【涨姿势】支付宝怎么做风险控制?

标签: 酷玩 支付宝 蚂蚁金服 | 发表时间:2015-06-03 18:26 | 作者:郭海峰
出处:http://www.pingwest.com

作为一款实名用户数超过3亿、单天交易笔数能够达到1.97亿的交易工具,支付宝是靠什么来保障账户的安全。

640

首先,支付宝密码都是怎么丢失的?

最大的丢失来源是扫号,你在别的网站账号密码丢失后,被用来登陆支付宝。由于使用的是同一套密码,所以导致支付宝密码丢失。这样的丢失比例,占到整个密码丢失案例的47%。

第二种就是社工,假冒各种公检法、熟人好友、假客服等,通过短信、聊天工具,把你的各类信息骗走,然后盗取或是更改你的密码。钓鱼和木马也有一定比例,钓鱼就是搞个假网站,比如弄个tiaobao.com,长得和淘宝很像,蒙骗你输入账号、密码,而木马就是中毒。

相比而言,手机丢失导致密码丢失的占比不高,大概是2%。

7

在密码丢失后,支付宝产品体系中还有一个叫CTU的风控大脑,这个被训练了8年时间的风险判定工具,会根据策略对交易进行风险进行打分,区间在0-1。当交易风险大于0.93时,将会直接拒绝交易。风险程度高的时候,支付宝会要求进行二次校验,来判定是否账户本人。

A是在深圳的支付宝用户,平时经常使用支付宝来购买理财产品。去年6月7日,A接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。当天深夜,骗子在获得A的信息后,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,下单了一台iPhone5,但在进行支付的时候,CTU直接判定交易失败,并对账户进行了限制。第二天,支付宝客服与用户进行了沟通,确认了账户被盗。

这起交易的中止,便是因为风险评分太高。首先,登陆的设备不是主人的日常设备,登陆地点不在深圳,而在广州某小区。第二,对于修改密码的行为,CTU很困惑。一个经常输入密码的人,深更半夜去修改密码干嘛,一般修改密码都是密码忘记了,要找回密码才会重置嘛。最后,主人平时主要就是理财,极少淘宝,而大半夜改了密码就直接下单iPhone,违背常理。所以,CTU中止了交易。

关系是CTU判定风险的一个重要维度。当账户被盗后,要把钱转走,去到另一个账户。而如果这个账户和你从未有过资金往来,和你的朋友们也没有过资金往来,CTU就会提高警觉了。再进一步,如果这个账户是曾经有过不良记录的,或者和黑名单账户有过某些交集,CTU很大程度就会拦截。因为它会判定,这估计不是账户本人在操作。

用户操作手机的习惯也是CTU进行风险判定的一个重要维度。每个人的行为都会有自己的习惯,就好像走路的姿势、笔迹一样。每个人触控手机屏幕的方式不同,而手机上是有很多传感器的,所以可以通过指压、接触面积、重力变化,连续间隔时间等,可以帮助判断是否是本人操作。支付宝透露,通过这项技术的应用,判定风险的成功率提升了5倍。

3

账户、设备、位置、行为、关系、偏好,每一个大类里面都会包含很多细的策略。而这样的策略总计有1万条左右,CTU通过运算这些复杂策略来进行风险判定。

根据蚂蚁金服高级安全策略专家冯力国提供的数据,这样的方式最终导致资金损失的概率,在100万分之一左右,小于四胞胎的出生概率。

 

相关阅读:

     阿里巴巴和腾讯都开始抢做国家生意了

     ​一场大型现实主义喜剧:《支付宝瘫痪的那个下午》

     【今日乐见】支付宝早晨说明天是支付宝特惠日,晚上它就挂了

     用支付宝买哈根达斯,给女朋友

相关 [姿势 支付宝 风险控制] 推荐:

【涨姿势】支付宝怎么做风险控制?

- - PingWest品玩
作为一款实名用户数超过3亿、单天交易笔数能够达到1.97亿的交易工具,支付宝是靠什么来保障账户的安全. 首先,支付宝密码都是怎么丢失的. 最大的丢失来源是扫号,你在别的网站账号密码丢失后,被用来登陆支付宝. 由于使用的是同一套密码,所以导致支付宝密码丢失. 这样的丢失比例,占到整个密码丢失案例的47%.

美团风险控制系统综述

- - 美团点评技术团队
在商业交易和复杂管理过程中,风险是无处不在的. 我们常说的 风险控制,就是指风险管理者采取各种措施和方法,消灭或减少风险发生可能性和风险所造成损失的过程. 这在传统的企业管理、金融借贷、资金审计等领域中尤为重要,并已在实际操作中发展出了一套相对完整的理论和方法. 随着互联网本地在线服务(O2O)的快速发展,越来越多的交易正在从传统的线下传统渠道迁移到在线、实时的平台上,互联网平台为了培育市场,也在运营和推广中投入了大量资金.

感恩支付宝

- Lee - 白鸦,以用户为中心的设计
几天前,我一边写离职信一边在处理深圳贝塔的事情,被旁边的朋友误认为是要去深圳腾讯. 交友不慎加上微博的力量太可怕,消息越传越真,各种背叛理论也被同事们说来说出,现在自己在这里澄清下:我今天(10月24日)刚从支付宝离职,接下来会先梳理一下杭州、北京、广州和正在筹建的深圳贝塔,并非是去腾讯. 最近三个月我的工作状态一直不是很好,因为我这个任性的家伙一直成长的很慢,无法跟上公司的快速发展,感觉自己在慢慢的掉队.

Steam支持支付宝

- SnakeYi - Solidot
最大的数字游戏发行平台Steam开始支持支付宝付费,并且汇率是根据最新的报价换算的. 例如,如果用户充值100美元,通过支付宝交易,它将根据中国建设银行汇率实时报价,例如1.00 美元 = 6.365 人民币,将100美元换算成636.50元人民币. 支持支付宝方便了中国玩家从Steam上购买数字游戏.

支付宝系统架构

- - 编程语言 - ITeye博客
支付宝的开源分布式消息中间件–Metamorphosis(MetaQ). Metamorphosis (MetaQ) 是一个高性能、高可用、可扩展的分布式消息中间件,类似于LinkedIn的Kafka,具有消息存储顺序写、吞吐量大和支持本地和XA事务等特性,适用 于大吞吐量、顺序消息、广播和日志数据传输等场景,在淘宝和支付宝有着广泛的应用,现已开源.

新支付宝 Linux 控件现身

- iSingle - LinuxTOY
新一代的支付宝 Linux 控件泄露,支持 Firefox 3.6 - 4.0 /Chrome 7-9 等浏览器,支持 x86/x86_64 架构. 关于新版控件的正式发布公告还未出来:下载地址(访问不能. 安装前建议删除原先的老版本控件. 下载后强烈建议使用 md5sum 检查文件完整性,之后两次解包,运行其中脚本即可.

支付宝股权转移迷局

- Rex Cheng - 南都周刊-热点新闻
南都周刊记者_秦旺   实习记者_雷顺莉. 5月11日晚,11点刚过,原阿里巴巴公关总监,阿里巴巴集团资深副总裁王帅接到了同事发来的短信:《福布斯》网络版报道,从2010年开始,阿里巴巴集团已将外资的支付宝(中国)网络技术公司100%的股权,转让给了马云控股的浙江阿里巴巴电子商务公司. 这是《福布斯》从美国雅虎刚公布的今年一季度财报中获取的信息,这段信息夹在冗长的财报文件中,实际上除《福布斯》外的国外媒体都没注意到.

[大声]喂,支付宝:12306 冤不冤?

- - 爱范儿 · Beats of Bits
支付宝昨日订单数超过一亿,而 12306 最高一天出票量大约是 166 万. 替 12306 喊冤的可以不必了. 《喂,支付宝:12306 冤不冤. 今天几乎所有的网络版面都被天猫和支付宝的消息轰炸了一遍,后者在“11·11”光棍节当天表现疯狂,不仅令国内竞争对手胆寒,成为国民茶余饭后咀嚼的材料,更令 西方媒体咋舌.

支付宝面试电话(2014/3/24)

- - 行业应用 - ITeye博客
1.自我介绍(从毕业到现在经历哪些公司,哪些项目).  2.项目介绍(项目有什么难点,会问具体某个模块是怎么做的).  3.说下缓存(Encach)重点是什么.  4.session的缓存是怎么做的.  5.说下spring的ioc 跟aop.  6.说下常用的设计模式.  7.抽象类跟接口的区别,什么时候用抽象类,什么时候用接口.