風控是一個讓人愛恨交加的話題。 對支付來說風控是必不可少的功能。只要老板不想把底褲都賠掉，那就必須上風控。可對互聯網公司來說，風控是一個謎一般的話題，無論是對風控專家還是IT工程師而言。隨著互聯網和大數據技術的引入，風控變成了一個跨學科的領域，可這無疑是互聯網公司里面最同床異夢的跨學科。機器學習，深度學習，規則推理，隨機森林….光這些名詞就足以讓人風控專家望而怯步;而風險事件、盡職調查、巴塞爾協議.. 這些名詞，一提起來IT人員就頭大。這個系列的文章將試圖從這兩個領域簡單梳理下支付風控面臨的問題，以及如何從技術角度來解決這些問題。

概念定義

按照教科書的說法， 風險是指在特定場景下，特定時間內某個損失發生的可能性，或者說是在某一個特定時間段里，人們所期望達到的目標與實際出現的結果之間的差距。金融領域自從誕生以來，就一直伴隨著風險。風險控制是指風險管理者采取各種措施和方法，消滅或減少風險事件發生的各種可能性，或風險控制者減少風險事件發生時造成的損失。這里又引入了一個詞，風險事件， 它和風險因素經常容易混淆。 風險事件指造成風險的直接原因，風險因素則是間接原因。 如下雨天路滑導致發生車禍造成人員傷亡。 則車禍是人員傷亡的直接原因，是風險事件。而下雨天是間接原因，屬于風險因素。 先看一條小道消息驚悚下

風控做不好，一個晚上2個億就出去了。饒是該公司財大氣粗，也扛不住幾次折騰。一個漏洞搞垮一個小公司也是常有的事。對支付系統來說，安全是第一考慮的問題，特別是資金安全，這需要風控系統來保駕護航。那一般來說，支付系統會面臨哪些風險? 不同文獻有不同的風險分類，本文試圖從賬戶、資金、交易、操作、信用風險角度來詳細描述。

賬戶風險

支付系統最常見的，也是在黑產圈中最為成熟的，那就得算賬戶的風險，即俗話說的“盜號”。近幾年來，各大型互聯網網站的賬戶泄露事故層出不窮，攜程，京東，CSDN等都中過招，每一次都能引起軒然大波。而在黑產圈，賬號竊取都形成了一套完整成熟的產業鏈。

這是目前在黑產圈中賬戶攻擊的主要流程，以下分析在這個過程中每個階段的具體操作，為風險系統設計提供依據。

拖庫

拖庫是實施賬戶攻擊的第一步。考慮到大型網站一般防守比較嚴密，黑客一般選擇從小型網站入手，入侵到一些防守薄弱或有漏洞的網站，將注冊用戶的資料竊取出來。常見手法包括：

1. 利用操作系統和系統組件漏洞

比如近年來殺傷力最大的漏洞之一Heartlbleed 漏洞。這個漏洞，在2012年OpenSSL軟件發布時帶有這個bug，而正式公開時間是2014年。Heartbleed漏洞使得黑客有可能通過memory dump的手段來獲取到服務器上接受的用戶請求、密碼、甚至是服務器的私鑰。只要持續不斷的攻擊，任何被加載到內存中且不幸被加載到和OpenSSL在同一個區塊內存中的數據，都會被黑客所獲取。 這兩年期間，有多少黑客使用了這個漏洞來竊取網站信息，就不得而知了。 由于此類漏洞的發現和修復往往有一定的時間差，這也給黑客利用漏洞竊取信息帶來了便利。

2.利用網站所使用的第三方組件漏洞

如臭名昭著的Apache Struts系列漏洞。從2010年開始， 不斷地有漏洞暴露出來， 這些漏洞直奔struts所使用的OGNL表達式，通過構建各種匪夷所思的表達式， 可以遠程執行任意命令，包括訪問根目錄。由于SSH(Springframework + Apache Struts + Hibernate)架構入門簡單、上手容易，再加上各種IT培訓機構不遺余力的推廣，在國內電商、銀行、運營商網站上被大量使用。每次Apache Struts 漏洞的發布，都能夠掀起一番血雨腥風。 而Apache組織對這些漏洞響應不及時，修復慢，更讓這些機構雪上加霜。遠離Apache Struts更是支付系統的基本要求。

3. SQL注入攻擊

基本上所有網站都會用到數據庫。而一些新手在寫代碼的時候，對用戶輸入數據不做驗證或者驗證不到位，就把這些數據直接通過拼接SQL語句寫入到數據庫中，這就很容易導致SQL注入攻擊。 比如系統在判斷用戶名和密碼是否正確時，會使用這個SQL語句來查詢數據庫：

SELECT 1 FROM users WHERE username = 'admin' AND password = 'guest' 

攻擊者可以嘗試修改密碼為 ‘ OR ‘a’ = ‘a ， 拼接成SQL語句：

SELECT 1 FROM users WHERE username = 'admin' AND password = 'guest' OR 'a'='a' 

由此執行成功，獲取管理后臺的權限。

這三個是常見的攻擊方式。 當然還有其他的方式，如木馬，釣魚網站等等，不再詳細描述。

洗庫

在攻入服務器，獲取到資料，特別是數據庫的信息后， 需要對信息進行分析。 不是所有的信息都可以直接使用，部分信息，如密碼，身份證等，一般都會加密存儲。 通過暴力、字典或者彩虹表的方式來破解，獲取到破解后的信息，就拿到用戶名，密碼等資料。

-暴力破解：如果知道用戶名或者密碼的范圍，可以通過枚舉的方法逐個嘗試。 對密碼來說，會受限于密碼的長度，如果長度在8位以上，那可枚舉項就太多了，需要幾天甚至幾年的計算才能破解。

-字典表：其實也是暴力破解的一種，區別是可以預先計算出來一些常見的組合，比如生日之類的，然后使用這些組合來進行破解。

-彩虹表：這是一種破解哈希算法的技術，是黑客必備的跨平臺密碼破解方法，可以破解MD5進行哈希處理的密碼。它的性能優異，在一臺普通PC上輔以NVidia CUDA技術，對于Microsoft Windows操作系統使用的NTLM密碼加密算法，可以達到最高超過1千億次每秒的明文嘗試。對于廣泛使用的MD5也接近一千億次。

撞庫

第三步是撞庫，就開始進攻真正的目標網站了。 把拿到的賬戶信息去嘗試登陸大型網站。因為大部分用戶，習慣于在多個網站使用同一套賬戶和密碼。如果登錄成功，則可以進一步竊取更多的用戶信息，比如信用卡信息等。 由此可見， 撞庫攻擊本質上是利用用戶相同的注冊習慣，以大量的用戶數據為基礎，嘗試登陸目標網站，從而竊取更多的用戶資料。 這也使得黑客無需進行系統攻擊的情況下，即可輕易獲取目標用戶信息。

更進一步，黑客們會把這些資料整理后，形成社工庫。這個庫也日益壯大， 目前有千萬規模。除了用戶名密碼，還有大量的個人隱私也被挖掘出來。比如如家2000萬數據泄露，其中包含開房信息;QQ群用戶信息泄露、京東2015年初用戶信息泄露。這都導致大量的個人隱私被竊取甚至出售。

由此可見，賬戶被竊取，往往是網站防護薄弱和用戶安全意識薄弱兩種因素導致。

交易風險

支付的交易風險主要是交易過程中的各種惡意行為，而這些行為在電商系統中表現特別突出，包括 自動刷單、人工批量下單以及異常大額訂單等場景。在秒殺的時候， 由于其價格有很大的優惠力度， 黃牛會采用機器批量注冊賬號、機器搶購等方式來爭取秒殺商品，普通消費者很難享受到秒殺的實惠，使得秒殺活動效果大打折扣。此外，在商家側，主要的風險在于刷單。不少商家使用刷單、刷評價的方式來以非正常途徑提升銷量，積分，信譽等。甚至通過刷單的方式來套取補貼，幫助套現。 從阿里公司發布的《互聯網信任環境調查報告》來看，大部分用戶在購買的時候，會看中商家的資質和誠信，商品的銷量、評論也往往會成為購買的一個參考。 在這種情況下， 刷單就成為一個提升店鋪交易量的重要手段。而刷單和反刷的貓鼠游戲，也推高了刷單識別的難度。 以電商為例，一般刷單行為有如下特征：

1. 小號刷單。誰也不會用自己的注冊賬號來刷單，這樣被封的代價就太大了。 小號的來源，可能是商家自己組織注冊的，但大部分還是從專業刷單機構手中獲取的。
2. 使用虛擬機。大部分網站都會為訪問設備植入識別碼。通過虛擬機，可以在一個物理機上模擬多臺機器訪問，隨用隨建。一般使用VMWare來建立虛擬機。而對手機設備，則會采用手機模擬器。
3. 使用VPN。 這樣可以偽裝使用全國任何一個地區的IP，甚至可以使用國外的VPN。
4. 使用手機IP：移動和聯通的IP出口少，所以大部分手機端的出口IP并不多。 這些IP是電商的白名單，把某個IP封了，那會有大量的手機無法正常訪問。 所以刷單人員會選擇使用這些IP。
5. 刷虛擬物品：虛擬物品不涉及到物流環節，交易流程簡單，很容易就可以把量刷上去。
6. 低價刷單：為了降低成本，往往會將單品價格調低，或者成交金額調低來支持刷單。
7. 交易商品少：刷單時，僅選擇少量幾個商品進行。
8. 互刷： 一些商家會勾結起來，相互刷單。

這些是從刷單行為的角度來分析的結果。看來簡單，可對支付系統來說，如何交易記錄中識別出小號、互刷、低價等這些特征，都需要使用大量的數據進行分析才能搞定。

資金風險

2016年11月份的時候， 網上突然出現了大量懷疑支付寶沉淀資金用途的帖子，這些帖子在有意無意地引導一個觀點： 支付寶將沉淀資金用于恒生HOMS系統的場外配資，用戶將資金投放到余額寶有巨大資金風險。 毫無疑問，從監管的角度來看，這是不可能的事情。 但這謠傳也揭示了支付系統的另一個風險：資金風險。 發展沉淀資金成為支付系統，特別是第三方支付系統的一個公開的秘密。 沉淀資金主要有兩種形式：

• 在途資金 ：指買賣雙方在確認交易后，完成結算前尚未到達賣方賬戶的資金。在買方沒有最終確認收貨之前，資金暫時交由第三方支付進行保管。這樣在買賣雙 方從開始交易到最終完成貨款兩清的這段時間差內，這些存在于第三方支付平臺內部的資金，被稱為在途資金。
• 留存資金：對采用交易擔保型賬戶的支付機構，客戶需要開立虛擬賬戶來完 成交易。機構也會吸引客戶進行充值操作，即留存一些資金用于交易。比如微信支付和支付寶的錢包。 當有交易需求時，可以直接從這里進行扣款。這些留存于虛擬賬戶中的資金也是沉淀資金的一部分。

沉淀資金對支付來說是必要的， 通過這個資金來幫助買賣雙方解決信任的問題，有利于提升用戶體驗。但這個資金也帶來不少風險。2013 年 央行出臺了《支付機構客戶備付金存管辦法》，其中明確要求第三方支付機 構對于客戶的備付金要進行嚴格的區分管理，這一定程度上限制了沉淀資金風險的發生。也就是說，沉淀資金是客戶的錢，支付公司不能挪用。支付公司可以獲得沉淀資金的利息收益，但是不能夠用這個資金來進行投資或者公司內部的消費。對這筆資金進行合理監控避免出現風險，也是支付系統需要考慮的問題。

套現風險

我國法律明確禁止使用信用卡套現，使用信用卡套現是違法的。但是在線支付系統中，使用信用卡進行套現，幾乎是不需要成本的。 信用卡套現的手段也很多，一般是通過客戶和商家的勾結來完成，比如：

• 虛假購買，客戶通過信用卡購買某商品后，商品并未實際發貨，商家將購買的款項打回給客戶，完成套現。
• 退貨套現：或者通過信用卡來購買商品，然后退貨，將退款返回到借記卡或者其他可提現的渠道，也能完成套現。
• 自買自賣：商家通過信用卡購買自己的商品，將貨款打入到借記卡中，完成套現。

上述的套現手段，很難識別。套現很難完全杜絕，除了要求退款資金必須原路返回外，還可以通過數據分析手段來減少發生的頻率。

操作風險

按照巴塞爾委員會《操作風險管理》的定義， 操作風險主要是指那些由于用戶支付終端操作失誤、工作人員違規操作、內控機制失靈等人員操作上的原因引致損失的風險，或者說是外部風險、員工風險和流程風險。

流程風險指由公司的規章制度管理、業務流程不完善而引發的風險。對一些支付公司而言，作為新興的經濟形式，不像銀行那樣有一套成熟、規范的流程以及完善的培訓機制，這就容易觸發流程風險。在以“快”為特征的互聯網公司，功能創新非常重要，但往往也容易忽視了風險管理相關配套制度的建設和落實，從而為線上運行的新功能帶來隱患。當新的支付方式上線后，配套的清結算、記賬、對賬等功能，未必能夠及時地跟上，更不用說相關的內控制度建設、崗位人員配備的工作。

員工風險指的是支付機構的員工不遵守職業道德，違法違規或違章操作，單獨或參與騙取、盜用機構資產和客戶資金，工作疏忽等行為導致的損失。在缺乏成熟培訓機制的互聯網公司中，這類問題往往更加突出。

欺詐行為：員工同外部人員相勾結，通過挪用資金、職務侵占等方式非法占有公司財產或者泄露出賣公司商業秘密的行為。

越權行為：員工未經授權、或超越工作權限導致的損失，比如開發人員私自修改數據庫給人送優惠券。

錯誤操作：員工在具體業務操作過程中的失誤造成的錯誤操作。

合規風險

合規風險指機構因未能遵守相關的法律法規從而導致機構可能受到處罰、聲譽受損的風險。從2004年的電子簽名法開始，和支付相關的法律法規：

其中2010年的《非金融機構支付服務管理辦法實施細則》是一個標志性的法規，標識國家開始認可第三方支付的地位并開始執行監管。 之后，央行又陸續出臺一系列法規來規范支付行業的發展。可以說，支付行業的業務創新，是一個不斷地由亂而治的過程。而對支付公司來說，滯后的法規建設，也給業務發展帶來了巨大的風險。 2013年支付寶推出互聯網理財產品余額寶，在短期內迅速發展成為國內最大的基金。隨后多家支付機構也開始開展這個業務，后續央行出臺了《支付機構網絡支付業務管理辦法》，對支付公司的業務范圍、資金轉移金額進行限制，避免了該業務的過度發展。 2014年央行也相繼叫停了虛擬信用卡、二維碼支付等業務。合規風險是國內第三方公司一個無法規避的風險，在企業發展過程中，需要密切關注央行的動向，減少合規帶來的負面影響。

洗錢風險

第三方支付目前成為洗錢的重災區。 2016年8月，18家支付機構被公安部列為重點整改對象。 這些支付機構提供的服務，存在未落實實名制、風控措施不嚴格等問題，被犯罪分子所利用，淪為咋騙和洗錢的工具。主要手段包括：通過一些第三方支付平臺發行的商戶POS機虛構交易套現;將詐騙得手的資金轉移到第三方支付平臺賬戶，在線購買游戲點卡、比特幣、手機充值卡等物品，再轉賣套現;利用第三方支付平臺轉賬功能，將贓款在銀行賬戶和第三方支付平臺之間多次切換，使得公安機關無法及時查詢資金流向，逃避打擊。2012年央行發布的《支付機構反洗錢和反恐怖融資管理辦法》，對支付機構如何防范洗錢風險做了明確的規范和要求，需要支付公司嚴格遵守。

【本文為51CTO專欄作者“鳳凰牌老熊”的原創稿件，轉載請通過微信公眾號“鳳凰牌老熊”聯系作者本人】

戳這里，看該作者更多好文