账户盗用和电信诈骗是支付风控的两大核心欺诈场景。两者底层逻辑完全不同,用错了方案,风控就会出现明显的漏洞。
一、划清边界:两个不同的核心问题
账户盗用的本质是非本人操作,要回答的是「怎么验证操作人是持卡人本人」。电诈的本质是本人主动操作,但交易并非真实意愿,要回答的是「怎么验证这笔交易是用户真的想做的」。这两个问题性质不同,不能用同一套方案解决。
二、二次放号:被低估的账户盗用源头
国内运营商手机号资源整体利用率已超50%,受限于可用号段规模与用户换号的高频流转,号码注销后经过冷冻期重新投放市场的二次放号,早已成为行业常态,而其衍生的支付安全风险,却始终处于"行业有认知、治理无闭环"的尴尬境地。
二次放号的核心风险链路
二次放号的核心风险链路,源于号码注销时老号主未能全量解绑各平台账户与支付授权,新号主可直接通过短信验证码登录对应账户,由此衍生出三类资金风险场景:一是新号主登录老号主未解绑的存量账户,在无额外人脸核验的防护下,直接冒用账户内绑定的老号主银行卡完成免密支付或快捷支付,造成老号主资金损失;二是新号主用该二次放号号码注册新的支付账户并绑定本人银行卡后,仍掌握账户登录权限的老号主,可反向操作冒用新号主绑定的银行卡资金;三是新老号主的账户信息、支付绑定交叉混用带来的复合型资金风险。
刚性实名校验的场景缺陷
面对这一漏洞,行业内最直接的应对思路是设置"手机号当前实名与银行卡实名必须一致"的强制校验规则,但这一方案存在天然的场景缺陷,会直接误伤两类高频的合法支付场景:一类是未成年人使用父母的手机号注册账户、绑定父母银行卡完成合规消费的场景,另一类是不熟悉智能操作的老年群体,使用子女手机号与银行卡完成日常支付的家庭内部授权场景,刚性的实名一致规则,无法兼顾风险防控与普惠支付的需求。
行业治理惰性的成本误区
更值得关注的是,行业内针对该类风险的治理惰性,本质上源于一套成本优先的认知误区:多数平台认为,二次放号带来的年度直接赔付规模极低,甚至不足10万元,其中超90%为新老号主非主观恶意的不知情盗用,均可通过协商解决,真正触发舆情的恶意冒用事件占比极低,整体资金赔付风险率仅为ppm级,因此普遍将该类风险的治理优先级大幅后置,却完全忽略了,千分之几甚至百万分之几的风险概率,落到每一个个体用户身上就是100%的资金损失、维权成本与体验伤害,更忽视了这类风险长期累积,会对平台核心的支付信任体系造成不可逆的侵蚀。
分层治理体系的构建逻辑
基于此,可构建一套兼顾用户体验、风控成本与安全兜底的分层治理体系:先完成平台全量支付客群的风险规模测算,锚定二次放号风险最高发的两大核心客群——一是支付场景下的新用户首笔交易客群,二是账户存在3个月以上支付静默期的沉默重启客群,这两类客群恰好精准匹配了二次放号后新号主首次发起支付、老号主在号码易主后重启陌生账户的核心风险场景;针对初筛完成的高风险客群,优先调用运营商二次放号外查接口完成号码状态与实名一致性核验,若初筛客群基数过大,再叠加平台自有风控模型分进行二次精细化分层,仅对高风险分客群触发接口核验与人脸强校验,而非对全量客群执行一刀切式的加码核验。这套分层治理方案,既规避了刚性实名校验规则对家庭授权等合法支付场景的误伤,也通过阶梯式的接口调用策略严格控制了风控投入成本,同时精准覆盖了恶意冒用与非恶意盗用两类核心风险,最终在平台的商业成本逻辑、用户的普惠支付体验与支付安全的风控底线之间,找到了一个更适配、更可持续的平衡点。
存量风险的分层校验维度
存量风险治理的前提,是先搞清楚要管的"水面下"到底有多大。当用户基数达到一定规模,沉淀的高风险存量账号往往能达到数万量级,对这个基数的估算,直接决定了分层校验的资源投入策略。
存量校验的第一层误区,是把"新设备"作为核心风险判定依据。一个常见的误判是:新登录设备从未见过,就意味着高风险。但这套逻辑会造成极高的误拦截率——大量只是更换了新手机的平台老用户,会被误伤为可疑账号。真正需要关注的,不是"设备新不新",而是"账号的行为模式是否与历史一致"。
更合理的分层校验思路,是以近一年的强身份验证记录作为第一道筛子,收窄需要主动干预的用户范围。具体来看:近一年有过密码验证或刷脸登录行为的账号,基本可以判定为本人持续使用,历史行为连续性好,风险相对可控;但仅通过短信验证登录的账号则存在较高的二次放号风险——短信验证只能证明"有人收到了验证码",无法证明"就是账号主人",这类账号进入存量高风险池,需要重点关注。
在新增绑定行为的判断上,也需要保持审慎。新绑银行卡不能单独作为"本人使用"的判定依据,尤其是国际卡——国际卡不强制要求实名,卡持有人与手机号持有人完全可能不匹配,用国内实名校验的逻辑套用到国际卡上,会造成明显的风控盲区。
在最终的身份核验环节,与其使用容易引发用户抵触的空泛安全话术,不如用"能否准确回忆起历史真实交易"作为核心判断标准。这种方式既能显著提升非本人操作的识别准确率——欺诈者即便拿到了账号密码,也很难完整掌握用户短期内的碎片化消费记录——也能在盗用损失和外呼验证成本之间找到一个相对平衡的支点。核验问题可以围绕用户真实交易展开,比如"你最近一次用这张卡消费的城市是哪里"、“你上周在这个品类消费过的商家是哪一家”,低风险场景问行为真实性,中风险场景问消费历史关联,高风险场景做两轮交叉验证。
三、账户盗用:动态行为核验替代静态 OTP
论文的核心体系是双向结合的:一方面依托历史案件库检索,应对迭代的诈骗话术;另一方面,核心依托用户个人历史数据,利用大模型语义理解能力,生成个性化核验问题。
通过用户行为、交易记录等个性化信息做语义校验,区分正常用户与被盗账号,这是抵御账号盗用、被动诈骗的前置环节。
两个模块相辅相成,不能只谈案件检索,忽略基于用户历史的语义身份认证,否则会割裂论文的整体设计逻辑。
传统 OTP 的问题在哪
OTP 验证的是「有没有拿到密码」,而不是「是不是本人在操作」。欺诈者通过钓鱼、木马、社工拿到这 6 位数之后,就能绕过风控,没有区分度。
动态个性化验证
大模型可以根据用户的历史交易、行为轨迹、消费习惯,动态生成只有本人才知道答案的问题。
低风险场景问行为真实性:「你最近一次用这张卡消费的城市是哪里」。中风险场景问消费历史关联:「你上周在这个品类消费过的商家是哪一家」,要求欺诈者掌握用户短期内的碎片化消费记录。高风险场景做两轮交叉验证:「你近 3 个月转过账的账户是哪一个」配合「这笔订单的默认收货地址你熟悉吗」。
这套方案的核心优势在于:欺诈者拿到了账号密码和 OTP,也很难完整掌握用户长期的行为细节。而且问题每次不同,没有固定题库,破解成本会明显上升。
四、电诈欺诈:三层动态核验体系
电诈场景的核心矛盾是:操作人就是持卡人本人,身份核验已经通过了,但用户正在被操控。风控要验证的不是「是不是本人」,而是「这是不是用户真的想做」。
第一层:直指电诈操控的核心前提
所有电诈剧本都有一个共同要求——「全程保持通话、不能挂电话、不能告诉任何人」。这是骗子操控用户的基础,核验问题直接问:「这笔支付是你完全主动发起的吗?有没有人在电话里指导你操作?有没有人告诉你,这件事不能告诉家人或朋友?」
这一层的作用是让用户暂时跳出信息闭环,获得一个独立思考的机会。
第二层:围绕交易本身验证用户的真实理解
骗子给用户构建了一套说辞,在骗子的话术里看似合理,但放到现实里往往站不住脚。核验问题围绕收款方展开:「你和这个收款方是什么关系?」「之前有没有给这个账户转过账?」「你转这笔钱,是想达成什么结果?」
正常交易的用户能给出符合常识的回答。被操控的用户则容易答非所问,因为脑子里装的是骗子给的说法,而不是自己对这笔交易的真实理解。
第三层:用客观信息帮用户做判断
当用户出现犹豫或回答前后矛盾,第三层直接把客观风险信息摆出来,再结合用户自己的历史行为做对比。
比如告诉用户:「这个收款账户近期被多起反诈预警标记。」再补充一句:「你之前没有给陌生账户转过这么大额度的钱,这笔操作跟平时很不一样,确认清楚再继续,避免财产损失。」
与其告诉用户「你被骗了」,不如让用户自己发现「这件事不对劲」。自己得出的结论比被动接受说教更有效。
五、闭环:身份核验与意愿核验的组合
交易发起时,用动态个性化问题做身份核验,排除账户盗用。交易过程中,用三层核验体系做意愿核验,排除电诈操控。最后把两类场景的核验数据交叉沉淀,持续优化问题精准度和话术迭代,形成完整的风控闭环。
六、大模型+图数据的扩展应用
在复杂欺诈场景中,大模型可以与三种不同视角的图数据深度融合,从多维度构建风险画像:
-
账户风控视角(联通图):通过用户关系网络,识别团伙欺诈和中介模式。截取用户的三度或四度关联数据,分析用户之间的资金流向和社交关联,检测异常聚集的欺诈团伙。
-
支付风控视角(商品图谱):结合交易信息中的商品、商户、菜单图片等多模态数据,构建商品知识图谱。通过视觉语义理解,识别异常商品类别、虚假商户和异常交易模式。
-
物流风控视角(轨迹图):利用地图截图和位置轨迹数据,分析收货地址、配送路径的合理性。识别异常收货点集中、虚假地址、跨区域异常配送等风险信号。
这三种图数据通过「提示词工作流框架」与大模型协同工作:模型负责理解复杂场景和生成核验问题,图数据提供结构化的风险线索。多模态信息补充训练可以显著提升核验问题的准确率与召回率,尤其适用于团伙欺诈、中介 AB 贷、虚假交易等涉及多层关系的复杂风控场景。
本篇与前文「欺诈风险 vs 信用风险:两类风控的本质差异与攻防策略」形成互补:前者定原则,本篇给方案,共同构成支付欺诈风险防御的完整体系。
相关阅读
关于账户安全赔付规则的完整解读,见:支付风控:账户安全赔付规则的边界与拒赔场景
参考文献
Chan, E. S.-S., & Chan, A. C.-F. (2026, January 29). LLM-Assisted Authentication and Fraud Detection. arXiv. https://doi.org/10.48550/arXiv.2601.19684