支付宝是怎么做风险控制的?

2015-06-15 09:00482

作为一款实名用户数超过3亿、单天交易笔数能够达到1.97亿的交易工具,支付宝是靠什么来保障账户的安全。首先,支付宝密码都是怎么丢失的?最大的丢失来源是扫号,你在别的网站账号密码丢失后,被用来登陆支付宝。由于使用的是同一套密码,所以导致支付宝密码丢失。这样的丢失比例,占到整个密码丢失案例的47%。

作为一款实名用户数超过3亿、单天交易笔数能够达到1.97亿的交易工具,支付宝是靠什么来保障账户的安全。

        首先,支付宝密码都是怎么丢失的?

最大的丢失来源是扫号,你在别的网站账号密码丢失后,被用来登陆支付宝。由于使用的是同一套密码,所以导致支付宝密码丢失。这样的丢失比例,占到整个密码丢失案例的47%。

第二种就是社工,假冒各种公检法、熟人好友、假客服等,通过短信、聊天工具,把你的各类信息骗走,然后盗取或是更改你的密码。钓鱼和木马也有一定比例,钓鱼就是搞个假网站,比如弄个tiaobao.com,长得和淘宝很像,蒙骗你输入账号、密码,而木马就是中毒。

相比而言,手机丢失导致密码丢失的占比不高,大概是2%。

在密码丢失后,支付宝产品体系中还有一个叫CTU的风控大脑,这个被训练了8年时间的风险判定工具,会根据策略对交易进行风险进行打分,区间在0-1。当交易风险大于0.93时,将会直接拒绝交易。风险程度高的时候,支付宝会要求进行二次校验,来判定是否账户本人。

A是在深圳的支付宝用户,平时经常使用支付宝来购买理财产品。去年6月7日,A接收了伪基站10086的短信,主动输入了身份证信息和银行卡信息,并中手机木马。当天深夜,骗子在获得A的信息后,成功获取校验码后修改登录密码,并在广州某小区登陆,之后又修改支付密码。接着,下单了一台iPhone5,但在进行支付的时候,CTU直接判定交易失败,并对账户进行了限制。第二天,支付宝客服与用户进行了沟通,确认了账户被盗。

这起交易的中止,便是因为风险评分太高。首先,登陆的设备不是主人的日常设备,登陆地点不在深圳,而在广州某小区。第二,对于修改密码的行为,CTU很困惑。一个经常输入密码的人,深更半夜去修改密码干嘛,一般修改密码都是密码忘记了,要找回密码才会重置嘛。最后,主人平时主要就是理财,极少淘宝,而大半夜改了密码就直接下单iPhone,违背常理。所以,CTU中止了交易。

关系是CTU判定风险的一个重要维度。当账户被盗后,要把钱转走,去到另一个账户。而如果这个账户和你从未有过资金往来,和你的朋友们也没有过资金往来,CTU就会提高警觉了。再进一步,如果这个账户是曾经有过不良记录的,或者和黑名单账户有过某些交集,CTU很大程度就会拦截。因为它会判定,这估计不是账户本人在操作。

用户操作手机的习惯也是CTU进行风险判定的一个重要维度。每个人的行为都会有自己的习惯,就好像走路的姿势、笔迹一样。每个人触控手机屏幕的方式不同,而手机上是有很多传感器的,所以可以通过指压、接触面积、重力变化,连续间隔时间等,可以帮助判断是否是本人操作。支付宝透露,通过这项技术的应用,判定风险的成功率提升了5倍。

账户、设备、位置、行为、关系、偏好,每一个大类里面都会包含很多细的策略。而这样的策略总计有1万条左右,CTU通过运算这些复杂策略来进行风险判定。

根据蚂蚁金服高级安全策略专家冯力国提供的数据,这样的方式最终导致资金损失的概率,在100万分之一左右,小于四胞胎的出生概率。

0
标签:风险 
发表评论
同步到贸金圈表情
最新评论

线上课程推荐

火热融资租赁42节精品课,获客、风控、资金从入门到精通

  • 精品
  • 上架时间:2020.10.11 10:35
  • 共 42 课时
相关新闻

国务院印发《关于加强监管防范风险推动保险业高质量发展的若干意见》

2024-09-13 12:55
98259

金融监管总局:保险机构应建立欺诈风险管理信息系统或将现有信息系统嵌入相关功能

2024-08-05 11:42
61558

国家金融科技风险监控中心与360达成战略合作

2024-08-05 11:42
58364

四部门与天津发文:强化监管科技运用和数字金融风险评估

2024-08-05 11:39
50186

金融稳定法草案二审稿完善金融风险防范处置相关规定

2024-06-28 11:55
52978

实探港险跨境投保 监管声声急 三大风险交织

2024-06-20 14:03
75458
7日热点新闻
热点栏目
贸金说图
专家投稿
贸金招聘
贸金微博
贸金书店

福费廷二级市场

贸金投融 (投融资信息平台)

活动

研习社

消息

我的

贸金书城

贸金公众号

贸金APP