支付系统的主要风险，最根本的从场景出发。 如下总结。概念定义：风险：实际情况与预期之间的差距；风险控制：
风险管理者采取措施来减少风险事件发生的概率，或减少风险事件造成的损失；风险事件：造成风险的直接原因；
风险因素：造成风险的间接原因；交易场景过程的主要风险如下：
账户风险：支付系统中最常见的风险，俗话说的“盗号”。黑产权，账号窃取已形成了一套完成的产业链。拖库：把注册用户的资料窃取出来；主要方法：1，利用系统漏洞，如heartlbleed漏洞；2，第三方组件漏洞如臭名昭著的Apache Struts系列漏洞；3，SQL注入攻击；洗库：对获取的数据进行解密分析；主要方法：1，暴力破解；2，字典表，利用字典表暴力破解；3，彩虹表，破解哈希算法的技术，可以破解MD5进行哈希处理的密码；撞库：开始进攻真正的目标网站；撞库攻击本质上是利用用户相同的注册习惯，以大量的用户数据为基础，尝试登陆目标网站，从而窃取更多的用户资料。
交易风险：支付的交易风险主要是交易过程中的各种恶意行为，而这些行为在电商系统中表现特别突出，包括 自动刷单、人工批量下单以及异常大额订单等场景。刷单行为的主要特征：小号刷单，虚拟机刷单，使用vpn，使用手机ip，刷虚拟物品，低价刷单，交易商品少，互刷；小号刷单。谁也不会用自己的注册账号来刷单，这样被封的代价就太大了。 小号的来源，可能是商家自己组织注册的，但大部分还是从专业刷单机构手中获取的。使用虚拟机。大部分网站都会为访问设备植入识别码。通过虚拟机，可以在一个物理机上模拟多台机器访问，随用随建。一般使用VMWare来建立虚拟机。而对手机设备，则会采用手机模拟器。使用VPN。 这样可以伪装使用全国任何一个地区的IP，甚至可以使用国外的VPN。使用手机IP：移动和联通的IP出口少，所以大部分手机端的出口IP并不多。 这些IP是电商的白名单，把某个IP封了，那会有大量的手机无法正常访问。 所以刷单人员会选择使用这些IP。刷虚拟物品：虚拟物品不涉及到物流环节，交易流程简单，很容易就可以把量刷上去。低价刷单：为了降低成本，往往会将单品价格调低，或者成交金额调低来支持刷单。交易商品少：刷单时，仅选择少量几个商品进行。互刷： 一些商家会勾结起来，相互刷单。资金风险发展沉淀资金成为支付系统，特别是第三方支付系统的一个公开的秘密。 沉淀资金两种形式：1， 在途资金：交易双方在确认交易后，完成结算前尚未到达卖家账户的资金。此刻存放在第三方平台内部，被称为在途资金。2， 沉淀资金：对采用交易担保型账户的支付机构，客户需要开立虚拟账户来完成交易。如微信支付，支付宝的钱包。2013 年 央行出台了《支付机构客户备付金存管办法》，规定沉淀资金是客户的钱，支付公司不能挪用，支付公司可以取得利息收益。套现风险：我国法律明确禁止信用卡套现。信用卡套现方式：虚假购买；退货套现；自买自卖；操作风险；按照巴塞尔委员会《操作风险管理》的定义， 操作风险是指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险。流程风险：公司的规则管理制度不完善引发的风险。互联网公司一般没有一套成熟，规范的流程以及完善的培训机制，容易引发风险。员工风险：员工不遵守职业道德，违法违规操作，工作疏忽等造成的损失。如欺诈行为，越权行为，错误操作等。合规风险：合规风险指机构因未能遵守相关的法律法规从而导致机构可能受到处罚、声誉受损的风险。洗钱风险：2016年8月，18家支付机构被公安部列为重点整改对象。 这些支付机构提供的服务，存在未落实实名制、风控措施不严格等问题，被犯罪分子所利用，沦为咋骗和洗钱的工具。如POS机虚构交易套现，黑钱多次在支付平台和银行间互转是公安机关不能及时跟踪资金流向。