支付场景中,引诱类电信网络欺诈是用户客诉的核心来源之一。黑产实施欺诈的前置环节,是通过固定属性标签筛选潜在目标,行业内普遍将这类标签覆盖的群体称为易受骗人群。这类标签以年龄为核心,覆盖未成年人与老年人群体,配套消费行为、信用记录等补充维度,被广泛应用于黑产作案筛选与支付风控模型搭建。
一、静态基础特征与黑产筛选逻辑
易受骗人群的静态基础特征,是黑产实施目标筛选的核心依据。这类特征包括:
- 所在城市:不同地域的电诈风险特征存在差异,不是按照城市等级(如一线/二线城市)等信贷风控的做法,而是通过FTG(欺诈目标群体特征)统计各城市的电诈风险率,识别出风险率高和低的城市作为标签;
- 年龄:未成年人与老年人群体,对诱导话术的响应率、对陌生转账操作的接受度在全量人群中处于相对较高区间,不同年龄群体对应的主流诱导场景也存在差异——未成年群体更易受到游戏充值、虚拟道具交易类话术诱导,老年群体更易受到身份冒充类话术诱导;高龄用户在数码产品等高价值消费场景存在较高受骗风险;
- 性别:仅作为风险倾向参考——女性偏刷单类风险倾向,男性偏裸聊、交友类风险倾向。
黑产通过这类弱画像标签缩小目标范围,降低单客作案的时间与沟通成本,提升单次引诱动作的转化概率。需要明确的是,这些标签的应用,仅代表黑产对作案目标的优先级排序,不代表标签覆盖群体具备必然的受骗属性。
资质维度的逆向发现
基于全域用户数据分析的专项研究,验证得到一个与传统认知相悖的核心结论:用户收入、学历等优质KYC资质维度,与电诈受害聚集浓度呈正向关联。这一结论通过受益人穿透核验、新老客分层对比框架交叉验证成立。
该结论的底层逻辑并非高资质用户天然易受骗,而是黑产会定向筛选具备充足资金、代付履约能力的客群。这种定向筛选的核心驱动根源在于用户的逐利心理,以及对刷单等灰色产业收益的认知包容。
基于这一发现,风控实践需完成关键纠偏:个人资产、学历等基础资质,严禁作为主体可信的准入判断依据。资质分层(信用风险维度)和欺诈风险分层是两套逻辑,不能混用。资质好可以给更高授信额度,但资质好不能给更低欺诈拦截力度。高辨识度有效风险信号应集中在行为链路,而非静态资质维度。
二、动态行为特征与风险判定
易受骗人群标签的应用,存在明确的有效性边界。单一依赖静态标签无法准确判定个体受骗概率,需结合动态行为特征综合判断:
- 行为链路异常:下单与支付账号不一致,反映代付或第三方操作风险;非常规高频代付,表明用户可能处于被诱导状态;高危消费品类叠加代付组合,如虚拟商品、充值类商品与代付同时出现,风险信号显著增强;
- 异地行为:用户IP城市与交易收款方城市不一致,存在异地交易、异地操作风险,可能涉及盗用账户或欺诈交易;
- 高危操作行为:存在录屏、截屏、陌生APP下载、APP品类频繁更换等可疑操作,疑似被诱导进行风险操作;
- 高风险交易行为:近1天存在易变现类商品订单,此类商品流动性高、易被快速转手,是欺诈变现的常见载体。
现有支付风控实践中,年龄标签常与交易行为规则绑定,形成风险判定逻辑,例如低龄用户发起的大额支付、与年龄标签不匹配的高价值商品消费,均会被纳入异常交易监测范围。同一年龄区间内,不同个体的防骗意识、信息辨别能力存在显著差异,标签无法实现对个体受骗概率的准确判定。同时,大量引诱类欺诈案件的受害主体,不在传统年龄标签覆盖的范围内,仅依靠固定属性标签,无法覆盖全量欺诈风险。
三、收款受益人风险画像
引诱类欺诈的风险判定核心,集中于收款受益人账户的风险画像。引诱类欺诈的核心特征,是用户在话术诱导下主动发起支付操作,付款操作人的资产情况、征信记录、历史交易行为,大多处于正常区间。传统风控体系中,针对付款人属性与行为的监测逻辑,在这类欺诈场景中存在明显的局限性。
收款受益人账户的风险画像,包括账户的历史涉案记录、交易行为风险评级、账户主体的风险关联情况,可直接反映交易的欺诈概率。当支付交易的收款方处于高风险评级区间时,无论付款方的固定属性与历史行为如何,交易均具备较高的欺诈风险。
四、诈骗剧本与人群画像的交叉耦合
单一维度的人口属性标签,已无法实现精准的风险判定。不同诈骗剧本本身,就对应着极强的人群性别、婚育差异化特征——核心逻辑在于诈骗剧本与人群画像的交叉耦合,特定诈骗剧本匹配对应的精准人群画像,才能真正衡量电诈风险浓度。
核心高风险人群组合:
- 刷单场景 → 已育女性:兼职刷单类诈骗的核心精准目标,以18-35岁已婚已育的宝妈为主。这类人群有碎片化空闲时间,存在兼职增收需求,极易被"动动手指就能赚钱"的话术击中。风险信号:代付组合频繁、虚拟商品交易异常增加;
- 裸聊威胁场景 → 已婚男性:以已婚已育男性为主要目标,因顾虑个人声誉、家庭关系受损,被勒索后妥协转账的动机更强。风险信号:夜间高频操作、短时间内大额转账、支付账号异常;
- 冒充公检法场景 → 已婚已育大龄人群:这类群体面对"子女涉案"等话术,心理防线更容易被攻破。风险信号:跨城市操作、高频异地登录、陌生APP下载;
- 情感杀猪盘场景 → 未婚、离异人群:精准瞄准情感空窗人群,更容易被情感话术操控。风险信号:与陌生交易对手的高频转账、平台外交易行为。
画像缺失本身即高风险信号:
若用户相关画像标签存在缺失,无有效推断依据——这类情况反而代表着更高的风险,需纳入重点风险判定范畴。黑产在目标筛选时,同样会优先选择画像标签完整的用户,以降低作案风险;画像缺失的用户,意味着无法通过常规标签进行风险预判,实际上构成了更高的风险暴露面。
风控建模绝不能单纯割裂使用性别、年龄、收入、婚育等单一标签,其风险区分度极低。上述四种剧本-人群交叉耦合框架,才是电诈精准防控的核心切入点。
五、识别方法与策略建议
易受骗人群的识别,核心是结合静态基础特征、动态行为特征与收款受益人风险画像,形成多维度的风险监测体系。通过静态特征定位潜在目标人群,结合异地行为、高危操作、高风险交易等动态行为进行交叉验证,再叠加收款方风险画像进行最终判定,可更精准地识别易受骗人群,提升电诈风险拦截的有效性。
典型欺诈场景的差异化识别
基于全域数据分析,不同欺诈场景在客群特征与行为模式上存在显著差异,可按典型场景开展差异化识别:
- 裸聊类诱导场景:此类场景下受害群体中男性用户占比较高,风险信号集中在支付账号异常、夜间高频操作、短时间内大额转账等行为特征,需结合账号一致性验证与操作时段特征进行联防识别;
- 刷单返利类场景:此类场景受害群体中女性用户占比较高,核心风险信号表现为代付组合频繁出现、虚拟商品交易异常增加、与陌生交易对手的转账行为,需重点监测交易模式异常与资金链路特征;
- 投资理财类场景:此类场景在高龄用户群体中风险浓度相对较高,风险识别需聚焦大额转账、高频异地登录、投资类APP下载等行为特征,结合交易对手风险等级进行交叉验证;
- 游戏充值类场景:此类场景在未成年人群体中风险暴露更为集中,需关注小额高频支付、非常规支付时段、虚拟道具交易异常等行为,结合设备使用模式进行风险判定。
上述场景识别需叠加异地登录、风险小众APP使用、截屏录屏操作等行为特征做联防识别,通过多维度特征交叉提升识别精度,避免单一特征导致的误判与漏判。
针对不同年龄段用户,可配套差异化的监测规则,同时保留规则的弹性空间,避免对正常交易的过度干预。
六、时间窗口与风险敞口放大:现金贷月中波峰的四重共振
单一维度的"人群画像"和"剧本分析",在实践中仍存在显著盲区——即使精准识别了"哪类人易被骗",若忽视"什么时间窗口风险最高",风控资源的投放仍会低效。现金贷行业普遍存在的中旬交易波峰,本质上是资金流、催收周期、黑产运营与平台规则四重因素精准共振的结果。
6.1 发薪周期效应
国内大量企业集中在每月10日至15日发放工资,受害人此时账户有可支配资金且还款能力表面提升。这一时间窗口同时带来双重风险:其一,受害人本身更容易通过平台的授信审批(银行流水充足),成为诈骗团伙重点瞄准的目标;其二,受害人出于"下月还款"的预期,倾向于在此窗口期进行超额消费或非理性借款,为后续资金缺口埋下隐患。风控模型若能叠加发薪周期因子,对该时间窗口内的审批行为、借款频次、消费品类变化做实时监测,可有效识别发薪日前后的异常决策窗口。
6.2 催收触发的以贷养贷
月中不仅是发薪窗口,同时也是各平台催收电话最密集的时段。上月逾期、或已被诈骗陷入资金缺口的用户,会在催收压力下四处寻找新的借款渠道——极容易被同一诈骗链路二次收割。以贷养贷的本质是流动性错配与信息不对称:用户看到的"救命钱",实际上是黑产设计的下一个陷阱。风控系统应在此时间窗口对"多头借贷行为骤增"和"关联账户异常转介"做重点监控,尤其是已有催收记录客群的借款申请行为。
6.3 黑产月度运营节奏
诈骗团伙早已形成了标准化的月度运营节奏,与现金贷行业的周期性高度吻合:
- 月初(1日至7日):批量加好友、养号铺垫信任、打磨话术,目标人群处于"信任建立期",尚无交易发生;
- 月中(8日至18日):借发薪窗口与催收压力集中转化收割,目标人群处于"决策窗口期",决策理性显著下降;
- 月末(19日至月末):收尾复盘,对未遂案件做二次跟进,对已收割案件清理资金链路。
这一节奏意味着月中不仅是"风险高发期",更是"黑产最活跃的资源投放期"。风控侧的资源配置(如人工审核力量、模型实时推理频次)若能配合这一节奏动态调整,可显著提升拦截效率。
6.4 平台调额窗口的精准利用
多数现金贷平台固定在月中进行审批额度刷新与调额动作——这一规律被黑产摸清并利用后,进一步放大了中旬的整体风险敞口。典型路径为:黑产在月初通过小额试探性借款建立正常还款记录→月中趁平台调额时利用历史良好记录申请提额→额度获批后集中套现收割。这一模式意味着"调额行为本身"就是一个高风险信号,尤其是当调额申请与前述三类时间窗口叠加时——发薪日到账、催收压力、多头借贷冲动——四重共振,风险浓度成倍放大。
时间窗口的防控策略
基于上述分析,时间窗口维度的风控策略应包括:
- 发薪周期动态阈值:在每月10日至18日期间,自动收紧审批口径、上调异常交易拦截权重,同时对已有多头记录客群实施额度冻结;
- 催收联动机制:将催收记录纳入实时风控特征工程,催收密集期内对关联申请人的行为做二次核验;
- 黑产节奏情报映射:将黑产月度运营节奏(月初铺垫、月中收割、月末收尾)映射为内部风控资源的动态调度信号,在高风险窗口期前置布防;
- 调额行为分级管理:对调额申请做"时间-历史行为-关联风险"三维评分,高分申请触发人工复核或延迟放款。
至此,本篇从人群画像(谁)→ 剧本耦合(哪种骗)→ 时间窗口(何时)→ 识别策略(怎么防),形成了一套完整的电诈风险分析框架。