购物网站角度来看盗刷风控
最近帮同学搭建一个购物网站,涉及线上交易,网站提供给卖家很多关于支付的源信息,来帮助卖家避免信用卡盗刷等风险。我自己也用信用卡也了解一些信用卡安全,也被盗刷过,申请过拒付以及银行赔偿。还有之前正常使用自己信用卡,也遇到过之前由于发卡行是在中国,在德国买东西而被风控拒绝交易。这次站在卖家的角度,看用户支付数据来判断是否有风险,感觉挺有意思的。 这个截图是网站关于我一个示例订单风险的梗概。可以看到商家能够分析的角度还是很多的,IP地址这个不用说了,最基本该有的信息。他们可能还有一个大数据库,看这个IP地址是不是来自代理服务商,那些靠VPN连接模拟地址的人可能会被揪出来。还有收货地址与IP地址的距离,在家网购寄给自己,那说明是被盗刷的可能性就小了很多。还有账单地址与下单国家是否匹配。由于申请信用卡都会填一个账单地址,全世界都是这样,偷的或者捡的卡这个信息并不容易获得。买东西的时候也会填一个账单地址,这个是否一致,也可以作为判断依据。不过这个就有可能出现误判的情况。 这个图是购物网站对于金融风险设置页面的截图,第二项应该绝大多数网站都会勾选,是验证信用卡后边的那三位数字,这个都匹配不上了,那肯定是有问题。第一个选项是判断购物时候填写账单地址邮政编码和申请信用卡时候的邮政编码是否一致。这个多数网站并没有使用,因为就像我这样卡是中国申请的,办卡填写的地址也是中国的,但是我长期生活的在德国,账单地址也是德国,造成了合理的邮政编码不匹配,就会发生误判的情况。我在德国网购那几次被拒绝的清晰,我猜十有八九是由于邮政编码没匹配上造成的。 从上边可看出,网点要不要接纳用户输入的信用卡信息进行交易,商家有很大的发言权,商家说可以那么就可以进行信用卡扣款,然后交易完成。甚至如果选择了不验证CVV的话,只需要信用卡正面姓名卡号有效期三个数据就可以告知银行可以扣钱,亚马逊就是这样的只需要三个信息(可能对他们自己的风控非常有把握吧)。所以这就对于商家对于银行甚至对于持卡者有很大的风险,万一卡被盗刷,那真正持卡者和银行扯皮,银行拒付商家,商家还把货给发了,除了黑客,另外三家都不开心。所以后来有了MasterCard SecureCode™ 和VISA家的Verified by VISA服务。在支付的时候,输入完信用卡账号密码会跳转到银行的一个页面,多数银行再进行一次短信,或者U盾的验证,然后有银行决定是否交易通过。这样商家的责任就转移到银行,商家不来决定是否交易成功,而由银行来做这个最终的判断。银行掌握的数据更详实,技术能力更强,所以这个服务是对持卡人,对商家以及对银行都是利好的。德铁在饱受黑卡套现好几年来,现在也更新了支付系统,启用了上边我介绍的信用卡3D验证功能,将信用卡支付的最终决定权交给了银行。 我想模拟一笔被判断为高风险的交易,我找了另外的一张中国的信用卡,在这个网站上没支付过,然后我用了一个中国的代理,这样IP地址(中国河北),收货地址(德国),以及账单地址(中国随便填了一个地方)都不同。然后我下了一个测试单,令人沮丧的是欺诈分析还是低。虽然里边已经有红标提示一些很不科学的信息,发货地址距离IP地址7979公里,但是通过网站综合判断这笔交易还是低欺诈成分的,我装骗子失败。我后来反思可能有这么几个原因,一个是我没有换账号。我用来下单的账号测试了很久,各种登录各种下单各种尝试,另外我也没换浏览器,其实在这个综述之外还有更多的比如浏览器数据,计算机数据等源信息,在这里省略了没显示。我只是在下这单时候用了一个新卡用了一个假IP,这两个维度还是太小了,没有欺骗过程序,让程序知道了我想欺骗它让它说我是欺骗。 信用卡欺诈这个领域太适合用机器学习来深入了,下边我还有一个截图,是更多的源数据,这也不是全部的。有这么多的维度,机器学习比人更会找规律,让机器来自动从这么多角度入手学习那种是欺诈行为而哪种是像我刚才做实验一样是假的欺诈行为。还是挺有意思的。