账户盗用和电信诈骗是支付风控的两大核心欺诈场景。两者底层逻辑完全不同,用错了方案,风控就会出现明显的漏洞。
一、划清边界:两个不同的核心问题
账户盗用的本质是非本人操作,要回答的是「怎么验证操作人是持卡人本人」。电诈的本质是本人主动操作,但交易并非真实意愿,要回答的是「怎么验证这笔交易是用户真的想做的」。这两个问题性质不同,不能用同一套方案解决。
二、账户盗用:动态行为核验替代静态 OTP
传统 OTP 的问题在哪
OTP 验证的是「有没有拿到密码」,而不是「是不是本人在操作」。欺诈者通过钓鱼、木马、社工拿到这 6 位数之后,就能绕过风控,没有区分度。
动态个性化验证
大模型可以根据用户的历史交易、行为轨迹、消费习惯,动态生成只有本人才知道答案的问题。
低风险场景问行为真实性:「你最近一次用这张卡消费的城市是哪里」。中风险场景问消费历史关联:「你上周在这个品类消费过的商家是哪一家」,要求欺诈者掌握用户短期内的碎片化消费记录。高风险场景做两轮交叉验证:「你近 3 个月转过账的账户是哪一个」配合「这笔订单的默认收货地址你熟悉吗」。
这套方案的核心优势在于:欺诈者拿到了账号密码和 OTP,也很难完整掌握用户长期的行为细节。而且问题每次不同,没有固定题库,破解成本会明显上升。
三、电诈欺诈:三层动态核验体系
电诈场景的核心矛盾是:操作人就是持卡人本人,身份核验已经通过了,但用户正在被操控。风控要验证的不是「是不是本人」,而是「这是不是用户真的想做」。
第一层:直指电诈操控的核心前提
所有电诈剧本都有一个共同要求——「全程保持通话、不能挂电话、不能告诉任何人」。这是骗子操控用户的基础,核验问题直接问:「这笔支付是你完全主动发起的吗?有没有人在电话里指导你操作?有没有人告诉你,这件事不能告诉家人或朋友?」
这一层的作用是让用户暂时跳出信息闭环,获得一个独立思考的机会。
第二层:围绕交易本身验证用户的真实理解
骗子给用户构建了一套说辞,在骗子的话术里看似合理,但放到现实里往往站不住脚。核验问题围绕收款方展开:「你和这个收款方是什么关系?」「之前有没有给这个账户转过账?」「你转这笔钱,是想达成什么结果?」
正常交易的用户能给出符合常识的回答。被操控的用户则容易答非所问,因为脑子里装的是骗子给的说法,而不是自己对这笔交易的真实理解。
第三层:用客观信息帮用户做判断
当用户出现犹豫或回答前后矛盾,第三层直接把客观风险信息摆出来,再结合用户自己的历史行为做对比。
比如告诉用户:「这个收款账户近期被多起反诈预警标记。」再补充一句:「你之前没有给陌生账户转过这么大额度的钱,这笔操作跟平时很不一样,确认清楚再继续,避免财产损失。」
与其告诉用户「你被骗了」,不如让用户自己发现「这件事不对劲」。自己得出的结论比被动接受说教更有效。
四、闭环:身份核验与意愿核验的组合
交易发起时,用动态个性化问题做身份核验,排除账户盗用。交易过程中,用三层核验体系做意愿核验,排除电诈操控。最后把两类场景的核验数据交叉沉淀,持续优化问题精准度和话术迭代,形成完整的风控闭环。
本篇与前文「欺诈风险 vs 信用风险:两类风控的本质差异与攻防策略」形成互补:前者定原则,本篇给方案,共同构成支付欺诈风险防御的完整体系。