|
自5月12日以來��,一個(gè)名為“想哭”勒索蠕蟲病毒已經(jīng)波及超過150個(gè)國家���,攻擊了全球微軟操作系統(tǒng)用戶��。受波及的用戶登錄電腦時(shí)會(huì)收到“電腦被加密無法打開��,用戶需要支付300美元或比特幣�,否則被加密電腦資料將被刪除”的提示��。截止目前��,已有20萬臺(tái)電腦遭受病毒入侵�。在英國,10多家醫(yī)院被迫暫停提供服務(wù)��;在俄羅斯,幾千臺(tái)內(nèi)政部電腦遭到病毒入侵��;在中國�,3萬家機(jī)構(gòu)受到勒索病毒的影響。
第三方支付平臺(tái)作為資金通道�,在病毒肆虐下,面臨著很大的風(fēng)險(xiǎn)管控壓力���。第三方支付的風(fēng)險(xiǎn)管控主要是基于客戶的大數(shù)據(jù)分析�,從多種渠道提取交易數(shù)據(jù)���,建立風(fēng)控模型,并對(duì)潛在的病毒入侵等風(fēng)險(xiǎn)實(shí)施識(shí)別���、評(píng)估、監(jiān)測(cè)��、控制���。
深挖第三方支付平臺(tái)存在的主要風(fēng)險(xiǎn)
一���、信息泄露風(fēng)險(xiǎn)
1.支付渠道參數(shù)泄露
商家使用支付寶、微信���、智付等支付平臺(tái),需要接入第三方支付接口��。而接入支付接口的過程中���,商家需要將支付渠道參數(shù)提供給Beecloud、Ping++等第三方支付集成服務(wù)商�。這些集成服務(wù)商能把支付寶、微信�、易寶、智付���、網(wǎng)銀等多種接口集成在一個(gè)系統(tǒng)下�。由于商家和第三方支付集成服務(wù)商為支付渠道參數(shù)的擁有者�,當(dāng)出現(xiàn)信息泄露問題時(shí),責(zé)任承擔(dān)人的確定就比較困難了��。
例如�,商家接入全渠道支付接口���,但在使用過程中出現(xiàn)支付渠道參數(shù)泄露,此時(shí)黑客會(huì)利用此參數(shù)進(jìn)行惡意代收代扣等行為�,或者用于洗錢等非法活動(dòng)。此時(shí)商戶會(huì)被第三方支付風(fēng)險(xiǎn)控制系統(tǒng)認(rèn)定為黑名單��,造成投訴糾紛時(shí)��,甚至要承擔(dān)賠付責(zé)任���。
2.數(shù)據(jù)泄露
由于第三方支付集成服務(wù)商或第三方支付平臺(tái)提供的內(nèi)部風(fēng)險(xiǎn)控制存在漏洞��,導(dǎo)致企業(yè)交易數(shù)據(jù)泄露��。這些交易數(shù)據(jù)有可能被被人轉(zhuǎn)賣牟利或被競(jìng)爭(zhēng)對(duì)手獲得���。競(jìng)爭(zhēng)對(duì)手可以利用該類交易數(shù)據(jù)分析商戶的交易行為���,從而分析其商業(yè)模式和發(fā)展戰(zhàn)略�。這對(duì)于企業(yè)來說��,是致命的��。這就是為什么現(xiàn)在的支付牌照交易買賣如此活躍,小米��、綠地�、唯品會(huì)等互聯(lián)網(wǎng)巨頭不惜重金購入,京東停止與支付寶合作的原因�。
這種數(shù)據(jù)的泄露,除了交易數(shù)據(jù)的泄露�,還涉及客戶數(shù)據(jù)的泄露。在對(duì)客戶實(shí)名認(rèn)證的過程中��,如果通過第三方支付集成服務(wù)商的SDK調(diào)用第三方支付的實(shí)名認(rèn)證接口���,在調(diào)用數(shù)據(jù)的過程中��,存在客戶數(shù)據(jù)泄露風(fēng)險(xiǎn)���。
二、支付集成服務(wù)商風(fēng)險(xiǎn)
第三方支付集成服務(wù)商的各個(gè)接口是由各大支付平臺(tái)提供的�。如果集成服務(wù)商不能及時(shí)獲取各個(gè)支付平臺(tái)的接口更新信息(如安全漏洞更新、勒索病毒應(yīng)對(duì)更新等)��,那么很容易出現(xiàn)信息泄露安全��。況且第三方支付集成服務(wù)商對(duì)于各個(gè)支付接口的更新是要受到開發(fā)資源排期、版本更新進(jìn)度等外部因素的影響�。
第三方支付集成服務(wù)商的另一個(gè)風(fēng)險(xiǎn)在于其系統(tǒng)本身的安全性。在“商家-支付集成服務(wù)商-多家第三方支付平臺(tái)”的支付接口集成模式下��,如果支付集成服務(wù)商的系統(tǒng)受到DDoS���、蠕蟲病毒等外部攻擊,那么該支付集成系統(tǒng)就無法正常使用了��。
第三方支付平臺(tái)詐騙事件緣由大起底�!
對(duì)于第三方支付而言,基本上稍具規(guī)模的第三方支付公司每天都需要處理一批詐騙相關(guān)的案件�,而那些受害者一般是通過訪問釣魚網(wǎng)站而遭受錢財(cái)損失的��。
典型的詐騙場(chǎng)景是這樣的:詐騙者冒用第三方支付平臺(tái)工作人員身份���,要求付款人加其微信��、QQ�,然后要求付款人登入詐騙人提供的假冒退款地址。當(dāng)付款人按照假冒地址的流程走了一遍后,款項(xiàng)將轉(zhuǎn)到詐騙人手中���。那些受害人上當(dāng)受騙后��,以為這是第三方支付平臺(tái)的欺詐行為��,就選擇到各大論壇���、投訴平臺(tái)去“拉橫幅伸冤”。這就不難理解稍有規(guī)模的第三方支付平臺(tái),都會(huì)存在欺詐�、賭博等負(fù)面信息了��。
客觀來說,對(duì)于智付���、財(cái)付通���、匯付天下等獲得支付牌照的正規(guī)支付平臺(tái)而言,不會(huì)也沒必要為了這點(diǎn)蠅頭小利而與詐騙者同伙���,損害自己的名聲�。在交易過程中,支付平臺(tái)扮演的只是銀行網(wǎng)關(guān)這個(gè)中間人的角色�。而詐騙事件的屢禁不絕,大多是由被害人安全意識(shí)薄弱���、貪小便宜造成的��。同時(shí)���,在信用缺失��、執(zhí)法效率低下的當(dāng)下��,第三方支付平臺(tái)對(duì)于詐騙案例的處理�,很多時(shí)候是“心有余而力不足”的。
第三方支付平臺(tái)安全防范措施全解讀���!
1.加強(qiáng)風(fēng)險(xiǎn)控制�。通過交易歷史中風(fēng)險(xiǎn)商戶樣本數(shù)據(jù)的整理���,建立科學(xué)有效的風(fēng)險(xiǎn)規(guī)則和風(fēng)險(xiǎn)模型���,及時(shí)預(yù)警潛在風(fēng)險(xiǎn)��,及時(shí)止損���。一方面是加強(qiáng)支付公司安全審計(jì)建設(shè),防止員工私自使用客戶�、系統(tǒng)的信息。另一方面是防止外部人員通過系統(tǒng)漏洞���、信息泄露等竊取第三方支付平臺(tái)的信息��。
2.推動(dòng)第三方支付與執(zhí)法機(jī)關(guān)�、銀行等相關(guān)部門的合作���,以保證風(fēng)險(xiǎn)事件出現(xiàn)后�,能夠聯(lián)動(dòng)相關(guān)部門實(shí)施行動(dòng)�,及時(shí)凍結(jié)相關(guān)賬戶��,提高事件處理的效率和成功率。如深圳警方與智付聯(lián)合的“網(wǎng)安警務(wù)室”可以及時(shí)處理詐騙等違法犯罪事件。又如招商銀行與智付籌建的“雙運(yùn)行中心”,可以提高第三方支付系統(tǒng)的穩(wěn)定性以及訂單成功率。
3.加強(qiáng)安全體系建設(shè)���,提高系統(tǒng)安全和交易安全��??梢酝ㄟ^使用安全插件��、數(shù)字證書���、控制消費(fèi)限額、釣魚網(wǎng)站黑名單等等手段,可以提高第三方支付的系統(tǒng)安全���。而采用IPS��、WAF、防火墻等安全防護(hù)設(shè)備,并采用2048位SSL加密���,可以實(shí)現(xiàn)反欺詐���、反套現(xiàn)、反洗錢等功能�,能有效提高第三方支付的交易安全。
|
