从每秒20万个红包支付中揪出骗钱的“黑包”，腾讯怎么做到的？

过年了，全国的童鞋们或者缩在被窝里，或者葛优躺在沙发上，或者懒洋洋地走在路上。然而，这一切都是假象。

一旦手机中红包闪现，所有人都能在一瞬间聚集起豹的速度、鹰的眼睛、熊的力量，手指以迅雷不及掩耳之势直捣黄龙。几亿人为了哪怕几分钱的微信红包魂牵梦萦，时而大喜过望，时而捶胸顿足，时而悲愤难平，时而以头抢地。

在某一瞬间，我们俨然都成了一个巨大的“幼稚园”里的小朋友。

为了让这些“情绪不稳定”的小朋友好好享受红包带来的满足，“幼稚园老师”——腾讯，可谓煞费苦心。

因为，总有一些“坏小孩”，喜欢用“错误的姿势”玩红包，有的还喜欢欺负其他小朋友。

揪出“坏小孩”，就是人们所说的“风控”。

为了搞清坏小孩是怎么被揪出来的，宅客频道特地请教了来自腾讯大金融安全的项目管理负责人周治明、风控策略专家吴鸣和风控技术专家于诗永。

所谓“红包是披上了温情的转账，转账是褪去了华服的红包。”从风控的视角来看，红包、转账、在微信支付和QQ钱包上买腾讯理财通、信用卡还款、给手机充值等等都是支付行为，区别只有额度和风险的不同。首先，他们讲解了一下什么是支付过程中的“错误姿势”。

一、哪些红包/支付姿势是不对的

1、用“别人”的钱支付

虽说“能用别人的钱发红包”是很多人的理想，但如果你真的这么做了，麻烦就大了。因为，如果想用别人的钱发红包，首先你要盗取别人的账号或银行卡信息（直接盗取账号然后转移其中的资产；或者盗取他人银行卡信息，与其它微信号绑定后转移资金）。

不用多说，这是最典型的账号欺诈，当然是不正确的发红包姿势。

这里，请注意关键词：“别人”，假如你的女朋友夺过你的手机反剪双手逼迫你说出密码，然后拉过你的手指按在指纹识别处，那么跪在键盘上的你是无力回天的。

2、“猪油蒙心”式支付

你也许听说过这样一种“兼职”方法。那就是为某个电商刷单。对方承诺你先自己垫付一些钱购买指定的商品，不久会返还你的货款还有额外的“报酬”。

事情的结局是：你垫付了资金，骗子却无影无踪。只留你在原地悲叹“城市套路深”。

其实，几乎所有的诈骗都无外乎趋利、避害这两种让人“猪油蒙心”的骗术。仿冒打车App、电商或快递公司的客服，告诉你要先交保证金再退款的骗术等等都属于这个范畴。

值得注意的是，还有骗子会编造一串理由让你把微信付款码或上方的注册码（注意，是上面的那串数字！）发送给对方，然后进行盗刷。

出于对“小朋友”的保护，这种遭受诈骗而发出的红包和转账，显然被认定是不正确的支付姿势。

3、“明知故犯”式支付

有诗云：“爱情不是你想买，想买就能买。”除了爱情，还有很多东西是你不能买的。比如：黄、赌、毒。在“黄赌毒领域”，几乎所有的支付行为都是“明知故犯”的，比如为色情App 充会员、为赌博网站充值、 买宋冬野的CD 等等。（好像混进了奇怪的东西）

为了世界和平，这些支付姿势当然也不正确。

二、好小孩和坏小孩

正如我们之前的比喻，在幼稚园里面对无数个小朋友，老师怎么知道哪个是好孩子哪个是坏孩子呢？

首先，就是要掌握这些孩子的“数据”。

在支付场景中，这些“孩子”就对应了一个个的账号，围绕账号的风控数据主要包括“交易类的数据”“实名类数据”和“社交数据”。

也就是说，可以作为安全考核的数据维度有：设备指纹、网络环境、支付动作（下单、确认支付、输入密码、确认交易）、转账的金额和时间、实名注册人背景信息、关系网深度、账号新旧程度等等。当然，这些数据都是基于隐私保护的原则脱敏的。

其中很多交易数据都由埋设在程序中的“探针”获取。我们把数据放好备用，先来看看已经被发现的“坏小孩”究竟什么样。

1、坏小孩什么样？

虽然无法时刻看护园中的每一个孩子，。但是没关系，微信、QQ 的客服可能会接到举报和投诉（微信似乎是常用 App里举报入口最多的，没有之一），涉及资金最常见的有以下几种情况：

我的微信/QQ 号码被盗了，钱被别人转走了。

我受骗了，钱是通过微信 /QQ 付出去的。

我在微信/QQ 上看到了传播的黄赌毒网站。

这不正对应之前说到的三种错误的支付姿势吗？这些经过人工确认的恶意行为样本，就成为了风控系统最好的学习材料。

当然，这些数据并不是全部，周治明告诉宅客频道，

总体来说，交易类和实名类数据来自微信/QQ的内部闭环，除此之外还有很多其他数据来源。例如腾讯的电脑/手机管家终端，也会搜集大量和支付相关的诈骗、黄赌毒网址样本。管家有全球最大的恶意网址数据库。对于社交类数据，会和合作伙伴之间进行沟通交流。当然，专家也会根据举报的线索对犯罪团伙身份进行挖据，总体来说样本量非常大。

在周治明和其他专家心里，这些统称为“情报”。

2、先揪出坏小孩

数据有了，样本也有了。

接下来就到了见证奇迹的时刻。

于诗永告诉宅客频道，通过对 2000 多个变量（来自不同维度的数据）进行一整套机器学习的计算，就可以找到这些“坏样本”的共同特征。

【来自不同维度的数据，经过机器学习之后可以生成一些独特的特征】

比如说，用户年龄可以作为一个判定条件，对于实名认证用户，如果认证是一个50岁以上的老人，却进行大额支付来购买大型网络游戏道具。根据风控模型，这个潜在的风险就很高。

再比如，一个微信账户在凌晨绑了卡，然后马上给另一个微信号大额转账，另一个微信号又马上提现。首先交易时间比较可疑。其次从两个账号的亲密度模型来看，之前两个号并没有交集，这也很可疑。另外，其中有一个号的社交活跃度很低，这也有问题。综合来看这就是很典型的转移资金的风险场景。

当然，对于风控系统来说，判断的规则比我们可以描述和理解的内容更复杂。针对这一套数据计算方法，吴鸣有一个更生动的比喻，

这和医生看病比较相似。如果要找出病人得的是什么病。需要化验血、做B超、检验各个器官等等，得到有关你身体的各项指标数据。

在血液这个维度里面，可能还会有一些模型进行分析，在各个器官的维度里，还会有各自的分析模型。这些维度经过数据分析后，某些可能是异于常人的。

把这些异于常人的维度进行综合评估，才能得知你究竟患了什么病。

也就是说，一个好的风控系统，应该像一个老医生，通过观察一个“账户”的各个指标，在“大脑”里计算出这个账户究竟哪些方面不对劲。从而判断它是盗卡账户，被盗账户还是骗子账户。

如果系统判断出一个账户有可能是被盗号了，会自动要求登陆者进行人脸识别验证或者语音、短信验证。用专业术语叫做“二次验证”。（某些情况下，下行短信可能被黑客截获转移，则启用上行短信，即让用户编辑一条信息发送到指定号码；另一些情况下会给同一个实名注册下的用户仍然活跃的老账号发送确认信息）

如果系统判断出用户正在给骗子的账户付钱，则会直接切断支付或者冻结骗子账户。这种情况下，即使被害人仍然执迷不悟，也没有办法成功付款。与此同时，骗子的账户可能已经被自动封停。

3、剩下的是好小孩

当然，毕竟熊孩子是少数，揪出坏孩子，剩下的就是好孩子。如果你一开始就顺利通过风控系统的筛查，那么恭喜你，你是个“好小孩”，你可以发红包了。

对抢红包的你来说，以上的所有验证过程，只发生在几毫秒内，就像你感受到的那样。

三、如果有几亿“小朋友”同时出现呢？

1、除夕的红包有什么不同？

对于腾讯大金融安全的童鞋来说，以上这些只是他们的日常。真正有点麻烦的是：“除夕”。

虽说骗子也要回家过年，但是为数不多坚守岗位的骗子混杂在洪水一般不明真相的红包群众当中，就变得异常危险。

还是拿幼儿园来举例：

对于金融风控来说，如果一个用户不进行支付活动，就相当于“睡着的小孩”，不用老师花精力“搞定”。

但在过年的时候，红包像潮水一样袭来。根据腾讯提供的数据：

鸡年除夕，微信红包用户总共收发142亿个，而包括微信和QQ两大平台上零点左右的支付峰值则达到了每秒20.8万笔。

在除夕前后，数亿用户无比凶猛地发红包拆红包。所有原来沉睡的“好孩子”“坏孩子”一起喧闹起来。虽然其中绝大多数都是正常的“合法支付”。但如果这个时候风控系统出现问题，就好像巨大的镇妖塔出现裂缝，妖魔鬼怪会悉数逃出，危害人间。此事事关重大。

用户每发一个红包，在支付过程中就产生发红包、抢红包、取红包这三类交易数据。如果是群红包，资金还会裂变成很多笔。而为了分析每一笔支付的合法性，风控系统必须收集足够的交易数据，所以从流量上来看，风控系统的信息处理量比支付本身的流量更高，是几倍的关系。

于诗永说。

面对这个有点尴尬的局面，团队想出了两个方法。

2、搞定数亿“小朋友”的办法

1）得过小红花的小朋友先放行

为了防止除夕流量过大，需要在除夕之前，撸起袖子把能提前做的事情先做掉。

根据团队介绍，如果你的账户长期都处在可信的环境中，活跃度比较高，这样的用户会被先放入到可信名单里面去。针对这些可信账户，在除夕时会简化判断逻辑。例如原来需要通过一千道关卡筛查，现在可能只需要几十道。

在幼儿园的例子中，这就相当于得过小红花的同学，在全校大活动的时候，老师选择“相信他们的人品”。不是不看他们，也不是总看他们，而是用余光看着他们（试试看，这个动作还挺难的），把主要的精力用在对付“坏孩子”身上。

吴鸣说：

我们是在春节前两个月就提前准备了可信的名单。可信名单的条件，结合了他的设备、帐号等等不同的维度。符合不同的条件，他会得到相应不同等级的支付额度。在这些额度内，不需要执行完整的风控流程。

吴鸣透露，有“小红花”的可信名单规模大概是千万级。希望正在读文章的你也是这些“好孩子”的一员。

当然，正如我党在反腐时强调：绝不允许“灯下黑”。即使得过小红花，也不被“老师”绝对信任，因为还有关键规则制约，一旦被侦测到有搞事情的嫌疑（例如突然发了超出正常水平很多倍的红包），就会直接回到最严格的筛查流程中。

2）加派小组长

从原理上来说，每一笔交易发生时，风控系统都要提取交易数据，和历史数据进行比对计算，然后选择放行或阻断。

问题在于如果使用这种方法，每进行一次交易，风控系统都会把数据拉到云端，再整合多地多机房的数据才能得到结果。

于诗永说：

如果跨城访问，有可能出现网络延迟。所以今年我们对架构做了“本地化”的处理，相当于把可信用户的数据都部署到本地的服务器。这样每当需要处理请求的时候，只需要就近到本地的服务器上拉取资料进行计算就可以了。

在幼儿园的例子中，这就相当于老师派了几名小组长，专门负责监督小朋友，省去了老师的大量精力。一旦出现了要造反的“坏小孩”，小组长立刻报告老师，由老师来收拾他。

当然，“加派小组长”说来简单，实际上需要在全国重点城市不断建设和完善数据中心的基础设施。

小结

以上就是腾讯大金融安全所做的努力。其实，金融风控的目标很简单：1、速度，2、安全。但只有钻研技术的童鞋才能体会，这简单的两个词，实际上是最难平衡的两大重担。

前几年在峰值的时候，我们的系统会出现延时，导致有些策略没能及时地生效，就会出现一些（负面）案例，去年也有朋友向我抱怨抢红包速度慢，不过今年我没有收到一个身边朋友的“投诉”，包括速度慢、被盗、误拦等等。

吴鸣不无骄傲地说。

除夕之夜，烟火璀璨。

当你和家人守在一起快乐地抢红包，笑得像一个纯真的孩子的时候，别忘了还有一群幕后小伙伴在漫长的技术之路上安静地守望。

注：

相关文章：

微信春节收发红包460亿个，广东人民最土豪，你发了几个？

腾讯反诈骗大数据报告：第四季度全面下降，年末警惕“提额”与“网购”陷阱

2017 春节支付宝、QQ红包最全攻略，过年抢红包看这一篇就够了

QQ AR 天降红包今日开抢，这里有一份抢红包指南

QQ支付宝开启AR红包大战，Oculus 身陷侵权纠纷案 | 沉浸感周刊

微信上线面对面红包，增加红包新玩法

微信春节收发红包460亿个，广东人民最土豪，你发了几个？

前微信支付总经理：你抢的微信红包，其实是这么来的