相对于实体商品,虚拟供应链产品天生就具有更高的交易风险。我们耳熟能详的优惠券、虚拟币、充值卡、激活码、电子票等都属于虚拟供应链产品。本公众号在过去很长一段时间都在讨论实物产品的风控技术,今天我们谈谈虚拟供应链产品的风控。
其他
手快有,手慢无
1实物商品风控有时间优势
电商平台上的实物商品交易,永远绕不开空间转换。无论你购买什么商品,下单付款后一定还要经过仓库、物流和配送等环节,才能完整地走完购物流程。这为平台风控系统预留了足够的风险计算时间,在此期间风控系统可以随时发出指令终止流程,遏制损失。
以上红色区域内任何时间点,电商平台都有机会对异常订单发起拦截操作。但虚拟供应链体系下的订单并没有类似的时间空档,这对风控系统提出了巨大的挑战。
2虚拟供应链跨时空无物流环节
虚拟产品以在线交易和即时交付为基础,因此一旦完成付款,虚拟产品就应该立即交付给消费者,这中间几乎没有等待的时间。试想你在餐馆吃饭,结算时正要购买一张团购券。当你完成付款后,系统告诉你优惠码需要1小时候才能发送到你的手机,你是否能接受?虚拟供应链产品交付过程中的任何时间上的等待,都会导致用户体验的下降,更不要提2~3天的物流派送时间。
3虚拟商品可复制,一经发货覆水难收
类似于团购激活码、会员充值码、门票兑换码这类虚拟商品,一旦商城发货,消费者就可以立即明文获取,并且能够快速复制和传播。电商平台通常都不可能直接获取已发货电子商品的使用状态,因此也无法在发现交易风险后快速撤销订单,取消“发货”。举个例子,如果某电商平台X和迪士尼合作在线售卖迪士尼门票。如果下单人员就站在电子出票机前,前手下单后手就从自助机上取出门票。就在订单发生5分钟之后,电商平台X通过数据分析发现这笔订单存在欺诈交易风险,试图拦截交易。但因为此时电子码已经被兑换,取消订单已无意义……
当然在某些场景下,电商平台可以和线下供应商进行沟通和协调,取消或冻结某些电子券,但总体来看成本(时间、技术和商务)非常高,成功率难以保证,风险不可忽视。上述业务特性就决定了虚拟供应链安全不容忽视,那么典型的虚拟供应链风控场景包括那些呢?
4虚拟供应链安全典型风控场景
团队在过去一年里与黑灰产在虚拟供应链交易环节做过无数PK,以下是我们总结的典型风控场景,希望对您有帮助:
5虚拟供应链风控建设
由于众所周知的原因,我们不在这里就技术实现的细节做展开讨论,但虚拟供应链风控的基本思想和策略还是可以和大家分享的。我们已经知道虚拟供应链与实体商品的售卖有重大的区别,因此对虚拟供应链风控系统、策略也提出了大量的挑战。风控系统必须能够做到精准识别风险交易,快速给出判定结果,有效地控制误报率和漏报率。推荐的一些思路如下:
5.1 使用同步和异步两种风控策略
为了提高虚拟产品购买体验,加速购买流程,风控系统必须提供强大的同步服务调用能力。业务系统在调用风控后,必须在数十毫秒内得到明确的结果,如:是否允许下单,是否允许付款等。
针对单个交易,同步风控调用固然有效;但有些情况下异步风控仍然不可或缺。产品、业务方应该在尽其可能的情况下,提供风控系统异步决策的业务拦截机制,以应对那些通过跨时间段统计分析才能识别风险的欺诈交易场景。
5.2 建立特定标识的黑白名单
历史积累数据对风控决策有重要帮助作用。风控系统必须能够进行近实时、离线等数据计算,将计算结果写入某些中间集合。黑白名单是一个非常典型的技术手段。
如果某些用户ID、IP、设备号等已经被列入黑名单,则风控调用过程中完全不需要再走风险计算逻辑,直接根据黑白名单即可输出结果。该方式将大大缩短风控响应时间,在保障安全性的同时提升了用户的购物体验。
5.3 做好项目安全评审
项目安全评审不仅仅包括代码安全评审,还包活从项目发起时的需求评审。例如公司要在线上做一期免费领券看电影的活动,那么风控团队就要评估:这个项目的在线活动是怎么个玩法(活动规则),主要风险点在哪,攻击者会使用何种方式来获利,现有的风控系统能否支撑该场景下的风险控制,是否需要调整部分规则规则以规避潜在的风险等。
限于时间和篇幅还有很多问题我们没有充分展开讨论,下一篇继续!
在虚拟供应链安全这场对抗中,无论是黑灰产还是电商平台的风控团队,要想获胜就必须能做到以最快速度达到自身目的。
一句话:手快有,手慢无。
精彩原创文章投稿有惊喜!
VSRC欢迎精品原创类文章投稿,优秀文章一旦采纳发布,将有好礼相送(至少为500元唯品卡)(活动最终解释权归VSRC所有)
不知道,大家都喜欢阅读哪些类型的信息安全文章?
不知道,大家都希望我们更新关于哪些主题的干货?
现在起,只要您有任何想法或建议,欢迎直接回复本公众号留言!
精彩留言互动的热心用户,将有机会获得VSRC赠送的精美奖品一份!
同时,我们也会根据大家反馈的建议,选取热门话题,进行原创发布!
点击原文阅读 异常的异常哲学