支付风控：坏人引诱的用户分层与交易分层

远程引诱式诈骗场景的核心与常规欺诈完全不同。受害人在整个过程中完全是本人主动操作，没有代付链接，没有团伙设备关联，骗子全程躲在电话那头。这决定了风控逻辑必须转变——不是抓坏人，而是盯着受害人被引导的行为做识别。

这需要拆成两个维度：异常用户负责提前给受害人画像，做前置预警；异常交易负责盯着实时行为痕迹，做事中拦截。

一、异常用户：受害者的行为画像

刻画受害者的特征，核心有三个维度。

行为突变。 用户近期出现历史没有同量级的首次大额消费，或者从没碰过高风险类目突然下了大额订单，又或者近 15 天在该场景的下单次数突然暴涨——这些都是典型的被引导行为突变。

环境与设备异常。 下单地址、商户所在省份与用户常住地、IP地址不匹配。这是一个清晰的逻辑异常：受害人在 A 地，骗子让他买 B 地商户的券，正常用户很少会这样操作。

账户活跃度异常。 用户历史支付成功率一直稳定，近 7 天突然出现多次支付异常；新设备首次支付、注册时间很短就做大额消费——这些都是异常信号。

三个维度的量化判定标准：本次消费金额是否超过用户历史同类目消费 90 分位数的 3 倍；下单省份、商户省份、用户 IP 及常住地是否一致；这笔消费是否是用户近 3 天在该类目的首次消费，同时金额远超正常水平。

二、异常交易：受害者的行为痕迹

盯着交易环节里受害人被引导的行为痕迹，核心有四个维度。

截屏/录屏时序异常。 这是最核心的信号。正常用户消费，就算存了截图，从截图到付款也会有决策时间；而被引导的受害人，在骗子要求下截完图马上付款，间隔时间特别短——这是典型的受害行为。

商户选择异常。 骗子一定会选高口碑的头部商户，且受害人从来没在这个商户消费过。底层逻辑很清楚：这类商户用户信任度高、交易体量大，容易变现。正常用户不会突然去一个从未消费过的头部商户，做一笔远超常规的大额消费。

支付结构异常。 要么是骗子用超低折扣诱导受害人付款，要么是这笔订单的支付金额远超该商户同类订单的平均水平。正常消费不会出现这种情况。

时序异常。 要么是从浏览商品到完成付款的时间特别短，几乎没有比价和犹豫过程，完全不符合正常用户的消费决策逻辑；要么是在夜间，去高风险类目做消费。

三，双层联动：用户分层与交易分层协同

将异常用户与异常交易两个模块联动落地：先用异常用户画像，将有风险的受害人提前纳入监控池，不影响正常用户体验；这些用户在交易时若命中异常交易的强风险信号，直接触发拦截或复核；命中中风险信号，则弹风险提示、做二次核验。

这样既能精准识别被骗用户，又不会误伤正常用户——用户分层解决的是「哪些人有风险」，交易分层解决的是「哪笔交易在发生」，两者协同才能形成完整的风控闭环。

四、场景应用：储值卡与酒水

电诈案件在不同品类上有显著差异。按异常用户维度和异常交易维度拆解，可以清晰看到储值卡与酒水两个品类在风险特征上的分化。

储值卡场景

异常用户维度： 被识别的黑名单用户年龄偏大。中老年群体在储值卡场景中是高风险人群——传统识别方式对这类用户召回困难，而整体模型能够有效识别。

异常交易维度： 储值卡场景有两个显著特征——

• 非异地订单占比高：传统识别方式依赖「异地」信号识别风险，但在同城订单中也能识别出电诈案件
• 非深夜时段占比高：传统识别方式依赖「时段异常」信号，但在白天正常交易时间也能识别出风险订单

换句话说，打破了「异地 + 深夜」的路径依赖，能够精准捕捉到中老年群体本地白天交易的风险特征。

酒水场景

异常用户维度： 低频消费用户是高风险人群。酒水场景中，受骗用户在业务线的历史消费频次明显低于正常用户——用户历史可信度低，与酒水高风险品类形成有效组合信号。

异常交易维度：

• 商户手机号冲突：充值手机号与绑定手机号不一致的订单占比，明显高于正常用户。这是商户侧的欺诈信号。
• 进线时间差长：被拦截后打客服电话要求解限的进线时间差，明显长于正常用户。正常用户被拦截通常会立即致电，而受骗用户被骗子引导，时间差显著更长。

两场景对比

分层调度逻辑

用户层： 从用户维度锁定高风险人群——中老年群体（储值卡）、低频消费用户（酒水）。用户层的核心作用是过滤和优先级排序，先锁定高风险人群，再进行交易层面的精细识别。

交易层： 聚焦特定品类和交易特征——储值卡关注同城订单、白天下单等突破传统路径依赖的特征；酒水关注商户手机号冲突、进线时间差等新发现的欺诈信号。

调度层： 风险域与品类的交叉单元动态调整阈值。电诈风险域 + 储值卡品类优先部署（涉及预付费，损失直接兑现）；电诈风险域 + 酒水品类次之（商户侧特征强，可以快速验证模型效果）。调度层是最终决策单元，根据风险域、品类、用户特征三重交叉动态调整拦截阈值，既能提高电诈召回率，又能减少对正常用户的打扰。