logo
搜索
我的图书馆

发文章

发文工具

其他工具

留言交流
搜索
分享

勒索病毒肆虐,第三方支付平台风险防范大揭秘!

 街角那个她 2017-05-16


512日以来,一个名为“想哭”勒索蠕虫病毒已经波及超过150个国家,攻击了全球微软操作系统用户。受波及的用户登录电脑时会收到“电脑被加密无法打开,用户需要支付300美元或比特币,否则被加密电脑资料将被删除”的提示。截止目前,已有20万台电脑遭受病毒入侵。在英国,10多家医院被迫暂停提供服务;在俄罗斯,几千台内政部电脑遭到病毒入侵;在中国,3万家机构受到勒索病毒的影响。

第三方支付平台作为资金通道,在病毒肆虐下,面临着很大的风险管控压力。第三方支付的风险管控主要是基于客户的大数据分析,从多种渠道提取交易数据,建立风控模型,并对潜在的病毒入侵等风险实施识别、评估、监测、控制。

深挖第三方支付平台存在的主要风险

一、信息泄露风险

1.支付渠道参数泄露

商家使用支付宝、微信、智付等支付平台,需要接入第三方支付接口。而接入支付接口的过程中,商家需要将支付渠道参数提供给BeecloudPing++等第三方支付集成服务商。这些集成服务商能把支付宝、微信、易宝、智付、网银等多种接口集成在一个系统下。由于商家和第三方支付集成服务商为支付渠道参数的拥有者,当出现信息泄露问题时,责任承担人的确定就比较困难了。

例如,商家接入全渠道支付接口,但在使用过程中出现支付渠道参数泄露,此时黑客会利用此参数进行恶意代收代扣等行为,或者用于洗钱等非法活动。此时商户会被第三方支付风险控制系统认定为黑名单,造成投诉纠纷时,甚至要承担赔付责任。

2.数据泄露

由于第三方支付集成服务商或第三方支付平台提供的内部风险控制存在漏洞,导致企业交易数据泄露。这些交易数据有可能被被人转卖牟利或被竞争对手获得。竞争对手可以利用该类交易数据分析商户的交易行为,从而分析其商业模式和发展战略。这对于企业来说,是致命的。这就是为什么现在的支付牌照交易买卖如此活跃,小米、绿地、唯品会等互联网巨头不惜重金购入,京东停止与支付宝合作的原因。

这种数据的泄露,除了交易数据的泄露,还涉及客户数据的泄露。在对客户实名认证的过程中,如果通过第三方支付集成服务商的SDK调用第三方支付的实名认证接口,在调用数据的过程中,存在客户数据泄露风险。

二、支付集成服务商风险

第三方支付集成服务商的各个接口是由各大支付平台提供的。如果集成服务商不能及时获取各个支付平台的接口更新信息(如安全漏洞更新、勒索病毒应对更新等),那么很容易出现信息泄露安全。况且第三方支付集成服务商对于各个支付接口的更新是要受到开发资源排期、版本更新进度等外部因素的影响。

第三方支付集成服务商的另一个风险在于其系统本身的安全性。在“商家-支付集成服务商-多家第三方支付平台”的支付接口集成模式下,如果支付集成服务商的系统受到DDoS、蠕虫病毒等外部攻击,那么该支付集成系统就无法正常使用了。

第三方支付平台诈骗事件缘由大起底!

对于第三方支付而言,基本上稍具规模的第三方支付公司每天都需要处理一批诈骗相关的案件,而那些受害者一般是通过访问钓鱼网站而遭受钱财损失的。

典型的诈骗场景是这样的:诈骗者冒用第三方支付平台工作人员身份,要求付款人加其微信、QQ,然后要求付款人登入诈骗人提供的假冒退款地址。当付款人按照假冒地址的流程走了一遍后,款项将转到诈骗人手中。那些受害人上当受骗后,以为这是第三方支付平台的欺诈行为,就选择到各大论坛、投诉平台去“拉横幅伸冤”。这就不难理解稍有规模的第三方支付平台,都会存在欺诈、赌博等负面信息了。

客观来说,对于智付、财付通、汇付天下等获得支付牌照的正规支付平台而言,不会也没必要为了这点蝇头小利而与诈骗者同伙,损害自己的名声。在交易过程中,支付平台扮演的只是银行网关这个中间人的角色。而诈骗事件的屡禁不绝,大多是由被害人安全意识薄弱、贪小便宜造成的。同时,在信用缺失、执法效率低下的当下,第三方支付平台对于诈骗案例的处理,很多时候是“心有余而力不足”的。

第三方支付平台安全防范措施全解读!

1.加强风险控制。通过交易历史中风险商户样本数据的整理,建立科学有效的风险规则和风险模型,及时预警潜在风险,及时止损。一方面是加强支付公司安全审计建设,防止员工私自使用客户、系统的信息。另一方面是防止外部人员通过系统漏洞、信息泄露等窃取第三方支付平台的信息。

    2.推动第三方支付与执法机关、银行等相关部门的合作,以保证风险事件出现后,能够联动相关部门实施行动,及时冻结相关账户,提高事件处理的效率和成功率。如深圳警方与智付联合的“网安警务室”可以及时处理诈骗等违法犯罪事件。又如招商银行与智付筹建的“双运行中心”,可以提高第三方支付系统的稳定性以及订单成功率。

3.加强安全体系建设,提高系统安全和交易安全。可以通过使用安全插件、数字证书、控制消费限额、钓鱼网站黑名单等等手段,可以提高第三方支付的系统安全。而采用IPSWAF、防火墙等安全防护设备,并采用2048SSL加密,可以实现反欺诈、反套现、反洗钱等功能,能有效提高第三方支付的交易安全。

    转藏 分享 献花(0

    来自: 街角那个她 > 《第三方支付行业研究》

    举报/认领

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多