侦探大数据PK盗窃技术派：高“识人”的第三方支付平台

周一早高峰，如果一个人在北京西二环用支付宝付账，一个小时内，这个人在东四环花掉一大笔钱，然后又回到西四环环道“刷”刷，结果会怎样？

虽然这不是真实案例，但基本上支付宝都会拒绝付款。 因为在早高峰的时候，北京的交通条件不允许你在一个小时内从西二环到东四环来回。 支付宝背后的智能风控大脑，内部代号CTU，会自动判断为风险交易，并发出“拦截”指令。

同样，如果一个QQ或微信账号加了一个陌生人为好友，然后马上给对方转账，而且金额很大，腾讯基础支付平台和金融应用专线（FiT）的风控系统也会“嗅”出这个数量。 交易是有技巧的，然后交易会通过各种方式进行验证。

面对层出不穷、不断升级的“盗贷事件”，作为市场上最大的两大第三方支付平台，他们正试图利用积累的强大数据库资源做一件事——区分骗子和好人（账户所有者) 非常可靠地区分。

>>>>

24小时大数据“警察”

要想区分“骗子”和账户人，首先要有判断依据。

腾讯FiT的财利通、QQ钱包、腾讯征信等应用在支付基础平台、支付安全平台、投资理财平台、大数据分析应用等互联网金融领域均有布局。 蚂蚁金服旗下有支付宝、余额宝、招财宝、网商银行、蚂蚁花呗、芝麻信用等子业务板块。 这些平台在从事金融相关业务的同时，也在做同样的事情：“数据沉淀”。

QQ和微信两大社交平台也为FiT提供了大数据源。 最新数据显示，截至2015年12月31日，微信和微信合计月活跃账户为6.97亿，腾讯QQ月活跃账户为8.53亿。 从这些海量账户的基本属性中，可以捕捉到很多有用的信息。

一系列数据构成了虚拟世界中真实的“你”，大数据风控“警察”将基于大量模型和算法对你的身份进行验证，以判断现实世界中的交易风险。 FiT和蚂蚁金服CTU的检测方式不同。 FiT爱“思考”数据的“变数”，每一个细微的变化都会引起他的警惕。 “每个人都有变量。你的账户资金可能是一个变量，你和另一个人是朋友。我们内部会用一整套系统来分析和评估这些变量。我们称之为覆盖率和显着性。覆盖率是指一个变量是否可以覆盖用户的正常行为；显着性是正常用户和诈骗者行为在变量上的差异。” FiT支付安全项目管理负责人周志明告诉本刊。

腾讯还有手机管家团队配合财付通的风控团队。 “手机管家团队每天分析大量恶意链接、恶意木马等数据库，我们分析案例和支付行为，发现恶意网站和链接，通知管家优化病毒库覆盖，然后给出我们的反馈。” 周志明表示，这将实现双重保护，“毕竟我们更擅长通过支付终端传递给后台的支付行为和账户信息来判断是否中毒或被盗，他们更擅长‘识毒'。”

今年1月，腾讯发布《移动支付网络黑色产业链研究报告》显示，2015年新增支付病毒32.6万余个，全年感染支付病毒的用户数为高达2505万，平均每天超过8.1万。 人们遭受类似支付的病毒。

蚂蚁金服风控大脑CTU利用多维度综合信息——可信行为、位置、设备和关系等进行实时风险评分。 “打分采用百分比制，任何一个维度都会影响整体的风险评分，当然也会有一些具有特殊属性的维度影响更大。” 蚂蚁金服集团安全品牌总监宋冲告诉本刊。 然后，整个风控系统会根据评分结果输出相应的动作，比如是否让你成功完成支付，或者是否需要进一步验证，或者进行交易拦截等。

所以如果有一天你突然收到支付宝或微信支付产品的验证短信或电话，通知你交易有风险或被冻结，你一定要引起高度重视。 微信支付也可能会要求您发送一段短视频。 “人脸识别”。

>>>>

预测

2015年6月8日凌晨，深圳的黄先生接到了一通求证电话的“惠顾”。

原来，前一天半夜11点，他收到了一条号码为10086的短信，通知他中了大奖。 同时，要想拿到巨额奖金，还必须提供一定的个人信息，比如身份证号、银行卡等，黄先生爽快地答应了，很快就完成了注册。

12时45分，蚂蚁金服后台风控系统显示，黄先生在广州突然登录支付宝，购买了一部iPhone 5s，4000元。 但CTU判断交易失败，封锁交易，并暂时限制账户的支付功能。 原来，CTU从黄先生的行为习惯中得知，他平时购买理财产品或转账，使用的是苹果手机操作系统。 6月7日晚上，该账号在深圳登陆，不到一个小时后就去广州网购了。 由此断定这笔交易可能不是黄先生本人，属于异常交易行为，于是果断拦截。

次日，客服人员第一时间联系黄先生得知，黄先生昨晚一直在深圳，并未前往广州，该笔交易并非其操作。 后来查明是假基站给黄先生发了一条诈骗短信。 当他根据短信提示输入自己的身份证和银行卡信息时，实际上是通过木马系统发送给骗子的。 骗子更改密码后，截取了发给黄某的信息。 黄先生发送提醒短信获取验证码，然后通过黄先生的支付宝账户进行支付消费。

得益于大数据风控系统的预判机制，很多欺诈事件在实际损失发生前就被拦截。 这样的故事几乎每天都在发生。

“王泉，我是李良，你去xx.com/xx.apk看看，你对这个人还有印象吗？” 今年3月9日下午，海南海口市市民王全收到一条陌生号码发来的短信。 因为李良是他的好朋友，所以他毫不犹豫的点开了短信里的链接。 结果，手机感染了木马病毒，近万元被盗。

然而，“李亮”对王泉撒了谎，却没能躲过FiT的大数据风控系统。 风控系统检测到资金流向与用户平时交易行为存在较大偏差，存在欺诈风险，触发拦截操作。 随后，腾讯支付安全中心主动联系王权，核实情况后，很快将被盗资金返还给王权。

“我们每天有数十亿条大数据，分析用户是否在安全的环境下进行支付和转账。我们还邀请了各种大咖做我们的专家，组成多元化的团队，包括传统银行。专家、博士后在国外从事信息安全等工作多年的研究员。” 周志明说。

>>>>

联合行动

在病毒“大军”的疯狂进攻下，如果没有支付平台大数据“警察”的保护盾牌，后果可想而知。 当然，仅有第三方支付平台的大数据风控体系是不够的。 骗子的作弊手段在不断变异和升级，单纯依靠技术碾压和“杀怪升级”只能治本治病，不计成本。

近年来，频频被央视和各大媒体报道的伪基站让人头疼。 “我们发现它像牛皮癣一样非常顽固，即使用各种方法，用户确实更容易上当受骗。” 周志明告诉本刊，目前检测到的数据显示，假基站比较容易被骗子利用。 频繁的手段。

但伪基站是无法被一两家第三方支付平台的风控系统去除的。 “一方面，我们会不断优化我们的大数据风控体系，建立更多的模型，让算法更强大，提高拦截的准确性；另一方面，支付安全其实是一个链条，不是你的。如果一个家庭能搞定，肯定涉及到运营商、厂商、杀毒软件、浏览器、银行等诸多环节，都需要采取一些防控措施。” 周志明说。

其实在手机厂商层面，如果像iPhone一样把手机系统做成一个相对闭环，就可以控制验证码的传递，但这需要考虑用户体验和物理更新手机。 腾讯FiT团队也积极参与并促成与手机厂商的合作。 据了解，几大安卓手机厂商升级系统、打击假基站意愿强烈。 目前，一些厂商已经制定了计划并开始投资。

此外，第三方支付平台也在积极寻求与公安机关的合作。 除了大数据专家和相关技术人员，蚂蚁金服和财付通的风控团队还吸纳了执法系统的人员，部分人员有公安背景。 “他们主要是从数据盘点方面为警方需要的案件提供信息支持，因为他们有以往执法系统的背景，更了解警方的需求，所以能更好地帮助警方打击在某些情况下。” 宋冲说，“如果支付宝发现一些性质比较恶劣，或者比较新颖、有代表性的案件，我们也会主动向警方报案，帮助警方推动积极打击和预防。”

在配合警方打击的过程中，风控团队还可以了解一些不法分子的作案手法、行为特征和一些独特的利益，反馈到整个风险防控业务中，提高自身的风险识别和防范能力。控制能力。 蚂蚁金服安全管理部担任项目风险部和情报数据中心负责人的梁希，还担任过派出所所长、街道副书记。 目前，蚂蚁金服风控团队已配合警方破获诈骗诈骗等刑事案件200多起。

>>>>

五把锁还是十把锁？

“安全”一直是第三方支付平台整个业务体系的重中之重。 蚂蚁金服CEO彭磊多次提到，支付宝的核心使命是安全。 腾讯FiT团队也将支付安全放在首位。 “如果你必须在支付安全和支付便利之间做出选择，你必须选择安全。” 周志明告诉本刊。

传统银行数据中心通常是封闭或半封闭的，而支付宝、财付通等第三方支付平台是相对开放的系统，无法封闭。 这对技术能力是一个非常大的考验。

第三方支付平台除了不能“关门”外，还需要在安全的前提下考虑用户便捷、流畅的使用体验。 去年7月，支付宝9.0版本取消了手势密码，曾引起不少用户的质疑和恐慌。 但实际上，取消手势密码并未对支付安全造成隐患。 “以前科技比较落后的时候，为了保护自己的财产安全，需要考虑是装五把锁还是十把锁，会有一个平衡的考虑。但现在随着科技的不断进步技术上，便利性与安全性不在一个维度上，两者不是对立的矛盾点。” 宋冲解释说，去掉手势密码，我们可能会用其他技术来保证安全，比如指纹认证、面部识别，这些都比传统的密码更安全，因为它是你身体的一部分，独一无二，很难复印。

当然，这个过程并没有完全摒弃之前的短信验证或者密码。 宋冲指出，“如果我们的系统判断交易不OK，我们会进一步输出相应的安全策略，比如验证码、人脸识别等。整个过程中，我们现在采用的是综合防御交互的概念”

周志明对于支付产品便捷与安全的博弈有着独到的见解。 “支付不是纯粹的网络游戏，越方便好用，用户就越喜欢，毕竟是跟钱打交道，其实稍微重一点，整体用户体验会改进。因为用户在使用的时候，会想到我的卡给你，你安全吗？他需要你给他发这样的信息。有时候给他打电话确认交易，做个人脸识别比较好，还有他不干涉我。当然usdt第三方支付平台，“安全和便利不是不可调和的，不是非黑就是非，非黑即白，然后你就得二选一。”周志明通说，通过优化风控和使用新技术，可以实现平衡。

为保障支付安全，央行还会不定期在政策上对第三方支付机构加“锁”。 去年12月，央行公布了《非银行支付机构网上支付业务管理办法》（以下简称《管理办法》），要求支付机构根据个人网上支付账户将个人网上支付账户分为三类对客户身份认证情况usdt第三方支付平台，规定各类账户信息认证标准。 认证要素包括：密码、电子签名，甚至指纹等物理特征。

①开立Ⅰ类账户可采取非面对面方式，至少通过居民身份证信息等外部渠道核实身份。 此类账户的支付限额为自开户起累计1000元；

② 开立II类账户需要通过至少3种外部渠道进行当面身份验证，或非当面验证，账户支付限额为10万元/年；

③最严格的是开立III类账户，需要通过至少5个外部渠道进行当面身份验证，或非当面验证，支付限额为每年20万元。

根据BigData-Research发布的数据，2015年，中国第三方移动支付市场总交易规模达到9.31万亿元。 今年7月1日即将实施的《管理办法》，无疑为这笔巨额财富增添了一层安全保障。

然而，道与魔的战争仍将继续。 除了依托大数据“警察”、全防控链条的建立、“羊马”的防护，用户自身也要提高警惕。

尖端

大数据告诉你谁是最好的骗子

看看天下346的封面故事

《Vista看世界》团队出品

制作最好的新闻故事

微信公众号搜索“看天下”添加关注