1. 程式人生 > >支付寶怎麼做風險控制

支付寶怎麼做風險控制

作為一款實名使用者數超過3億、單天交易筆數能夠達到1.97億的交易工具,支付寶是靠什麼來保障賬戶的安全。

640

首先,支付寶密碼都是怎麼丟失的?

最大的丟失來源是掃號,你在別的網站賬號密碼丟失後,被用來登陸支付寶。由於使用的是同一套密碼,所以導致支付寶密碼丟失。這樣的丟失比例,佔到整個密碼丟失案例的47%。

第二種就是社工,假冒各種公檢法、熟人好友、假客服等,通過簡訊、聊天工具,把你的各類資訊騙走,然後盜取或是更改你的密碼。釣魚和木馬也有一定比例,釣魚就是搞個假網站,比如弄個tiaobao.com,長得和淘寶很像,矇騙你輸入賬號、密碼,而木馬就是中毒。

相比而言,手機丟失導致密碼丟失的佔比不高,大概是2%。

7

在密碼丟失後,支付寶產品體系中還有一個叫CTU的風控大腦,這個被訓練了8年時間的風險判定工具,會根據策略對交易進行風險進行打分,區間在0-1。當交易風險大於0.93時,將會直接拒絕交易。風險程度高的時候,支付寶會要求進行二次校驗,來判定是否賬戶本人。

A是在深圳的支付寶使用者,平時經常使用支付寶來購買理財產品。去年6月7日,A接收了偽基站10086的簡訊,主動輸入了身份證資訊和銀行卡資訊,並中手機木馬。當天深夜,騙子在獲得A的資訊後,成功獲取校驗碼後修改登入密碼,並在廣州某小區登陸,之後又修改支付密碼。接著,下單了一臺iPhone5,但在進行支付的時候,CTU直接判定交易失敗,並對賬戶進行了限制。第二天,支付寶客服與使用者進行了溝通,確認了賬戶被盜。

這起交易的中止,便是因為風險評分太高。首先,登陸的裝置不是主人的日常裝置,登陸地點不在深圳,而在廣州某小區。第二,對於修改密碼的行為,CTU很困惑。一個經常輸入密碼的人,深更半夜去修改密碼幹嘛,一般修改密碼都是密碼忘記了,要找回密碼才會重置嘛。最後,主人平時主要就是理財,極少淘寶,而大半夜改了密碼就直接下單iPhone,違背常理。所以,CTU中止了交易。

關係是CTU判定風險的一個重要維度。當賬戶被盜後,要把錢轉走,去到另一個賬戶。而如果這個賬戶和你從未有過資金往來,和你的朋友們也沒有過資金往來,CTU就會提高警覺了。再進一步,如果這個賬戶是曾經有過不良記錄的,或者和黑名單賬戶有過某些交集,CTU很大程度就會攔截。因為它會判定,這估計不是賬戶本人在操作。

使用者操作手機的習慣也是CTU進行風險判定的一個重要維度。每個人的行為都會有自己的習慣,就好像走路的姿勢、筆跡一樣。每個人觸控手機螢幕的方式不同,而手機上是有很多感測器的,所以可以通過指壓、接觸面積、重力變化,連續間隔時間等,可以幫助判斷是否是本人操作。支付寶透露,通過這項技術的應用,判定風險的成功率提升了5倍。

3

賬戶、裝置、位置、行為、關係、偏好,每一個大類裡面都會包含很多細的策略。而這樣的策略總計有1萬條左右,CTU通過運算這些複雜策略來進行風險判定。

根據螞蟻金服高階安全策略專家馮力國提供的資料,這樣的方式最終導致資金損失的概率,在100萬分之一左右,小於四胞胎的出生概率。