3.2.2 支付风控
支付行业从最初的传统线下支付到现在的线上支付发生了翻天覆地的变化,不管是传统线下支付巨头银联,还是新兴的线上支付巨头支付宝、财付通等,都面临支付风险。支付业务的快速发展催生支付风险不断滋生、演变,支付风控形势越来越严峻,从最初传统线下支付风险的防控到现在线下、线上支付风险的双重防控,支付风控的核心和目标也在不断迭代。
支付风险主要分为传统支付风险、新兴支付风险两类,如图3-5所示。
图3-5 支付风险类型
传统支付的信用卡盗刷风险实施方式主要分为诈骗类盗刷、工具类盗刷两类。诈骗类盗刷主要是利用电话、短信通过提额、奖励等活动诱惑、欺骗持卡人说出卡号、验证码、密码,以此盗刷持卡人现金。工具类盗刷主要是利用磁条复制器在持卡人用卡时窃取、复制信用卡磁条信息,然后利用盗取的信息伪造信用卡实施盗刷,目前通过将磁条卡升级为芯片卡可以有效防止此类盗刷风险。
新兴支付的账户盗用风险是指用户在支付平台的账号被盗用并且资金被盗刷;恶意支付交易风险是指交易中的恶意行为导致支付资源占用、浪费,如机器批量抢购、支付;资金池挪用风险是指互联网业务支付交易中的在途资金、保证资金脱离监管被私自挪用;联合套现、欺诈风险类似传统的信用卡套现风险,只是套现的范围不仅包含信用卡,还包含花呗、白条等互联网金融产品;合规风险是指违反相关支付的法律法规造成资金处罚、声誉损失;操作风险是指支付平台或者支付终端因为人员违规操作、操作失误等导致损失;洗钱风险是指违法犯罪人员利用支付平台的业务漏洞、风控漏洞洗钱,使得支付平台沦落为洗钱工具。
支付行业风险类型繁多,其中账户盗刷是支付业务中最常见的风险,也是较为严重的风险,给支付风控带来了前所未有的严峻挑战。下面将重点介绍账户盗刷风险、账户盗刷风控。
1.账户盗刷风险
账户盗刷(俗称“盗号”)不仅存在于支付业务中,而且存在于其他很多互联网业务中,如电商、互金、在线旅游(OTA)、娱乐等。由于互联网的高速发展,盗号黑色产业链愈发成熟,账户盗刷的风险问题也日益严峻。账户盗刷从最开始的木马病毒盗号,到后来的Web端跨站脚本攻击(XSS)或者跨站请求伪造(XSRF)等漏洞盗号,再到后来利用社会工程学研究人性的弱点通过钓鱼网站或者弱密码破解盗号,最后到现在的撞库盗号,盗号黑产业链发展越来越完善、成熟。相对的盗号风险控制技术也在不断迭代,从最开始的木马病毒扫描软件,到漏洞修复软件,再到后来钓鱼网站扫描以及验证码等技术的诞生,盗号风控一直在和盗号黑产对抗。
撞库盗号是当前较为严峻的账户盗刷风险,主要因为互联网在电商、娱乐、社交、出行、金融等行业普及以及手机作为主要的身份认证ID导致个人拥有的平台账号数量变多,同时普遍存在重复使用相同账号、密码的趋势(个人能够记住的账号、密码数量有限),因此由于数据库等安全问题泄露的数据信息被黑产人员利用,作为账户盗刷的首要资产。
现在的账户盗刷黑色产业链核心分为拖库、洗库、撞库三部分,图3-6展示了账号盗刷存在批量、大量、高效等特征。
图3-6 账号盗刷产业链
拖库是指黑产人员通过欺诈方式、技术方式盗取个人信息,是账户盗刷的第一步。盗取信息主要有账号、密钥、身份证、手机号等个人信息,盗取手段包括欺诈、技术两类。
·欺诈手段
·利用人性的弱点,设置欺诈陷阱,如钓鱼网站、钓鱼邮箱、短信和语音通信欺骗等方式,骗取个人信息;
·利用人性的弱点,通过高额利润骗取个人信息。
·技术手段
·利用木马病毒、系统漏洞、三方插件漏洞等攻击平台系统、平台数据库获取个人信息;
·利用用户使用行为中弱密码、密码关联性等特征组建高概率密码破译个人信息。
黑产人员拖库完成后获得许多个人信息资料,但是因为个人信息资料维度各有不同且有明文、密文之分,同时每个黑灰产业务关注的资料信息侧重点不同,因此黑产人员还需要对拖库获取的个人信息数据进行分析,即洗库。
洗库是指黑产人员获取大量个人信息数据后,通过技术手段将个人信息数据清洗分类并通过黑灰产业链将清洗后的用户数据变现,是账户盗刷的第二步。洗库主要完成数据的清洗、分类以及密文数据的破译工作,目前数据主要包含金融类账户、社交论坛类账户、游戏类账户、影音娱乐类账户、电子旅游类账户、教育类账户、新闻广告类账户等。密文数据主要通过字典表、彩虹表、暴力破解技术实现破译,洗库会生成黑灰产业链中的准生产资料。
账户盗刷第三步就是撞库。撞库是指黑产人员利用清洗分类好的个人信息数据,主要是账号、密钥数据,对其他网站或者平台实施批量登录,通过已知平台账号去尝试破译其他未知平台的账户,进而获取更多的平台账号信息以及个人信息。成功破译账户后进一步实施其他的欺诈获取利益,如盗取支付平台账户,将其中的金融账户资金转出至黑产人员银行账户,或者通过电商、线下消费等渠道直接使用盗取的支付账户进行消费盗刷。
撞库获得的个人信息资料还会回流到账户盗刷产业链的洗库环节,获取的大量个人信息再次被清洗、处理、分析,拆分成各种黑产准生产资料进行售卖,如暗网中贩卖的姓名、身份证、手机、地址等个人数据。
黑产人员在实施账户盗刷时还会组建社工库(社工库指黑客与大数据方式相结合的一种产物,黑客们将泄漏的用户数据整合分析,然后集中归档的一个地方),在拖库、洗库、撞库的操作中都会与社工库有着密切的数据交互。社工库在黑产的支持下变得越来越大。
2.账户盗刷风控
账户盗刷风险虽然背后已经有一套成熟的黑色产业链支撑,但是账户盗刷的风险还是可以防范和控制的。账户盗刷风控主要瞄准拖库、撞库两个环节进行重点防控,防控方向分软件安全、产品和业务安全、数据安全三方面。
软件安全主要是应对拖库风险,通过对应用软件系统风险漏洞自检来修复应用的软件漏洞,堵住黑产人员的技术攻击,同时远离有风险漏洞的三方组件,避免编码时就为黑产人员留下有机可乘的风险漏洞。
产品和业务安全是指在业务、产品设计的时候就需要考虑对抗洗库、撞库风险。
·登录产品的设计应杜绝快速验证反馈(账号输入后提示是否已经注册或者提示是否正确),防止黑产人员在撞库时通过该功能判别账号是否是平台账号或者判断账号密码是否错误;
·增强密码创建规则,如限制密码必须大于8位数且包含英文字母,通过增加用户创建密码的复杂度,增加黑产人员破译的难度;
·登录产品增加图形、声音等验证码或者手机实名短信验证码等,提高黑产人员批量撞库的操作难度和成本;
·登录产品增加密码错误输入时间或者输入次数限制规则,利用账户、密码试错的原理,有效控制批量撞库的实施;
·登录产品设置IP、设备可信ID的检验规则,有效识别、拦截黑产撞库风险;
·登录产品接口安全统一管控,避免集团业务附属的登录产品遗漏风险检验、被黑产攻破。
数据安全是指数据库的存储安全和数据库的访问安全,如对数据库存储的密码数据进行MD5加密,但是若只是简单利用MD5加密则还是会被常用密码索引表即彩虹表所破解,因此核心机密数据的加密常采用“用户密码+随机密码(系统随机生成)”组合MD5加密,这样就增加了破解的难度。另外对于数据库中身份证号、电话、地址等其他敏感的个人信息数据也可以进行加密存储,及时处理数据库数据泄露也能够尽可能地减少损失。数据库访问安全可以通过设置Ukey、密钥等进行数据库权限控制,也可以使用专业的运维防护工具如安全网关、堡垒机等控制。
账户盗刷风险只是支付风险的其中一类,支付平台还面临诸多风险,且因为支付平台能够获取的数据有限,所以支付平台的风控任务艰巨。支付风控通常设置在支付交易的最前端,当且仅当每笔交易通过支付风控后支付交易才会进行交易的处理。支付风控依赖的数据包含客户数据、交易数据、历史数据三部分:
·客户数据主要指交易平台的用户信息、设备信息,包括身份ID、姓名、手机号、设备类型、设备编号、定位等信息;
·交易数据主要指交易的订单信息,包括交易类型、交易时间、交易金额、平台账号、支付账号等信息;
·历史数据主要指支付平台的历史信息,包括历史的交易信息、用户信息等。
支付平台基于业务规则以及核心数据建立的支付风控分为业务规则风控、支付模型风控两类。业务规则风控是支付平台设计交易流程时,为应对洞察到的支付交易中可能发生的风险因子以及业务漏洞而制定的业务风控规则。如支付时需要输入支付密码,支付金额较大时需要进行业务验证(常用验证有手机实名验证、姓名验证、开户行验证等),新绑定银行卡时需要进行身份验证(支付账号实名身份需同银行卡实名身份相同)等。支付模型风控是支付平台利用支付交易获取的客户数据、交易数据、历史数据进行风控建模,创建能够识别出风险交易的风控模型。