前言:
今天在微信公眾號上無意間看到了一篇文章《黑客為什么不攻擊支付寶���?》�,覺得寫得很不錯�����,這里和大家分享下。
文章轉(zhuǎn)載自公眾號:淺黑科技
用支付寶轉(zhuǎn)賬����,要過三道大門:
第一道:登錄密碼;
第二道:支付密碼����;
第三道:AlphaRisk 風險控制系統(tǒng)。
第一關(guān)���、登錄密碼
這個很簡單�����。你登錄支付寶的時候���,要輸入登錄密碼�,證明你是你�����。
你可能會杠說,不對啊�,我每次在手機上登錄支付寶,不用輸入密碼�����,直接就打開了?��?�!沒錯���,那是因為你經(jīng)常登錄,并且沒有換手機�。這種情況下,你賬戶有風險的概率很低����。支付寶沒有必要每次都打擾你����,讓你輸密碼。
這里����,我們學到了今天最重要的一個概念:打擾率��。
一個 App�����,每要求你做一件事�����,比如輸入密碼���,比如讓你接收一個短信驗證碼���,這都算一次打擾。而在用戶體驗中�����,打擾是要扣分的�。所以�����,通過頻繁打擾用戶的方式來保證你的“絕對安全”���,并不是個好辦法��。
如果你在一部手機里很久都沒有登錄支付寶�����,那是需要重新輸入密碼的。如果你換了一部新手機登錄支付寶���,那么不僅要輸入密碼�����,還要二次校驗(短信驗證碼或者回答安全問題)���。
所以��,黑客單單偷到了你的支付寶登錄密碼�����,是無法直接登錄你的支付寶的����。那他們是怎么做的呢�?中哥可以告訴你幾種可能性:
1)你的身份信息泄露嚴重。
剛才我說到�,支付寶密碼是可以被重置的,需要提供身份證��、銀行卡等一系列信息。如果這些信息隱私信息都被黑產(chǎn)掌握了���,那么從某種程度上說����,他就是你了�。沒辦法�����,你的密碼也會被重置����,他可以登錄���。
2)你的手機丟了。
你的手機丟了的意思是——你的手機不僅丟了�����,并且沒有設(shè)置開屏密碼或指紋解鎖�����。否則壞人解不開你的手機�,就跟沒丟一樣��。
反正黑客只要進入你的手機主屏��,接下來就有兩種情況:
你在幾天內(nèi)用過支付寶,那么�����,黑客不用輸入密碼����,就像你本人使用一樣,能直接登陸�����。
你最近沒有登錄支付寶����,那么支付寶會要求你輸入密碼,此時黑客可以選擇重置密碼����,選擇手機接收驗證碼,也是可以重置密碼成功登錄的�����。
此乃第一關(guān)。
第二關(guān)��、支付密碼
如果壞人破解了你的登錄密碼��,那么接下來他想把錢轉(zhuǎn)走���,就要遇到“支付密碼”這道關(guān)口�����。
你記得不,支付寶會要求你的支付密碼和登錄密碼不同��,目的就是為了防止壞人破解了你的登錄密碼�,直接就能攻破你的支付密碼�����。
這里有個小細節(jié):支付寶最近幾年會鼓勵你用指紋代替支付密碼�。當然,用戶也可以手動選擇切換——這次支付不用指紋�,就用密碼。這關(guān)實際上擋不住黑客��,但是你要記住這個細節(jié)���,一會兒有用���。
接下來我們繼續(xù)說黑客怎么攻破你的支付密碼:
1)用你之前泄露的其他登錄密碼嘗試���。
一般人不會把支付寶支付密碼和其他應(yīng)用的登錄密碼設(shè)置為一個,這種方法成功率從實戰(zhàn)數(shù)據(jù)中看比較低�����。
2)重置你的支付密碼����。
重置你的密碼��,需要你的個人信息,或者需要你的手機���。如果黑客已經(jīng)掌握了這些���,那么他很可能重置支付密碼成功�����。
你一定以為:黑客破了我的支付密碼����,錢就會被轉(zhuǎn)走了嚕�����。
錯!圖樣圖森破�����!黑客的噩夢才剛剛開始。
馬上就會進入第三步驟:AlphaRisk�����。
第三關(guān)��、AlphaRisk
前面兩步����,黑客的所有操作,其實 AlphaRisk 都在默默看著����,只是它沒說話而已。
當前兩個密碼都輸入正確后���,AlphaRisk 會作為最后一道門神�����,像尉遲恭和秦叔寶一樣���,決定放不放走這個錢����。
那么���,AlphaRisk 判斷的依據(jù)是什么呢����?
舉個栗子:一個老警察靠在公交車站��,他如何發(fā)現(xiàn)一個正在擠上車的小伙是個賊呢���?他會通過幾個維度:眼神�、舉止���、穿著、和前人之間的距離�、是否遮擋手上的行為等等等等�。有經(jīng)驗的警察不用等到“偷錢”那個動作發(fā)生,就已經(jīng)能準確判斷誰是小偷��。
同樣��,AlphaRisk 也像一個老警察����,它也會從一些維度來觀察一筆交易�����。比如:設(shè)備���、環(huán)境����、偏好��、行為、關(guān)系�����、賬戶、身份����、交易,等等�����。
如果其中所有維度任何一個或者多個有異常�,都會引起 AlphaRisk 的警覺,直接強制操作者進行人臉活體驗證����,手機驗證碼,或者干脆就截斷交易��。
不知你感受到了沒����。日常你用支付寶轉(zhuǎn)賬給別人,你覺得非常自由��,支付寶從來不添亂�����,恰恰是因為 AlphaRisk 對每一筆交易都做了極其細致的評估之后���,覺得沒問題才不攔著的��。
你可能會問����,為神馬 AlphaRisk 等到那么驚險的最后一步才起作用呢���?早點出來這個“嗶——”就裝得不夠到位嗎�����?
這個地方又涉及到剛才的概念——打擾率����,如果支付寶在輸入交易密碼之前就用 AlphaRisk 跳出一堆人臉驗證手機驗證碼���,那就會讓你覺得很煩��。作為一個有尊嚴的 App���,支付寶把安全性最強的 AlphaRisk 放到最后一步���,就是為了最少的打擾。
下面說 AlphaRisk 的工作細節(jié)����。
以《制造將來》里面的操作舉例。攻擊第三個手機的時候���,黑客已經(jīng)拿到了登錄密碼和交易密碼����,并且是照著身份證的照片把身份證號一次輸入正確的��,為神馬 AlphaRisk 會認為這個交易有風險呢�����?
用大家都能理解的話說����,大概是醬:
首先��,支付寶是在陌生的手機上登陸的;
其次��,支付寶的登錄密碼是剛剛被重置過的����;
再次,支付寶的支付密碼也剛剛被重置過���;
還有�����,轉(zhuǎn)出賬戶和被轉(zhuǎn)入賬戶之間沒有任何人際關(guān)聯(lián)���;
還有�,轉(zhuǎn)出賬戶所在城市和被轉(zhuǎn)入賬戶所在城市,本身就很少存在轉(zhuǎn)賬行為��;
等等等等。
其實�����,還有很多不正常的維度可供 AlphaRisk 參考����。
比如剛才我故意賣了關(guān)子的一個細節(jié):操作者本來習慣用指紋支付,突然今天強制改成了密碼支付�。這一個蛛絲馬跡,起碼說明事出有因��,足夠讓 AlphaRisk 關(guān)注到這次交易的風險���。
啊,說了這么多,終于大概解釋清楚了支付寶風控的三道關(guān)����。
偷不到錢�,那騙錢行不行����?
有一個問題其實很值得一說。
寬泛來說��,支付寶賬戶受損失����,有兩種情況:1�����、賬戶被盜�����;2�����、你被詐騙之后主動轉(zhuǎn)錢給別人��。
當然,你的賬戶被盜����,支付寶會賠錢給你。但如果你被騙����,用支付寶主動轉(zhuǎn)錢給騙子,就沒辦法找支付寶賠錢了。畢竟����,被騙不能賴錢包。
但是雄文告訴我����,作為一個有追求的錢包,這兩年支付寶恰恰在“識別詐騙”方面苦練技巧����。
這種對詐騙的識別能力,同樣在 AlphaRisk 身上�。
騙子騙人,一般都是直接打電話��,或者在微信上騙�����,那些過程支付寶肯定不知道���。它只能看到一個賬戶給另一個賬戶轉(zhuǎn)了錢。��。�����。通過這么少的信息���,它怎么能判斷你是不是被騙了呢?�����?
雄文給我講了一個真實的例子����。
一個媽媽���,她的孩子在外地打工,做快遞小哥����。突然有一天,她接到了一個陌生電話���,告訴她兒子出了車禍����,急需搶救���,需要她打錢過來����。媽媽開始沒相信�,把電話掛了。但是身邊的電視正好播出了一條新聞�,說他兒子所在的城市,有一個送貨小哥出了嚴重車禍����。這下她著急了�,趕快給對方回電話��,要把錢轉(zhuǎn)過去�����。
就在這位媽媽把錢轉(zhuǎn)給騙子的時候��,AlphaRisk 判斷了風險�,并且彈出了提示,告訴她有這筆轉(zhuǎn)賬可能是被騙了�����。媽媽選擇無視���,關(guān)掉彈窗繼續(xù)轉(zhuǎn)賬。這次����,AlphaRisk 判斷強風險,直接阻斷了交易����,鎖定賬戶兩小時�����。
這位媽媽非常生氣����,覺得自己的兒子出了事��,支付寶卻不讓轉(zhuǎn)賬��,于是撥打客服理論����。正在這時,他的兒子碰巧打電話給媽媽����,這才揭穿了騙子的騙局。
在這個例子中����,AlphaRisk 是憑什么判斷轉(zhuǎn)賬存在詐騙風險呢?
雄文說,至少有三點:
1����、媽媽平常的支出,都是小額的日常生活��,買菜超市��,突然一下轉(zhuǎn)幾萬塊顯得很異常��。
2����、對方的收款賬戶是新注冊的。而且近幾日只有大額收款和提現(xiàn)����,并沒有日常消費。
3�����、這兩個賬戶之間從未有過直接轉(zhuǎn)賬���。
你看,基礎(chǔ)邏輯和判斷賬戶被盜差不多�,只不過��,判斷被騙可以利用的信息比判斷被盜少得多�,所以難得多����。
但最讓雄文頭疼的是,截斷用戶付款固然好��,但是萬一截錯了�����,用戶是要跟支付寶拼命地����。。����。支付寶但凡截斷用戶的交易,必須證據(jù)確鑿�����。如果沒有百分百的證據(jù),一般會選擇彈窗提示����。然鵝,很多時候即使支付寶彈出了警視窗�����,用戶都會選擇直接關(guān)掉�,沒啥作用。
即使是這樣�,雄文團隊也對彈窗內(nèi)容改了又改,可謂是苦口婆心啊����。
前兩天,雄文和團隊突然找到了一個好方法�,他們和地方反詐騙中心“合作彈窗”。例如你是重慶人���,在支付寶判斷你的一筆交易有風險時�����,彈出的內(nèi)容不是“支付寶提醒您注意詐騙”,而是“重慶反詐騙中心提醒您,這個交易有可能是詐騙����。”
“這樣一下��,用戶終止交易的比率大大增加�!”改了幾個字,就能讓好多人少上當�����。雄文老激動了�����,這兩天從地方到中央找反詐中心公安局各種合作���。
“到目前為止����,用戶遭受詐騙����,有85-90% 都能收到彈窗提示�?��!毙畚拇笫彘_心地說�。
說到這��,雄文大叔給我普及了一個金融小常識:
一般的在線交易系統(tǒng)��,對于轉(zhuǎn)賬這個操作�����,只涉及“轉(zhuǎn)出”和“到賬”兩個狀態(tài)���。這邊轉(zhuǎn)出之后���,那邊就到賬。就像一盞燈只存在“開”和“關(guān)”兩個狀態(tài)����。不可能存在“這邊錢扣掉,那邊還不到賬”的情況���。
但是支付寶為了防止詐騙����,開發(fā)了第三個狀態(tài):類似“預(yù)授權(quán)“��。如果你覺得這次轉(zhuǎn)賬有風險����,可以設(shè)置2小時或者24小時延時到賬�����。這種情況下資金就在“預(yù)授權(quán)”狀態(tài)����。在這個期間如果你發(fā)現(xiàn)被詐騙,可以報警并向支付寶申請凍結(jié)資金����。
“預(yù)授權(quán)“狀態(tài)的錢,按理說到時之后就會順利進入轉(zhuǎn)入賬戶�。但只要有公安機關(guān)的相關(guān)憑證�����,就可以退回到轉(zhuǎn)出賬戶����。
別看只是加了一個“預(yù)授權(quán)”的狀態(tài)��,這相當于給了受害者一個“時光機”�����,回到過去����,改變那個無可挽回的錯誤。
雄文說�,為了增加這個新狀態(tài),他們兩年里對支付寶底的層代碼做了很大的修改����。雖然大動干戈,但這件事非常值得��。
玩漂移的老司機
講真�����,人類對一臺機器的要求是很變態(tài)的。好的機器不僅要代替人�����,還要比人更精神����。
畢竟是親生的�����, 說到 AlphaRisk�,雄文特別開心。他覺得如果2017年支付寶沒有開始研究 AlphaRisk��,現(xiàn)在很多風控策略還靠人肉的話���,一定會被“時代的洪流”所擊垮�����。
如今���,AlphaRisk 有兩個殺手锏:
1����、和人比�,它厲害到不知哪里去了。
你可能已經(jīng)知道�����,AlphaRisk 就是一種“人工智能��。你作為一個人每天家長里短悲歡離合其實本質(zhì)都是判斷����,人工智能每天也是做一件事:判斷。
人工智能判斷事情的標準�,和人又像又不像。這里涉及到一個大家普遍理解得不好的技術(shù)梗����,中哥正好以 AlphaRisk 為例簡單科普幾句:
人工智能和人各自做一個判斷,有點像兩個大廚分別做一桌菜給你吃�����。這分為三步:
1、他們使用的原料種類都是一樣的青椒����、蘿卜、雞肉等等�。(這意味著人工智能和人用于判斷一件事情的基礎(chǔ)數(shù)據(jù)是一樣的。)
2���、但是��,他們炒菜的路數(shù)可就不一樣了。人類可能會做出魚香肉絲�、宮保雞丁、水果拼盤���,但是機器會根據(jù)自己的理解做出西瓜披薩���,蘋果蒸蛋、巧克力燒茄子等等常人不能想象的飯菜�。(這意味著人工智能的判斷模型和人既相似又不同。)
3�、最后,兩桌菜分別上來,食客們會發(fā)現(xiàn)���,兩種菜雖然不一樣��,但是都能填飽肚子���,而且機器做的明顯更好吃更營養(yǎng)。(這意味著人工智能判斷的準確度比人類還高��。)
簡單總結(jié)人工智能的工作原理:通過人類看都看不過來的數(shù)據(jù)�,用風騷的機器思維,做出一擊致命的判斷����。
這里給你幾個數(shù)據(jù)你感受一下。
AlphaRisk 用來判斷的風險點有幾千個(如交易金額��、支付寶注冊地�、交易時間、使用密碼支付還是指紋支付等)��。把這么多數(shù)據(jù)進行慘無人道的交叉運算�,總運算量是巨大的。
在平時�����,每秒鐘全世界都會用支付寶進行上萬次的交易。如果在雙十一這種狂歡節(jié)����,每秒支付寶要處理25萬筆交易。你想想看���,就像商場的收銀臺后面�,排隊排了25萬個顧客�����,每一筆交易�����,AlphaRisk 都還要計算無數(shù)次來判斷它是不是有風險�,這得累計多大的計算量�。。�����。
如果這些計算量交給人來做,等到算完����,估計已經(jīng)到了9102年雙11了吧。
這么瘋狂的機器�����,日常得有不少碼農(nóng)為它檢修上油吧����。。�����。
雄文說哈哈哈NO����!因為,這兩年他們已經(jīng)搞出了一套“自動駕駛”系統(tǒng)�。
納尼?支付寶也會開車了么��?求車牌號�����!其實,不是你想的那樣���,這就到了 AlphaRisk 的第二個逆天優(yōu)勢���。
2、這是個會自動駕駛的老司機��。
那些做壞事的黑客����,連過年都不休息,天天“苦煉內(nèi)功”���,不斷升級自己盜取支付寶賬戶和詐騙用戶的技術(shù)����。這是為什么�?因為他們知道���,如果能早幾天研究出一個盜取支付寶的方法�,那賺的錢可比在支付寶上班的碼農(nóng)加班費多多了。
對手那么瘋狂�,AlphaRisk 也要加油才行啊。正常情況下��,AlphaRisk 想要學會新的反詐騙套路�,要工程師手動輸入代碼。
但是����,雄文和支付寶安全團隊的隊員很“懶”,他們覺得��,AlphaRisk 已經(jīng)長大了����,不能每天晚上給它“檢查作業(yè)”,它要自己學習新的知識了�����。
所以過去兩年���,攻城獅們很少砍柴����,主要磨刀。他們建立了一個自動建模的系統(tǒng)��。每天都會有一些用戶損失通過投訴渠道反饋到支付寶風控團隊��,這個自動建模系統(tǒng)就可以通過學習這些AlphaRisk 沒有攔截成功的案例來建立新的風險模型����,然后把這個模型輸入到 AlphaRisk 里,下次再遇到同樣的問題�����,AlphaRisk 就能一眼識別���。
自動建模還不是全部��。
你知道���,每年雙11的時候,支付寶會像雷峰塔一樣�,承受一下交易量水漫金山的感覺。這個時候���,如果還執(zhí)行原來的風控策略��,就會導致計算力嚴重不足的情況�����。本來人家零點秒殺��,結(jié)果支付寶算了十秒鐘�����,跟人家說沒問題去付錢吧�����。結(jié)果秒殺的限量款衣服早都被人家搶得毛都不剩�。這會造成大批群眾到杭州上訪的�。。�。
所以,支付寶需要根據(jù)不同的情景���,調(diào)整 AlphaRisk 的風控策略����。這就像一輛車,根據(jù)路況不同��,切換12345檔�����。
原來每到雙11���,攻城獅們就會寫一套新的風控策略�,為 AlphaRisk 手動換擋�。從2017年開始,完全不用了���。AlphaRisk 學會了騷氣的自動換擋��。交易量巨大的時候����,就自動切換為高檔����,交易量低的時候,就瞬間調(diào)回來。
這不就和汽車的自動駕駛是一回事么��。���。�����。
我第一次發(fā)現(xiàn),原來自動駕駛不僅僅是汽車領(lǐng)域的人工智能�����。凡是需要復(fù)雜人工智能的場景���,其實都有自動駕駛的一席之地���。甭管是人是機,反正這個世界缺不了老司機��。
該文章在 2024/3/7 9:18:35 編輯過
400 186 1886
