2.1 欺詐特徵檢測

欺詐特徵檢測是互聯網反欺詐體系的基石，直接決定了互聯網反欺詐體系的天花板。從欺詐特徵數據的來源角度，欺詐特徵檢測又可以分為內部欺詐特徵識別和外部欺詐情報監測。

內部欺詐特徵識別，是指基於企業自行獲取或外部對接的各類原始數據，對欺詐行為進行識別的過程。

常見的內部欺詐特徵識別可以分為四大類，根據發展的時間長短和成熟程度包括信譽庫、專家規則、有監督機器學習、無監督機器學習。

內部欺詐特徵的識別涉及技術廣泛，需要長期的研究和積累，許多有實力的企業已經在此方面有了很多突破。目前市場上也有越來越多的反欺詐廠商提供各種類型的反欺詐數據和服務，對於互聯網反欺詐體系建設處於起步階段的企業而言也是一個不錯的選擇。

外部威脅情報監測，是指通過互聯網和線下的渠道，收集與企業相關的欺詐情報和線索，如羊毛口子、資料包裝方法、風控規則和系統漏洞等。

孫子曰「知己知彼，百戰不殆」，互聯網反欺詐體系需要時刻保持對黑產動態的關注，必要時需要深入黑產內部，瞭解和掌握黑產的最新套路和手段，拿到黑產動向的第一手資料，及時調整和完善自身的策略進行應對。

2.2 欺詐風險處置

互聯網反欺詐體系應當制定反欺詐策略和規則，明確對於欺詐風險的可接受水平和處置方式。

在確立欺詐風險的可接受水平時，反欺詐團隊應當與企業內部各業務部門進行充分的討論和溝通，切忌單方面確定欺詐風險接受水平。

常見的欺詐風險處置手段包括：

• 風險消除，對於無法控制和接受的欺詐風險，應當通過制定反欺詐策略或優化業務邏輯進行攔截和隔離；
• 風險降低，對於無法消除的欺詐風險，應當採取措施，平衡業務體驗和風險水平，降低風險級別，如二次驗證（犧牲用戶體驗）、人工審核（增加用戶等待時間）等；
• 風險轉移，通過引入第三方，分散和轉移欺詐風險，如購買保險、合作商分擔等；
• 風險接受，對於可以帶來收益大於損失的欺詐風險，應當予以接受。

再次重申，欺詐風險的處置應當綜合考慮業務發展的需要，總體原則是實現業務收益和欺詐損失的平衡。

2.3 欺詐監控指標

反欺詐運營工作是互聯網反欺詐體系的重要組成部分。互聯網反欺詐體系應當建立起全面的欺詐監控指標，對於反欺詐體系的運轉情況進行實時監控。

欺詐監控指標應當與互聯網反欺詐的需求結合定製。常見的互聯網反欺詐監控指標包括：

• 業務類監控指標，側重於對業務的進展情況進行實時的關注，如註冊量、下單量、進件數、轉化率等；
• 策略類監控指標，側重於對反欺詐策略和規則的觸發情況進行實時關注，如反欺詐規則的攔截率、反欺詐的觸發數等；

欺詐監控指標應當隨著反欺詐體系的防護對象而及時調整，不同的業務類型如營銷、信貸、支付的監控指標也各不相同。

2.4 欺詐調查

欺詐調查工作是互聯網反欺詐體系必不可少的一環。從複雜的案例中抽絲剝繭提取欺詐特徵、梳理欺詐路徑也應當是每一位反欺詐人員的基本技能。

作為互聯網反欺詐體系的組成部分之一，欺詐調查承擔著驗證反欺詐體系的有效性和驅動反欺詐體系優化迭代兩個重要作用。

欺詐調查工作包括事中和事後兩種。

• 事中欺詐調查指在業務開展過程中將疑似欺詐行為凍結，轉欺詐調查人員排除後方可繼續進行；
• 事後欺詐調查指對各渠道反饋回來的欺詐線索和案例進行人工調查和分析，對其中的欺詐行為進行認定，並用於對欺詐特徵檢測、欺詐風險處置和欺詐監控指標的效果評估；

關注互聯網安全，歡迎關注公眾號「互聯網安全實務」