征提取来自于行内各业务渠道的数据和行外的第三方外部数据;行内数据包含客户属性基本信息、客户交易行为信息。行外数据有人行征信信息、*部黑名单、法院涉诉信息、社保工商学历车产信息、小贷数据信息、国际黑名单数据、FICO评分等。
从而提炼出行为信息、事实标签、模型标签等,这些需要基于离线数据加工或实时流计算技术进行实时加工。
基于以下基本信息对客户、IP、设备进行特征提取
客户基本信息表(银行的人户卡信息详细而负责,这里简化处理):客户号(ECIF)、账户号、卡号、身份证号、姓名、手机号、年龄、性别、职业、地址。。
交易流水表:交易流水号、交易日期、交易时间、客户号、支付方账号、收款方账号、交易金额、交易所在地、业务代码、交易渠道、交易状态、账户限额、设备指纹、IP地址、手机号、业务类型(交易码)、卡类型、国家地区编码...
登陆流水表:略
修改密码流水表:略
修改绑定流水表:略
客户第三方数据:身份证号、姓名、手机号、第三方贷款金额、第三方贷款时间、购买保险类型、购买保险次数、名下车辆品牌、名下车辆估价、名下车辆数量、学历、毕业学校、是否董监高。。。。
客户模型
模型的主key和关联key:客户号
客户事实特征表:是否存在车产、是否存在房产、是否购买保险、是否购买贵金属理财。。。
客户操作特征表:最近10分钟操作次数、最近30分钟操作次数、最近5分钟登陆次数、最近5分钟验证密码次数、最近5分钟提交交易次数、连续失败交易次数、连续失败登陆次数、连续修改密码失败次数、
客户行为特征表:常驻城市、作息时间段、餐饮习惯、消费达人、乐观主义者。。。。
客户日常特征表:习惯10分钟操作次数,习惯30分钟操作次数、习惯10分钟登陆次数、习惯交易时间段、习惯交易金额范围、习惯登陆城市列表、习惯交易渠道、习惯交易目标地区、习惯使用IP列表、习惯社保指纹列表
IP模型
IP流水表:IP、交易流水号、交易时间、客户号、账户号、卡号、操作类型、渠道编码、操作状态、所在地区编码、设备指纹值、交易金额
IP特征表:IP、最近10分钟操作次数、最近30分钟操作次数、最近30分钟操作账户数、最近30分钟验证密码次数、最近30分钟提交交易次数、连续失败交易次数、连续失败登陆次数、连续修改密码失败次数、最近30分钟连续开通二三类户次数、最近30分钟二三类户绑定一类户次数、最近30分钟交易总金额、关联不同设备数量。。。
设备模型
设备指纹流水表:设备指纹、交易流水号、交易时间、客户号、账户号、卡号、操作类型、渠道编码、操作状态、所在地区编码、IP地址、交易金额
P特征表:设备指纹、最近10分钟操作次数、最近30分钟操作次数、最近30分钟操作账户数、最近30分钟验证密码次数、最近30分钟提交交易次数、连续失败交易次数、连续失败登陆次数、连续修改密码失败次数、最近30分钟连续开通二三类户次数、最近30分钟二三类户绑定一类户次数、最近30分钟交易总金额、关联不同IP数量。。。
基于以上的行为特征的计算,我们就可以进行以下的规则运算。
规则设计
|
可疑开户 |
设备号 |
24小时内使用同一设备号(含手机银行与直销银行)开立II、III类户合计3个(含)以上 |
监控 |
手机银行与直销银行 |
是 |
- |
- |
- |
开户 |
|
可疑开户 |
IP |
24小时内使用同一IP(含手机银行、直销银行、微信HAI享盈及惠银平台等渠道)开立II、III类户合计10个(含)以上 |
监控 |
手机银行/微信银行(HAI享盈)/直销银行/惠银平台 |
是 |
- |
- |
- |
开户 |
|
可疑交易 |
设备号 |
同一设备号(含手机银行与直销银行)单日出现3个(含)以上不同客户的II、III类账户资金动账交易(含电子账户转入、转出或消费支付等) |
监控 |
手机银行与直销银行 |
是 |
- |
是 |
- |
动账交易(含转入、转出、支付) |
|
可疑交易 |
IP |
同一IP(含手机银行、直销银行、微信HAI享盈及惠银平台等渠道)单日出现5个(含)以上不同客户的II、III类账户资金动账交易(含电子账户转入、转出或消费支付等) |
监控 |
手机银行/微信银行(HAI享盈)/直销银行/惠银平台 |
是 |
- |
是 |
- |
动账交易(含转入、转出、支付) |
|
可疑交易 |
设备号 |
同一设备号(含手机银行与直销银行)单日出现3个(含)以上不同客户的II、III类账户资金动账交易(含电子账户转入、转出或消费支付等),且电子账户绑定的手机号码属于网络销售的虚拟运营商手机号码(170、171号段) |
黄色预警 |
手机银行与直销银行 |
是 |
- |
是 |
- |
动账交易(含转入、转出、支付) |
|
可疑交易 |
IP |
同一IP(含手机银行、直销银行、微信HAI享盈及惠银平台等渠道)单日出现5个(含)以上不同客户的II、III类账户资金动账交易(含电子账户转入、转出或消费支付等),且电子账户绑定的手机号码属于网络销售的虚拟运营商手机号码(170、171号段) |
黄色预警 |
手机银行/微信银行(HAI享盈)/直销银行/惠银平台 |
是 |
- |
是 |
- |
动账交易(含转入、转出、支付) |
|
异常收款账号 |
收款账号 |
行内账户接收电子账户资金转入,且收款账号非电子账户绑定账户,且24小时内超过2个未配实体卡的电子账户向该账户转账 |
黄色预警 |
手机银行/微信银行(HAI享盈)/直销银行/惠银平台 |
是 |
- |
- |
- |
电子账户向非绑定账户转出 |
|
异常开户 |
电子账户 |
同一客户24小时内在电子渠道(含手机银行、直销银行、微信HAI享盈及惠银平台等)开立Ⅱ、Ⅲ类银行账户合计达6个(含销户后重新开户)。 |
监控 |
手机银行/微信银行(HAI享盈)/直销银行/惠银平台 |
是 |
- |
是 |
- |
开户 |
|
异常开户 |
电子账户 |
24小时内3个(含)以上不同名的Ⅱ、Ⅲ类银行账户在开户时,绑定的手机号为同一个手机号。(含手机银行、直销银行、微信HAI享盈及惠银平台等电子渠道) |
监控 |
手机银行/微信银行(HAI享盈)/直销银行/惠银平台 |
是 |
- |
是 |
- |
开户 |
规则会有其有效期,这个有效期是不确定的。具体表现在黑产链条会不断摸索银行的风险规则和模型,不断的适应和规避银行风控系统的监管。所以银行的风控规则和模型也要不断的改进和进化。这需要AI和机器学习等技术等应用。
关于AI和机器学习等技术,我们再找时间详细探讨。