从携程网站漏洞事件看国内金融基础设施建设

A5交易A5任务 SEO诊断淘宝客 站长团购

编者案：本文来自华创资本sayonly投稿，微博@sayonly，细数了金融领域，尤其是互联网那个金融领域容易出现的安全问题。

过去一年，互联网金融发展风起云涌，余额宝突破4000亿，支付宝成为全国最大的支付公司，挖财用户超过5000万，是文娱运用以外，又一个可能在2014年用户过亿的神器。理财运用如铜板街，纷纭都单日过亿的购买量，第三方理财、贷款公司，又有几家进入百亿俱乐部，真是你方唱罢我登场，拉开了一场大张旗鼓的互联网金融大幕。

固然，在这一片大好的情势当中，也出现了一些不和谐的声音。某大型第三方支付公司在各大银行因盗刷被罚款都超过几百万，某比特币交易平台被盗，用户损失几千万，一些P2P、比特币平台倒掉，这让我们回过头来审视国内金融基础设施建设。包括这两天闹得沸沸扬扬的携程用户信用卡信息被盗问题，如不进一步加强事前、事中安全防范，将产生难以估计的风险。此时，那些以解决网络风险、讹诈和反讹诈领域的互联网金融服务企业，包括账号讹诈、交易讹诈、支付讹诈、商户讹诈、网络信誉讹诈问题，又该如何应对互联网金融、第三方支付、及电子商务网站等网络讹诈多发的企业客户。

1、信誉支付讹诈

中国银行业协会的数据显示，2012年我国信用卡讹诈损失金额高达14705.3万元，2013年的数据虽然还未公布，但根据我所了解的情况看，这个数据应当还没有大幅减少。

信用卡讹诈主要是一部分犯罪分子，利用伪卡、失窃卡、未达卡在支付的环节进行直接支付，在交易完成且显示支付成功，享受服务或商品以后，银行没法收到这笔钱，讹诈惯犯会更换不同的装备、IP等方式延续犯案，给支付公司和银行带来了非常大的困扰。另外，讹诈惯犯还会利用互联网钓鱼网站、其他类型如安全保护不够的网站或数据中心盗取了用户数据以后，实现盗刷，尤其是一些跨境、跨区域的盗刷，也非常难以避免。信用卡讹诈还包括一些典型的虚假申请，申请以后，盗刷后废卡。

目前的一些防御机制主要是告警以后，进入银行反讹诈中心，利用人工进行审核，但是，即使不断地增加人力，由于逐日交易数据量太大，只能进行拦截和抽查，不单单下降了网上、手机银行的付费效力，而且容易致使投诉。

信誉支付的第三方防范和自动化一定是将来的趋势，首先由于支付企业愈来愈多，每一个企业很难在其有限的交易当中产生足够的信息以防范盗刷，随着支付企业开始针对用户进行授信这个问题会愈来愈严重。

一般国外比较有经验的服务公司，如Interactive Data Corporation、Charles River Development、Calypso Technology，都会在过往用户服务当中，累计了超过10亿部电脑和手机终端信息，可以有效地防范延续惯犯，且可以对账号、IP、Email、装备、银行卡、身份证等多维度信息进行辨认，更加关键的是，这些公司还针对消费者个人信息、还款信誉、支付流水等建立反讹诈风险模型进行评估，而且可以根据评估的风险分数，提供给支付机构应对策略，包括通过、 谢绝、限制信誉额度、二次验证等策略。国内暂时只有同盾有这个能力。

2、信誉贷款讹诈

随着互联网金融的发展，信誉贷款愈来愈多，据不完全统计，2013年底全国有小额贷款公司7800家，这些公司大部分都在使用无抵押信誉贷款模式，有很大的一部分利用在电子商务的平台的交易数据进行信誉贷款，但一样存在着虚假交易、自买自卖、虚假信誉、捏造过往信贷记录的风险。

虚假交易，包括异常重复购买、利用第三方刷信平台、或通过和他人协议交换购买。自买自卖，商家及员工注册小号，购买自己发布的商品。虚假信誉，包括引诱、强制买家给予好评，或多方人员互刷好评。捏造过往信贷记录，欺骗借贷信誉。

另外，一些资金对接平台包括大量的P2P网站，常常利用大量的信用卡复合套出来资金，在平台上配置给贷款方，这几近成了一个通用的资金配置工具。

一般国外的服务公司，在过往用户服务当中，累计了部份个人和企业的黑名单，可以有效地直接避免这部份个人在不同的平台上利用个人信用屡次借款。对各类账号、交易等行动事件的模式分析，可跨客户、乃至跨领域，从客户历史数据中，获得重要线索信息，并通过机器学习生成模型。针对大量信用卡套资金，也有一套完善的防范体系，让世界从此告别占银行便宜的时期。

3、内部讹诈

内部讹诈主要是两种类型，一类是渎职、另外一类是信息泄密。内部讹诈防范有一定道德风险，必须在系统中部署完善的行动分析模型才可以做到风险防范的同时，尽可能规避企业的道德风险。

内部讹诈的一种常见方式是渎职，即工作人员在履行职责或行使职权进程中，玩忽职守、滥用职权或徇私舞弊，导致企业和机构的利益遭受重大损失，想解决这类问题，需要在全部行权进程中进行行动和结果的监控，及时发现和阻挠，将伤害或损失降到最低。

在行权前，系统监控行权所需条件是不是到达、审批流程、提交材料是不是完全;行权时，审查是不是有越权操作、账号盗用、履行职责的结果是不是公道;行权后，监测结果是不是出现异常，并不断补充渎职案例，完善讹诈系统。

调查研究表明，企业和机构的泄密事件有一半以上是由内部人员造成的，内部讹诈，尤其是内部信息泄漏，已成为日益严重的问题。内部信息泄漏一般是在正常的工作权限内完成的，常规的针对外部发起的讹诈检测和防范对内部讹诈无能为力。

4、账号安全

互联网账号安全是第一安全事件，国内缺少第三方安全防范服务，大都是网站的技术开发人员自己解决，但大部分都不专业。国内最大的程序员社区，国内最大的IM公司，都曾出现过非常严重的账号泄漏事件，乃至还有酒店开房数据被泄漏，曾也炒得沸沸扬扬，弄得那时候见面第一句话就是，有开房数据没?固然这不是登陆信息，不过也属于账号安全的一种。2013年全球产生了1600多起拖库事件，超过万亿的客户信息被泄漏。

甚么叫拖库?就是直接从数据库中导出数据。例如国内最大的电子商务网站，就是被利用了一个Java中间件Struts2的漏洞进行了拖库攻击，固然，这是一个传闻，当天网站就辟谣已修复，未受攻击。据调查，相当大的一部分人在不同的网站使用了相同的用户名和密码登录，所以，一个网站账号密码泄漏以后，很容易会在另外一个网站被尝试登录，业界俗称这类事情为撞库。

每一个网站都应当避免撞库事件产生，这是一种被动防御，由于谁也没法肯定用户的用户名/密码在别的网站被泄漏了。常见的防御方法有2种，1是可疑登录要求辨认，1是全局检测。

可疑登录要求辨认，是针对频繁登录、同个IP地址/同个装备的屡次登录、类似账号屡次要求等，通过用户行动针对性的建立风险模型，并做出阻挠登录、阻挠频繁登录的策略。

全局检测是IP地址辨认、登录装备检测、黑名单匹配，对用户进行辨认，这个一般都需要第三方库的支持。

5、POS机套利

一般情况下，在POS商户刷卡是为了消费。通过POS商户刷卡并提取现金，就是一种套利套现行为。通过这类假装消费的方式透支现金，不但伤害银行的短时间利益，而且若遭受长时间拖欠，还会产生更多危害。另外，还有一种类型是虚假交易，通过虚假交易套取交易费用中介费。

一般在国外的客户服务当中，积累了一套通过辨认交易流水、IP、POS装备、银行卡、身份证等信息，辨认是不是有歹意提现的可能的模型，针对辨认出可能的歹意刷卡申请，通过完善的风险模型，进一步做出评估，并以打分的情势给出风险等级，根据风险评估，为网站对相应的刷卡要求提出明了的应对策略：谢绝或通过。

金融的基础设施也是十分重要的一个环节，包括反讹诈系统、客户征信系统、小企业评级系统、金融从业认证、独立风险控制策略和模型等，无疑在2014年互联网金融迎来了一个新的发展高潮。

中国平安人寿保险股份有限公司成都电话销售中心

中国石油天然气股份有限公司浙江油田分公司

中国爱地集团有限公司