這可能是寫給產(chǎn)品經(jīng)理關(guān)于風控最全的基礎(chǔ)干貨了。前一陣寫了一篇關(guān)于互聯(lián)網(wǎng)金融支付基礎(chǔ)知識的文章，受到了很多人點贊與收藏，今天繼續(xù)介紹互金風控的基礎(chǔ)知識。作為一個互金的產(chǎn)品經(jīng)理，本文能幫助你更好的熟悉互金平臺的各種風控需求，你甚至拿來就可以用。同時，作為運營、技術(shù)和風控，它能幫你站在各自角度更好的理解風控。文章提到的各種方案并不是一定非得實施，但了解這些能讓產(chǎn)品人員知道哪些地方需要進行風控，且牢固樹立風控意識，做到處變不驚。

1 風控的定義

首先了解兩個概念：風險管理和風險控制。

風險管理：是指如何在項目或者企業(yè)在一定的風險的環(huán)境里，把風險減至最低的管理過程。它的基本程序包括風險識別、風險估測、風險評價、風險控制和風險管理效果評價等環(huán)節(jié)。

風險控制：是指風險管理者采取各種措施和方法,消滅或減少風險事件發(fā)生的各種可能性,或者減少風險事件發(fā)生時造成的損失。所以其實風險控制是風險管理中的一個環(huán)節(jié)。風控是風險控制的簡稱。

（風險管理流程）

在互金行業(yè)，風控的內(nèi)涵非常寬廣，包含了對所有可能風險事件的控制，涉及人員操作風險、業(yè)務操作風險、技術(shù)操作風險和外部事件帶來的風險。本文所闡述的風控并不是把所有風險相關(guān)的知識都囊括其中，比如指定公司內(nèi)部各種規(guī)范以防范風險事件發(fā)生。本文側(cè)重業(yè)務上和技術(shù)上風險控制討論。

2 風控應用場景

廢話少說，那么風控在什么地方能用到呢？按照其定義，風控被運用到互金的各個地方，主要包括信貸中的個人信貸與小微企業(yè)信貸、投資過程中的風險控制、平臺資金安全、平臺技術(shù)安全、用戶資金安全、用戶賬戶安全、推廣運營活動等環(huán)節(jié)。通俗來說，風控用于還款能力、還款意愿的判斷，反欺詐反作弊反薅羊毛，防止外部對內(nèi)部系統(tǒng)的攻擊，防范平臺和用戶的資金出現(xiàn)問題等等。

從行業(yè)維度來看，風控運用于互金行業(yè)中的消費金融、供應鏈金融、信用借貸、理財平臺、P2P、大數(shù)據(jù)征信、第三方支付（第四方聚合支付）等各細分領(lǐng)域，同時還可用于電商、游戲、社交等“傳統(tǒng)”互聯(lián)網(wǎng)公司。甚至可以說，任何互聯(lián)網(wǎng)公司都需要風控。

（風控應用場景）

當然，互金行業(yè)的風控不只是一上來就各種數(shù)據(jù)，各種算法建模，各種風險評估。實際上，用戶的賬戶、投資支付等環(huán)節(jié)往往存在著各種風險，了解這部分也非常重要。本文是互聯(lián)網(wǎng)金融風控基礎(chǔ)知識的第一篇，主要闡述用戶賬戶安全、投資支付安全以及推廣運營種的風險控制。

3 用戶賬戶安全

較于互聯(lián)網(wǎng)其他行業(yè)，互聯(lián)網(wǎng)金融產(chǎn)品的賬號與資金安全顯得尤為重要。若用戶遭受經(jīng)濟損失，則平臺的利益與口碑可能雙輸?；诖?，互聯(lián)網(wǎng)金融產(chǎn)品（無論是移動端還是Web端），均采取各種措施來保護用戶帳號資金安全。對于互金平臺，用戶體驗和安全永遠是魚和熊掌，在保證安全的前提下提高用戶體驗。在產(chǎn)品設計與后臺開發(fā)的時候，應事前預計各種情況并給出解決產(chǎn)品層面和技術(shù)層面的方案。

用戶賬戶安全涉及到木馬植入，暴力破解密碼，拖庫撞庫、虛假注冊、短信轟炸、手機丟失等行為。在注冊登錄驗證碼發(fā)送等場景下均可能出現(xiàn)各種問題。

3.1?? 注冊行為

• 建立注冊手機號黑名單。在注冊時就進行控制。此處可采用第三方風控平臺建立的號碼黑名單。
• 實名認證。通過直接實名認證或者銀行卡綁定完成注冊后的實名認證，增加平臺對用戶的了解。當然，按照監(jiān)管要求，所有投資借貸支付均需實名認證。

3.2 短信驗證碼

互金平臺可能遇到的情況包括垃圾注冊，調(diào)用短信接口進行轟炸，干擾了正常的短信下發(fā)且大量消耗短信服務費。黑客可通過抓包的形式，獲取短信接口，并通過代理IP，采用不同的手機號，源源不斷的請求短信接口。本人所在的項目就遇到過類似的情況。防止措施包括：

• 產(chǎn)品層面采用圖形驗證：在用戶注冊時，為了識別出機器人注冊，需輸入驗證碼或者拖動滑條等方式。
• IP地址和手機號碼地理位置映射：IP地址和手機號碼本身攜帶著地理位置屬性，通過建立GEO-IP庫和手機號碼歸屬地庫映射，從而判斷出風險。
• 請求限制：同一IP請求短信接口達到一定次數(shù)（例如5次）則限制該IP請求24小時。單個手機號碼60s只能請求1次短信接口，1小時內(nèi)至多請求3次，24小時內(nèi)至多請求5次。
• 短信預警： 通過評估平臺短信業(yè)務量，帳號開設日發(fā)送上限，限定每天最大發(fā)送額度，超出一定限度則提醒相關(guān)人員。

3.3 登錄行為

• 判定用戶是否在常駐地登錄。建立地理柵欄，若用戶當前登錄地與用戶號碼歸屬地、常駐地存在差異，通過下發(fā)短信通知用戶。
• 移動端采用Touch ID、圖形繪制進入app。為了讓用戶獲取更高的安全保障，在用戶完成注冊行為后就立馬啟用Touch ID、圖形繪制，也可以在用戶完成充值投資后立馬提示用戶。
• 修改密碼等場景下，需要輸入原始密碼并進行短信驗證。（但此處存在一個悖論，我就是因為不知道原密碼才來改密碼的啊……請慎重）
• 常用設備登錄。普通用戶常用設備為1臺，多則兩臺。每臺設備均對應特定的型號，若用戶賬號與最近登錄設備不一致，通過下發(fā)短信告知用戶。
• 登錄連續(xù)輸入密碼錯誤5次，則限制該賬號24小時不能登錄。

以上關(guān)于登錄注冊的風險控制，并非要全部都做，也不是做完了所有的功能就安全了。需要開發(fā)能力開發(fā)優(yōu)先級進行評估，同時產(chǎn)品經(jīng)理需要梳理好各個功能的關(guān)系，防止出現(xiàn)無解的情況。

4 投資風控

對于理財類平臺，在相同的量級下用戶往往追捧高收益。在某些理財平臺，熱門高收益的理財產(chǎn)品一開標就被秒光的情況很常見。此時一些會技術(shù)的用戶會利用腳本進行作弊，以達到秒標的目的。因此這些熱門平臺存在一標難求的情況，占用了其他用戶的資源。為了防止這類問題：

• 程序識別自動投標。程序自動投標有以下特征，單個用戶的投標操作頻繁，對相應頁面（接口）的在1分鐘內(nèi)大于10次，且在開標時間點之前就已經(jīng)頻繁請求。平臺可以根據(jù)情況設定閾值，進行識別。通過撰寫相應的腳本識別出這類用戶，據(jù)規(guī)則將涉及自動投資的賬戶交給運營處理。
• 產(chǎn)品層面增加投資過程難度。如機器投標的情形非常猖獗，對平臺造成了很大的影響，則應考慮犧牲用戶體驗而增加投資難度。與注冊行為類似，在投資流程中增加滑動驗證碼、計算題、辨別倒立的漢字等等（例如淘寶在秒殺活動中加入了計算題，四字成語的首字母）。

5 推廣運營風控

隨著互聯(lián)網(wǎng)不斷發(fā)展，獲客成本很高。而互聯(lián)網(wǎng)金融獲取一個投資用戶的成本在幾百元。在競爭日趨激烈的互金行業(yè)，特別是理財類產(chǎn)品，產(chǎn)品要獲客需要去不同的平臺推廣以獲取目標用戶。但某些平臺為了業(yè)績，營造流量很大的氛圍，通過虛擬機+代理IP點擊廣告。同時，某些渠道通過購買用戶信息，機器模擬注冊，甚至完成實名認證和甚至銀行卡驗證。對此，消耗了推廣費用卻沒有獲得真正的用戶。

在互聯(lián)網(wǎng)中，有一群人稱為“羊毛黨“，各種信用卡的，賺取積分各種獎品優(yōu)惠券。哪里有紅包哪里就有他們的身影。他們是真實用戶，但他們來平臺的目的不是參加活動或者投資，這些人不能成為平臺用戶，且占用消耗了平臺資源。

反作弊措施：

5.1?? 建立完善內(nèi)部系統(tǒng)“黑名單”（“灰名單”）

通過自己或者通過第三方，建立羊毛黨用戶的“黑名單”（“灰名單”）。這類用戶的特點是，平時不活躍，在平臺有推廣活動有紅包優(yōu)惠時，表現(xiàn)比較活躍。通過分析用戶行為，建立羊毛黨用戶的“黑名單”。不過建立這樣的名單是一項長期的過程。

5.2 推廣效果監(jiān)控系統(tǒng)

在通過渠道推廣之前，謹慎考慮每個渠道的用戶質(zhì)量與渠道本身的口碑。如不能確定推廣渠道的優(yōu)劣，前期可以小部分投放推廣。大量投放之前，運營團隊與產(chǎn)品、技術(shù)團隊一道，搭建市場推廣效果監(jiān)控系統(tǒng)。在活動頁面埋點，監(jiān)測頁面UV、PV量。同時監(jiān)控不同渠道的注冊轉(zhuǎn)化率、投資轉(zhuǎn)化率、投資額度等關(guān)鍵指標。差的渠道，注冊轉(zhuǎn)化率，投資比例都會很低。這樣不同的渠道優(yōu)劣很容易就區(qū)分開來。

5.3 電話回訪

通過“人肉”的方法判定渠道的優(yōu)劣。在不同的渠道隨機抽取用戶播放回訪電話，并詢問用戶在哪里看到當前的產(chǎn)品的，同時對用戶做一個產(chǎn)品體驗調(diào)查。重點關(guān)注用戶所在的區(qū)域，用戶的年齡性別職業(yè)等信息，與目標用戶的特征進行比較。筆者所在的項目遇到過，在試推廣階段發(fā)現(xiàn)某個渠道的注冊手機號多來自廣東，果斷棄之。

5.4 建立自動預警機制

首先，辨別作弊者的行為特征，然后量化這種行為。再通過撰寫特定的腳本識別出這種行為，識別后自動告知運營人員。最后可將這些用戶加入系統(tǒng)的“黑名單“（“灰名單“）。采用這種“機器+人工”方式可以有效幫助運營對抗羊毛黨。比如，在短時間內(nèi)（1個小時內(nèi)），5個或更多用戶被同一個人邀請，完成了登錄注冊和投資，但平均投資額度很低（<10元）。這樣的用戶肯定存疑。類似的規(guī)則需要不斷新增與完善。

PS：以上內(nèi)容若有不對的地方，還請大家不吝批評并不斷完善！本文參考了李小翀、互聯(lián)網(wǎng)金融產(chǎn)品經(jīng)理的日常等人，《P2P貸款》、《互聯(lián)網(wǎng)信貸風險與大數(shù)據(jù)》等書的觀點，在此統(tǒng)一表示感謝。如果你喜歡的話就請收藏并點贊。后續(xù)還有第二篇，請持續(xù)關(guān)注。

作者：游俠兒，公眾號：游俠兒，關(guān)注大數(shù)據(jù)、互聯(lián)網(wǎng)金融，愛閱讀愛健身。

本文由 @游俠兒 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。