风控审核不能提款 一文速览互联网业务风控：支付风控

首发于：昨日公园

伴随着互联网技术的飞速发展，互联网生态和业务日新月异。一方面，大量的优秀产品如雨后春笋般涌现，不仅为用户带来了前所未有的体验，也使得互联网焕发出新的生机。另一方面，围绕着这些优秀产品所蕴含的商业价值，慢慢的衍生出一张高度组织化，技术化的黑灰产网络。这张庞大的网络不仅严重影响了正常用户的使用体验，更给整个互联网生态造成大量的经济损失。

本系列文章将会介绍主要的互联网业务场景和对应的风控需求，希望能帮助读者更好的了解互联网业务风控是什么，有什么，做什么。本文是系列文章的第二篇，将会介绍第三方支付场景下的业务风控：支付风控。

01

你真的了解「支付」吗？

「支付」是一个既熟悉又陌生的名词。说熟悉是因为人们几乎每天都在和它打交道：当我们在便利店购物结账时，我们在「支付」；当公司给我们发工资时，公司在「支付」；当节假日长辈给晚辈发红包时，长辈也在「支付」。

但是「支付」同时也是陌生的，很少有人真的了解「支付」。

当你在商家收银台处扫码结账时，你的钱是怎么就转移到了商家的账户上呢？有人说，这还不简单，不就是把我账户上的数字减去一个数字，把商家账户上的数字相应的加上一个数字就行了？在某些场景下确实是这样，比如你用支付宝账户扫商家的支付宝收款码，并且你用的是支付宝账户里的余额进行付款，那么我们所看到的资金转移的背后，其实就是支付宝公司在系统内对两个账户上的数字做了简单的加减实现的（实际当然还有很多的技术细节，不过相较于本文要介绍的重点，此处简化理解到这个层次就足够了）。这是一种典型的账基支付，即通过账户的形式进行支付。还有另一种非常主流的支付方式，叫做卡基支付，即使用银行卡（比如信用卡）进行支付，例如线下刷POS机。

对于卡基支付，或者账基支付但是使用账户绑定的银行卡进行支付时，事情就没有这么简单了，毕竟即使是支付宝这样的支付巨头，也无权更改你银行卡上的数字。这类情形下的资金转移，就需要通过四方模式的支付体系来完成。所谓四方模式，指的是商家，卡组织/清算机构（国际卡组织如VISA，万事达等；国内清算机构如银联，网联），收单行（商业银行或者第三方支付机构如银联商务，拉卡拉，汇付天下，通联支付‍‍等），发卡行（商业银行）四者之间的信息流和资金流的交互。

02‍

四方模式‍‍

为了更好的理解支付链路上的各类风险是如何产生的，以及我们需要如何管理这些风险，我们有必要先来了解一下下图所展示的支付的四方模式。

示意图所展示的各个箭头可以分成以下三类流

以线下刷POS机为例：

1 持卡人在商家处刷信用卡发起支付 ->2 商家（通过POS机）将支付信息（如信用卡三要素：卡号、安全码、有效期等）传给收单行，收单行会根据其风控策略决定通过/拒绝/验证当前支付 -> 3（如果收单行通过了当前支付，且发卡行和收单行不是同一家银行）收单行接着将支付信息传给国际卡组织或者国内清算机构，同时卡组织和清算机构也会依据其风控策略决定通过/拒绝/验证当前支付 -> 4 （如果卡组织/清算机构通过了当前支付）卡组织/清算机构会继续将支付信息（除了商家处采集的信用卡信息外，还包括中间链路可能产生的信用卡验证结果信息，如3DS验证结果等）传给对应的发卡行，发卡行会检查信用卡信息、账户余额以及可能的验证结果，并根据自身的风控策略，最终决定通过/拒绝/验证当前支付 -> 5 （如果发卡行最终通过了当前支付）发卡行向持卡人提示支付成功，并通过卡组织/清算机构告知收单行扣款信息，信息也会显示在商家的POS机上，打印支付凭证‍‍‍‍‍‍‍‍

这一大串是支付的第一阶段：支付信息的流动即信息流（授权阶段），在信息流确认无误后，资金才开始真正的流动即资金流（请款阶段）。‍‍‍‍

5'发卡行确认支付成功后，从持卡人账户中划走相应金额存入备付金账户-> 4'发卡行接受到卡组织/清算机构的请款通知后，将备付金账户中的资金划拨给卡组织/清算机构-> 3'卡组织/清算机构将资金划拨给收单行 -> 2'收单行将资金划拨给商家

资金流一般不是实时的，而是分批次的，比如每天批次处理多笔请款。而且资金流中每个环节还会收取各种类型的服务费，比如发卡行会向收单行收取发卡服务费，收单行会向商家收取收单服务费，卡组织会向发卡行和收单行共同收取网络服务费，因此商家最终收到的金额会小于持卡人支付的金额。（p.s. 卡组织真的是躺着赚钱，从事支付行业的小伙伴们现在知道跳槽要去哪了吧

）‍‍‍‍‍‍‍

物流（1'）是最容易理解的一步，毕竟你付了钱，商家当然要把商品交付给你啦。‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

总结一下，在一笔完整的支付中，首先由持卡人发起支付请求，商家收到支付请求后将该请求传达给对应的收单行，收单行再将支付请求传达至卡组织/清算机构，最终对接上发卡行，发卡行检查持卡人的账户/卡信息后再将扣款通知依次返回给卡组织/清算机构、收单行、商家。实际的资金转移将会在分批次的请款处理中完成，资金从持卡人的银行账户沿着发卡行，卡组织/清算机构，收单行，在扣除各类服务费后到达商家账户中。

四方模式下支付链路复杂，每个环节会出现不同类型的支付风险，比如收单环节，因为主要对接的是各种类型的商户，收单机构面临的主要是商户侧风险；对于发卡行，因为对接的是广大消费者，因此会侧重消费侧的支付风控；而卡组织作为连接收单和发卡的桥梁，“视野开阔”，所面临的支付风险以及可以获取的风控情报也会更丰富。由此可见，支付风险的防控贯穿整个支付链路，如果有某一个环节认定当前支付属于高风险支付，就有可能将支付拦截下来，将链路切段。同时，处在不同环节的支付机构也会有不同侧重的风险管理，接下来我们就来详细了解各种类型的支付风险！

03‍‍

支付风险有哪些？

支付风险按照不同的视角可以有不同的分类方式。比如按照不同的场景可以分成：欺诈风险，拒付风险，合规风险。这种分类方式很好理解，基本上就是按照可能带来资损的原因进行分类：由于支付账号被盗用或卡被盗刷而发起的未经授权的交易，可能会需要支付机构承担损失；由于高拒付率导致的卡组织罚金，仲裁费以及名誉损失等也是支付机构，尤其是针对海外/国际支付市场的支付机构的重点关注对象；由于未符合市场监管部门的法律法规所面临的罚款，撤销经营资格等处罚，更是支付机构能否持续发展的基础。

如果按照不同的业务来分，又可以分成消费侧风险和商户侧风险。消费侧风险指的是买家或发钱方一端的风险（欺诈，拒付，合规等），商户侧风险指的是消费者的对手方，即支付机构对接的特约商户的风险，同样需要有针对欺诈，拒付，合规的管控。一方面，商家的支付账号，支付信息也有被盗用盗刷的可能，另一方面，本身带有欺诈性质的商户也绝非少见，还有很多不负责任或是经营不善的商家延迟或者拒不发货，或者发货和描述不相符，商品质量不合格等问题引发消费者发起拒付申诉，也是拒付风险的一部分。最重要的，支付机构所对接的商户的经营模式也需要接受法律法规的监管。‍‍

许多支付风控部门的架构也能反应出这两种分类方式，比如消费侧风控部门下面可以细分出欺诈风控组，拒付风控组和合规风控组，负责消费用户侧的各类支付风控管理（实际上拒付和欺诈会有重叠，很多拒付也是因为盗卡盗刷导致的，因此一般欺诈风控组只负责盗号欺诈的部分，而盗卡欺诈以及非欺诈型拒付，由于都涉及到卡基支付，模式类似，都要和发卡行以及卡组织打交道，因此会被共同分到拒付风控组）；同样商户侧风控部门也有相似的细分，对接特约商户/渠道商户，管理商户侧风险。

下面我们来具体看看上述提及的三大支付风险：

欺诈风险

欺诈（fraud），狭义上来说是指盗号/盗卡导致的未经授权的支付（消费侧），以及恶意商户通过冒充/诱骗等手段导致的无辜用户下单，并且后续不发货或发假货等（商户侧）；广义来说包含所有的带有恶意的支付请求，比如黄牛抢票（支付发起方带有恶意），薅羊毛/信用卡套现（支付发起方带有恶意，同时支付接收方也有可能带有恶意），批量刷单（支付发起方和支付接收方都带有恶意）等。在支付风控的范畴里，主要处理的还是狭义的欺诈。广义的欺诈一般属于电商风控的对象。

消费侧来看，用户的支付账户（如微信，支付宝）有可能被黑灰产盗用（盗号），进而产生未经用户授权的交易，这属于账号风控的一部分，更多细节可以参考前文——。

同时用户的银行卡信息也有可能泄露，从而发生盗刷。黑灰产可以直接用窃取的信用卡信息在商家网站处发起在线支付（在海外市场非常常见，一般只需要提供卡号，有效期，安全码即可发起一笔信用卡支付），也可以将盗取的银行卡绑定到某个支付账号上（微信/支付宝/），通过支付账号发起支付，甚至还可以利用窃取的信用卡数字信息伪造实体信用卡，在线下通过POS机进行支付。还有一些其他的模式，比如黑灰产团伙会先用窃取的信用卡信息发起若干笔小额支付以测试卡信息的有效性，然后再转卖经测试有效的信用卡来获利。或者黑灰产团伙会在发起支付后，以输错金额或选错卡为由要求商家退款，但要求商家退款到指定银行卡（比如黑灰产自身拥有的卡）来套现。

商户侧来看，商家的支付账户也有被盗用的可能，比如黑灰产盗用商家的支付账户，将余额中的资金转移到黑灰产持有的账户中，或者向平台申请信贷产品进行套现；商家本身也有可能自带欺诈性质，有些商家利用支付平台提供的支付功能，售卖假冒伪劣产品，或者诱骗消费者下单但是拒不发货，有的商家甚至会提供虚假的运单信息来规避支付机构的追踪和审查。

拒付风险

拒付（）是卡基支付所特有的，它是指卡基支付发生后（可以是持卡人自己发起的支付，也可以是黑灰产盗刷），持卡人联系发卡行提出支付申诉/争议，认为自己的权益受到侵犯，要求取消该笔支付并退款的行为。

持卡人发起拒付申诉的原因有很多，比如持卡人发现信用卡被盗刷，或者持卡人对商家的服务不满意，比如发货迟、不发货、货物破损、货不对板等，都可以直接联系发卡行要求拒付。有时持卡人甚至会发起恶意拒付，即持卡人无正当理由地向发卡行提出拒付申诉，可能是持卡人对商家服务不满意（即使是商家按期交付了符合标准的货物）而采取的报复行为，也可能出于主观欺诈（薅羊毛），比如持卡人谎称收到的货物质量有问题或支付非本人发起而拒绝付款，这类拒付常发生于高客单价且易变现商品中。也有可能只是持卡人忘记自己发起过某笔支付，或者支付是由持卡人的家人发起的而持卡人尚不知情。最过分的还有黑灰产团伙先通过盗刷下单，等商家发货后再伪装成持卡人声称信用卡被盗用要求商家退款。

拒付是海外支付市场非常常见的一种情形。一方面，由于消费习惯的不同，海外市场中卡基支付依旧占据主导地位，消费者仍然习惯用银行卡（尤其是信用卡）进行支付。另一方面，部分国家和地区，例如拉美地区，数据泄露频繁，盗窃抢劫多发，金融风控薄弱，再加之国际卡支付所需的验证信息少，因此盗卡拒付屡见不鲜，对商家和支付机构都产生了严重的影响。

合规风险

合规风险主要是指由于违反国家规定，行业规范，监管规章等带来的风险。比如数据安全建设不到位导致用户隐私泄露，涉嫌洗钱或恐怖融资，对接商户的经营内容涉黄涉赌涉毒等。还有在特定国家或地区的合规要求，比如在英国和欧洲，只要是用户发起的满足一定金额条件的在线支付，都需要通过强客户身份认证（SCA, ），即用户必须从以下三种验证方式中至少选择两种来验证身份：

合规风险对支付机构和社会的危害性相比于欺诈风险，拒付风险更大。支付作为一个持牌经营的行业，满足监管的要求是持续经营的根基，一旦产生合规问题，先不说面临的处罚动辄千万，更有可能被吊销支付牌照，失去行业资格。

04‍‍

支付风控怎么做？

对于欺诈风险，如果是盗号，不管是消费侧还是商户侧，本质都是需要判断账号所有权和使用权是否一致。消费侧的盗号比较容易识别，除了前文中介绍的基础部分，比如将账号当前的登录行为，使用习惯和历史进行对比，判断是否有异常；还可以借助支付这个场景所衍生出的支付行为来对比，比如历史记录来看，该账号只在白天有支付行为，且大多数是小额支付，但是当前支付发生在半夜，而且是多笔大额支付，同时账号的登录IP发生改变，登录设备从变成安卓机，那基本上可以断定发生了盗号。此时就需要切段支付链并及时冻结账号，并通知用户当前账号异常。当然大多数时候是否盗号的界限没有这么清晰，所以考虑到用户体验，可以向用户发送验证码验证用户身份，而不是直接拒绝当前支付。

相比于消费侧盗号，商户侧的盗号就比较难以识别了，一方面，在一笔支付中，支付接收方是不在场的（指支付接收方不需要登录支付账号就可以接收支付），因此无法获取当前支付中有关接收方的任何信息，例如设备IP，浏览器参数，手机型号等在识别消费侧盗号中非常有用的数据，在识别商户侧盗号上就变得有心无力了；另一方面，尤其是国际商家，他们通常会在多个不同国家设立分公司，并且支付账号可能会被地处不同国家的公司员工所使用，天然的就有“异地登陆”等风险特征，增大了识别商户侧盗号的难度。不过，我们还是可以借助历史登录信息，商户账号行为进行辅助判断。即使是国际商户天然的异地登录特征，我们依然能分析异常的异地登陆，比如某商户只在美国，英国，中国等大城市设有分部，但是某天突然出现非洲某个小国家的IP登录，这会是一个风险信号；比如某商户最近频繁提款（将账户余额提现到银行卡），或者频繁给某些新建的，有地域特征的账号转账，这也是一个风险信号。因为当商户被盗号后，黑灰产获利的方式通常是将商户收到的钱转移出支付机构到自己拥有的银行卡中，因此提款频率和金额若出现异常，则需要风控关注。有的时候黑灰产也会新注册支付账号，再将被盗商户账户里的余额转移到新注册的账号里，再提现，这是因为商家账户的提款操作通常受到支付机构的严格管控，因此频繁的大额提款很容易触发支付机构的风控规则。但是如果先转移到其他账号再转移出支付机构，触发风控规则的概率就会小的多，因为很多商家本身就会有比较频繁的转账需求，比如和供应商的对接。‍‍‍‍‍‍‍‍‍‍‍‍‍‍

如果是盗卡类欺诈，那又有不同的处理方式，虽然盗卡听起来和盗号很相似，但其实是非常不同的欺诈模式。盗号是指你的支付账号被盗用，比如微信账号或支付宝账号被黑灰产盗用，给不相关的人转账，或者在某些商家处下单，属于账号风险的范畴，可以由支付机构向账号使用者发送验证码来验证是否本人使用。而盗卡是指银行卡被盗，它可以没有支付账号的参与，比如黑灰产直接使用窃取的信用卡信息在商家网站发起支付，也可以有支付账号的参与，比如黑灰产将窃取的信用卡绑定到某个支付账号上（可以是黑灰产自己持有的账号，也可以是黑灰产盗取的账号），再通过该支付账号发起信用卡支付，此时支付机构再向账号使用者发送验证码就失去了验证的意义，如果是黑灰产自己持有的账号，那总是能够成功验证身份。

如果有支付账号的参与，那么对应的支付机构可以依照前述分析账号是否有异常，如果认为有盗号发生（不管是不是盗卡）就可以切段当前支付并冻结账号；如果账号正常，那么可以进一步分析绑卡行为，比如当前支付所使用的信用卡，是在发起当前支付时绑定的，还是很久之前绑定到账号上的？如果是很久之前就绑定到账号上的信用卡，并且过去有过成功的无拒付申诉的大额交易，那么可以认为当前信用卡的使用属于正常支付。进一步，如果是新绑定的信用卡，可以对比该卡和该账户上已有的其他信用卡，以及该卡和同时段其他账户新添加的信用卡。这是因为盗卡经常会有卡Bin或者发卡行的聚集性，并且有些卡的类型也会天然的风险更高，比如预付卡，礼品卡等。

如果没有支付账号的参与，比如黑灰产直接使用窃取的信用卡信息在商家网站发起支付，那么可以分析发起支付的设备信息如设备IP，是否同一IP使用多张不同的信用卡发起交易，或者同一IP短时间内重复下单购买某一商品，也可以分析卡信息，比如是否多张不同的信用卡发起的交易使用的是同一收货地址，或者短时间内出现大量来自同一卡Bin的不同信用卡下单等。

最后，如果怀疑有盗卡风险，可以向用户发起3DS验证来确认信用卡是否属于当前使用者。

说完了消费侧的盗号，盗卡，再来说一说欺诈型商户的识别和管控。欺诈型商户是指本身就带有欺诈性质的商家，他们通常会自行搭建钓鱼网站诱导用户下单。这类欺诈型商户的账龄（账户使用年限）一般不会很久，毕竟时间足够长的话，将会有大量受骗的消费者发起申诉赔付，足以引起支付机构的注意（当然，也不能排除正常经营的商户被盗号，导致欺诈消费者，或者正常经营的商户因为经营不善，走上欺诈消费者的歧途）。

欺诈型商户在准入阶段，通常会提供虚假资质文件，比如伪造的营业许可证，PS的线下商铺图片等，有时通过和同一时间段内申请入网的商户对比，甚至能发现他们提供的商户名称及其相似，线下图片也是出自同一个PS模版，商铺地址可能分散在不同的城市但是都在同名的街道上。当欺诈型商户通过准入审核后，一般不会立刻开始欺诈消费者，通常早期阶段，欺诈型商户的销售客单价很低，在真正开始欺诈时，会明显的观测到销售客单价暴增，并且客单价出现单笔整额或贴近整额的特征，这些都是风险信号。

商户提供的线上网址也是很重要的线索，可以通过网址的结构，文本，图像来分析商户是否有欺诈嫌疑。有些道行不深的欺诈商户，在提供的网址中会出现违法违规内容，或是出现明显的虚假宣传，伪造冒充等；有些同类型的欺诈商户，如销售投资理财类产品的商户还会出现类似的网页结构，这是因为黑灰产的网站源码通常是由同一技术上游提供，下游人员只是简单修改文案，配图等，而保留了相似的页面布局。

商户和消费侧的交易关系也是值得深挖的一部分，有些信用卡套现类商家，电商刷单类商家经常需要和消费侧互相配合才能达到目的。这种情况下我们就可以分析商户和消费侧的交易模式，比如商户和消费侧是否有同样的设备IP登录，是否出现类似的账号信息如注册邮箱都是大写字母+4位数字为前缀，邮箱域名也相同等。‍‍‍‍‍‍

最后，针对商户侧欺诈的处置，如果是特别确定的情况，可以直接封禁账号；如果是灰色地带，一般还是会允许商家继续接受消费侧打款，但是可以给商户账号限额，比如一笔¥100元的支付金额，商户可以实时接收到¥10元，剩下的¥90元需要等待30天后才可入账；或者商户在提款时，限制提款频率和提款金额等，同时可以要求商户提供额外的资质信息。‍‍‍‍‍‍‍‍‍‍‍‍

说完了欺诈风险，再来谈谈拒付风险和合规风险。

拒付风险中涉及欺诈的部分其实和前面类似，只不过涉及到卡基支付，需要经常和卡组织打交道，稍不留意可能就会违反卡组规定遭到处罚。尤其在面对用户恶意拒付时，一方面，商家需要积极收集证据，证明所售卖商品符合描述，发货及时，向发卡行进行申诉。另一方面，对于有过恶意拒付记录的消费者，需要设立黑名单机制，包括但不限于设备IP，信用卡发卡行/卡Bin/卡号等以防再次恶意拒付。

合规风险的重点在于熟悉并遵守支付机构所在国家的法律法规，尤其是在获客阶段，做好尽职调查（KYC, KYB）验证客户身份的真实性和合法性。同时加强监控，及时全面的识别和报告可疑交易活动，包括但不限于异常资金流动，频繁大额转账，尤其是具有“集中转入，分散转出”或者“分散转入，集中转出“的支付行为。还有数据保护和隐私合规方面，也要加强安全建设，确保客户敏感信息如银行卡号、身份证号的收集，存储和传输都满足相关法律法规。