黑客如何从您的支付宝转账?
使用支付宝转账,要经过三个关口:
第一种方式:登录密码;
第二种方式:支付密码;
第三门课程:AlphaRisk风控体系。
第一级,登录密码
这个很简单。登录支付宝时,需要输入登录密码来证明你就是你。
你可能会说,不,我每次在手机上登录支付宝,都是直接打开的,不用输入密码!没错,那是因为你经常登录,不换手机。在这种情况下,您的帐户面临风险的可能性非常低。支付宝无需每次都麻烦您输入密码。
在这里,我们学到了今天最重要的概念之一:中断率。
每次应用要求你做一件事,比如输入密码,比如让你接收短信验证码,都被认为是中断。在用户体验上,打断就是扣分。因此,频繁打扰用户并不是保证自己“绝对安全”的好办法。
如果您长时间没有在手机上登录支付宝,您需要重新输入密码。如果您用新手机登录支付宝,不仅需要输入密码,还需要进行两次验证(短信验证码或回答安全问题)。
因此,如果黑客只是窃取了您的支付宝登录密码,他们将无法直接登录您的支付宝。那么他们是怎么做到的呢?钟哥可以告诉你几种可能:
1)您的身份信息已严重泄露。
刚才说了,支付宝密码可以重置,需要提供身份证、银行卡等一系列信息。如果这些私人信息都被黑客掌握了,那么在一定程度上,他就是你。没办法,你的密码也会被重置怎样把交易网站上的钱转到支付宝,他可以登录了。
2)你的手机丢了。
您丢失了手机意味着 - 不仅您的手机丢失了,而且您没有密码或指纹来解锁它。否则,坏人无法解锁你的手机,就好像你没有丢一样。
不管怎样,只要黑客进入你手机的主屏幕,有两种情况:
如果你在几天内使用过支付宝,黑客无需输入密码就可以直接登录,就像你自己使用一样。
您最近没有登录支付宝,支付宝会要求您输入密码。这时黑客可以选择重置密码,选择手机接收验证码,也可以重置密码成功登录。
这是第一级。
二级,支付密码
如果坏人破解了你的登录密码,那么如果他想转账,就会遇到“支付密码”门槛。
你还记得吗,支付宝会要求你的支付密码和登录密码不同,目的是为了防止坏人破解你的登录密码,他们可以直接破解你的支付密码。
这里有一个小细节:支付宝近年来鼓励您使用指纹而不是支付密码。当然,用户也可以手动选择切换——这次支付不需要指纹,而是需要密码。这个级别实际上并不能阻止黑客,但是这个细节你要记住,以后会有用的。
接下来我们继续讲黑客如何破解你的支付密码:
1)尝试使用您之前泄露的另一个登录密码。
大部分人不会将支付宝支付密码和其他应用的登录密码设置为一个。从实战数据来看,这种方法的成功率比较低。
2)重置您的支付密码。
重置密码需要您的个人信息,或者需要您的手机。如果黑客掌握了这些,那么他很可能会成功重置支付密码。
你一定想过,如果黑客破解了我的支付密码,钱就会被转走。
错了!太年轻,太单纯!黑客的噩梦才刚刚开始。
第三步即将到来:AlphaRisk。
第三层,AlphaRisk
前两步,黑客的所有操作,AlphaRisk 默默地看着,却不说话。
当前两个密码输入正确后,AlphaRisk会像鱼赤公和秦书宝一样充当最后的门神,决定是否放手。
那么,AlphaRisk 的判断依据是什么?
举个栗子:一个老警察靠在一个公交车站上,他是怎么发现那个挤进公交车的人是小偷的?他会穿越几个维度:眼力、行为、衣着、与前辈的距离、是否挡住自己手的行为等等。经验丰富的警察已经可以准确地确定小偷是谁,而无需等待“偷钱”的行动发生。
同样,AlphaRisk 也像一个老警察,它也会从一些维度观察一笔交易。例如:设备、环境、偏好、行为、关系、账户、身份、交易等。
如果其中任何一个或多个维度出现异常,AlphaRisk 会收到警报,并直接强制运营商进行人脸验证、手机验证码,或者干脆截断交易。
不知道你有没有感觉到。当你用支付宝转账给别人的时候,感觉很自由,支付宝从不惹事。正是因为AlphaRisk对每一笔交易都做了极其细致的评估,觉得没有问题就不阻止。
您可能会问,等到如此激动人心的最后一步让 AlphaRisk 发挥作用?这个“哔——”会不会早点出来?
这个地方涉及到刚才的概念——中断率。如果支付宝使用AlphaRisk在输入交易密码之前跳出一堆人脸验证手机验证码,会让你觉得很烦。支付宝作为一款有尊严的App,将最安全的AlphaRisk放在了最后一步,只为尽量减少干扰。
下面描述了AlphaRisk的工作细节。
以《创造未来》中的操作为例。在攻击第三部手机时,黑客已经获取了登录密码和交易密码,并根据身份证照片一次输入了正确的身份证号码。为什么 AlphaRisk 会认为这笔交易有风险?
用大家能听懂的话来说,大概就是酱料吧:
首先,支付宝是在陌生手机上登录的;
其次,支付宝的登录密码刚刚被重置;
再次,支付宝的支付密码刚刚被重置;
另外,传出账号与传入账号之间也没有人际联系;
另外,在转账账户所在城市和被转账账户所在城市,很少有转账行为;
等等等等。
其实AlphaRisk有很多异常维度可以参考。
比如我刚才特意卖了一个管子的细节:运营商习惯用指纹支付,今天突然强制用密码支付。这条线索,起码事件是有原因的,就足以让AlphaRisk关注到这次交易的风险。
啊,说了这么多,终于解释了支付宝风控的三个方面。
如果你不能偷钱,你能骗钱吗?
实际上有一个问题值得一提。
支付宝账户损坏一般有两种情况:1、账户被盗;2、你被骗后主动转账给他人。
当然,如果你的账户被盗,支付宝就会亏钱给你。但是如果你被骗了,用支付宝主动给骗子转账,就没有办法找支付宝赔钱了。毕竟,你不能靠你的钱包被骗。
但熊文告诉我,支付宝作为一个有追求的钱包,这两年一直在“识别欺诈”上练硬功。
这种识别欺诈的能力也在 AlphaRisk 中。
骗子骗人,通常是直接打电话,或者在微信上作弊。支付宝当然不知道流程。它只能看到一个帐户已将钱转移到另一个帐户。 . 信息这么少,怎么判断你是不是被骗了? ?
熊文给我举了一个真实的例子。
一位母亲,她的孩子在城外当快递员。突然,有一天,她接到一个奇怪的电话,告诉她,她的儿子出了车祸,需要紧急救援,需要她的钱。妈妈一开始不相信,挂了电话。可他身边的电视却恰巧播放了一则新闻,一个快递小哥在儿子所在的城市发生了一场严重的车祸。现在她很着急,所以她赶紧打电话给对方转账。
当母亲将钱转给诈骗者时,AlphaRisk 判断风险并弹出提示,告诉她转账可能被骗了。妈妈选择不理会,关闭弹窗继续传输。这一次,AlphaRisk 判断风险很大怎样把交易网站上的钱转到支付宝,直接封杀了交易,并锁了账户两个小时。
妈妈很生气,以为儿子出事了,支付宝不让转账,于是打电话给客服说理论。这时候儿子正好给妈妈打电话,暴露了骗子的骗局。
在这个例子中,为什么 AlphaRisk 判断转账存在欺诈风险?
雄文说至少有三点:
1、妈妈平时的开销是少量的日常生活。在超市买菜,突然转账几万元,似乎很不寻常。
2、收件人的账号是新注册的。而且最近几天只有大额的收款和提款,没有日常消费。
3、这两个账户之间从来没有直接转账过。
你看,基本逻辑和判断一个账号被盗是差不多的,只不过判断可以使用的信息比判断被盗要少很多,所以难度要大很多。
但是对于熊文来说,最头疼的就是截断用户的支付是好事,但是如果截错了,用户将不得不与支付宝拼命抗争。 . 每当支付宝拦截用户的交易时,证据必须是确凿的。如果没有100%的证据,一般都会选择弹窗提示。但是很多情况下,即使支付宝弹出警告窗口,用户也会选择直接关闭,没有任何效果。
即便如此,雄文团队还是改了改弹窗的内容,可谓是煞费苦心。
两天前,熊文和他的团队突然找到了“与当地反欺诈中心合作”的好方法。比如你是重庆人,当支付宝判断你的交易有风险时,弹出的内容不是“支付宝提醒你注意诈骗”,而是“重庆反诈骗中心提醒你本次交易可能是欺诈。”
“这样一来,用户的交易终止率就会大大提高!”几句话就可以改变,很多人就不会被愚弄了。熊文先生非常兴奋。这两天,他从地方到中央,找反诈骗中心公安局的各种合作。
“到目前为止,85-90%的被骗用户都收到了弹窗提示。”雄文大叔开心的说道。
说到这里,雄文叔给了我一点理财知识:
在一般的网上交易系统中,转账操作只涉及两种状态:“转出”和“账户到账户”。在此处进行转账后,将在此处收到帐户。就像一盏灯只有“开”和“关”两种状态。不可能出现“这里扣钱,那边不付账”的情况。
但为了防止欺诈,支付宝开发了第三种状态:类似于“预授权”。如果您认为此转账有风险,您可以为账户设置 2 小时或 24 小时延迟。在这种情况下,资金处于“预授权”状态。在此期间,如果发现自己被骗了,可以报警,向支付宝申请冻结资金。
处于“预授权”状态的钱在说到期后会成功转入账户。但只要有公安机关出具的相关证明,就可以退回到转账账户。
别看只是加了一个“预授权”状态,等于给了受害者一个“时光机”,让他们及时回到过去,改变不可逆转的错误。
熊文表示,为了增加这个新的身份,他们在过去两年里对支付宝的底层代码做了很大的改动。工作量很大,但很值得。
老司机玩漂移
说实话,人对机器的要求是很不正常的。好机器不仅要代替人,还要比人更有精神。
毕竟是生物,熊文对AlphaRisk很高兴。他觉得,如果2017年支付宝不开始研究AlphaRisk,很多风控策略还是靠人肉,肯定会被“时代洪流”打败。
今天,AlphaRisk 有两个杀手级工具:
1、和人比起来,太厉害了。
大家可能已经知道,AlphaRisk 是一种“人工智能”。作为一个人,父母的喜怒哀乐其实都是判断,而人工智能每天都在做一件事:判断。
人工智能判断事物的标准与人类相似。这涉及到一个技术梗,大家一般都不太了解。钟哥只是以AlphaRisk为例,简单的科普几句:
人工智能和人类各自做出判断,有点像两个厨师各自为你做一张桌子。这分为三个步骤:
1、它们都使用相同种类的成分:青椒、萝卜、鸡肉等(这意味着 AI 和人类使用相同的基础数据来判断事物。)
2、但是,他们的烹饪方法不同。人类可能会做出鱼香肉丝、宫保鸡丁、水果拼盘,但机器会做出西瓜披萨、苹果蒸蛋、巧克力烤茄子等普通人根据自己的理解无法想象的美食。 (这意味着人工智能的判断模型与人类的判断模型既相似又不同。)
3、最后两道菜分开上菜,食客会发现,两道菜虽然不一样,但能填饱肚子,机制菜显然更好吃更有营养。 (也就是说AI判断的准确率要高于人类。)
简单总结一下人工智能的工作原理:通过人类看不到的数据,用撒娇的机器思维做出致命的判断。
这里有一些数据供你感受。
AlphaRisk 用来判断的风险点数以千计(如交易金额、支付宝注册地点、交易时间、密码支付或指纹支付等)。对如此多的数据执行不人道的交叉操作会导致大量的计算。
在正常情况下,全球每秒有数万笔支付宝交易。在双十一这样的狂欢节上,支付宝每秒处理 25 万笔交易。想想看,就像商场收银台后面,有25万顾客在排队。对于每一笔交易,AlphaRisk 都要进行无数次的计算来判断它是否有风险。需要多少计算。 . .
如果这些计算都是人做的,估计算完之后就是9102双11了。
这样一台疯狂的机器,每天都需要大量的程序员来检修和上油。 . .
雄文说哈哈哈NO!因为,在过去的两年里,他们搞出了一个“自动驾驶”系统。
纳尼?支付宝也会开车吗?求车牌号!其实不是你想的那样,这是AlphaRisk的第二个优势。
2、这是一个能自动开车的老司机。
那些做坏事的黑客连过年也不休息,天天“拼命”,不断升级技术,盗取支付宝账号,骗取用户。这是为什么?因为他们知道,如果他们能提前几天开发出一种盗取支付宝的方法,他们会比在支付宝工作的码农加班赚更多的钱。
对手太疯狂了,AlphaRisk 不得不振作起来。一般情况下,AlphaRisk 想要学习新的反欺诈套路,需要工程师手动输入代码。
但是,熊文和支付宝安全团队的成员很“懒惰”,他们觉得AlphaRisk已经长大了,不能每天晚上为它“检查作业”,它必须自己学习新知识。
所以这两年攻城狮很少砍柴,主要是磨刀。他们建立了一个自动建模系统。每天都有部分用户损失通过投诉渠道反馈给支付宝风控团队。这个自动建模系统可以通过学习这些AlphaRisk没有成功拦截的案例来建立一个新的风险模型,然后将这个模型输入到AlphaRisk中。如果再次遇到同样的问题,AlphaRisk 一眼就能认出来。
自动建模不是全部。
要知道,每年双11,支付宝就像雷峰塔一样,感觉交易量在金山泛滥。这个时候,如果还执行原有的风控策略,就会导致算力严重不足。本来他们0:00就杀了,但支付宝算了十秒,告诉他们支付没问题。结果秒杀的限量版衣服已经被别人抢了,头发都没有了。这将导致大量人在杭州上访。 . .
因此,支付宝需要根据不同场景调整AlphaRisk的风控策略。这就像一辆根据路况切换 12,345 个档位的汽车。
原来每逢双11,攻城狮都会为AlphaRisk编写一套新的风控策略,手动换档。自2017年以来,它完全没用。 AlphaRisk 易怒地学会了自动换档。交易量大时会自动切换到高端,交易量低时会瞬间调整回来。
这和汽车的自动驾驶汽车不一样吗? . .
我第一次发现,自动驾驶不仅仅是汽车领域的人工智能。任何需要复杂人工智能的场景实际上都有自动驾驶的一席之地。不管是人还是机器,这个世界无论如何都不能缺少老司机。