本文回答一个核心问题:为什么需要单独建立人群级套现识别模型,而不是只依赖现有的交易级套现模型?两者的定位、触发时机、防控目标根本不同,是互补而非替代的关系。
一、交易级模型的局限
现有交易级套现识别模型的核心是事中实时判断——在交易发生的瞬间,依托商品品类、交易金额、行为序列等特征,拦截单笔高风险套现交易。这套机制有三个天然短板:
第一,无法管控绕过行为。 用户通过拆单、换品类、分多笔等方式,可以有效规避单笔金额或频次的阈值拦截,拦得住这一笔,拦不住下一笔。
第二,事中拦截容易误伤正常用户。 信用卡大额消费买数码产品、给家人朋友转账——这些行为在交易维度上与套现高度相似,事中窗口内信息有限,误判率高,拦截引发的客诉影响正常消费体验。
第三,只能事后补救,无法从源头控制持续性风险。 交易级模型在用户已有套现动机、已经发生套现行为之后才介入,属于被动的风险补偿,而非前置的风险预防。
二、人群级模型的设计逻辑
人群级套现识别模型的核心定位是前置风控——在授信、提额等环节做筛选,从源头管控高风险人群的额度,把风险阻截在发生之前。它的目标不是拦某一笔交易,而是识别「把信用工具当成现金贷使用的套现惯犯」,从用户生命周期的起点做管控。
人群级模型的识别维度分为三层:
第一层:外部多头现金贷痕迹。 用户在多个外部平台有借贷记录、持续使用现金贷,表明自身存在资金缺口,把信用工具变现的需求强、动机明确。这一维度的权重最高,因为外部借贷行为是最直接的需求信号。
第二层:核心消费行为特征。 高频、大额、集中于手机数码、礼品卡、黄金等易变现、高流通品类的消费,非真实自用的特征非常明显。这类行为与正常消费习惯偏离显著,是套现人群的行为指纹。
第三层:内部行为特征。 包括频繁使用最低还款或账单分期、还款日大额还款后立刻刷满额度、新开户首笔即大额购买可变现商品、频繁查额度或申请提额等。这些行为组合在一起,构成套现惯犯的辅助判断依据。
三、两层模型的协同闭环
交易级模型与人群级模型不是替代关系,而是分工协作的闭环。
正向闭环:人群模型输出高、中、低风险标签,同步给交易模型。不同风险等级的用户适用不同的拦截阈值——高风险用户即便单笔金额不高,触碰可变现品类也触发严格核验;低风险用户享受相对宽松的交易体验,减少误伤。
反向闭环:交易模型确认的套现行为,反向更新用户的风险标签,用于优化人群模型的识别精度。随着交易数据的积累,人群风险标签动态调整,形成持续迭代的正反馈。
这个双闭环的核心价值在于:交易模型负责「点」的精确拦截,人群模型负责「面」的前置筛选,两者协同才能实现从源头到事中、从个体到人群的完整风控覆盖。
四、实战案例:电诈刷单与套现场景
除了传统套现场景,电诈团伙的刷单行为也呈现出类似的特征,需要协同防控。
4.1 案例背景
近期发现,电诈团伙通过社交渠道引入受害者,集中购买知名连锁商户的团购券进行套现。这类商户具有高口碑特征,传统风控逻辑中倾向于将其视为低风险,从而给予宽松的拦截力度。电诈团伙利用这一认知,绕过风控规则进行攻击。
核心问题:模型召回率持续下滑。原因在于商户口碑特征被系统性用作低风险信号,导致高风险交易被误判。
4.1.1 商户连锁属性差异化风控规则
在国内银行、银联及持牌支付机构的支付交易反欺诈风控体系中,有一套基于商户连锁属性差异化制定的通用规则,这套规则不仅是银行卡盗刷案件核查、套现风险识别、交易实时放行/拦截自动化决策的核心依据,也完全契合央行《银行卡收单业务管理办法》中"商户风险分级、差异化管理"的监管要求,而行业内常出现的"仅凭同城交易即可完成风险判白"的表述存在明显偏差,其完整的规则逻辑与实操标准有着严格的边界与执行规范。
支付风控的核心判断标准,始终是交易行为是否匹配商户的正常经营特征、是否符合持卡人的日常消费基线,连锁与非连锁商户的客群辐射范围、经营场景存在本质差异,这就决定了必须为两类商户设置差异化的风险判定规则,无法用单一标准做"一刀切"的风险排除(业内俗称"判白")处理。
对于全国/跨区域连锁经营的品牌商户,比如连锁商超、酒店、餐饮、零售、加油站等,其客群覆盖全国,合规的正常消费天然包含同城与异地场景,持卡人出差、旅游等场景下的异地消费均属正常,也是银行认定的标准合规消费类商户;也正因为连锁商户本身支持合规的异地消费,“交易发生在同城"这一单一维度,并不具备"交易真实、无风险"的排他性证明力,毕竟盗刷、伪卡、套现交易同样可以在同城的连锁商户发生,因此仅凭"同城交易"一个特征,绝对不能直接做风险排除处理。
连锁商户的交易判白,必须叠加多维度交叉核验,核心核验项包括交易金额与交易时段是否符合商户正常经营规律、是否匹配持卡人历史消费基线、设备指纹与支付环境是否为本人常用、密码/验证码/生物识别等支付核验要素是否正常通过、商户与持卡人均无历史风险标签等。
而对于本地非连锁的小微商户、个体工商户、夫妻店,比如社区便利店、本地餐馆、街边便民小店等,其经营辐射范围仅限本地同城,正常经营场景下几乎不会产生异地消费交易,跨城/跨省交易会直接被判定为高风险异常特征,“交易发生在同城"正是此类商户交易判白的核心前提与必要条件,不符合该前提的交易,会直接纳入高风险人工排查队列。
行业内俗称的"同城加5"规则,正是针对这类商户的通用无风险特征核验标准,即同城前提叠加全部满足5项核心特征,即可作为交易判白的强有效信号,这5项特征分别为:交易地域与商户注册地、持卡人常用居住地为同一城市,无短时间异地瞬移的异常特征;交易金额、交易时段与商户正常经营范围、营业时间完全匹配;交易设备、支付网络环境与持卡人常用设备指纹、历史登录环境一致,无定位篡改、模拟器、陌生设备等风险特征;交易为本人核验支付,且持卡人无历史盗刷拒付、欺诈交易记录;商户无套现、伪卡受理、欺诈等历史风险标签,交易行为符合持卡人日常消费频次与金额基线。
这套规则的核心应用场景,主要覆盖交易实时风控的自动化决策、银行卡盗刷拒付案件的责任认定与事实核查、收单环节的商户风险分级管理三大维度,同时规则本身具备动态调整机制,支付机构会基于商户的欺诈交易率、风险评级动态调整标准,比如对高风险连锁商户会进一步收紧判白门槛,对合规经营的本地便民商户可适度放宽核验维度。
4.2 问题诊断
拆单绕过规则失效。 电诈团伙采用"蚂蚁搬家"策略:当单笔大额交易被拦截后,立即拆分成多笔小额交易连续下单。传统交易级模型只看单笔金额和频次阈值,无法识别这种拆单后的累计风险。实践中发现,同一用户连续数十笔小额团购券,均未被拦截。
群体攻击识别盲区。 电诈团伙通过多账号、多受害者的方式批量购买同一商户的团购券。单个账号的行为可能看似正常,但多个无关联账号在短时间内集中购买同一高口碑商户,形成"陌生人聚集"模式。传统基于强关联(同 IP、同设备)的识别方法无法捕捉这种模式。
手法快速演进。 电诈手法经历了明显进化:代付 → 链接包装 → 扫一扫 → 用户直接刷单。早期的代付链接、扫一扫可以通过拦截特定 URL、识别链接包装等规则应对,但现在演变为让用户本人直接在平台下单刷单。这种行为属于"用户本人操作”,传统的反欺诈特征因子(如异常跳转、第三方链接)逐渐失效。
4.3 应对策略
针对电诈刷单与套现场景,需要建立多维度的监控规则:
累加金额与笔数监控。 建立时间窗口内的累加监控机制,识别拆单绕过行为。单用户短时间内多笔小额购买同一类型券,即使单笔金额不高,也需触发风险预警。
群体攻击识别。 建立多账号集中购买同一商户的识别逻辑,关注短时间内多个无关联账号的聚集行为,触发群体攻击预警。
资质分层与欺诈风险分层的解耦。 资质好不代表低欺诈风险,资质分层(信用风险维度)与欺诈风险分层是两套逻辑。高资质用户可以给更高授信额度(信用风险维度),但欺诈拦截仍需看行为异常度,而非资质本身。
4.4 规则实现
| 风险场景 | 检测规则 | 响应动作 |
|---|---|---|
| 拆单绕过 | 单用户短时内多笔小额同类型券 | 累加金额判断 + 触发强验证 |
| 群体攻击 | 多账号购买同一商户团购券 | IP 关联分析 + 批量拦截 |
| 非正常时段 | 非正常时段集中消费高价值券 | 增加验证环节 |
| 新用户高风险 | 新用户单笔或累计大额消费 | 延迟支付 + 身份核验 |
五、核销数据的价值与落地路径
在团购券场景中,核销数据是识别异常行为的关键因子。
5.1 核销时序监控机制
通过核销时序监控,可以有效区分正常消费与异常行为:
- 熟人转赠:团购券转赠给亲友,核销行为符合正常社交场景,风险较低
- 倒卖行为:短期内多次转赠给同一人,或分散给多个不同人,存在倒卖风险
- 异常核销模式:批量购买后短时间内集中核销,形成"时间簇”
5.2 核销数据优先打通方案
当前核销数据链路不通,导致这一关键因子无法使用。建议分阶段打通:
第一阶段:优先覆盖头部连锁商户。选取高频被利用的知名连锁商户,打通其团购券的核销数据。
第二阶段:建立核销时序监控系统。对打通核销数据的商户,实施实时监控,识别异常核销模式。
第三阶段:扩展到更多商户,形成全面覆盖。
5.3 替代方案
在核销数据链路完全打通之前,可采用以下替代方案:
下单后短期内频繁退款。套现行为往往伴随频繁退款,可以将退款频率作为替代指标。
券的转赠行为分析。监控券的转赠行为,识别短期转赠给同一人或分散转赠给多人的异常模式。
六、手法演进与模型迭代
电诈团伙的攻击手法快速演进,要求风控模型与规则策略持续迭代。
6.1 手法演变路径
代付阶段:通过代付链接,让受害者完成支付。特征是存在第三方链接、异常跳转。
链接包装阶段:将代付链接包装成正常场景,降低受害者警觉。特征是链接 URL 经过伪装、页面内容与支付意图不符。
扫一扫阶段:通过二维码扫码,引导受害者完成支付。特征是存在二维码扫描记录、扫码来源异常。
用户直接刷单阶段:让受害者本人直接在平台下单购买团购券。特征是所有操作均为用户本人完成,传统的反欺诈特征因子均失效。
6.2 老策略失效的原因
老策略失效的根本原因,是电诈手法从"外部诱导"转向"内部操作"。当用户本人直接在平台完成所有操作时,传统基于"异常跳转"、“第三方链接”、“设备异常"的特征识别逻辑不再适用。
6.3 新特征因子建议
应对手法演进,需要引入新的特征因子:
非正常时段消费。正常用户较少在非正常时段进行大额团购券购买。当检测到用户在非正常时段集中消费高价值券时,触发风险预警。
新用户大额消费。新用户单笔或累计购买团购券金额较大,触发强验证。新用户缺乏历史行为参考,需提高风控敏感度。
行为偏离度监控。建立用户个人行为基线,当新行为与历史习惯严重偏离时,触发风险预警。
6.4 模型迭代方向
降低时间维度特征权重,提升行为异常特征权重。 传统模型依赖注册时长、绑卡时长等时间维度特征,但当前这些正向特征的区分度下降。应提升交易频率、交易金额变化、跨城市操作等行为异常特征的权重。
强化群体攻击识别。 不仅依赖强关联(同 IP、同设备),还需建立"陌生人聚集"识别逻辑,关注多账号在短时间内集中购买同一商户的模式。
七、总结
人群级套现识别模型与交易级套现识别模型的协同,实现了从源头到事中、从个体到人群的完整风控覆盖。在电诈团伙攻击手法不断演进的背景下,还需要关注电诈刷单场景,两者特征高度相似,需要协同防控。
应对这些问题,需要建立累加金额与笔数的双重监控,识别拆单绕过行为;建立多账号聚集识别逻辑,捕捉群体攻击模式;优先打通核销数据链路,区分正常转赠与倒卖行为;引入新的特征因子(非正常时段消费、新用户大额消费、行为偏离度等),应对手法演进。
风控的本质是动态博弈。当电诈团伙找到新的攻击路径时,风控模型与规则策略也需要持续迭代,从"统计学习"转向"语义理解”,从"固定规则"转向"动态调整",才能在攻防对抗中保持主动。