黑客如何从您的支付宝转账？

使用支付宝转账，要经过三个关口：

第一种方式：登录密码；

第二种方式：支付密码；

第三门课程：AlphaRisk风控体系。

第一级，登录密码

这个很简单。登录支付宝时，需要输入登录密码来证明你就是你。

你可能会说，不，我每次在手机上登录支付宝，都是直接打开的，不用输入密码！没错，那是因为你经常登录，不换手机。在这种情况下，您的帐户面临风险的可能性非常低。支付宝无需每次都麻烦您输入密码。

在这里，我们学到了今天最重要的概念之一：中断率。

每次应用要求你做一件事，比如输入密码，比如让你接收短信验证码，都被认为是中断。在用户体验上，打断就是扣分。因此，频繁打扰用户并不是保证自己“绝对安全”的好办法。

如果您长时间没有在手机上登录支付宝，您需要重新输入密码。如果您用新手机登录支付宝，不仅需要输入密码，还需要进行两次验证（短信验证码或回答安全问题）。

因此，如果黑客只是窃取了您的支付宝登录密码，他们将无法直接登录您的支付宝。那么他们是怎么做到的呢？钟哥可以告诉你几种可能：

1）您的身份信息已严重泄露。

刚才说了，支付宝密码可以重置，需要提供身份证、银行卡等一系列信息。如果这些私人信息都被黑客掌握了，那么在一定程度上，他就是你。没办法，你的密码也会被重置怎样把交易网站上的钱转到支付宝，他可以登录了。

2）你的手机丢了。

您丢失了手机意味着 - 不仅您的手机丢失了，而且您没有密码或指纹来解锁它。否则，坏人无法解锁你的手机，就好像你没有丢一样。

不管怎样，只要黑客进入你手机的主屏幕，有两种情况：

如果你在几天内使用过支付宝，黑客无需输入密码就可以直接登录，就像你自己使用一样。

您最近没有登录支付宝，支付宝会要求您输入密码。这时黑客可以选择重置密码，选择手机接收验证码，也可以重置密码成功登录。

这是第一级。

二级，支付密码

如果坏人破解了你的登录密码，那么如果他想转账，就会遇到“支付密码”门槛。

你还记得吗，支付宝会要求你的支付密码和登录密码不同，目的是为了防止坏人破解你的登录密码，他们可以直接破解你的支付密码。

这里有一个小细节：支付宝近年来鼓励您使用指纹而不是支付密码。当然，用户也可以手动选择切换——这次支付不需要指纹，而是需要密码。这个级别实际上并不能阻止黑客，但是这个细节你要记住，以后会有用的。

接下来我们继续讲黑客如何破解你的支付密码：

1）尝试使用您之前泄露的另一个登录密码。

大部分人不会将支付宝支付密码和其他应用的登录密码设置为一个。从实战数据来看，这种方法的成功率比较低。

2）重置您的支付密码。

重置密码需要您的个人信息，或者需要您的手机。如果黑客掌握了这些，那么他很可能会成功重置支付密码。

你一定想过，如果黑客破解了我的支付密码，钱就会被转走。

错了！太年轻，太单纯！黑客的噩梦才刚刚开始。

第三步即将到来：AlphaRisk。

第三层，AlphaRisk

前两步，黑客的所有操作，AlphaRisk 默默地看着，却不说话。

当前两个密码输入正确后，AlphaRisk会像鱼赤公和秦书宝一样充当最后的门神，决定是否放手。

那么，AlphaRisk 的判断依据是什么？

举个栗子：一个老警察靠在一个公交车站上，他是怎么发现那个挤进公交车的人是小偷的？他会穿越几个维度：眼力、行为、衣着、与前辈的距离、是否挡住自己手的行为等等。经验丰富的警察已经可以准确地确定小偷是谁，而无需等待“偷钱”的行动发生。

同样，AlphaRisk 也像一个老警察，它也会从一些维度观察一笔交易。例如：设备、环境、偏好、行为、关系、账户、身份、交易等。

如果其中任何一个或多个维度出现异常，AlphaRisk 会收到警报，并直接强制运营商进行人脸验证、手机验证码，或者干脆截断交易。

不知道你有没有感觉到。当你用支付宝转账给别人的时候，感觉很自由，支付宝从不惹事。正是因为AlphaRisk对每一笔交易都做了极其细致的评估，觉得没有问题就不阻止。

您可能会问，等到如此激动人心的最后一步让 AlphaRisk 发挥作用？这个“哔——”会不会早点出来？

这个地方涉及到刚才的概念——中断率。如果支付宝使用AlphaRisk在输入交易密码之前跳出一堆人脸验证手机验证码，会让你觉得很烦。支付宝作为一款有尊严的App，将最安全的AlphaRisk放在了最后一步，只为尽量减少干扰。

下面描述了AlphaRisk的工作细节。

以《创造未来》中的操作为例。在攻击第三部手机时，黑客已经获取了登录密码和交易密码，并根据身份证照片一次输入了正确的身份证号码。为什么 AlphaRisk 会认为这笔交易有风险？

用大家能听懂的话来说，大概就是酱料吧：

首先，支付宝是在陌生手机上登录的；

其次，支付宝的登录密码刚刚被重置；

再次，支付宝的支付密码刚刚被重置；

另外，传出账号与传入账号之间也没有人际联系；

另外，在转账账户所在城市和被转账账户所在城市，很少有转账行为；

等等等等。

其实AlphaRisk有很多异常维度可以参考。

比如我刚才特意卖了一个管子的细节：运营商习惯用指纹支付，今天突然强制用密码支付。这条线索，起码事件是有原因的，就足以让AlphaRisk关注到这次交易的风险。

啊，说了这么多，终于解释了支付宝风控的三个方面。

如果你不能偷钱，你能骗钱吗？

实际上有一个问题值得一提。

支付宝账户损坏一般有两种情况：1、账户被盗；2、你被骗后主动转账给他人。

当然，如果你的账户被盗，支付宝就会亏钱给你。但是如果你被骗了，用支付宝主动给骗子转账，就没有办法找支付宝赔钱了。毕竟，你不能靠你的钱包被骗。

但熊文告诉我，支付宝作为一个有追求的钱包，这两年一直在“识别欺诈”上练硬功。

这种识别欺诈的能力也在 AlphaRisk 中。

骗子骗人，通常是直接打电话，或者在微信上作弊。支付宝当然不知道流程。它只能看到一个帐户已将钱转移到另一个帐户。 . 信息这么少，怎么判断你是不是被骗了？ ?

熊文给我举了一个真实的例子。

一位母亲，她的孩子在城外当快递员。突然，有一天，她接到一个奇怪的电话，告诉她，她的儿子出了车祸，需要紧急救援，需要她的钱。妈妈一开始不相信，挂了电话。可他身边的电视却恰巧播放了一则新闻，一个快递小哥在儿子所在的城市发生了一场严重的车祸。现在她很着急，所以她赶紧打电话给对方转账。

当母亲将钱转给诈骗者时，AlphaRisk 判断风险并弹出提示，告诉她转账可能被骗了。妈妈选择不理会，关闭弹窗继续传输。这一次，AlphaRisk 判断风险很大怎样把交易网站上的钱转到支付宝，直接封杀了交易，并锁了账户两个小时。

妈妈很生气，以为儿子出事了，支付宝不让转账，于是打电话给客服说理论。这时候儿子正好给妈妈打电话，暴露了骗子的骗局。

在这个例子中，为什么 AlphaRisk 判断转账存在欺诈风险？

雄文说至少有三点：

1、妈妈平时的开销是少量的日常生活。在超市买菜，突然转账几万元，似乎很不寻常。

2、收件人的账号是新注册的。而且最近几天只有大额的收款和提款，没有日常消费。

3、这两个账户之间从来没有直接转账过。

你看，基本逻辑和判断一个账号被盗是差不多的，只不过判断可以使用的信息比判断被盗要少很多，所以难度要大很多。

但是对于熊文来说，最头疼的就是截断用户的支付是好事，但是如果截错了，用户将不得不与支付宝拼命抗争。 . 每当支付宝拦截用户的交易时，证据必须是确凿的。如果没有100%的证据，一般都会选择弹窗提示。但是很多情况下，即使支付宝弹出警告窗口，用户也会选择直接关闭，没有任何效果。

即便如此，雄文团队还是改了改弹窗的内容，可谓是煞费苦心。

两天前，熊文和他的团队突然找到了“与当地反欺诈中心合作”的好方法。比如你是重庆人，当支付宝判断你的交易有风险时，弹出的内容不是“支付宝提醒你注意诈骗”，而是“重庆反诈骗中心提醒你本次交易可能是欺诈。”

“这样一来，用户的交易终止率就会大大提高！”几句话就可以改变，很多人就不会被愚弄了。熊文先生非常兴奋。这两天，他从地方到中央，找反诈骗中心公安局的各种合作。

“到目前为止，85-90%的被骗用户都收到了弹窗提示。”雄文大叔开心的说道。

说到这里，雄文叔给了我一点理财知识：

在一般的网上交易系统中，转账操作只涉及两种状态：“转出”和“账户到账户”。在此处进行转账后，将在此处收到帐户。就像一盏灯只有“开”和“关”两种状态。不可能出现“这里扣钱，那边不付账”的情况。

但为了防止欺诈，支付宝开发了第三种状态：类似于“预授权”。如果您认为此转账有风险，您可以为账户设置 2 小时或 24 小时延迟。在这种情况下，资金处于“预授权”状态。在此期间，如果发现自己被骗了，可以报警，向支付宝申请冻结资金。

处于“预授权”状态的钱在说到期后会成功转入账户。但只要有公安机关出具的相关证明，就可以退回到转账账户。

别看只是加了一个“预授权”状态，等于给了受害者一个“时光机”，让他们及时回到过去，改变不可逆转的错误。

熊文表示，为了增加这个新的身份，他们在过去两年里对支付宝的底层代码做了很大的改动。工作量很大，但很值得。

老司机玩漂移

说实话，人对机器的要求是很不正常的。好机器不仅要代替人，还要比人更有精神。

毕竟是生物，熊文对AlphaRisk很高兴。他觉得，如果2017年支付宝不开始研究AlphaRisk，很多风控策略还是靠人肉，肯定会被“时代洪流”打败。

今天，AlphaRisk 有两个杀手级工具：

1、和人比起来，太厉害了。

大家可能已经知道，AlphaRisk 是一种“人工智能”。作为一个人，父母的喜怒哀乐其实都是判断，而人工智能每天都在做一件事：判断。

人工智能判断事物的标准与人类相似。这涉及到一个技术梗，大家一般都不太了解。钟哥只是以AlphaRisk为例，简单的科普几句：

人工智能和人类各自做出判断，有点像两个厨师各自为你做一张桌子。这分为三个步骤：

1、它们都使用相同种类的成分：青椒、萝卜、鸡肉等（这意味着 AI 和人类使用相同的基础数据来判断事物。）

2、但是，他们的烹饪方法不同。人类可能会做出鱼香肉丝、宫保鸡丁、水果拼盘，但机器会做出西瓜披萨、苹果蒸蛋、巧克力烤茄子等普通人根据自己的理解无法想象的美食。 （这意味着人工智能的判断模型与人类的判断模型既相似又不同。）

3、最后两道菜分开上菜，食客会发现，两道菜虽然不一样，但能填饱肚子，机制菜显然更好吃更有营养。 （也就是说AI判断的准确率要高于人类。）

简单总结一下人工智能的工作原理：通过人类看不到的数据，用撒娇的机器思维做出致命的判断。

这里有一些数据供你感受。

AlphaRisk 用来判断的风险点数以千计（如交易金额、支付宝注册地点、交易时间、密码支付或指纹支付等）。对如此多的数据执行不人道的交叉操作会导致大量的计算。

在正常情况下，全球每秒有数万笔支付宝交易。在双十一这样的狂欢节上，支付宝每秒处理 25 万笔交易。想想看，就像商场收银台后面，有25万顾客在排队。对于每一笔交易，AlphaRisk 都要进行无数次的计算来判断它是否有风险。需要多少计算。 . .

如果这些计算都是人做的，估计算完之后就是9102双11了。

这样一台疯狂的机器，每天都需要大量的程序员来检修和上油。 . .

雄文说哈哈哈NO！因为，在过去的两年里，他们搞出了一个“自动驾驶”系统。

纳尼？支付宝也会开车吗？求车牌号！其实不是你想的那样，这是AlphaRisk的第二个优势。

2、这是一个能自动开车的老司机。

那些做坏事的黑客连过年也不休息，天天“拼命”，不断升级技术，盗取支付宝账号，骗取用户。这是为什么？因为他们知道，如果他们能提前几天开发出一种盗取支付宝的方法，他们会比在支付宝工作的码农加班赚更多的钱。

对手太疯狂了，AlphaRisk 不得不振作起来。一般情况下，AlphaRisk 想要学习新的反欺诈套路，需要工程师手动输入代码。

但是，熊文和支付宝安全团队的成员很“懒惰”，他们觉得AlphaRisk已经长大了，不能每天晚上为它“检查作业”，它必须自己学习新知识。

所以这两年攻城狮很少砍柴，主要是磨刀。他们建立了一个自动建模系统。每天都有部分用户损失通过投诉渠道反馈给支付宝风控团队。这个自动建模系统可以通过学习这些AlphaRisk没有成功拦截的案例来建立一个新的风险模型，然后将这个模型输入到AlphaRisk中。如果再次遇到同样的问题，AlphaRisk 一眼就能认出来。

自动建模不是全部。

要知道，每年双11，支付宝就像雷峰塔一样，感觉交易量在金山泛滥。这个时候，如果还执行原有的风控策略，就会导致算力严重不足。本来他们0:00就杀了，但支付宝算了十秒，告诉他们支付没问题。结果秒杀的限量版衣服已经被别人抢了，头发都没有了。这将导致大量人在杭州上访。 . .

因此，支付宝需要根据不同场景调整AlphaRisk的风控策略。这就像一辆根据路况切换 12,345 个档位的汽车。

原来每逢双11，攻城狮都会为AlphaRisk编写一套新的风控策略，手动换档。自2017年以来，它完全没用。 AlphaRisk 易怒地学会了自动换档。交易量大时会自动切换到高端，交易量低时会瞬间调整回来。

这和汽车的自动驾驶汽车不一样吗？ . .

我第一次发现，自动驾驶不仅仅是汽车领域的人工智能。任何需要复杂人工智能的场景实际上都有自动驾驶的一席之地。不管是人还是机器，这个世界无论如何都不能缺少老司机。