Axure产品原型网 产品经理资源分享与下载
Axure产品原型网
网站首页 精选推荐 限时免费 最新发布 产品原型 网盘资源 产品资料 产品文章
首页 PPT课件 【美团内部产品资料】美团风控概述

【美团内部产品资料】美团风控概述

类型: PPT课件  作者: 凯撒
03-27 14:44  520 
积分: 0
立即下载

【美团内部产品资料】美团风控概述 风险控制的背景 在商业交易和复杂管理过程中,风险是无处不在的。我们常说的 风险控制,就是指风险管理者采取各种措施和方法,消灭或减少风险发生可能性和风险所造成损失的过程。这在传统的企业管理、金融借贷、资金审计等领域中尤为重要,并已在实际操作中发展出了一套相对完整的理论和方法。 随着互联网本地在线服务(O2O)的快速发展,越来越多的交易正在从传统的线下传统渠道迁移到在线、实时的平台上,互联网平台为了培育市场,也在运营和推广中投入了大量资金。但事情的另一面,这也给互联网“黑色产业”提供了滋生的土壤。有别于传统风控,互联网在线业务风控面临的风险形式多样、变化快,可以利用的信息冗杂。因此在线业务风险控制成为了风险控制中一个独特的分支,需要一套与之适应的方法论和控制系统。 目前美团拥有数亿存量用户,实体商家超过百万,在国内本地服务领域中处于领先地位,成为了重要的在线交易平台和商家引流渠道,业务运行中面对的风险尤为明显。其中以用户作弊和商家刷单、账号安全、资金安全最为突出,本文所阐述的风控系统也主要针对这些风险而设计。下面将分别阐述这几类风险。 用户作弊和商家刷单 作弊指以欺骗或违反业务规则的手段获得利益。作弊的形式有很多种,其中不变的是必然有利益作为作弊动机。可能的获利方包括用户账户、商家、中间人等,并可能发生这些获利方的串通行为。作弊可以分为: • 用户作弊:用户发起的以欺骗或违反业务规则的手段获得平台优惠补贴、用户权益等利益。在美团,这种作弊以伪装成新用户尤为明显,例如“黄牛”会利用“刷机”、“众包”等方式得到优惠权益,再通过网络平台或直接在电影院、餐厅、酒店门口现场兜售获得利润。 • 商家刷单:商家或其委托方以获取销量、积分、评价权益、套取优惠补贴、帮助套现等不正当利益为目的,违反商户平台协议发起或参与的非正常交易行为。在利益的驱使下,甚至有虚假的商户专门从事刷单行为。 目前完整且专业的作弊产业链已经形成,这些团伙包含了生产作弊工具、刷单和销赃的完整链条,行动迅速且参与者广泛。 账户安全 大部分用户会使用一样的信息注册多个互联网服务,而这些服务的安全防御参差不齐,使得专业的盗号团伙有越来越多渠道窃取到诸如邮箱、手机号、登录密码、支付密码、住址、身份证号等关键信息。盗号者通过邮箱、手机号等维度把它们关联起来,就可以得到十分详尽的用户资料。美团用户群与其他互联网服务有广泛交集,用户账户中可能包含现金余额、绑定支付方式和已购买的团购券等,盗号者使用窃取的资料用来登录、找回密码、换绑手机、换绑邮箱、支付购买,会带来严重的安全威胁。与帐号安全相关的典型攻击形式有: • 暴力撞库:对特定帐号使用遍历验证信息的方式试出密码。 • 洗号:第三方网站的用户资料泄露后,在本平台尝试登录以筛选出可用账号。 • 木马:植入木马程序到用户电脑或手机客户端,用来截获用户的短信验证码或密码信息。 • 社会工程学:简称社工,通过伪造和诈骗的方法从用户本人或者第三方获得用户的隐私信息。例如诈骗者谎称是某服务客服人员,联系用户称可以帮助其做服务升级,但需要用户提供短信验证码、身份证号等关键信息,而实际上诈骗者利用这些信息在其他平台完成帐号的手机换绑、重置等操作,进而盗取账户造成用户实际损失。 资金安全 在线支付已经十分普及,但因为用户体验需要,大多数在线支付的验证设置并不严格,譬如最常使用的“验证绑定手机短信验证码”方式并不十分安全,“拥有短信验证码”和“是支付帐号持有者”并不等同,这就给“黑产团伙”带来了可乘之机。与针对“账户”的攻击手段相似,盗用者可以通过各种渠道窃取到支付所需的验证信息,进而在线消费,对用户而言带来的损失更加严重。美团为了保证消费者利益,防范非用户本人的消费就显得尤为重要。与作弊和盗用账号相比,盗用支付所带来的回报更高,作案更便捷,因此盗用者通常具备更高的专业性,并体现出明显的团伙分工作案趋势: • 信息窃取:针对支付帐号、身份证号、姓名、住址等直接与消费相关,或可用来做“社会工程学”攻击的信息,常见的方法有直接从本人骗取,或从第三方机票代理、在线购买网站泄露获得。 • 木马植入:植入木马程序到用户手机,截取用户短信、电话,为“验证手机验证码”做准备。 • 在线消费:设法绕过平台的防控规则,购买高回报、易销赃的商品或服务,例如高价游乐园门票、手机充值卡、加油卡等。 • 销赃:将非法所得在线上或线下快速兜售。 风控的特点和任务 这里所说的风险控制,特指针对美团在线业务,采用各种措施和手段减少风险事件发生的可能性、降低可能造成的损失的过程。 风控的特点 在开展风控工作前,首先要认识到这项工作的几个特点: • 服务于业务:业务先于风控建立,风控因业务的存在而存在。因此风控要帮助业务看清问题并提供方案,适应业务的场景需求、发展需求。在系统的建设中,要保证低侵入性,尊重用户体验。 • 对抗和平衡:风控是永恒存在的,因为利益一直存在。风控的好坏不在于某一点的防御质量,而在于防御体系的最薄弱环节。因此,风控的目的不在于消灭风险,而在于敏捷、持续地控制风险,处理成本和收益的动态平衡。 • 数据是核心:风控的一切依赖于数据,要尽可能收集、积累、分析所有与风险相关的数据。数据为一切风控处理、决策提供依据。 风控的任务 具体而言,风险发生在业务动作中,积累在业务结果中。因此风控即要从业务动作和业务结果中,进行 预警、 识别、 分析、 干预。完备的风控体系是立体的,在不同的环节有不同的任务。 事前:提升防御能力,减少短板 • 风险教育:在快速发展的业务中,风险控制的核心在于人,要将风险意识和基本概念传递到业务的各个阶段,明确告知风控可以提供的服务。 • 参与业务:参与到业务的产品流程中,了解高风险业务、活动的规则,预判风险并给予合适力度的干预。 • 数据准备:打通数据收集流程,制定预警规则、模型策略等。 • 主动防护:关注业界风险动态,发生行业安全事件后,或重大活动、产品改动上线前,制定有针对性的规则,甚至采取锁定高危账户、发送预警消息等措施。 事中:提升攻击成本,降低损失 对于在线实时业务而言,风控对线上运行的系统的防御主要体现在不同的实时决策中: • 疑似风险行为:实时预警,告知风控、业务方负责人。 • 低风险行为:限制操作行为或增加验证步骤,平衡用户体验和可能造成的损失。 • 高风险行为:直接拒绝,或增加额外惩罚,例如冻结帐号。 事后:快速响应,灵活管控 风控所处的环境和对手都在不断变化中,因此风控系统本身也要接受反馈不断进化: • 处理风控客诉、案件核查、赔付等。 • 对批量数据做聚合监控,捕捉实时处理时无法监控的案件。 • 监控风控效果,优化规则和策略。 风控系统 风险控制的方法论固然丰富,而实施的难点更在于如何将抽象的理论变为实际可用的系统。这个系统要解决的问题有: • 如何适配和兼容多业务线,把风控的处理决策反馈到业务系统? • 如何对系统的体系做逻辑拆分,让各模块“各司其职”而又满足各不同场景需求? • 如何准确监控风险现状,快速配置和调整策略,让风控可运营化? 风控的系统结构如下图,下面即从系统接入、平台组件、数据运营三方面介绍其中的一些【美团内部产品资料】美团风控概述

Axure产品原型网所有资源均为网友主动上传分享,版权归原作者和原版权方所有,Axure产品原型网旨在产品经理之间的学习交流。 如资源侵犯到版权方,请点击上方举报,站长核实后会第一时间移除,谢谢!
【美团内部产品资料】美团风控概述 相关资源推荐
【美团内部产品资料】美团风控概述 资源评论
发布 138
下载 0
积分 138