支付寶是怎麼做風險控制的?

作者:郭海峰

來源:pingwest

作為一款實名用戶數超過3億、單天交易筆數能夠達到1.97億的交易工具,支付寶是靠什麼來保障帳戶的安全。

首先,支付寶密碼都是怎麼丟失的?

  

最大的丟失來源是掃號,你在別的網站帳號密碼丟失後,被用來登陸支付寶。由於使用的是同一套密碼,所以導致支付寶密碼丟失。這樣的丟失比例,占到整個密碼丟失案例的47%。

  

第二種就是社工,假冒各種公檢法、熟人好友、假客服等,通過簡訊、聊天工具,把你的各類信息騙走,然後盜取或是更改你的密碼。釣魚和木馬也有一定比例,釣魚就是搞個假網站,比如弄個tiaobao.com,長得和淘寶很像,蒙騙你輸入帳號、密碼,而木馬就是中毒。

  

相比而言,手機丟失導致密碼丟失的占比不高,大概是2%。

在密碼丟失後,支付寶產品體系中還有一個叫CTU的風控大腦,這個被訓練了8年時間的風險判定工具,會根據策略對交易進行風險進行打分,區間在0-1。當交易風險大於0.93時,將會直接拒絕交易。風險程度高的時候,支付寶會要求進行二次校驗,來判定是否帳戶本人。

  

A是在深圳的支付寶用戶,平時經常使用支付寶來購買理財產品。去年6月7日,A接收了偽基站10086的簡訊,主動輸入了身份證信息和金融卡信息,並中手機木馬。當天深夜,騙子在獲得A的信息後,成功獲取校驗碼後修改登錄密碼,並在廣州某小區登陸,之後又修改支付密碼。接著,下單了一台iPhone5,但在進行支付的時候,CTU直接判定交易失敗,並對帳戶進行了限制。第二天,支付寶客服與用戶進行了溝通,確認了帳戶被盜。

  

這起交易的中止,便是因為風險評分太高。首先,登陸的設備不是主人的日常設備,登陸地點不在深圳,而在廣州某小區。第二,對於修改密碼的行為,CTU很困惑。一個經常輸入密碼的人,深更半夜去修改密碼幹嘛,一般修改密碼都是密碼忘記了,要找回密碼才會重置嘛。最後,主人平時主要就是理財,極少淘寶,而大半夜改了密碼就直接下單iPhone,違背常理。所以,CTU中止了交易。

  

關係是CTU判定風險的一個重要維度。當帳戶被盜後,要把錢轉走,去到另一個帳戶。而如果這個帳戶和你從未有過資金往來,和你的朋友們也沒有過資金往來,CTU就會提高警覺了。再進一步,如果這個帳戶是曾經有過不良記錄的,或者和黑名單帳戶有過某些交集,CTU很大程度就會攔截。因為它會判定,這可能不是帳戶本人在操作。

  

用戶操作手機的習慣也是CTU進行風險判定的一個重要維度。每個人的行為都會有自己的習慣,就好像走路的姿勢、筆跡一樣。每個人觸控手機螢幕的方式不同,而手機上是有很多傳感器的,所以可以通過指壓、接觸面積、重力變化,連續間隔時間等,可以幫助判斷是否是本人操作。支付寶透露,通過這項技術的應用,判定風險的成功率提升了5倍。

帳戶、設備、位置、行為、關係、偏好,每一個大類裡面都會包含很多細的策略。而這樣的策略總計有1萬條左右,CTU通過運算這些復雜策略來進行風險判定。

根據螞蟻金服高級安全策略專家馮力國提供的數據,這樣的方式最終導致資金損失的概率,在100萬分之一左右,小於四胞胎的出生概率。

閱讀原文


關於作者:

本帳號由資深財經媒體人士、P2P網貸高管共同經營,最新業態、大伽觀點、政策動態,我們每天花費數小時為你錘煉,幫你省下10分鐘!

微信號:p2pwangdai



同類文章:

給你今日中國各大媒體的重點新聞!
》》進入新聞專區