第三方支付平台高配“识人术”

王莹莹

周一早高峰，如果某人在北京的西二环用支付宝付了一笔账，一小时内，这个人又在东四环刷了一笔大额资金，随后又回到西四环“刷刷刷”，结果会如何？

虽然这并非一个真实案例，但基本上，支付宝会拒绝这笔支付。因为在早上的繁忙时段，北京的交通状况不会允许你在1小时内往返西二环到东四环，支付宝背后的智能风控大脑，内部代号CTU，将自动将其判定为有风险的交易，并做出“拦截”的命令。

同样，如果一个QQ或微信账号加了一个陌生人为好友，然后马上给对方转账，其金额又非常巨大，腾讯支付基础平台与金融应用线（FiT）的风控系统也会“嗅”出这笔交易有猫腻，随后会通过各种方式验证这笔交易。

面对着层出不穷，不断升级的“盗刷事件”，作为目前市场上最大的两家第三方支付平台，他们都在尝试着用积累起来的强大数据库资源来做一件事——把骗子跟好人（账户主人）尽量可靠地区分出来。

24小时站岗的大数据“警察”

要想区分“骗子”和账户本人，首先要有判断依据。腾讯FiT旗下包括理财通、QQ钱包、腾讯征信、微信支付等；蚂蚁金服旗下有支付宝、余额宝、招财宝、网商银行、蚂蚁花呗、芝麻信用等子业务板块。这些平台在从事与金融相关业务的同时也在做同一件事：“数据沉淀”。

QQ和微信这两大社交平台也给FiT提供了大数据来源。最新数据显示，截至2015年12月31日，微信及Wechat的合并月活跃账户为6.97亿，腾讯QQ月活跃账户为8.53亿。从这些海量账号的基本属性中，能捕捉到注册时间、常用登录地点、好友分布情况、活跃度以及账号相关消费行为的数据。

一系列数据构成了一个虚拟世界中真实的“你”，大数据风控“警察”则会根据大量的模型和算法来验证你的身份，以便用来判断现实世界中的交易风险。

FiT和蚂蚁金服CTU的侦破手段各不相同。FiT爱“琢磨”数据的“变量”，每一次微妙的变化都会引起他的警觉。“每一个人都会有变量，你的账户资金可能是一个变量，你跟另外一个人互加好友是一个变量。我们内部会运用一整套体系去分析、评估这些变量，我们称之为覆盖率和显著性。覆盖率就是说一个变量是否能覆盖到用户正常的行为；显著性是从变量上体现出来的正常用户和骗子行为的不同之处。”FiT支付安全项目管理负责人周治明告诉本刊。

腾讯还有一个手机管家团队与财富通的风控团队配合。“手机管家团队每天都会分析大量的恶意链接、恶意木马等数据库。我们分析案例和支付行为，发现恶意网站和链接，会通知管家优化病毒库覆盖。他们会把这样一个链接中隐性识别的用户，再反馈给我们。”周治明说，这样就能进行双重防护，“毕竟，我们更擅长依靠支付端传递到后台的支付行为和账号信息判断中毒或者是被盗了，他们更擅长‘识毒。”

今年1月，腾讯发布的《移动支付网络黑色产业链研究报告》显示，2015年新增的支付类病毒超过32.6 万，全年被支付类病毒感染的用户高达2505万，平均每天就有81000 多人遭受支付类病毒的侵害。

蚂蚁金服的风控大脑CTU利用的则是多维度的综合信息——可信的行为、位置、设备及关系等做实时的风险评分，“评分采用百分比制，任何一个维度都会影响整体风险评分，当然也会有一些具有特殊属性的维度会产生较高影响。”蚂蚁金融服务集团安全品牌总监宋宠告诉本刊。随后，整个风控系统会根据评分结果输出相对应动作，比如说究竟是让你顺利完成支付，还是需要进一步验证，或者实施交易拦截等。

所以如果有一天你忽然收到由支付宝或微信支付产品发出的验证短信、呼叫电话，告知你交易有风险或者被拦截，千万要给予高度重视，微信支付还有可能要求你发一小段视频做“人脸识别”。

预判

2015年6月8日一早，深圳的黄先生就收到验证电话的“光顾”。

原来，在前一天的深夜11点，他收到一条显示号码为10086的短信，通知他中了大奖。同时要求，想要拿到那笔巨额奖金，必须提供一定的个人信息，如身份证号、银行卡等。黄先生欣然同意，很快注册完毕。

12点45分，蚂蚁金服后台风控系统显示，黄先生突然在广州登陆支付宝，购买一台iPhone5s，花费4000元。但CTU却判定交易失败，将这笔买卖给拦截了，并对该账户的支付功能进行临时限制。原来，CTU根据黄先生的行为习惯得知，他平时通常购买理财产品或是转账，用的是苹果手机的操作系统。6月7日当晚账号在深圳登录后不到一小时又在广州进行网上购物，由此得出这笔交易可能并非黄先生本人，属交易行为异常，于是果断拦截。

第二天客服人员立即与黄先生取得联系，得知他昨晚一直在深圳，没有去广州，那笔交易并非本人操作。

事后查明，给黄先生发诈骗短信的是伪基站，当他按照该短信的提示输入身份证、银行卡信息时，事实上经由木马系统传递到骗子那里，骗子修改密码后拦截了发送给黄先生的提示短信，获取了验证码，之后通过黄先生的支付宝账户进行支付消费。

得益于大数据风控系统的预判机制，很多盗刷事件在没有发生实际损失之前就已经被拦截。这样的故事几乎每天都在上演。

“王泉，我是李梁，xx.com/xx.apk看看这人你还有印象吗？”3月9日下午，海南海口市市民王泉收到了陌生号码发来的一条短信。因为李梁是他的好友，于是他不假思索地点击了短信的链接，结果导致手机感染木马病毒造成近万元被盗。

不过，“李梁”骗了王泉，却没能瞒过FiT的大数据风控系统。风控系统检测到资金的流动与用户平常的交易行为偏离较大，存在欺诈风险，触发了拦截操作。随后，腾讯支付安全中心主动联系王泉，核实情况后，很快将被盗资金返归王泉。

“我们每天都有几十亿条大数据来分析用户到底是不是在安全的环境下来做支付、转账。我们还请了各路大牛来做我们的专家组成多元化团队，有传统银行过来的专家，在国外呆了很多年的信息安全博士后等。”周治明说。

联合作战

在病毒“大军”的疯狂袭击下，如果没有支付平台的大数据“警察”做好防护盾，结果可想而知。当然，仅有第三方支付平台的大数据风控系统这一层防护盾还远远不够。骗子的诈骗手法在不断变异、升级，仅靠技术上的碾压、“打怪升级”只是去病不去本。

最近几年，被央视以及各大媒体报道频繁的伪基站就是一个令人头疼的难题。“我们发现它就像一颗牛皮癣一样，非常顽固。就是变着各种法来，用户也确实比较容易上当受骗。”周治明告诉本刊，目前检测到的数据显示，伪基站是骗子运用较频繁的手段。

不过，伪基站并非一两家第三方支付平台的风控系统就能拔除。“一方面，我们会不断地优化自己的大数据风控系统，建立更多的模型，让算法变得更强大，提高拦截的精准度；另一方面，支付安全其实是一个链条，不是你一家就搞定，那肯定涉及到运营商、厂商、杀毒软件以及浏览器、银行等很多环节，都需要做一些防控措施。”周治明说。

事实上，在手机厂商这个层面，如果把手机系统做成iPhone一样相对的闭环，就有能力控制验证码的转移，但这需要考虑用户体验以及手机的物理更新。腾讯的FiT团队也积及参与、促成与手机厂商的合作。据了解，几大安卓手机生产商对升级系统，对抗伪基站都有较强烈的意愿。目前，有些厂商已经制定方案并开始投资了。

此外，第三方支付平台还积极地寻求与公安机关进行合作。除了大数据专家、相关的技术人才，蚂蚁金服和财富通的风控团队都吸收了来自执法体系的人员，还有的是警察背景。

“他们主要是从数据盘点方面为警方所需要的案件提供信息支持，因为他们之前执法体系的背景，更了解警方需求，可以更好地帮助警方做好一些案件的打击。”宋宠介绍说，“如果支付宝发现了性质比较恶劣，或者比较有新奇又有代表性的一些案件，我们也会主动提交给警方，帮助警方去促成主动打击和预防。”

在配合警方做打击的过程当中，风控团队还能了解犯罪分子一些作案手法、行为特征以及一些独特的兴趣，反哺到整个风险防控业务，提升自身的风险辨别和和控制能力。蚂蚁金服安全管理部门担任专案风险部和情报数据中心的负责人良曦，就做过派出所所长、街道副书记。目前，蚂蚁金服风控团队已配合警方打击的盗刷、金融诈骗等犯罪案件200多宗。

装五把锁还是十把锁？

“安全”一直是第三方支付平台整个业务体系中的重中之重。蚂蚁金服CEO彭蕾曾在多个场合提及支付宝的核心任务在于安全。腾讯FiT团队也把支付安全放在首位，“如果非要在支付安全和支付便捷中二选一时，那毫无疑问是要选择安全。”周治明告诉本刊。

传统银行业的数据中心，通常是封闭或者半封闭的，但支付宝、财付通等第三方支付平台是一个相对开放的系统，没办法关起门来，这就要求系统接受来自网上的各种检验——钓鱼、攻击、窃取，这对技术能力是非常大的考验。

除了不能“关门”，第三方支付平台还需要考虑在安全的前提下，保证便捷、流畅的用户体验。去年7月，支付宝9.0版本取消了手势密码，曾引起不少用户的疑虑和恐慌。但事实上，手势密码取消并未给支付安全造成隐患。“在以往技术相对落后时，我要保护财产安全，需要思考究竟是装五把锁安全，还是装十把锁。这其中我会有一个平衡考虑。但现在随着技术的不断进步，便捷性和安全性并不在一个维度上，两者并不是一个冲突的对立点。”宋宠解释说，去掉手势密码，我们可能通过其他的技术来保证安全，比如指纹认证及面部识别等，这些比传统的密码更安全，因为他本身是你身体的一部分，独一无二，很难复制。

当然，这一过程中也并非完全弃用之前的短信验证或者密码。宋宠指出，“如果我们的系统判断这笔交易不OK，我们就会进一步输出对应的安全策略，比如验证码、面部识别等。在整个过程中，我们现在运用的是一个综合防御交互的概念。”

针对支付产品便捷与安全之间的博弈，周治明有着独特的看法。“支付并非纯互联网游戏，做得越方便、越好上手，用户就会越喜欢。毕竟是和钱打交道，其实做得略重一点，整体的用户体验反而会上升。因为用户在使用时，会思考我卡交给你，你到底安不安全？他需要你给他传递这样一个信息。有时候给他打一个电话确认一下交易，做一个人脸识别，他反而觉得更好，并非在干扰我。”当然，“安全和便捷并非不可调和，非此即彼，非黑即白，然后非得二选一。”周治明表示，通过优化风控、运用新技术，完全可以做到平衡。

为了保护支付安全，央行也会时不时地在政策上给第三方支付机构加一把“锁”。去年12月，央行公布了《非银行支付机构网络支付业务管理办法》（以下简称“管理办法”），要求支付机构根据客户身份认证情况将个人网络支付账户分为三类，并规定各类账户的信息认证标准。身份验证要素包括：密码、电子签名，甚至指纹等生理特征。

①开设Ⅰ类账户可以采用非面对面方式，通过至少一个外部渠道验证身份，比如居民身份证信息，这类账户付款限额是自账户开立起累计1000元；

②开设Ⅱ类账户需要面对面验证身份，或以非面对面方式通过至少三个外部渠道验证身份，账户付款限额为每年累计10万元；

③最严格的是开设Ⅲ类账户，它需要面对面验证身份，或者以非面对面方式通过至少五个外部渠道验证身份，付款限额是每年累计20万元。

BigData-Research发布的数据显示，2015年中国第三方移动支付市场交易总规模达9.31万亿元。而今年7月1日，即将实施的“管理办法”，无疑给这笔体量巨大的财富加了一层安全防护。

不过，道与魔的战争还会继续。除了依靠大数据“警察”、整个防控链条的建立以及“央妈”的保护，用户自己也要提高警惕。

大数据告诉你，男性其实最好骗

1

七成以上资金受到侵害的用户为男性，年龄集中在19-35岁

2

资金受损十大城市：北京、重庆、广州、深圳、上海、福州、成都、武汉、长沙、郑州，八个集中在南方

3

每天大约有60万人次连接了存在安全风险的WiFi

4

平均每天有81000 多人遭受支付类病毒的侵害