账户风险
支付系统最常见的,也是在黑产圈中最为成熟的,那就得算账户的风险,即俗话说的“盗号”。近几年来,各大型互联网网站的账户泄露事故层出不穷,携程,京东,CSDN等都中过招,每一次都能引起轩然大波。而在黑产圈,账号窃取都形成了一套完整成熟的产业链。
黑产圈中账户攻击的主要流程:
第一步: 拖库
- 利用操作系统和系统组件漏洞
- 利用网站所使用的第三方组件漏洞
- SQL注入攻击
第二步: 洗库
在攻入服务器,获取到资料,特别是数据库的信息后, 需要对信息进行分析。 不是所有的信息都可以直接使用,部分信息,如密码,身份证等,一般都会加密存储。 通过暴力、字典或者彩虹表的方式来破解,获取到破解后的信息,就拿到用户名,密码等资料。
第三步: 撞库
就开始进攻真正的目标网站了。 把拿到的账户信息去尝试登陆大型网站。因为大部分用户,习惯于在多个网站使用同一套账户和密码。如果登录成功,则可以进一步窃取更多的用户信息
交易风险
支付的交易风险主要是交易过程中的各种恶意行为,而这些行为在电商系统中表现特别突出,包括 自动刷单、人工批量下单以及异常大额订单等场景。
以电商为例,一般刷单行为有如下特征:
小号刷单。谁也不会用自己的注册账号来刷单,这样被封的代价就太大了。 小号的来源,可能是商家自己组织注册的,但大部分还是从专业刷单机构手中获取的。
使用虚拟机。大部分网站都会为访问设备植入识别码。通过虚拟机,可以在一个物理机上模拟多台机器访问,随用随建。一般使用VMWare来建立虚拟机。而对手机设备,则会采用手机模拟器。
使用VPN。 这样可以伪装使用全国任何一个地区的IP,甚至可以使用国外的VPN。
使用手机IP:移动和联通的IP出口少,所以大部分手机端的出口IP并不多。 这些IP是电商的白名单,把某个IP封了,那会有大量的手机无法正常访问。 所以刷单人员会选择使用这些IP。
刷虚拟物品:虚拟物品不涉及到物流环节,交易流程简单,很容易就可以把量刷上去。
低价刷单:为了降低成本,往往会将单品价格调低,或者成交金额调低来支持刷单。
交易商品少:刷单时,仅选择少量几个商品进行。
互刷: 一些商家会勾结起来,相互刷单。
这些是从刷单行为的角度来分析的结果。看来简单,可对支付系统来说,如何交易记录中识别出小号、互刷、低价等这些特征,都需要使用大量的数据进行分析才能搞定。
资金风险
套现风险
我国法律明确禁止使用信用卡套现,使用信用卡套现是违法的。但是在线支付系统中,使用信用卡进行套现,几乎是不需要成本的。 信用卡套现的手段也很多,一般是通过客户和商家的勾结来完成,比如:
虚假购买,客户通过信用卡购买某商品后,商品并未实际发货,商家将购买的款项打回给客户,完成套现。
退货套现:或者通过信用卡来购买商品,然后退货,将退款返回到借记卡或者其他可提现的渠道,也能完成套现。
自买自卖:商家通过信用卡购买自己的商品,将货款打入到借记卡中,完成套现。
上述的套现手段,很难识别。套现很难完全杜绝,除了要求退款资金必须原路返回外,还可以通过数据分析手段来减少发生的频率。
操作风险
按照巴塞尔委员会《操作风险管理》的定义, 操作风险主要是指那些由于用户支付终端操作失误、工作人员违规操作、内控机制失灵等人员操作上的原因引致损失的风险,或者说是外部风险、员工风险和流程风险。
流程风险指由公司的规章制度管理、业务流程不完善而引发的风险。对一些支付公司而言,作为新兴的经济形式,不像银行那样有一套成熟、规范的流程以及完善的培训机制,这就容易触发流程风险。在以“快”为特征的互联网公司,功能创新非常重要,但往往也容易忽视了风险管理相关配套制度的建设和落实,从而为线上运行的新功能带来隐患。当新的支付方式上线后,配套的清结算、记账、对账等功能,未必能够及时地跟上,更不用说相关的内控制度建设、岗位人员配备的工作。
员工风险指的是支付机构的员工不遵守职业道德,违法违规或违章操作,单独或参与骗取、盗用机构资产和客户资金,工作疏忽等行为导致的损失。在缺乏成熟培训机制的互联网公司中,这类问题往往更加突出。
欺诈行为:员工同外部人员相勾结,通过挪用资金、职务侵占等方式非法占有公司财产或者泄露出卖公司商业秘密的行为。
越权行为:员工未经授权、或超越工作权限导致的损失,比如开发人员私自修改数据库给人送优惠券。
错误操作:员工在具体业务操作过程中的失误造成的错误操作。
以上是支付系统可能面临的风险分析。支付风控系统是通过采集交易、渠道、商品、账户、用户等信息,对这些数据进行实时和定时的挖掘分析,识别出各种风险,采取各种措施降低损失。这是支付风控系列的第一篇文章,这个系列将包括如下内容:
支付风控场景分析(本文);
支付风控数据仓库建设;
支付风控模型和流程分析;
支付风控系统架构。
网友评论