第三方支付 —— 手刷产品的用户风控

6 评论 6795 浏览 66 收藏 9 分钟

第三方支付的手刷产品的用户风控主要分为事前、事中和事后三部分,事前是控制进件入网,提前防止风险发生;事中是风险监控和风险识别,及时阻止风险的发生;事后是风险补救,采取相应的措施减小风险发生带来的影响。事后这块不是那么熟,只能举例说明一下。

以下的风控体系很多是基于自己的经验总结的。

一. 事前

1. 注册地区控制

所谓的注册地区控制,顾名思义就是根据用户的注册地来控制用户是否可以注册。通过网络来定位要注册的用户所在的地方,但是因为存在定位不在的情况,所以还是需要用户自己下拉选择注册地的。当然网络定位优先,不生效的情况下下拉选择用于与后台中的注册地区控制的名单匹配。如果是不允许注册的地区,则该用户会被拦截。但是如果这个用户是系统定位不到的,手工选择的话,其可以随便选,就有可能注册,就会有漏网之鱼的存在,因此需要在后续持续控制排查筛选。至于这些地区是如何来的,一是每家机构不允许展业的地方;二是一些集聚效应的原因,某些地方以伪盗出名;三是新疆西藏等边远地区,机构落地的商户少,一般也会禁止入网的。

2. 身份证黑名单控制

手刷产品都是需要实名认证的,所以都需要身份证号。有些产品的身份证号填入是在注册时,有些产品是注册时仅需手机号,登录APP后进行实名认证。通过对身份证号的限制也是可以起到控制相应的用户入网的目的。这个相对于注册地区的控制来说,可以更加具体准确。身份证黑名单控制,就是针对一些有盗刷、公安部通缉或者有前科等用户以及某些地区的用户,后台记录相应的身份证号,详细或者前几位。详细的身份证号那就是具体到某一人了,就是这个人就一定不让你使用这个产品。而身份证前几位的控制,也是为了控制某个地区的用户,同样也是因为集聚效应,例如某某地方出去的都是搞盗刷的,因为存在人口流动,所以就算这些地方的人在别的允许注册的地区进行了注册,通过身份证黑名单也可以起到控制作用。相对应的有白名单控制,为了特殊商户的入网。

3. 手机号控制

手机号控制用户注册这个用的比较少,一是手机号实名制实行不久,很难精准到相应的用户,二是用户更换成本低,可以通过更换手机号实现入网,所以控制难度比较大。一般来说主要控制号段,如虚拟的170号段,相对于前两个来说,这个控制的使用会偏少。但是如果一个公司有两个相类似的产品时,为了推广某个产品,有时候会控制已经入网的用户,再次在新产品进行个注册。

二. 事中

1. 交易地区控制

手刷类产品因为要送相应的刷卡消费的商户到银联,所以要根据用户的所在地,来送相对于地区的商户到银联,因此在交易时也会采用到定位的。因为是手刷,可以跟着用户移动,到国外或者机构不能展业的地方,所以要进行控制。同时,有些时候虽然某些地区能展业,但是如果交易量上升太快,比较异常,也需要进行该地区的交易控制。通过交易地区控制,当用户被定位到不能交易的地区时,交易终止。同时也可以防止像手工定位注册进来的用户在高风险地区交易。

同时,机构为了利润,某些地区的商户会是某一类的,是属于异常情况,或者突然被监管机构要求控制某地区的交易量时,就经常用到这个交易地区控制。

2. 交易卡类型控制

目前银行卡分为磁条卡、IC卡和复合卡,复合卡现在也已经关闭了磁条只能当IC卡使用了,所以可以说是只有磁条卡和IC卡之分。磁条卡因为是用磁条卡来记录卡的相应的信息,容易被复制和伪盗,所以针对磁条卡需要特别的风控。

一是使用交易次数控制,针对大于多少钱的交易,同一张磁条卡同一天仅能够交易多少笔。

二是交易金额的控制,磁条卡的交易金额初始比较低,通过相应的认证好,即通过有效信息验证这张卡是真卡且基本确定是本人操作后,可以提高额度。

通过这两种方式来控制磁条卡的交易,降低磁条卡使用风险,机构也可以降低自身需要承担的风险。

3. 可配置的灰名单规则

手刷产品嘛,刷卡或者插卡过程中总会遇见各种失败,其中很多失败是从银联返回的,对于这一些失败的原因就需要设置相应的规则来控制。主要有密码错误类、限额类及其余高危应答码类。不同的返回码类别要设置不同的规则,像高危应答码类,这种需要特别重视,因为这能可能是挂失卡之类的,已经被用户挂失了,却还在交易,就有可能是被人捡到了想伪盗。限额类的话,因为发卡行对各种卡及各种交易的控制原因,这种情况可以稍微放宽些。而密码错误类,处于前面两种之间,所以可容许的失败次数会放宽到3-5次。

当然,各个机构也会有自己的平台适用灰名单情况,如异地消费啦、单卡仅允许在几个注册商户上消费啦。通过灰名单规则的控制,来禁止用户提现,使资金留在相应机构的账户上,直到风险排除之后,再进行相应的付款,或者被真正的持卡人追偿后,也可以进行返还。

因为灰名单涉及到用户的到账,所以需要实时监控,及时排查,不然的话,客服的电话很容易被打爆。

三、事后

事后这一块接触不过,就我所知的主要有:

  1. 调单
  2. 代理商追偿
  3. 商户补偿

调单即是调取相应的订单,以及商户的真实信息,以排查风险。所谓的代理商追偿是机构要代理商负责相应的风险事件的补偿,因为是由代理商发展的高危商户,也需要承担相应的风险。而商户补偿是由于发生了相应的风险事件,商户还未跑路,还可以找到的情况下,给出足够的证据,要求商户进行钱款归还。

近年来,发生过几次机构双倍清算到账资金给用户的情况(百度下就知道了),这种时候,很多用户是拒不归还多到账的钱的,就需要机构自己承担损失,当然机构也会冻结相应用户的账号,直到把钱归还了之后。所以在代付时,机构应该多加控制,防止代付出错。

上面就是我个人粗略的对手刷产品的用户风控进行的一个总结,可能有很多不全面、不清楚的地方,希望大家多交流指正。

 

本文由 @夜月沉星 原创发布于人人都是产品经理。未经许可,禁止转载。

题图来自 Pexels,基于 CC0 协议

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 写的很棒,不知道可否加一个微信或者qq

    来自湖北 回复
    1. 微信吧,ychzz123,有需要可以互相交流

      来自福建 回复
    2. 好的已申请

      来自湖北 回复
  2. 内容不错,能不能私下一起讨论交流一下

    来自福建 回复
    1. 😉 欢迎私下交流,微信名同用户名

      来自福建 回复
  3. 挺好,内容讲的挺实在,

    回复