支付風控系統設計:支付風控場景分析(一)

風控是一個讓人愛恨交加的話題。 對支付來說風控是必不可少的功能。這個系列的文章將試圖從這兩個領域簡單梳理下支付風控面臨的問題，以及如何從技術角度來解決這些問題。

風控是一個讓人愛恨交加的話題。 對支付來說風控是必不可少的功能。只要老闆不想把底褲都賠掉，那就必須上風控。可對網際網路公司來說，風控是一個謎一般的話題，無論是對風控專家還是IT工程師而言。隨著網際網路和大數據技術的引入，風控變成了一個跨學科的領域，可這無疑是網際網路公司裡面最同床異夢的跨學科。

機器學習、深度學習、規則推理、隨機森林……光這些名詞就足以讓人風控專家望而怯步；而風險事件、盡職調查、巴塞爾協議……這些名詞，一提起來IT人員就頭大。這個系列的文章將試圖從這兩個領域簡單梳理下支付風控面臨的問題，以及如何從技術角度來解決這些問題。

概念定義

按照教科書的說法， 風險是指在特定場景下，特定時間內某個損失發生的可能性，或者說是在某一個特定時間段裡，人們所期望達到的目標與實際出現的結果之間的差距。金融領域自從誕生以來，就一直伴隨著風險。風險控制是指風險管理者採取各種措施和方法，消滅或減少風險事件發生的各種可能性，或風險控制者減少風險事件發生時造成的損失。這裡又引入了一個詞，風險事件， 它和風險因素經常容易混淆。 風險事件指造成風險的直接原因，風險因素則是間接原因。 如下雨天路滑導致發生車禍造成人員傷亡。 則車禍是人員傷亡的直接原因，是風險事件。而下雨天是間接原因，屬於風險因素。 先看一條小道消息驚悚下：

風控做不好，一個晚上2個億就出去了。饒是該公司財大氣粗，也扛不住幾次折騰。一個漏洞搞垮一個小公司也是常有的事。對支付系統來說，安全是第一考慮的問題，特別是資金安全，這需要風控系統來保駕護航。那一般來說，支付系統會面臨哪些風險？ 不同文獻有不同的風險分類，本文試圖從帳戶、資金、交易、操作、信用風險角度來詳細描述。

帳戶風險

支付系統最常見的，也是在黑產圈中最為成熟的，那就得算帳戶的風險，即俗話說的「盜號」。近幾年來，各大型網際網路網站的帳戶洩露事故層出不窮，攜程，京東，CSDN等都中過招，每一次都能引起軒然大波。而在黑產圈，帳號竊取都形成了一套完整成熟的產業鏈。

這是目前在黑產圈中帳戶攻擊的主要流程，以下分析在這個過程中每個階段的具體操作，為風險系統設計提供依據。

拖庫

拖庫是實施帳戶攻擊的第一步。考慮到大型網站一般防守比較嚴密，黑客一般選擇從小型網站入手，入侵到一些防守薄弱或有漏洞的網站，將註冊用戶的資料竊取出來。常見手法包括：

1. 利用作業系統和系統組件漏洞

比如近年來殺傷力最大的漏洞之一Heartlbleed 漏洞。這個漏洞，在2012年OpenSSL軟體發布時帶有這個bug，而正式公開時間是2014年。Heartbleed漏洞使得黑客有可能通過memory dump的手段來獲取到伺服器上接受的用戶請求、密碼、甚至是伺服器的私鑰。只要持續不斷的攻擊，任何被加載到內存中且不幸被加載到和OpenSSL在同一個區塊內存中的數據，都會被黑客所獲取。 這兩年期間，有多少黑客使用了這個漏洞來竊取網站信息，就不得而知了。 由於此類漏洞的發現和修復往往有一定的時間差，這也給黑客利用漏洞竊取信息帶來了便利。

2. 利用網站所使用的第三方組件漏洞

如臭名昭著的Apache Struts系列漏洞。從2010年開始， 不斷地有漏洞暴露出來， 這些漏洞直奔struts所使用的OGNL表達式，通過構建各種匪夷所思的表達式， 可以遠程執行任意命令，包括訪問根目錄。由於SSH（Springframework + Apache Struts + Hibernate）架構入門簡單、上手容易，再加上各種IT培訓機構不遺餘力的推廣，在國內電商、銀行、運營商網站上被大量使用。每次Apache Struts 漏洞的發布，都能夠掀起一番血雨腥風。 而Apache組織對這些漏洞響應不及時，修復慢，更讓這些機構雪上加霜。遠離Apache Struts更是支付系統的基本要求。

3. SQL注入攻擊

基本上所有網站都會用到資料庫。而一些新手在寫代碼的時候，對用戶輸入數據不做驗證或者驗證不到位，就把這些數據直接通過拼接SQL語句寫入到資料庫中，這就很容易導致SQL注入攻擊。 比如系統在判斷用戶名和密碼是否正確時，會使用這個SQL語句來查詢資料庫：

攻擊者可以嘗試修改密碼為 『 OR 『a』 = 『a ， 拼接成SQL語句：

由此執行成功，獲取管理後臺的權限。

這三個是常見的攻擊方式。 當然還有其他的方式，如木馬，釣魚網站等等，不再詳細描述。

洗庫

在攻入伺服器，獲取到資料，特別是資料庫的信息後， 需要對信息進行分析。 不是所有的信息都可以直接使用，部分信息，如密碼，身份證等，一般都會加密存儲。 通過暴力、字典或者彩虹表的方式來破解，獲取到破解後的信息，就拿到用戶名，密碼等資料。

暴力破解：如果知道用戶名或者密碼的範圍，可以通過枚舉的方法逐個嘗試。 對密碼來說，會受限於密碼的長度，如果長度在8位以上，那可枚舉項就太多了，需要幾天甚至幾年的計算才能破解。字典表：其實也是暴力破解的一種，區別是可以預先計算出來一些常見的組合，比如生日之類的，然後使用這些組合來進行破解。彩虹表：這是一種破解哈希算法的技術，是黑客必備的跨平臺密碼破解方法，可以破解MD5進行哈希處理的密碼。它的性能優異，在一臺普通PC上輔以NVidia CUDA技術，對於Microsoft Windows作業系統使用的NTLM密碼加密算法，可以達到最高超過1千億次每秒的明文嘗試。對於廣泛使用的MD5也接近一千億次。撞庫

第三步是撞庫，就開始進攻真正的目標網站了。 把拿到的帳戶信息去嘗試登陸大型網站。因為大部分用戶，習慣於在多個網站使用同一套帳戶和密碼。如果登錄成功，則可以進一步竊取更多的用戶信息，比如信用卡信息等。 由此可見， 撞庫攻擊本質上是利用用戶相同的註冊習慣，以大量的用戶數據為基礎，嘗試登陸目標網站，從而竊取更多的用戶資料。 這也使得黑客無需進行系統攻擊的情況下，即可輕易獲取目標用戶信息。

更進一步，黑客們會把這些資料整理後，形成社工庫。這個庫也日益壯大， 目前有千萬規模。除了用戶名密碼，還有大量的個人隱私也被挖掘出來。比如如家2000萬數據洩露，其中包含開房信息；QQ群用戶信息洩露、京東2015年初用戶信息洩露。這都導致大量的個人隱私被竊取甚至出售。

由此可見，帳戶被竊取，往往是網站防護薄弱和用戶安全意識薄弱兩種因素導致。

交易風險

支付的交易風險主要是交易過程中的各種惡意行為，而這些行為在電商系統中表現特別突出，包括 自動刷單、人工批量下單以及異常大額訂單等場景。在秒殺的時候， 由於其價格有很大的優惠力度， 黃牛會採用機器批量註冊帳號、機器搶購等方式來爭取秒殺商品，普通消費者很難享受到秒殺的實惠，使得秒殺活動效果大打折扣。此外，在商家側，主要的風險在於刷單。不少商家使用刷單、刷評價的方式來以非正常途徑提升銷量，積分，信譽等。甚至通過刷單的方式來套取補貼，幫助套現。 從阿里公司發布的《網際網路信任環境調查報告》來看，大部分用戶在購買的時候，會看中商家的資質和誠信，商品的銷量、評論也往往會成為購買的一個參考。 在這種情況下， 刷單就成為一個提升店鋪交易量的重要手段。而刷單和反刷的貓鼠遊戲，也推高了刷單識別的難度。 以電商為例，一般刷單行為有如下特徵：

小號刷單。誰也不會用自己的註冊帳號來刷單，這樣被封的代價就太大了。 小號的來源，可能是商家自己組織註冊的，但大部分還是從專業刷單機構手中獲取的。使用虛擬機。大部分網站都會為訪問設備植入識別碼。通過虛擬機，可以在一個物理機上模擬多臺機器訪問，隨用隨建。一般使用VMWare來建立虛擬機。而對手機設備，則會採用手機模擬器。使用VPN。 這樣可以偽裝使用全國任何一個地區的IP，甚至可以使用國外的VPN。使用手機IP：移動和聯通的IP出口少，所以大部分手機端的出口IP並不多。 這些IP是電商的白名單，把某個IP封了，那會有大量的手機無法正常訪問。 所以刷單人員會選擇使用這些IP。刷虛擬物品：虛擬物品不涉及到物流環節，交易流程簡單，很容易就可以把量刷上去。低價刷單：為了降低成本，往往會將單品價格調低，或者成交金額調低來支持刷單。交易商品少：刷單時，僅選擇少量幾個商品進行。互刷： 一些商家會勾結起來，相互刷單。

這些是從刷單行為的角度來分析的結果。看來簡單，可對支付系統來說，如何交易記錄中識別出小號、互刷、低價等這些特徵，都需要使用大量的數據進行分析才能搞定。

資金風險

2016年11月份的時候， 網上突然出現了大量懷疑支付寶沉澱資金用途的帖子，這些帖子在有意無意地引導一個觀點： 支付寶將沉澱資金用於恒生HOMS系統的場外配資，用戶將資金投放到餘額寶有巨大資金風險。 毫無疑問，從監管的角度來看，這是不可能的事情。 但這謠傳也揭示了支付系統的另一個風險：資金風險。 發展沉澱資金成為支付系統，特別是第三方支付系統的一個公開的秘密。

沉澱資金主要有兩種形式：

在途資金 ：指買賣雙方在確認交易後，完成結算前尚未到達賣方帳戶的資金。在買方沒有最終確認收貨之前，資金暫時交由第三方支付進行保管。這樣在買賣雙 方從開始交易到最終完成貨款兩清的這段時間差內，這些存在於第三方支付平臺內部的資金，被稱為在途資金。留存資金：對採用交易擔保型帳戶的支付機構，客戶需要開立虛擬帳戶來完 成交易。機構也會吸引客戶進行充值操作，即留存一些資金用於交易。比如微信支付和支付寶的錢包。 當有交易需求時，可以直接從這裡進行扣款。這些留存於虛擬帳戶中的資金也是沉澱資金的一部分。

沉澱資金對支付來說是必要的， 通過這個資金來幫助買賣雙方解決信任的問題，有利於提升用戶體驗。但這個資金也帶來不少風險。2013 年 央行出臺了《支付機構客戶備付金存管辦法》，其中明確要求第三方支付機 構對於客戶的備付金要進行嚴格的區分管理，這一定程度上限制了沉澱資金風險的發生。也就是說，沉澱資金是客戶的錢，支付公司不能挪用。支付公司可以獲得沉澱資金的利息收益，但是不能夠用這個資金來進行投資或者公司內部的消費。對這筆資金進行合理監控避免出現風險，也是支付系統需要考慮的問題。

套現風險

我國法律明確禁止使用信用卡套現，使用信用卡套現是違法的。但是在線支付系統中，使用信用卡進行套現，幾乎是不需要成本的。 信用卡套現的手段也很多，一般是通過客戶和商家的勾結來完成，比如：

虛假購買，客戶通過信用卡購買某商品後，商品並未實際發貨，商家將購買的款項打回給客戶，完成套現。退貨套現：或者通過信用卡來購買商品，然後退貨，將退款返回到借記卡或者其他可提現的渠道，也能完成套現。自買自賣：商家通過信用卡購買自己的商品，將貨款打入到借記卡中，完成套現。

上述的套現手段，很難識別。套現很難完全杜絕，除了要求退款資金必須原路返回外，還可以通過數據分析手段來減少發生的頻率。

操作風險

按照巴塞爾委員會《操作風險管理》的定義， 操作風險主要是指那些由於用戶支付終端操作失誤、工作人員違規操作、內控機制失靈等人員操作上的原因引致損失的風險，或者說是外部風險、員工風險和流程風險。

流程風險指由公司的規章制度管理、業務流程不完善而引發的風險。對一些支付公司而言，作為新興的經濟形式，不像銀行那樣有一套成熟、規範的流程以及完善的培訓機制，這就容易觸發流程風險。在以「快」為特徵的網際網路公司，功能創新非常重要，但往往也容易忽視了風險管理相關配套制度的建設和落實，從而為線上運行的新功能帶來隱患。當新的支付方式上線後，配套的清結算、記帳、對帳等功能，未必能夠及時地跟上，更不用說相關的內控制度建設、崗位人員配備的工作。

員工風險指的是支付機構的員工不遵守職業道德，違法違規或違章操作，單獨或參與騙取、盜用機構資產和客戶資金，工作疏忽等行為導致的損失。在缺乏成熟培訓機制的網際網路公司中，這類問題往往更加突出。

欺詐行為：員工同外部人員相勾結，通過挪用資金、職務侵佔等方式非法佔有公司財產或者洩露出賣公司商業秘密的行為。越權行為：員工未經授權、或超越工作權限導致的損失，比如開發人員私自修改資料庫給人送優惠券。錯誤操作：員工在具體業務操作過程中的失誤造成的錯誤操作。合規風險

合規風險指機構因未能遵守相關的法律法規從而導致機構可能受到處罰、聲譽受損的風險。從2004年的電子籤名法開始，和支付相關的法律法規：

其中2010年的《非金融機構支付服務管理辦法實施細則》是一個標誌性的法規，標識國家開始認可第三方支付的地位並開始執行監管。 之後，央行又陸續出臺一系列法規來規範支付行業的發展。可以說，支付行業的業務創新，是一個不斷地由亂而治的過程。而對支付公司來說，滯後的法規建設，也給業務發展帶來了巨大的風險。 2013年支付寶推出網際網路理財產品餘額寶，在短期內迅速發展成為國內最大的基金。隨後多家支付機構也開始開展這個業務，後續央行出臺了《支付機構網絡支付業務管理辦法》，對支付公司的業務範圍、資金轉移金額進行限制，避免了該業務的過度發展。 2014年央行也相繼叫停了虛擬信用卡、二維碼支付等業務。

合規風險是國內第三方公司一個無法規避的風險，在企業發展過程中，需要密切關注央行的動向，減少合規帶來的負面影響。

洗錢風險

第三方支付目前成為洗錢的重災區。 2016年8月，18家支付機構被公安部列為重點整改對象。 這些支付機構提供的服務，存在未落實實名制、風控措施不嚴格等問題，被犯罪分子所利用，淪為咋騙和洗錢的工具。主要手段包括：通過一些第三方支付平臺發行的商戶POS機虛構交易套現；將詐騙得手的資金轉移到第三方支付平臺帳戶，在線購買遊戲點卡、比特幣、手機充值卡等物品，再轉賣套現；利用第三方支付平臺轉帳功能，將贓款在銀行帳戶和第三方支付平臺之間多次切換，使得公安機關無法及時查詢資金流向，逃避打擊。2012年央行發布的《支付機構反洗錢和反恐怖融資管理辦法》，對支付機構如何防範洗錢風險做了明確的規範和要求，需要支付公司嚴格遵守。

以上是支付系統可能面臨的風險分析。支付風控系統是通過採集交易、渠道、商品、帳戶、用戶等信息，對這些數據進行實時和定時的挖掘分析，識別出各種風險，採取各種措施降低損失。這是支付風控系列的第一篇文章，這個系列將包括如下內容：

支付風控場景分析（本文）；支付風控數據倉庫建設；支付風控模型和流程分析；支付風控系統架構。

作者：鳳凰牌老熊，程式設計師 & 架構師

本文由@鳳凰牌老熊（微信公眾號：shamphone） 原創發布於人人都是產品經理 。未經許可，禁止轉載。