首页 >> 行业资讯 >>聚合支付 >> 浅谈支付风控分析策略
详细内容

浅谈支付风控分析策略

 风控是一个让人爱恨交加的话题。 对支付来说风控是必不可少的功能。只要老板不想把底裤都赔掉,那就必须上风控。可对互联网公司来说,风控是一个谜一般的话题,无论是对风控专家还是IT工程师而言。随着互联网和大数据技术的引入,风控变成了一个跨学科的领域,可这无疑是互联网公司里面最同床异梦的跨学科。机器学习,深度学习,规则推理,随机森林….光这些名词就足以让人风控专家望而怯步;而风险事件、尽职调查、巴塞尔协议.. 这些名词,一提起来IT人员就头大。这个系列的文章将试图从这两个领域简单梳理下支付风控面临的问题,以及如何从技术角度来解决这些问题。
概念定义

按照教科书的说法, 风险是指在特定场景下,特定时间内某个损失发生的可能性,或者说是在某一个特定时间段里,人们所期望达到的目标与实际出现的结果之间的差距。金融领域自从诞生以来,就一直伴随着风险。风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。这里又引入了一个词,风险事件, 它和风险因素经常容易混淆。 风险事件指造成风险的直接原因,风险因素则是间接原因。 如下雨天路滑导致发生车祸造成人员伤亡。 则车祸是人员伤亡的直接原因,是风险事件。而下雨天是间接原因,属于风险因素。 先看一条小道消息惊悚下

风控做不好,一个晚上2个亿就出去了。饶是该公司财大气粗,也扛不住几次折腾。一个漏洞搞垮一个小公司也是常有的事。对支付系统来说,安全是第一考虑的问题,特别是资金安全,这需要风控系统来保驾护航。那一般来说,支付系统会面临哪些风险? 不同文献有不同的风险分类,本文试图从账户、资金、交易、操作、信用风险角度来详细描述。
账户风险

支付系统最常见的,也是在黑产圈中最为成熟的,那就得算账户的风险,即俗话说的“盗号”。近几年来,各大型互联网网站的账户泄露事故层出不穷,携程,京东,CSDN等都中过招,每一次都能引起轩然大波。而在黑产圈,账号窃取都形成了一套完整成熟的产业链。


这是目前在黑产圈中账户攻击的主要流程,以下分析在这个过程中每个阶段的具体操作,为风险系统设计提供依据。
拖库

拖库是实施账户攻击的第一步。考虑到大型网站一般防守比较严密,黑客一般选择从小型网站入手,入侵到一些防守薄弱或有漏洞的网站,将注册用户的资料窃取出来。常见手法包括:

1. 利用操作系统和系统组件漏洞

比如近年来杀伤力最大的漏洞之一Heartlbleed 漏洞。这个漏洞,在2012年OpenSSL软件发布时带有这个bug,而正式公开时间是2014年。Heartbleed漏洞使得黑客有可能通过memory dump的手段来获取到服务器上接受的用户请求、密码、甚至是服务器的私钥。只要持续不断的攻击,任何被加载到内存中且不幸被加载到和OpenSSL在同一个区块内存中的数据,都会被黑客所获取。 这两年期间,有多少黑客使用了这个漏洞来窃取网站信息,就不得而知了。 由于此类漏洞的发现和修复往往有一定的时间差,这也给黑客利用漏洞窃取信息带来了便利。

2.利用网站所使用的第三方组件漏洞

如臭名昭著的Apache Struts系列漏洞。从2010年开始, 不断地有漏洞暴露出来, 这些漏洞直奔struts所使用的OGNL表达式,通过构建各种匪夷所思的表达式, 可以远程执行任意命令,包括访问根目录。由于SSH(Springframework + Apache Struts + Hibernate)架构入门简单、上手容易,再加上各种IT培训机构不遗余力的推广,在国内电商、银行、运营商网站上被大量使用。每次Apache Struts 漏洞的发布,都能够掀起一番血雨腥风。 而Apache组织对这些漏洞响应不及时,修复慢,更让这些机构雪上加霜。远离Apache Struts更是支付系统的基本要求。

3. SQL注入攻击

基本上所有网站都会用到数据库。而一些新手在写代码的时候,对用户输入数据不做验证或者验证不到位,就把这些数据直接通过拼接SQL语句写入到数据库中,这就很容易导致SQL注入攻击。 比如系统在判断用户名和密码是否正确时,会使用这个SQL语句来查询数据库:

SELECT 1 FROM users WHERE username = 'admin' AND password = 'guest'

攻击者可以尝试修改密码为 ‘ OR ‘a’ = ‘a , 拼接成SQL语句:

SELECT 1 FROM users WHERE username = 'admin' AND password = 'guest' OR 'a'='a'

由此执行成功,获取管理后台的权限。

这三个是常见的攻击方式。 当然还有其他的方式,如木马,钓鱼网站等等,不再详细描述。
洗库

在攻入服务器,获取到资料,特别是数据库的信息后, 需要对信息进行分析。 不是所有的信息都可以直接使用,部分信息,如密码,身份证等,一般都会加密存储。 通过暴力、字典或者彩虹表的方式来破解,获取到破解后的信息,就拿到用户名,密码等资料。

-暴力破解:如果知道用户名或者密码的范围,可以通过枚举的方法逐个尝试。 对密码来说,会受限于密码的长度,如果长度在8位以上,那可枚举项就太多了,需要几天甚至几年的计算才能破解。

-字典表:其实也是暴力破解的一种,区别是可以预先计算出来一些常见的组合,比如生日之类的,然后使用这些组合来进行破解。

-彩虹表:这是一种破解哈希算法的技术,是黑客必备的跨平台密码破解方法,可以破解MD5进行哈希处理的密码。它的性能优异,在一台普通PC上辅以NVidia CUDA技术,对于Microsoft Windows操作系统使用的NTLM密码加密算法,可以达到最高超过1千亿次每秒的明文尝试。对于广泛使用的MD5也接近一千亿次。

联系方式
更多

联系电话:400-805-0125

公司名称 : 上海义国网络科技有限公司

公司地址:上海市杨浦区国顺东路800号艺术区2楼211

公司邮箱:master@forceun.com

Copyrights 2019 | All Rights Reserved