同盾科技刘德彬：评估并控制风险是保障支付安全的良方

　　投资界4月9日消息，由清科集团主办的2014中国互联网金融投资大会今日在深圳召开。同盾科技联合创始人兼首席科学家刘德彬在会上着重针对"支付风险"的种类及最大化降低支付风险的措施进行阐释，表明，根据个人风险的评估和分析，进而进行限制和风险控制。

　　以下为演讲实录：

　　刘德彬：大家好，我叫刘德彬，来自杭州同盾科技有限公司，很高兴和大家分享一下对互联网金融的理解。

　　请允许我自我介绍一下，我们公司是去年成立的，我们的创始人蒋韬来自于阿里集团的安全部，之前是阿里的安全总监，而我来自美国的PayPal公司，我是研发专家。研发团队在杭州，专注于网络风险和欺诈问题，解决这些问题，包括帐户的安全、交易的风险、支付风险、信贷风险，还有企业内部的风险控制。所以我的题目可能会有一些误导，实际上解决的问题不仅仅是支付风险的控制和分析，我们同时也涵盖了帐户、交易、信贷、互联网金融等等各种面临的风险问题。

　　就支付而言，我个人把它暂时分为三类，第一个是传统银行现在越来越多在网上的银行，包括手机银行开办的这种为个人、企业，以及机构的网上银行、手机银行的服务，另外是以支付宝为代表的第三方支付，还有很多的各种各类的预付卡，都可以在网上或者是手机上使用。所以他们虽然在种种的功能上，或使用上有所不同，但是他们所面临的风险在我看来都是类似的、相通的。常见的支付风险，我认为盗卡、帐户盗用、套利、套现、洗钱等等，由于时间的关系，我想就前两种，风险最大的支付风险展开给大家聊一聊。

　　第一个是盗卡，以美国一家支付公司为例，两年前的数据为例，一年盗卡达到了3600万美元，帐户盗用损失2100万美元，这些是一年，加起来是接近6000万美元，而且是两年前的数据。在我看来这两个是危害非常大的支付的风险。所以接下来我们就这两种展开讨论一下。

　　第一个是什么是盗卡，就是你的银行卡号码被别人拿到你的号码，或者是制造一种伪造的信用卡，或者直接在线上用你的卡号进行购物和支付。银行卡号码怎么被盗的呢？可能是电脑中了病毒，或者是刷卡的商家有病毒，或者是连接的无线路由器进行交易的话，号码都有可能被盗。被盗之后，黑客和欺诈分子会做什么呢？我们研究发现，最常见的三种变现的方式，或者是他们喜欢用的方式，第一个是做境外的支付交易，因为境外支付不需要手机短信的验证，也不需要密码，只需要后面的一个号码就可以支付。第二个是购买虚拟物品，第三个是话费充值。因为很容易变现，我们发现的一个案例，在淘宝上开一个网店充话费，转过来用盗窃的信用卡，通过第三方支付，给你的手机充话费，这个是很容易变现的方式。接下来银行卡的信息可能会进一步的转变。这个是常见的盗卡的流程。

　　帐户盗用也是比较类似的，由于病毒、木马这种可能性，你的帐户信息泄露、用户名泄露，或者是用简单的密码，或者是重复性的密码，被别人猜到了。研究表明60%以上的人都用一个密码，在座的人可能和我一样，可能是一两个密码不停的使用。很容易造成的问题是，比如说工商银行用了同样的用户名和密码，哪怕工商银行对你保护的再好，你买衣服的网站被黑客攻破了，你的银行帐号同样会受到威胁。这些人用你的帐号就可以进行支付、转帐、取现、洗钱等等，这些都是帐户盗用造成的支付的风险。

　　怎么解决这些问题呢？听起来很恐怖。我这里列了现有的常见的措施。比如说电子银行口令卡、电子密码器、U盾、浏览器证书、安全空间、短信验证码、支付密码、电话回呼人工确认。我问一下，有多少人有口令卡、密码器？有多少人在过去3个月使用到这些的吗？这个人比之前的少了。我是去年加入这个团队的，回来之后我开户，到现在我手上有7、8个U矛和口令卡，一次都没有用过，我实在很难接受这个东西，很难用。再举例说安全控件，在座有多少位安装过安全控件的？好多人。那安装过多少控件呢？有3个以上的？5个以上的有吗？我回来发现，很多网站都会要求你安装安全控件，但是千万不要被蒙蔽了，不是有安全控件就是方便你的安全。其实把浏览器关掉，都在后台运行，都在无时无刻的在收集你的信息。现在已经被禁止安装安全控件了，这个逐渐被淘汰了。还有验证码，这些都很难让人想象。所以归根到底，我的意思就是说，这些东西都很麻烦，用户不喜欢，那么这么麻烦的东西，如果有用还好，到底有没有用呢？我们看几个案例，第一个，去年8月份的时候，新闻说银行卡被盗27万，最后打到法院，银行赔19万，银行没有识别出伪造的信用卡，而用户是没有保存好银行卡密码，所以最后是银行只赔了19万。有支付密码，有银行号码，都可以盗刷你的信用卡。所以光靠银行卡是不靠谱的。第二个案例，是4个月内盗刷666次，最多是刷9.99元。短信漏洞也是很容易被绕过去的。第三个是有钓鱼网站说，由于你要登陆一个东西，这个东西告诉他，不用给你密码，只用电子密码器输一下密码就可以了，其实电子密码器比密码更密码，光电子密码器就足以让黑客进入他的帐户进行转帐，进而转到各地的ATM机上进行取现，这些都是真实的案例，说明了麻烦的安全措施并没有达到很好的保护。

　　怎么办呢？以国外为例子的话，越来越多的企业和机构，他们更加注重的是后台的风控措施，以美国的PayPal、国内的淘宝为例，他们更注重后台的风控措施，一个网站收到支付的请求，会首先要求风险分析中心来分析风险有多大，风险分析中心会根据设备信息、IT信息、历史的交易数据、模型数据，来判断风险有多高，根据风险决定到底对支付进行限制，还是说要求人工来审核，还是说限权。这个就是整个后台的风控系统怎么来工作的，怎么来有效的补充到前端的安全措施上。

　　说到限权的控制，我不得不插一句，上个月央行发布的草案说，对互联网金融和互联网支付进行限制，一年好象是不超过一万元。这个地方我想说，第一个是对互联网金融要求更高、更好的风控，这个我是赞同的。第二点对它限制、限额，的的确确是控制的手段，但是我觉得一刀切的方式，不管你是谁，不管你什么样的原因，只有一万元，这种是非常粗暴，而且是没有任何道理的一种解决方案，应该是根据情况，根据你的风险的评估和分析，进而进行限制和风险控制。

　　如何实现它？简单的说，首先要长时间的积累，长时间数据的积累，根据数据进行风险控制规则和模型，同时全网关联这些风险数据，在设计的时候考虑到用户的体验，因此做这样一套风控系统，相对来说成本比较高。如果使用第三方的风控，团队比较专业，专注于最新的风险和最新的欺诈问题。但是缺点是什么呢？第一个是数据分享上顾虑。第二点是对风控结果理解困难。第三个是难以快速的配置规则和模型来控制最新的风险模式。第四个是响应延时。这些都是针对于来自国外的风控提供商。

　　在这里我王婆卖瓜自卖自夸。我们同盾第一个是做到风险的精准识别，第二个是做到实时风险处理，进行实时的风险分析，第三个是快速适应最新的欺诈，第四个是对用户没有任何的影响，第四个是实施成本低，对现有体系侵入小。我们提供的产品是从风险识别到风险防控的全系列的方案。

　　我们的产品和以往现有的风险控制比较，我们同盾的方案是革命性的进步和提升。

　　最后是我们产品主要分为企业级产品，提供给大型的银行、电商、支付企业，直接把软件和系统镶嵌到他们自身的系统里面。第二个是SAAS级产品客户，基于云服务，可以进行实时的分析，两百毫秒之内告诉你风险多大，为风险决策提供评估和分析。这是我们两类的产品。

　　最后，谢谢大家。

本文来源投资界，原文：https://news.pedaily.cn/201404/20140410363105.shtml