远程引诱式诈骗场景的核心与常规欺诈完全不同。受害人在整个过程中完全是本人主动操作,没有代付链接,没有团伙设备关联,骗子全程躲在电话那头。这决定了风控逻辑必须转变——不是抓坏人,而是盯着受害人被引导的行为做识别。
这需要拆成两个维度:异常用户负责提前给受害人画像,做前置预警;异常交易负责盯着实时行为痕迹,做事中拦截。
一、异常用户:受害者的行为画像
刻画受害者的特征,核心有三个维度。
行为突变。 用户近期出现历史没有同量级的首次大额消费,或者从没碰过高风险类目突然下了大额订单,又或者近 15 天在该场景的下单次数突然暴涨——这些都是典型的被引导行为突变。
环境与设备异常。 下单地址、商户所在省份与用户常住地、IP地址不匹配。这是一个清晰的逻辑异常:受害人在 A 地,骗子让他买 B 地商户的券,正常用户很少会这样操作。
账户活跃度异常。 用户历史支付成功率一直稳定,近 7 天突然出现多次支付异常;新设备首次支付、注册时间很短就做大额消费——这些都是异常信号。
三个维度的量化判定标准:本次消费金额是否超过用户历史同类目消费 90 分位数的 3 倍;下单省份、商户省份、用户 IP 及常住地是否一致;这笔消费是否是用户近 3 天在该类目的首次消费,同时金额远超正常水平。
二、异常交易:受害者的行为痕迹
盯着交易环节里受害人被引导的行为痕迹,核心有四个维度。
截屏/录屏时序异常。 这是最核心的信号。正常用户消费,就算存了截图,从截图到付款也会有决策时间;而被引导的受害人,在骗子要求下截完图马上付款,间隔时间特别短——这是典型的受害行为。
商户选择异常。 骗子一定会选高口碑的头部商户,且受害人从来没在这个商户消费过。底层逻辑很清楚:这类商户用户信任度高、交易体量大,容易变现。正常用户不会突然去一个从未消费过的头部商户,做一笔远超常规的大额消费。
支付结构异常。 要么是骗子用超低折扣诱导受害人付款,要么是这笔订单的支付金额远超该商户同类订单的平均水平。正常消费不会出现这种情况。
时序异常。 要么是从浏览商品到完成付款的时间特别短,几乎没有比价和犹豫过程,完全不符合正常用户的消费决策逻辑;要么是在夜间,去高风险类目做消费。
三,双层联动:用户分层与交易分层协同
将异常用户与异常交易两个模块联动落地:先用异常用户画像,将有风险的受害人提前纳入监控池,不影响正常用户体验;这些用户在交易时若命中异常交易的强风险信号,直接触发拦截或复核;命中中风险信号,则弹风险提示、做二次核验。
这样既能精准识别被骗用户,又不会误伤正常用户——用户分层解决的是「哪些人有风险」,交易分层解决的是「哪笔交易在发生」,两者协同才能形成完整的风控闭环。