投资界4月9日消息,由清科集团主办的2014中国" 互联网" 金融投资大会今日在深圳召开。同盾科技联合创始人兼首席科学家刘德彬在会上着重针对"支付风险"的种类及最大化降低支付风险的措施进行阐释,表明,根据个人风险的评估和分析,进而进行限制和风险控制。
风险是保障支付安全的良方" />
以下为演讲实录:
刘德彬:大家好,我叫刘德彬,来自杭州同盾科技有限公司,很高兴和大家分享一下对" 互联网" 金融的理解。
请允许我自我介绍一下,我们公司是去年成立的,我们的创始人蒋韬来自于阿里集团的安全部,之前是阿里的安全总监,而我来自美国的PayPal公司,我是研发专家。研发团队在杭州,专注于网络风险和欺诈问题,解决这些问题,包括帐户的安全、交易的风险、支付风险、信贷风险,还有企业内部的风险控制。所以我的题目可能会有一些误导,实际上解决的问题不仅仅是支付风险的控制和分析,我们同时也涵盖了帐户、交易、信贷、互联网金融等等各种面临的风险问题。
就支付而言,我个人把它暂时分为三类,第一个是传统" 银行现在越来越多在网上的" 银行,包括手机银行开办的这种为个人、企业,以及机构的网上银行、手机银行的服务,另外是以" 支付宝为代表的第三方支付,还有很多的各种各类的预付卡,都可以在网上或者是手机上使用。所以他们虽然在种种的功能上,或使用上有所不同,但是他们所面临的风险在我看来都是类似的、相通的。常见的支付风险,我认为盗卡、帐户盗用、套利、套现、洗钱等等,由于时间的关系,我想就前两种,风险最大的支付风险展开给大家聊一聊。
第一个是盗卡,以美国一家支付公司为例,两年前的数据为例,一年盗卡达到了3600万美元,帐户盗用损失2100万美元,这些是一年,加起来是接近6000万美元,而且是两年前的数据。在我看来这两个是危害非常大的支付的风险。所以接下来我们就这两种展开讨论一下。
第一个是什么是盗卡,就是你的银行卡号码被别人拿到你的号码,或者是制造一种伪造的信用卡,或者直接在线上用你的卡号进行购物和支付。银行卡号码怎么被盗的呢?可能是电脑中了病毒,或者是刷卡的商家有病毒,或者是连接的无线路由器进行交易的话,号码都有可能被盗。被盗之后,黑客和欺诈分子会做什么呢?我们研究发现,最常见的三种变现的方式,或者是他们喜欢用的方式,第一个是做境外的支付交易,因为境外支付不需要手机短信的验证,也不需要密码,只需要后面的一个号码就可以支付。第二个是购买虚拟物品,第三个是话费充值。因为很容易变现,我们发现的一个案例,在淘宝上开一个网店充话费,转过来用盗窃的信用卡,通过第三方支付,给你的手机充话费,这个是很容易变现的方式。接下来银行卡的信息可能会进一步的转变。这个是常见的盗卡的流程。
帐户盗用也是比较类似的,由于病毒、木马这种可能性,你的帐户信息泄露、用户名泄露,或者是用简单的密码,或者是重复性的密码,被别人猜到了。研究表明60%以上的人都用一个密码,在座的人可能和我一样,可能是一两个密码不停的使用。很容易造成的问题是,比如说" 工商银行用了同样的用户名和密码,哪怕" 工商银行对你保护的再好,你买衣服的网站被黑客攻破了,你的银行帐号同样会受到威胁。这些人用你的帐号就可以进行支付、转帐、取现、洗钱等等,这些都是帐户盗用造成的支付的风险。
怎么解决这些问题呢?听起来很恐怖。我这里列了现有的常见的措施。比如说电子银行口令卡、电子密码器、U盾、浏览器证书、安全空间、短信验证码、支付密码、电话回呼人工确认。我问一下,有多少人有口令卡、密码器?有多少人在过去3个月使用到这些的吗?这个人比之前的少了。我是去年加入这个团队的,回来之后我开户,到现在我手上有7、8个U矛和口令卡,一次都没有用过,我实在很难接受这个东西,很难用。再举例说安全控件,在座有多少位安装过安全控件的?好多人。那安装过多少控件呢?有3个以上的?5个以上的有吗?我回来发现,很多网站都会要求你安装安全控件,但是千万不要被蒙蔽了,不是有安全控件就是方便你的安全。其实把浏览器关掉,都在后台运行,都在无时无刻的在收集你的信息。现在已经被禁止安装安全控件了,这个逐渐被淘汰了。还有验证码,这些都很难让人想象。所以归根到底,我的意思就是说,这些东西都很麻烦,用户不喜欢,那么这么麻烦的东西,如果有用还好,到底有没有用呢?我们看几个案例,第一个,去年8月份的时候,新闻说银行卡被盗27万,最后打到法院,银行赔19万,银行没有识别出伪造的信用卡,而用户是没有保存好银行卡密码,所以最后是银行只赔了19万。有支付密码,有银行号码,都可以盗刷你的信用卡。所以光靠银行卡是不靠谱的。第二个案例,是4个月内盗刷666次,最多是刷9.99元。短信漏洞也是很容易被绕过去的。第三个是有钓鱼网站说,由于你要登陆一个东西,这个东西告诉他,不用给你密码,只用电子密码器输一下密码就可以了,其实电子密码器比密码更密码," 光电子密码器就足以让黑客进入他的帐户进行转帐,进而转到各地的ATM机上进行取现,这些都是真实的案例,说明了麻烦的安全措施并没有达到很好的保护。
怎么办呢?以国外为例子的话,越来越多的企业和机构,他们更加注重的是后台的风控措施,以美国的PayPal、国内的淘宝为例,他们更注重后台的风控措施,一个网站收到支付的请求,会首先要求风险分析中心来分析风险有多大,风险分析中心会根据设备信息、" IT信息、历史的交易数据、模型数据,来判断风险有多高,根据风险决定到底对支付进行限制,还是说要求人工来审核,还是说限权。这个就是整个后台的风控系统怎么来工作的,怎么来有效的补充到前端的安全措施上。
说到限权的控制,我不得不插一句,上个月央行发布的草案说,对互联网金融和互联网支付进行限制,一年好象是不超过一万元。这个地方我想说,第一个是对互联网金融要求更高、更好的风控,这个我是赞同的。第二点对它限制、限额,的的确确是控制的手段,但是我觉得一刀切的方式,不管你是谁,不管你什么样的原因,只有一万元,这种是非常粗暴,而且是没有任何道理的一种解决方案,应该是根据情况,根据你的风险的评估和分析,进而进行限制和风险控制。
如何实现它?简单的说,首先要长时间的积累,长时间数据的积累,根据数据进行风险控制规则和模型,同时全网关联这些风险数据,在设计的时候考虑到用户的体验,因此做这样一套风控系统,相对来说成本比较高。如果使用第三方的风控,团队比较专业,专注于最新的风险和最新的欺诈问题。但是缺点是什么呢?第一个是数据分享上顾虑。第二点是对风控结果理解困难。第三个是难以快速的配置规则和模型来控制最新的风险模式。第四个是响应延时。这些都是针对于来自国外的风控提供商。
在这里我王婆卖瓜自卖自夸。我们同盾第一个是做到风险的精准识别,第二个是做到实时风险处理,进行实时的风险分析,第三个是快速适应最新的欺诈,第四个是对用户没有任何的影响,第四个是实施成本低,对现有体系侵入小。我们提供的产品是从风险识别到风险防控的全系列的方案。
我们的产品和以往现有的风险控制比较,我们同盾的方案是革命性的进步和提升。
最后是我们产品主要分为企业级产品,提供给大型的银行、电商、支付企业,直接把" 软件和系统镶嵌到他们自身的系统里面。第二个是SAAS级产品客户,基于云服务,可以进行实时的分析,两百毫秒之内告诉你风险多大,为风险决策提供评估和分析。这是我们两类的产品。
最后,谢谢大家。
【本文为投资界原创,网页转载须在文首注明来源投资界(微信公众号ID:PEdaily2012)及作者名字。微信转载须在文章评论区联系授权。如不遵守,投资界将向其追究法律责任。】