從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？

本文作者：史中

2017-02-10 23:39

導(dǎo)語(yǔ)：治大國(guó)如烹小鮮，金融風(fēng)控如管幼稚園。為了讓你用正確的姿勢(shì)搶紅包，騰訊有多拼？

過(guò)年了，全國(guó)的童鞋們或者縮在被窩里，或者葛優(yōu)躺在沙發(fā)上，或者懶洋洋地走在路上。然而，這一切都是假象。

一旦手機(jī)中紅包閃現(xiàn)，所有人都能在一瞬間聚集起豹的速度、鷹的眼睛、熊的力量，手指以迅雷不及掩耳之勢(shì)直搗黃龍。幾億人為了哪怕幾分錢(qián)的微信紅包魂?duì)繅?mèng)縈，時(shí)而大喜過(guò)望，時(shí)而捶胸頓足，時(shí)而悲憤難平，時(shí)而以頭搶地。

在某一瞬間，我們儼然都成了一個(gè)巨大的“幼稚園”里的小朋友。

為了讓這些“情緒不穩(wěn)定”的小朋友好好享受紅包帶來(lái)的滿足，“幼稚園老師”——騰訊，可謂煞費(fèi)苦心。

因?yàn)椋傆幸恍皦男『ⅰ?，喜歡用“錯(cuò)誤的姿勢(shì)”玩紅包，有的還喜歡欺負(fù)其他小朋友。

揪出“壞小孩”，就是人們所說(shuō)的“風(fēng)控”。

為了搞清壞小孩是怎么被揪出來(lái)的，雷鋒網(wǎng)宅客頻道特地請(qǐng)教了來(lái)自騰訊大金融安全的項(xiàng)目管理負(fù)責(zé)人周治明、風(fēng)控策略專家吳鳴和風(fēng)控技術(shù)專家于詩(shī)永。

所謂“紅包是披上了溫情的轉(zhuǎn)賬，轉(zhuǎn)賬是褪去了華服的紅包?！睆娘L(fēng)控的視角來(lái)看，紅包、轉(zhuǎn)賬、在微信支付和QQ錢(qián)包上買(mǎi)騰訊理財(cái)通、信用卡還款、給手機(jī)充值等等都是支付行為，區(qū)別只有額度和風(fēng)險(xiǎn)的不同。首先，他們講解了一下什么是支付過(guò)程中的“錯(cuò)誤姿勢(shì)”。

一、哪些紅包/支付姿勢(shì)是不對(duì)的

1、用“別人”的錢(qián)支付

雖說(shuō)“能用別人的錢(qián)發(fā)紅包”是很多人的理想，但如果你真的這么做了，麻煩就大了。因?yàn)?，如果想用別人的錢(qián)發(fā)紅包，首先你要盜取別人的賬號(hào)或銀行卡信息（直接盜取賬號(hào)然后轉(zhuǎn)移其中的資產(chǎn)；或者盜取他人銀行卡信息，與其它微信號(hào)綁定后轉(zhuǎn)移資金）。

不用多說(shuō)，這是最典型的賬號(hào)欺詐，當(dāng)然是不正確的發(fā)紅包姿勢(shì)。

這里，請(qǐng)注意關(guān)鍵詞：“別人”，假如你的女朋友奪過(guò)你的手機(jī)反剪雙手逼迫你說(shuō)出密碼，然后拉過(guò)你的手指按在指紋識(shí)別處，那么跪在鍵盤(pán)上的你是無(wú)力回天的。

從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？

2、“豬油蒙心”式支付

你也許聽(tīng)說(shuō)過(guò)這樣一種“兼職”方法。那就是為某個(gè)電商刷單。對(duì)方承諾你先自己墊付一些錢(qián)購(gòu)買(mǎi)指定的商品，不久會(huì)返還你的貨款還有額外的“報(bào)酬”。

事情的結(jié)局是：你墊付了資金，騙子卻無(wú)影無(wú)蹤。只留你在原地悲嘆“城市套路深”。

其實(shí)，幾乎所有的詐騙都無(wú)外乎趨利、避害這兩種讓人“豬油蒙心”的騙術(shù)。仿冒打車(chē) App、電商或快遞公司的客服，告訴你要先交保證金再退款的騙術(shù)等等都屬于這個(gè)范疇。

值得注意的是，還有騙子會(huì)編造一串理由讓你把微信付款碼或上方的注冊(cè)碼（注意，是上面的那串?dāng)?shù)字！）發(fā)送給對(duì)方，然后進(jìn)行盜刷。

出于對(duì)“小朋友”的保護(hù)，這種遭受詐騙而發(fā)出的紅包和轉(zhuǎn)賬，顯然被認(rèn)定是不正確的支付姿勢(shì)。

3、“明知故犯”式支付

有詩(shī)云：“愛(ài)情不是你想買(mǎi)，想買(mǎi)就能買(mǎi)?！背藧?ài)情，還有很多東西是你不能買(mǎi)的。比如：黃、賭、毒。在“黃賭毒領(lǐng)域”，幾乎所有的支付行為都是“明知故犯”的，比如為色情 App 充會(huì)員、為賭博網(wǎng)站充值、買(mǎi)宋冬野的CD 等等。（好像混進(jìn)了奇怪的東西）

為了世界和平，這些支付姿勢(shì)當(dāng)然也不正確。

二、好小孩和壞小孩

正如我們之前的比喻，在幼稚園里面對(duì)無(wú)數(shù)個(gè)小朋友，老師怎么知道哪個(gè)是好孩子哪個(gè)是壞孩子呢？

從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？

首先，就是要掌握這些孩子的“數(shù)據(jù)”。

在支付場(chǎng)景中，這些“孩子”就對(duì)應(yīng)了一個(gè)個(gè)的賬號(hào)，圍繞賬號(hào)的風(fēng)控?cái)?shù)據(jù)主要包括“交易類的數(shù)據(jù)”“實(shí)名類數(shù)據(jù)”和“社交數(shù)據(jù)”。

也就是說(shuō)，可以作為安全考核的數(shù)據(jù)維度有：設(shè)備指紋、網(wǎng)絡(luò)環(huán)境、支付動(dòng)作（下單、確認(rèn)支付、輸入密碼、確認(rèn)交易）、轉(zhuǎn)賬的金額和時(shí)間、實(shí)名注冊(cè)人背景信息、關(guān)系網(wǎng)深度、賬號(hào)新舊程度等等。當(dāng)然，這些數(shù)據(jù)都是基于隱私保護(hù)的原則脫敏的。

其中很多交易數(shù)據(jù)都由埋設(shè)在程序中的“探針”獲取。我們把數(shù)據(jù)放好備用，先來(lái)看看已經(jīng)被發(fā)現(xiàn)的“壞小孩”究竟什么樣。

1、壞小孩什么樣？

雖然無(wú)法時(shí)刻看護(hù)園中的每一個(gè)孩子，。但是沒(méi)關(guān)系，微信、QQ 的客服可能會(huì)接到舉報(bào)和投訴（微信似乎是常用 App 里舉報(bào)入口最多的，沒(méi)有之一），涉及資金最常見(jiàn)的有以下幾種情況：

我的微信/QQ 號(hào)碼被盜了，錢(qián)被別人轉(zhuǎn)走了。
我受騙了，錢(qián)是通過(guò)微信 /QQ 付出去的。
我在微信/QQ 上看到了傳播的黃賭毒網(wǎng)站。

這不正對(duì)應(yīng)之前說(shuō)到的三種錯(cuò)誤的支付姿勢(shì)嗎？這些經(jīng)過(guò)人工確認(rèn)的惡意行為樣本，就成為了風(fēng)控系統(tǒng)最好的學(xué)習(xí)材料。

當(dāng)然，這些數(shù)據(jù)并不是全部，周治明告訴雷鋒網(wǎng)宅客頻道，

總體來(lái)說(shuō)，交易類和實(shí)名類數(shù)據(jù)來(lái)自微信/QQ 的內(nèi)部閉環(huán)，除此之外還有很多其他數(shù)據(jù)來(lái)源。例如騰訊的電腦/手機(jī)管家終端，也會(huì)搜集大量和支付相關(guān)的詐騙、黃賭毒網(wǎng)址樣本。管家有全球最大的惡意網(wǎng)址數(shù)據(jù)庫(kù)。對(duì)于社交類數(shù)據(jù)，會(huì)和合作伙伴之間進(jìn)行溝通交流。當(dāng)然，專家也會(huì)根據(jù)舉報(bào)的線索對(duì)犯罪團(tuán)伙身份進(jìn)行挖據(jù)，總體來(lái)說(shuō)樣本量非常大。

在周治明和其他專家心里，這些統(tǒng)稱為“情報(bào)”。

2、先揪出壞小孩

數(shù)據(jù)有了，樣本也有了。

接下來(lái)就到了見(jiàn)證奇跡的時(shí)刻。

于詩(shī)永告訴雷鋒網(wǎng)宅客頻道，通過(guò)對(duì) 2000 多個(gè)變量（來(lái)自不同維度的數(shù)據(jù)）進(jìn)行一整套機(jī)器學(xué)習(xí)的計(jì)算，就可以找到這些“壞樣本”的共同特征。

從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？

【來(lái)自不同維度的數(shù)據(jù)，經(jīng)過(guò)機(jī)器學(xué)習(xí)之后可以生成一些獨(dú)特的特征】

比如說(shuō)，用戶年齡可以作為一個(gè)判定條件，對(duì)于實(shí)名認(rèn)證用戶，如果認(rèn)證是一個(gè)50歲以上的老人，卻進(jìn)行大額支付來(lái)購(gòu)買(mǎi)大型網(wǎng)絡(luò)游戲道具。根據(jù)風(fēng)控模型，這個(gè)潛在的風(fēng)險(xiǎn)就很高。

再比如，一個(gè)微信賬戶在凌晨綁了卡，然后馬上給另一個(gè)微信號(hào)大額轉(zhuǎn)賬，另一個(gè)微信號(hào)又馬上提現(xiàn)。首先交易時(shí)間比較可疑。其次從兩個(gè)賬號(hào)的親密度模型來(lái)看，之前兩個(gè)號(hào)并沒(méi)有交集，這也很可疑。另外，其中有一個(gè)號(hào)的社交活躍度很低，這也有問(wèn)題。綜合來(lái)看這就是很典型的轉(zhuǎn)移資金的風(fēng)險(xiǎn)場(chǎng)景。

當(dāng)然，對(duì)于風(fēng)控系統(tǒng)來(lái)說(shuō)，判斷的規(guī)則比我們可以描述和理解的內(nèi)容更復(fù)雜。針對(duì)這一套數(shù)據(jù)計(jì)算方法，吳鳴有一個(gè)更生動(dòng)的比喻，

這和醫(yī)生看病比較相似。如果要找出病人得的是什么病。需要化驗(yàn)血、做B超、檢驗(yàn)各個(gè)器官等等，得到有關(guān)你身體的各項(xiàng)指標(biāo)數(shù)據(jù)。
在血液這個(gè)維度里面，可能還會(huì)有一些模型進(jìn)行分析，在各個(gè)器官的維度里，還會(huì)有各自的分析模型。這些維度經(jīng)過(guò)數(shù)據(jù)分析后，某些可能是異于常人的。
把這些異于常人的維度進(jìn)行綜合評(píng)估，才能得知你究竟患了什么病。

也就是說(shuō)，一個(gè)好的風(fēng)控系統(tǒng)，應(yīng)該像一個(gè)老醫(yī)生，通過(guò)觀察一個(gè)“賬戶”的各個(gè)指標(biāo)，在“大腦”里計(jì)算出這個(gè)賬戶究竟哪些方面不對(duì)勁。從而判斷它是盜卡賬戶，被盜賬戶還是騙子賬戶。

如果系統(tǒng)判斷出一個(gè)賬戶有可能是被盜號(hào)了，會(huì)自動(dòng)要求登陸者進(jìn)行人臉識(shí)別驗(yàn)證或者語(yǔ)音、短信驗(yàn)證。用專業(yè)術(shù)語(yǔ)叫做“二次驗(yàn)證”。（某些情況下，下行短信可能被黑客截獲轉(zhuǎn)移，則啟用上行短信，即讓用戶編輯一條信息發(fā)送到指定號(hào)碼；另一些情況下會(huì)給同一個(gè)實(shí)名注冊(cè)下的用戶仍然活躍的老賬號(hào)發(fā)送確認(rèn)信息）

如果系統(tǒng)判斷出用戶正在給騙子的賬戶付錢(qián)，則會(huì)直接切斷支付或者凍結(jié)騙子賬戶。這種情況下，即使被害人仍然執(zhí)迷不悟，也沒(méi)有辦法成功付款。與此同時(shí)，騙子的賬戶可能已經(jīng)被自動(dòng)封停。

3、剩下的是好小孩

當(dāng)然，畢竟熊孩子是少數(shù)，揪出壞孩子，剩下的就是好孩子。如果你一開(kāi)始就順利通過(guò)風(fēng)控系統(tǒng)的篩查，那么恭喜你，你是個(gè)“好小孩”，你可以發(fā)紅包了。

對(duì)搶紅包的你來(lái)說(shuō)，以上的所有驗(yàn)證過(guò)程，只發(fā)生在幾毫秒內(nèi)，就像你感受到的那樣。

三、如果有幾億“小朋友”同時(shí)出現(xiàn)呢？

1、除夕的紅包有什么不同？

對(duì)于騰訊大金融安全的童鞋來(lái)說(shuō)，以上這些只是他們的日常。真正有點(diǎn)麻煩的是：“除夕”。

雖說(shuō)騙子也要回家過(guò)年，但是為數(shù)不多堅(jiān)守崗位的騙子混雜在洪水一般不明真相的紅包群眾當(dāng)中，就變得異常危險(xiǎn)。

還是拿幼兒園來(lái)舉例：

對(duì)于金融風(fēng)控來(lái)說(shuō)，如果一個(gè)用戶不進(jìn)行支付活動(dòng)，就相當(dāng)于“睡著的小孩”，不用老師花精力“搞定”。

但在過(guò)年的時(shí)候，紅包像潮水一樣襲來(lái)。根據(jù)騰訊提供的數(shù)據(jù)：

雞年除夕，微信紅包用戶總共收發(fā)142億個(gè)，而包括微信和QQ兩大平臺(tái)上零點(diǎn)左右的支付峰值則達(dá)到了每秒20.8萬(wàn)筆。

在除夕前后，數(shù)億用戶無(wú)比兇猛地發(fā)紅包拆紅包。所有原來(lái)沉睡的“好孩子”“壞孩子”一起喧鬧起來(lái)。雖然其中絕大多數(shù)都是正常的“合法支付”。但如果這個(gè)時(shí)候風(fēng)控系統(tǒng)出現(xiàn)問(wèn)題，就好像巨大的鎮(zhèn)妖塔出現(xiàn)裂縫，妖魔鬼怪會(huì)悉數(shù)逃出，危害人間。此事事關(guān)重大。

用戶每發(fā)一個(gè)紅包，在支付過(guò)程中就產(chǎn)生發(fā)紅包、搶紅包、取紅包這三類交易數(shù)據(jù)。如果是群紅包，資金還會(huì)裂變成很多筆。而為了分析每一筆支付的合法性，風(fēng)控系統(tǒng)必須收集足夠的交易數(shù)據(jù)，所以從流量上來(lái)看，風(fēng)控系統(tǒng)的信息處理量比支付本身的流量更高，是幾倍的關(guān)系。

于詩(shī)永說(shuō)。

面對(duì)這個(gè)有點(diǎn)尷尬的局面，團(tuán)隊(duì)想出了兩個(gè)方法。

2、搞定數(shù)億“小朋友”的辦法

1）得過(guò)小紅花的小朋友先放行

為了防止除夕流量過(guò)大，需要在除夕之前，擼起袖子把能提前做的事情先做掉。

根據(jù)團(tuán)隊(duì)介紹，如果你的賬戶長(zhǎng)期都處在可信的環(huán)境中，活躍度比較高，這樣的用戶會(huì)被先放入到可信名單里面去。針對(duì)這些可信賬戶，在除夕時(shí)會(huì)簡(jiǎn)化判斷邏輯。例如原來(lái)需要通過(guò)一千道關(guān)卡篩查，現(xiàn)在可能只需要幾十道。

在幼兒園的例子中，這就相當(dāng)于得過(guò)小紅花的同學(xué)，在全校大活動(dòng)的時(shí)候，老師選擇“相信他們的人品”。不是不看他們，也不是總看他們，而是用余光看著他們（試試看，這個(gè)動(dòng)作還挺難的），把主要的精力用在對(duì)付“壞孩子”身上。

吳鳴說(shuō)：

我們是在春節(jié)前兩個(gè)月就提前準(zhǔn)備了可信的名單?？尚琶麊蔚臈l件，結(jié)合了他的設(shè)備、帳號(hào)等等不同的維度。符合不同的條件，他會(huì)得到相應(yīng)不同等級(jí)的支付額度。在這些額度內(nèi)，不需要執(zhí)行完整的風(fēng)控流程。

吳鳴透露，有“小紅花”的可信名單規(guī)模大概是千萬(wàn)級(jí)。希望正在讀文章的你也是這些“好孩子”的一員。

從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？

當(dāng)然，正如我黨在反腐時(shí)強(qiáng)調(diào)：絕不允許“燈下黑”。即使得過(guò)小紅花，也不被“老師”絕對(duì)信任，因?yàn)檫€有關(guān)鍵規(guī)則制約，一旦被偵測(cè)到有搞事情的嫌疑（例如突然發(fā)了超出正常水平很多倍的紅包），就會(huì)直接回到最嚴(yán)格的篩查流程中。

2）加派小組長(zhǎng)

從原理上來(lái)說(shuō)，每一筆交易發(fā)生時(shí)，風(fēng)控系統(tǒng)都要提取交易數(shù)據(jù)，和歷史數(shù)據(jù)進(jìn)行比對(duì)計(jì)算，然后選擇放行或阻斷。

問(wèn)題在于如果使用這種方法，每進(jìn)行一次交易，風(fēng)控系統(tǒng)都會(huì)把數(shù)據(jù)拉到云端，再整合多地多機(jī)房的數(shù)據(jù)才能得到結(jié)果。

于詩(shī)永說(shuō)：

如果跨城訪問(wèn)，有可能出現(xiàn)網(wǎng)絡(luò)延遲。所以今年我們對(duì)架構(gòu)做了“本地化”的處理，相當(dāng)于把可信用戶的數(shù)據(jù)都部署到本地的服務(wù)器。這樣每當(dāng)需要處理請(qǐng)求的時(shí)候，只需要就近到本地的服務(wù)器上拉取資料進(jìn)行計(jì)算就可以了。

在幼兒園的例子中，這就相當(dāng)于老師派了幾名小組長(zhǎng)，專門(mén)負(fù)責(zé)監(jiān)督小朋友，省去了老師的大量精力。一旦出現(xiàn)了要造反的“壞小孩”，小組長(zhǎng)立刻報(bào)告老師，由老師來(lái)收拾他。

從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？

當(dāng)然，“加派小組長(zhǎng)”說(shuō)來(lái)簡(jiǎn)單，實(shí)際上需要在全國(guó)重點(diǎn)城市不斷建設(shè)和完善數(shù)據(jù)中心的基礎(chǔ)設(shè)施。

小結(jié)

以上就是騰訊大金融安全所做的努力。其實(shí)，金融風(fēng)控的目標(biāo)很簡(jiǎn)單：1、速度，2、安全。但只有鉆研技術(shù)的童鞋才能體會(huì)，這簡(jiǎn)單的兩個(gè)詞，實(shí)際上是最難平衡的兩大重?fù)?dān)。

前幾年在峰值的時(shí)候，我們的系統(tǒng)會(huì)出現(xiàn)延時(shí)，導(dǎo)致有些策略沒(méi)能及時(shí)地生效，就會(huì)出現(xiàn)一些（負(fù)面）案例，去年也有朋友向我抱怨搶紅包速度慢，不過(guò)今年我沒(méi)有收到一個(gè)身邊朋友的“投訴”，包括速度慢、被盜、誤攔等等。

吳鳴不無(wú)驕傲地說(shuō)。

除夕之夜，煙火璀璨。

當(dāng)你和家人守在一起快樂(lè)地?fù)尲t包，笑得像一個(gè)純真的孩子的時(shí)候，別忘了還有一群幕后小伙伴在漫長(zhǎng)的技術(shù)之路上安靜地守望。

從每秒20萬(wàn)個(gè)紅包支付中揪出騙錢(qián)的“黑包”，騰訊怎么做到的？