从携程网站漏洞事件看国内金融基础设施建设

 

　　编者按：本文来自华创资本sayonly投稿，微博@sayonly，细数了金融领域，尤其是互联网那个金融领域容易出现的安全问题。

　　过去一年，互联网金融发展风起云涌，余额宝突破4000亿，支付宝成为全国最大的支付公司，挖财用户超过5000万，是娱乐应用之外，又一个可能在2014年用户过亿的神器。理财应用如铜板街，纷纷都单日过亿的购买量，第三方理财、贷款公司，又有几家进入百亿俱乐部，真是你方唱罢我登场，拉开了一场轰轰烈烈的互联网金融大幕。

　　当然，在这一片大好的形势之中，也出现了一些不和谐的声音。某大型第三方支付公司在各大银行因盗刷被罚款都超过几百万，某比特币交易平台被盗，用户损失几千万，一些P2P、比特币平台倒掉，这让我们回过头来审视国内金融基础设施建设。包含这两天闹得沸沸扬扬的携程用户信用卡信息被盗问题，如不进一步加强事前、事中安全防范，将产生难以估量的风险。此时，那些以解决网络风险、欺诈和反欺诈领域的互联网金融服务企业，包括账号欺诈、交易欺诈、支付欺诈、商户欺诈、网络信用欺诈问题，又该如何应对互联网金融、第三方支付、及电子商务网站等网络欺诈高发的企业客户。

　　一、信用支付欺诈

　　中国银行业协会的数据显示，2012年我国信用卡欺诈损失金额高达14705.3万元，2013年的数据虽然还未公布，但根据我所了解的情况看，这个数据应该还没有大幅减少。

　　信用卡欺诈主要是一部分犯罪分子，利用伪卡、失窃卡、未达卡在支付的环节进行直接支付，在交易完成且显示支付成功，享受服务或者商品之后，银行无法收到这笔钱，欺诈惯犯会更换不同的设备、IP等方式持续犯案，给支付公司和银行带来了非常大的困扰。另外，欺诈惯犯还会利用互联网钓鱼网站、其他类型如安全保护不够的网站或数据中心窃取了用户数据之后，实现盗刷，尤其是一些跨境、跨区域的盗刷，也非常难以防止。信用卡欺诈还包含一些典型的虚假申请，申请之后，盗刷后废卡。

　　目前的一些防御机制主要是告警之后，进入银行反欺诈中心，利用人工进行审核，但是，即便不断地增加人力，由于每日交易数据量太大，只能进行拦截和抽查，不仅仅降低了网上、手机银行的付费效率，而且容易导致投诉。

　　信用支付的第三方防范和自动化一定是将来的趋势，首先因为支付企业越来越多，每个企业很难在其有限的交易之中产生足够的信息以防范盗刷，随着支付企业开始针对用户进行授信这个问题会越来越严重。

　　一般国外比较有经验的服务公司，如Interactive Data Corporation、Charles River Development、Calypso Technology，都会在过往用户服务之中，累计了超过10亿部电脑和手机终端信息，可以有效地防范持续惯犯，且可以对账号、IP、Email、设备、银行卡、身份证等多维度信息进行识别，更为关键的是，这些公司还针对消费者个人信息、还款信用、支付流水等建立反欺诈风险模型进行评估，而且可以根据评估的风险分数，提供给支付机构应对策略，包括通过、 拒绝、限制信用额度、二次验证等策略。国内暂时只有同盾有这个能力。

　　二、信用贷款欺诈

　　随着互联网金融的发展，信用贷款越来越多，据不完全统计，2013年底全国有小额贷款公司7800家，这些公司大部分都在使用无抵押信用贷款模式，有很大的一部分利用在电子商务的平台的交易数据进行信用贷款，但同样存在着虚假交易、自买自卖、虚假信誉、伪造过往信贷记录的风险。

　　虚假交易，包括异常重复购买、利用第三方刷信平台、或通过和别人协议交换购买。自买自卖，商家及员工注册小号，购买自己发布的商品。虚假信誉，包括诱导、强迫买家给予好评，或者多方人员互刷好评。伪造过往信贷记录，骗取借贷信用。

　　另外，一些资金对接平台包含大量的P2P网站，常常利用大量的信用卡复合套出来资金，在平台上配置给贷款方，这几乎成了一个通用的资金配置工具。

　　一般国外的服务公司，在过往用户服务之中，累计了部分个人和企业的黑名单，可以有效地直接防止这部分个人在不同的平台上利用个人信用多次借款。对于各类账号、交易等行为事件的模式分析，可跨客户、甚至跨领域，从客户历史数据中，获取重要线索信息，并通过机器学习生成模型。针对大量信用卡套资金，也有一套完善的防范体系，让世界从此告别占银行便宜的时代。

　　三、内部欺诈

　　内部欺诈主要是两种类型，一类是渎职、另一类是信息泄密。内部欺诈防范有一定道德风险，必须在系统中部署完善的行为分析模型才可以做到风险防范的同时，尽量规避企业的道德风险。

　　内部欺诈的一种常见方式是渎职，即工作人员在履行职责或者行使职权过程中，玩忽职守、滥用职权或者徇私舞弊，致使企业和机构的利益遭受重大损失，想解决这类问题，需要在整个行权过程中进行行为和结果的监控，及时发现和阻止，将伤害或损失降到最低。

　　在行权前，系统监控行权所需条件是否达到、审批流程、提交材料是否完整;行权时，审查是否有越权操作、账号盗用、履行职责的结果是否合理;行权后，监测结果是否出现异常，并不断补充渎职案例，完善欺诈系统。

　　调查研究表明，企业和机构的泄密事件有一半以上是由内部人员造成的，内部欺诈，尤其是内部信息泄露，已经成为日趋严重的问题。内部信息泄露一般是在正常的工作权限内完成的，常规的针对外部发起的欺诈检测和防范对内部欺诈无能为力。

　　四、账号安全

　　互联网账号安全是第一安全事件，国内缺乏第三方安全防范服务，大都是网站的技术开发人员自己解决，但大部分都不专业。国内最大的程序员社区，国内最大的IM公司，都曾经出现过非常严重的账号泄露事件，甚至还有酒店开房数据被泄露，曾经也炒得沸沸扬扬，搞得那时候见面第一句话就是，有开房数据没?当然这不是登陆信息，不过也属于账号安全的一种。2013年全球发生了1600多起拖库事件，超过万亿的客户信息被泄露。

　　什么叫拖库?就是直接从数据库中导出数据。例如国内最大的电子商务网站，就是被利用了一个Java中间件Struts2的漏洞进行了拖库攻击，当然，这是一个传闻，当天网站就辟谣已修复，未受攻击。据调查，相当大的一部分人在不同的网站使用了相同的用户名和密码登录，所以，一个网站账号密码泄露之后，很容易会在另外一个网站被尝试登录，业界俗称这种事情为撞库。

　　每个网站都应该防止撞库事件发生，这是一种被动防御，因为谁也无法确定用户的用户名/密码在别的网站被泄露了。常见的防御方法有2种，一是可疑登录请求识别，一是全局检测。

　　可疑登录请求识别，是针对频繁登录、同个IP地址/同个设备的多次登录、类似账号多次请求等，通过用户行为针对性的建立风险模型，并做出阻止登录、阻止频繁登录的策略。

　　全局检测是IP地址识别、登录设备检测、黑名单匹配，对用户进行识别，这个一般都需要第三方库的支持。

　　五、POS机套利

　　一般情况下，在POS商户刷卡是为了消费。通过POS商户刷卡并提取现金，就是一种套利套现行为。通过这种伪装消费的方式透支现金，不仅损害银行的短期利益，而且若遭遇长期拖欠，还会产生更多危害。另外，还有一种类型是虚假交易，通过虚假交易套取交易费用中介费。

　　一般在国外的客户服务之中，累积了一套通过识别交易流水、IP、POS设备、银行卡、身份证等信息，识别是否有恶意提现的可能的模型，针对识别出可能的恶意刷卡申请，通过完善的风险模型，进一步做出评估，并以打分的形式给出风险等级，根据风险评估，为网站对相应的刷卡请求提出明了的应对策略：拒绝或者通过。

　　金融的基础设施也是十分重要的一个环节，包含反欺诈系统、客户征信系统、小企业评级系统、金融从业认证、独立风险控制策略和模型等，无疑在2014年互联网金融迎来了一个新的发展高潮。