|
自5月12日以來����,一個名為“想哭”勒索蠕蟲病毒已經(jīng)波及超過150個國家����,攻擊了全球微軟操作系統(tǒng)用戶�����。受波及的用戶登錄電腦時會收到“電腦被加密無法打開�,用戶需要支付300美元或比特幣����,否則被加密電腦資料將被刪除”的提示���。截止目前�,已有20萬臺電腦遭受病毒入侵。在英國��,10多家醫(yī)院被迫暫停提供服務(wù)�����;在俄羅斯����,幾千臺內(nèi)政部電腦遭到病毒入侵;在中國����,3萬家機(jī)構(gòu)受到勒索病毒的影響��。
第三方支付平臺作為資金通道���,在病毒肆虐下���,面臨著很大的風(fēng)險管控壓力���。第三方支付的風(fēng)險管控主要是基于客戶的大數(shù)據(jù)分析,從多種渠道提取交易數(shù)據(jù)���,建立風(fēng)控模型�����,并對潛在的病毒入侵等風(fēng)險實施識別�����、評估����、監(jiān)測、控制���。
深挖第三方支付平臺存在的主要風(fēng)險
一��、信息泄露風(fēng)險
1.支付渠道參數(shù)泄露
商家使用支付寶���、微信、智付等支付平臺��,需要接入第三方支付接口����。而接入支付接口的過程中,商家需要將支付渠道參數(shù)提供給Beecloud�、Ping++等第三方支付集成服務(wù)商。這些集成服務(wù)商能把支付寶����、微信、易寶�����、智付���、網(wǎng)銀等多種接口集成在一個系統(tǒng)下����。由于商家和第三方支付集成服務(wù)商為支付渠道參數(shù)的擁有者,當(dāng)出現(xiàn)信息泄露問題時�,責(zé)任承擔(dān)人的確定就比較困難了。
例如���,商家接入全渠道支付接口,但在使用過程中出現(xiàn)支付渠道參數(shù)泄露����,此時黑客會利用此參數(shù)進(jìn)行惡意代收代扣等行為,或者用于洗錢等非法活動��。此時商戶會被第三方支付風(fēng)險控制系統(tǒng)認(rèn)定為黑名單�����,造成投訴糾紛時����,甚至要承擔(dān)賠付責(zé)任。
2.數(shù)據(jù)泄露
由于第三方支付集成服務(wù)商或第三方支付平臺提供的內(nèi)部風(fēng)險控制存在漏洞�����,導(dǎo)致企業(yè)交易數(shù)據(jù)泄露。這些交易數(shù)據(jù)有可能被被人轉(zhuǎn)賣牟利或被競爭對手獲得�。競爭對手可以利用該類交易數(shù)據(jù)分析商戶的交易行為,從而分析其商業(yè)模式和發(fā)展戰(zhàn)略�。這對于企業(yè)來說,是致命的����。這就是為什么現(xiàn)在的支付牌照交易買賣如此活躍,小米����、綠地、唯品會等互聯(lián)網(wǎng)巨頭不惜重金購入��,京東停止與支付寶合作的原因����。
這種數(shù)據(jù)的泄露,除了交易數(shù)據(jù)的泄露�����,還涉及客戶數(shù)據(jù)的泄露��。在對客戶實名認(rèn)證的過程中,如果通過第三方支付集成服務(wù)商的SDK調(diào)用第三方支付的實名認(rèn)證接口��,在調(diào)用數(shù)據(jù)的過程中�,存在客戶數(shù)據(jù)泄露風(fēng)險。
二���、支付集成服務(wù)商風(fēng)險
第三方支付集成服務(wù)商的各個接口是由各大支付平臺提供的���。如果集成服務(wù)商不能及時獲取各個支付平臺的接口更新信息(如安全漏洞更新、勒索病毒應(yīng)對更新等)�����,那么很容易出現(xiàn)信息泄露安全���。況且第三方支付集成服務(wù)商對于各個支付接口的更新是要受到開發(fā)資源排期、版本更新進(jìn)度等外部因素的影響��。
第三方支付集成服務(wù)商的另一個風(fēng)險在于其系統(tǒng)本身的安全性�。在“商家-支付集成服務(wù)商-多家第三方支付平臺”的支付接口集成模式下,如果支付集成服務(wù)商的系統(tǒng)受到DDoS����、蠕蟲病毒等外部攻擊���,那么該支付集成系統(tǒng)就無法正常使用了。
第三方支付平臺詐騙事件緣由大起底�!
對于第三方支付而言,基本上稍具規(guī)模的第三方支付公司每天都需要處理一批詐騙相關(guān)的案件����,而那些受害者一般是通過訪問釣魚網(wǎng)站而遭受錢財損失的。
典型的詐騙場景是這樣的:詐騙者冒用第三方支付平臺工作人員身份���,要求付款人加其微信�、QQ��,然后要求付款人登入詐騙人提供的假冒退款地址����。當(dāng)付款人按照假冒地址的流程走了一遍后��,款項將轉(zhuǎn)到詐騙人手中��。那些受害人上當(dāng)受騙后�,以為這是第三方支付平臺的欺詐行為,就選擇到各大論壇、投訴平臺去“拉橫幅伸冤”�����。這就不難理解稍有規(guī)模的第三方支付平臺����,都會存在欺詐、賭博等負(fù)面信息了�����。
客觀來說��,對于智付�、財付通�、匯付天下等獲得支付牌照的正規(guī)支付平臺而言,不會也沒必要為了這點蠅頭小利而與詐騙者同伙�,損害自己的名聲�����。在交易過程中,支付平臺扮演的只是銀行網(wǎng)關(guān)這個中間人的角色。而詐騙事件的屢禁不絕���,大多是由被害人安全意識薄弱、貪小便宜造成的�。同時��,在信用缺失����、執(zhí)法效率低下的當(dāng)下�����,第三方支付平臺對于詐騙案例的處理���,很多時候是“心有余而力不足”的����。
第三方支付平臺安全防范措施全解讀�!
1.加強(qiáng)風(fēng)險控制。通過交易歷史中風(fēng)險商戶樣本數(shù)據(jù)的整理���,建立科學(xué)有效的風(fēng)險規(guī)則和風(fēng)險模型��,及時預(yù)警潛在風(fēng)險��,及時止損�。一方面是加強(qiáng)支付公司安全審計建設(shè),防止員工私自使用客戶����、系統(tǒng)的信息����。另一方面是防止外部人員通過系統(tǒng)漏洞、信息泄露等竊取第三方支付平臺的信息�����。
2.推動第三方支付與執(zhí)法機(jī)關(guān)���、銀行等相關(guān)部門的合作���,以保證風(fēng)險事件出現(xiàn)后�,能夠聯(lián)動相關(guān)部門實施行動,及時凍結(jié)相關(guān)賬戶,提高事件處理的效率和成功率�����。如深圳警方與智付聯(lián)合的“網(wǎng)安警務(wù)室”可以及時處理詐騙等違法犯罪事件�����。又如招商銀行與智付籌建的“雙運(yùn)行中心”���,可以提高第三方支付系統(tǒng)的穩(wěn)定性以及訂單成功率��。
3.加強(qiáng)安全體系建設(shè)�,提高系統(tǒng)安全和交易安全���?���?梢酝ㄟ^使用安全插件�、數(shù)字證書、控制消費(fèi)限額�、釣魚網(wǎng)站黑名單等等手段,可以提高第三方支付的系統(tǒng)安全�。而采用IPS���、WAF、防火墻等安全防護(hù)設(shè)備���,并采用2048位SSL加密�,可以實現(xiàn)反欺詐�����、反套現(xiàn)����、反洗錢等功能,能有效提高第三方支付的交易安全��。
|
