|
自5月12日以來�,一個名為“想哭”勒索蠕蟲病毒已經(jīng)波及超過150個國家���,攻擊了全球微軟操作系統(tǒng)用戶���。受波及的用戶登錄電腦時會收到“電腦被加密無法打開,用戶需要支付300美元或比特幣�,否則被加密電腦資料將被刪除”的提示。截止目前�,已有20萬臺電腦遭受病毒入侵。在英國����,10多家醫(yī)院被迫暫停提供服務;在俄羅斯��,幾千臺內(nèi)政部電腦遭到病毒入侵����;在中國�,3萬家機構(gòu)受到勒索病毒的影響�。
第三方支付平臺作為資金通道,在病毒肆虐下��,面臨著很大的風險管控壓力���。第三方支付的風險管控主要是基于客戶的大數(shù)據(jù)分析�,從多種渠道提取交易數(shù)據(jù)�����,建立風控模型����,并對潛在的病毒入侵等風險實施識別、評估���、監(jiān)測�、控制����。
深挖第三方支付平臺存在的主要風險
一��、信息泄露風險
1.支付渠道參數(shù)泄露
商家使用支付寶�、微信����、智付等支付平臺����,需要接入第三方支付接口。而接入支付接口的過程中����,商家需要將支付渠道參數(shù)提供給Beecloud、Ping++等第三方支付集成服務商��。這些集成服務商能把支付寶��、微信����、易寶、智付�、網(wǎng)銀等多種接口集成在一個系統(tǒng)下。由于商家和第三方支付集成服務商為支付渠道參數(shù)的擁有者����,當出現(xiàn)信息泄露問題時�,責任承擔人的確定就比較困難了��。
例如����,商家接入全渠道支付接口,但在使用過程中出現(xiàn)支付渠道參數(shù)泄露��,此時黑客會利用此參數(shù)進行惡意代收代扣等行為�����,或者用于洗錢等非法活動��。此時商戶會被第三方支付風險控制系統(tǒng)認定為黑名單�,造成投訴糾紛時,甚至要承擔賠付責任���。
2.數(shù)據(jù)泄露
由于第三方支付集成服務商或第三方支付平臺提供的內(nèi)部風險控制存在漏洞���,導致企業(yè)交易數(shù)據(jù)泄露。這些交易數(shù)據(jù)有可能被被人轉(zhuǎn)賣牟利或被競爭對手獲得�����。競爭對手可以利用該類交易數(shù)據(jù)分析商戶的交易行為,從而分析其商業(yè)模式和發(fā)展戰(zhàn)略���。這對于企業(yè)來說�,是致命的��。這就是為什么現(xiàn)在的支付牌照交易買賣如此活躍���,小米、綠地���、唯品會等互聯(lián)網(wǎng)巨頭不惜重金購入�,京東停止與支付寶合作的原因�����。
這種數(shù)據(jù)的泄露����,除了交易數(shù)據(jù)的泄露,還涉及客戶數(shù)據(jù)的泄露���。在對客戶實名認證的過程中����,如果通過第三方支付集成服務商的SDK調(diào)用第三方支付的實名認證接口,在調(diào)用數(shù)據(jù)的過程中��,存在客戶數(shù)據(jù)泄露風險�����。
二����、支付集成服務商風險
第三方支付集成服務商的各個接口是由各大支付平臺提供的。如果集成服務商不能及時獲取各個支付平臺的接口更新信息(如安全漏洞更新�����、勒索病毒應對更新等)�����,那么很容易出現(xiàn)信息泄露安全���。況且第三方支付集成服務商對于各個支付接口的更新是要受到開發(fā)資源排期��、版本更新進度等外部因素的影響����。
第三方支付集成服務商的另一個風險在于其系統(tǒng)本身的安全性。在“商家-支付集成服務商-多家第三方支付平臺”的支付接口集成模式下��,如果支付集成服務商的系統(tǒng)受到DDoS���、蠕蟲病毒等外部攻擊����,那么該支付集成系統(tǒng)就無法正常使用了���。
第三方支付平臺詐騙事件緣由大起底!
對于第三方支付而言����,基本上稍具規(guī)模的第三方支付公司每天都需要處理一批詐騙相關的案件,而那些受害者一般是通過訪問釣魚網(wǎng)站而遭受錢財損失的��。
典型的詐騙場景是這樣的:詐騙者冒用第三方支付平臺工作人員身份�,要求付款人加其微信、QQ,然后要求付款人登入詐騙人提供的假冒退款地址���。當付款人按照假冒地址的流程走了一遍后�����,款項將轉(zhuǎn)到詐騙人手中�����。那些受害人上當受騙后��,以為這是第三方支付平臺的欺詐行為��,就選擇到各大論壇�、投訴平臺去“拉橫幅伸冤”��。這就不難理解稍有規(guī)模的第三方支付平臺�����,都會存在欺詐����、賭博等負面信息了����。
客觀來說���,對于智付���、財付通、匯付天下等獲得支付牌照的正規(guī)支付平臺而言����,不會也沒必要為了這點蠅頭小利而與詐騙者同伙,損害自己的名聲����。在交易過程中,支付平臺扮演的只是銀行網(wǎng)關這個中間人的角色�����。而詐騙事件的屢禁不絕����,大多是由被害人安全意識薄弱�����、貪小便宜造成的。同時�����,在信用缺失�、執(zhí)法效率低下的當下,第三方支付平臺對于詐騙案例的處理��,很多時候是“心有余而力不足”的��。
第三方支付平臺安全防范措施全解讀��!
1.加強風險控制�。通過交易歷史中風險商戶樣本數(shù)據(jù)的整理,建立科學有效的風險規(guī)則和風險模型�����,及時預警潛在風險����,及時止損。一方面是加強支付公司安全審計建設��,防止員工私自使用客戶、系統(tǒng)的信息����。另一方面是防止外部人員通過系統(tǒng)漏洞、信息泄露等竊取第三方支付平臺的信息���。
2.推動第三方支付與執(zhí)法機關���、銀行等相關部門的合作,以保證風險事件出現(xiàn)后��,能夠聯(lián)動相關部門實施行動���,及時凍結(jié)相關賬戶���,提高事件處理的效率和成功率。如深圳警方與智付聯(lián)合的“網(wǎng)安警務室”可以及時處理詐騙等違法犯罪事件�。又如招商銀行與智付籌建的“雙運行中心”,可以提高第三方支付系統(tǒng)的穩(wěn)定性以及訂單成功率��。
3.加強安全體系建設�����,提高系統(tǒng)安全和交易安全��?��?梢酝ㄟ^使用安全插件����、數(shù)字證書�����、控制消費限額�、釣魚網(wǎng)站黑名單等等手段,可以提高第三方支付的系統(tǒng)安全���。而采用IPS���、WAF、防火墻等安全防護設備���,并采用2048位SSL加密��,可以實現(xiàn)反欺詐�、反套現(xiàn)、反洗錢等功能�,能有效提高第三方支付的交易安全。
|
