欺诈与反欺诈的旷世攻防之战

硬币有正反两面，武器中有矛与盾，金融市场上有欺诈团伙与反欺诈部门。欺诈与反欺诈之间的相生相克，甚至“相生相爱”，从反面来看是一场旷世之战，从正面来讲，也是技术创新的主要推动力。

欺诈与反欺诈的攻防主要分为生物识别的攻防，数据获取的攻防，营销欺诈的攻防、网络信贷的攻防。其中网络信贷欺诈的功与防，又分为社会工程学欺诈的攻防、第三方欺诈的攻防、第一方欺诈的攻防。

以营销欺诈的攻与防，为读者朋友们展示欺诈与反欺诈之间的博弈。

一家金融公司筹划一场营销活动，参与活动规则是以手机号作为账号主体，一个手机号只能参加一次活动。在这场营销活动中，一开始手机号不需要实名验证，也没有在网时长限制，无需接收验证码。

这场活动未开始就吸引到了欺诈团伙“地表撸王“。接下来就是“地标撸王”与反欺诈部门“反欺诈斯塔克”之间的攻防博弈。

地标撸王vs反欺诈斯塔克

Round 1

地标撸王：随意填写手机号注册参与活动；
反欺诈斯塔克：手机号接收验证码（数字验证码），验证通过才可参与活动；

Round 2

地标撸王：卡商购买能接收验证码的手机号，通过收码平台获取验证码，并回传给脚本工具，快速完成注册；
反欺诈斯塔克：升级验证码，使用图形验证码+拼图验证；

Round 3

地标撸王：利用打码平台（网赚平台），人工打码；有实力的打码平台集成图像识别技术，完成图像验证码到文本的转换；拼图验证也可以通过图像识别配合鼠标轨迹脚本，完成拼图；
反欺诈斯塔克：手机号实名验证；在网状态限制；在网时长限制；

Round 4

地标撸王：通过卡商，使用猫池设备养卡，购买满足条件的虚假号码攻击；使用群控系统批量注册；
反欺诈斯塔克：风控系统就在客户端部署鼠标轨迹侦测代码，配合机器深度学习，归纳真人操作鼠标的移动规律，让黑产的自动脚本无计可施；风控规则不准同一台手机/同一个IP频繁执行注册或不断切换账号尝试登陆；采用先进的设备指纹技术；分析手机传感器状态(例如GPS定位、陀螺仪倾角)，判断设备异常(位置和姿态长期不变)；

Round 5

地标撸王：使用PC端的手机操作系统模拟器，或者在真实手机上安装改机工具，随意设置各种终端设备信息；针对IP封锁，黑产则使用廉价的高匿名代理服务器来欺骗业务平台，从业务请求消息的内容当中只能看到代理的IP而看不到源头的IP；
反欺诈斯塔克：采用APP加固来识别运行环境(是否模拟器)，检测root/越狱状态，屏蔽或限制此类设备发起的业务请求；对于IP代理，通常使用IP黑灰名单，过滤掉已知/嫌疑的代理；描绘用户画像，根据用户最常使用的IP判断异常请求，并采取更高强度的身份验证以防欺诈；爬取用户APP列表，检测是否存在改机软件；采用先进的设备指纹技术；

Round 6

地标撸王：对于成功注册的账号，黑产参与活动，接下来是如何套利：绑定银行卡提现、填写收货地址收货、购买虚拟商品、高价值商品套利、优惠券转卖获利；
反欺诈斯塔克：绑卡四要素验证；一张卡仅能参与一次活动限制；收货地址集中性规则/监控；优惠券购买行为监控；

Round 7

地标撸王：风控对银行卡的限制，黑产还会尝试多开银行卡（如2类户）的形式更多参与活动；
反欺诈斯塔克：限制同一身份证仅能参与一次活动；

Round8…

日常金融活动中，类似的剧本一直在上演，欺诈与反欺诈之间的互相试探，从未停止过。只要世界上有利可图，一定就会有一批“斗士”趋之若鹜。欺诈风险管理，只有在不断的揣摩、思考甚至斗争中，才会进步。

没有最好的反欺诈，只有不断进步的反欺诈技术和团队