撞库
第三步是撞库,就开始进攻真正的目标网站了。 把拿到的账户信息去尝试登陆大型网站。因为大部分用户,习惯于在多个网站使用同一套账户和密码。如果登录成功,则可以进一步窃取更多的用户信息,比如信用卡信息等。 由此可见, 撞库攻击本质上是利用用户相同的注册习惯,以大量的用户数据为基础,尝试登陆目标网站,从而窃取更多的用户资料。 这也使得黑客无需进行系统攻击的情况下,即可轻易获取目标用户信息。
更进一步,黑客们会把这些资料整理后,形成社工库。这个库也日益壮大, 目前有千万规模。除了用户名密码,还有大量的个人隐私也被挖掘出来。比如如家2000万数据泄露,其中包含开房信息;QQ群用户信息泄露、京东2015年初用户信息泄露。这都导致大量的个人隐私被窃取甚至出售。
由此可见,账户被窃取,往往是网站防护薄弱和用户安全意识薄弱两种因素导致。
交易风险
支付的交易风险主要是交易过程中的各种恶意行为,而这些行为在电商系统中表现特别突出,包括 自动刷单、人工批量下单以及异常大额订单等场景。在秒杀的时候, 由于其价格有很大的优惠力度, 黄牛会采用机器批量注册账号、机器抢购等方式来争取秒杀商品,普通消费者很难享受到秒杀的实惠,使得秒杀活动效果大打折扣。此外,在商家侧,主要的风险在于刷单。不少商家使用刷单、刷评价的方式来以非正常途径提升销量,积分,信誉等。甚至通过刷单的方式来套取补贴,帮助套现。 从阿里公司发布的《互联网信任环境调查报告》来看,大部分用户在购买的时候,会看中商家的资质和诚信,商品的销量、评论也往往会成为购买的一个参考。 在这种情况下, 刷单就成为一个提升店铺交易量的重要手段。而刷单和反刷的猫鼠游戏,也推高了刷单识别的难度。 以电商为例,一般刷单行为有如下特征:
小号刷单。谁也不会用自己的注册账号来刷单,这样被封的代价就太大了。 小号的来源,可能是商家自己组织注册的,但大部分还是从专业刷单机构手中获取的。
使用虚拟机。大部分网站都会为访问设备植入识别码。通过虚拟机,可以在一个物理机上模拟多台机器访问,随用随建。一般使用VMWare来建立虚拟机。而对手机设备,则会采用手机模拟器。
使用VPN。 这样可以伪装使用全国任何一个地区的IP,甚至可以使用国外的VPN。
使用手机IP:移动和联通的IP出口少,所以大部分手机端的出口IP并不多。 这些IP是电商的白名单,把某个IP封了,那会有大量的手机无法正常访问。 所以刷单人员会选择使用这些IP。
刷虚拟物品:虚拟物品不涉及到物流环节,交易流程简单,很容易就可以把量刷上去。
低价刷单:为了降低成本,往往会将单品价格调低,或者成交金额调低来支持刷单。
交易商品少:刷单时,仅选择少量几个商品进行。
互刷: 一些商家会勾结起来,相互刷单。
这些是从刷单行为的角度来分析的结果。看来简单,可对支付系统来说,如何交易记录中识别出小号、互刷、低价等这些特征,都需要使用大量的数据进行分析才能搞定。
资金风险
2016年11月份的时候, 网上突然出现了大量怀疑支付宝沉淀资金用途的帖子,这些帖子在有意无意地引导一个观点: 支付宝将沉淀资金用于恒生HOMS系统的场外配资,用户将资金投放到余额宝有巨大资金风险。 毫无疑问,从监管的角度来看,这是不可能的事情。 但这谣传也揭示了支付系统的另一个风险:资金风险。 发展沉淀资金成为支付系统,特别是第三方支付系统的一个公开的秘密。 沉淀资金主要有两种形式:
在途资金 :指买卖双方在确认交易后,完成结算前尚未到达卖方账户的资金。在买方没有最终确认收货之前,资金暂时交由第三方支付进行保管。这样在买卖双 方从开始交易到最终完成货款两清的这段时间差内,这些存在于第三方支付平台内部的资金,被称为在途资金。
留存资金:对采用交易担保型账户的支付机构,客户需要开立虚拟账户来完 成交易。机构也会吸引客户进行充值操作,即留存一些资金用于交易。比如微信支付和支付宝的钱包。 当有交易需求时,可以直接从这里进行扣款。这些留存于虚拟账户中的资金也是沉淀资金的一部分。
沉淀资金对支付来说是必要的, 通过这个资金来帮助买卖双方解决信任的问题,有利于提升用户体验。但这个资金也带来不少风险。2013 年 央行出台了《支付机构客户备付金存管办法》,其中明确要求第三方支付机 构对于客户的备付金要进行严格的区分管理,这一定程度上限制了沉淀资金风险的发生。也就是说,沉淀资金是客户的钱,支付公司不能挪用。支付公司可以获得沉淀资金的利息收益,但是不能够用这个资金来进行投资或者公司内部的消费。对这笔资金进行合理监控避免出现风险,也是支付系统需要考虑的问题。
套现风险
我国法律明确禁止使用信用卡套现,使用信用卡套现是违法的。但是在线支付系统中,使用信用卡进行套现,几乎是不需要成本的。 信用卡套现的手段也很多,一般是通过客户和商家的勾结来完成,比如:
虚假购买,客户通过信用卡购买某商品后,商品并未实际发货,商家将购买的款项打回给客户,完成套现。
退货套现:或者通过信用卡来购买商品,然后退货,将退款返回到借记卡或者其他可提现的渠道,也能完成套现。
自买自卖:商家通过信用卡购买自己的商品,将货款打入到借记卡中,完成套现。
上述的套现手段,很难识别。套现很难完全杜绝,除了要求退款资金必须原路返回外,还可以通过数据分析手段来减少发生的频率。
操作风险
按照巴塞尔委员会《操作风险管理》的定义, 操作风险主要是指那些由于用户支付终端操作失误、工作人员违规操作、内控机制失灵等人员操作上的原因引致损失的风险,或者说是外部风险、员工风险和流程风险。
流程风险指由公司的规章制度管理、业务流程不完善而引发的风险。对一些支付公司而言,作为新兴的经济形式,不像银行那样有一套成熟、规范的流程以及完善的培训机制,这就容易触发流程风险。在以“快”为特征的互联网公司,功能创新非常重要,但往往也容易忽视了风险管理相关配套制度的建设和落实,从而为线上运行的新功能带来隐患。当新的支付方式上线后,配套的清结算、记账、对账等功能,未必能够及时地跟上,更不用说相关的内控制度建设、岗位人员配备的工作。
员工风险指的是支付机构的员工不遵守职业道德,违法违规或违章操作,单独或参与骗取、盗用机构资产和客户资金,工作疏忽等行为导致的损失。在缺乏成熟培训机制的互联网公司中,这类问题往往更加突出。
欺诈行为:员工同外部人员相勾结,通过挪用资金、职务侵占等方式非法占有公司财产或者泄露出卖公司商业秘密的行为。
越权行为:员工未经授权、或超越工作权限导致的损失,比如开发人员私自修改数据库给人送优惠券。
错误操作:员工在具体业务操作过程中的失误造成的错误操作。
合规风险
合规风险指机构因未能遵守相关的法律法规从而导致机构可能受到处罚、声誉受损的风险。从2004年的电子签名法开始,和支付相关的法律法规:
发布时间 发布机构 法律法规
2004.8 商务部 《中华人民共和国电子签名法》
2005.4 中国电子商务协会 《网上交易平台自律规范》
2005.6 中国人民银行 《支付清算组织管理办法》
2005.10 中国人民银行 《电子支付指引(第一号)》
2007.3 商务部 《关于网上交易的指导意见(暂行)》
2008.4 商务部 《电子商务模式规范》《网络购物服务规范》
2009.11 商务部 《关于加快流通领域电子商务发展的意见》
2010.9 中国人民银行 《非金融机构支付服务管理办法实施细则》(征求意见稿)
2011.6 中国人民银行 《关于规范商业预付卡管理的意见》
2011.10 中国人民银行 《支付机构预付卡管理办法》(征求意见稿)
2011.11 中国人民银行 《支付就够互联网支付业务管理办法》(征求意见稿)
2012.1 中国人民银行 《支付机构互联网支付业务管理办法》(征求意见稿)
2012.3 中国人民银行 《支付机构反洗钱和反恐怖融资管理办法》
2012.6 中国人民银行 《银行卡收单业务管理办法》(征求意见稿)
2013.6 中国人民银行 《支付机构客户备付金管存办法》(征求意见稿)
其中2010年的《非金融机构支付服务管理办法实施细则》是一个标志性的法规,标识国家开始认可第三方支付的地位并开始执行监管。 之后,央行又陆续出台一系列法规来规范支付行业的发展。可以说,支付行业的业务创新,是一个不断地由乱而治的过程。而对支付公司来说,滞后的法规建设,也给业务发展带来了巨大的风险。 2013年支付宝推出互联网理财产品余额宝,在短期内迅速发展成为国内最大的基金。随后多家支付机构也开始开展这个业务,后续央行出台了《支付机构网络支付业务管理办法》,对支付公司的业务范围、资金转移金额进行限制,避免了该业务的过度发展。 2014年央行也相继叫停了虚拟信用卡、二维码支付等业务。合规风险是国内第三方公司一个无法规避的风险,在企业发展过程中,需要密切关注央行的动向,减少合规带来的负面影响。
洗钱风险
第三方支付目前成为洗钱的重灾区。 2016年8月,18家支付机构被公安部列为重点整改对象。 这些支付机构提供的服务,存在未落实实名制、风控措施不严格等问题,被犯罪分子所利用,沦为咋骗和洗钱的工具。主要手段包括:通过一些第三方支付平台发行的商户POS机虚构交易套现;将诈骗得手的资金转移到第三方支付平台账户,在线购买游戏点卡、比特币、手机充值卡等物品,再转卖套现;利用第三方支付平台转账功能,将赃款在银行账户和第三方支付平台之间多次切换,使得公安机关无法及时查询资金流向,逃避打击。2012年央行发布的《支付机构反洗钱和反恐怖融资管理办法》,对支付机构如何防范洗钱风险做了明确的规范和要求,需要支付公司严格遵守。
以上是支付系统可能面临的风险分析。支付风控系统是通过采集交易、渠道、商品、账户、用户等信息,对这些数据进行实时和定时的挖掘分析,识别出各种风险,采取各种措施降低损失。这是支付风控系列的第一篇文章,这个系列将包括如下内容:
支付风控场景分析(本文);
支付风控数据仓库建设;
支付风控模型和流程分析;
支付风控系统架构
