看大数据在互联网风控中的应用：通过设备行为分析降低支付风险章建军

从2012年起，大数据的话题在中国互联网以及各个行业开始大热，据说2013年已经被国外媒体称为“大数据元年”。除了最常规的用户挖掘、广告价值提升，大数据被用来制作热门电视剧，建设医疗机构，甚至帮助奥巴马连任等各种神话已经层出不穷。但互联网最最基础的一项工作——安全工作，似乎一直跟这股潮流没什么关系。

很多人的印象中，互联网安全无非就是装个杀毒软件，网上支付的时候最好再拿个硬件盾(U盾)心里才能踏实点。一出问题，得出互联网始终还是比传统世界不安全的结论，那是必须的。我们搞互联网安全的，有那么没有技术含量吗？这里简单给大家介绍下网上支付控制风险的一个利器——正是现在所有人热捧的大数据。

传统安全认证方式及其问题

之前有人说“在互联网上，没人知道你是一条狗”，这种“身份不确定性”对于互联网金融服务来说，是一个永远的风险。网络钓鱼、木马传播、账号窃取等带来的盗用和欺诈都是这种风险的直接体现。

所以，就有了人们最熟悉的几种安全认证手段：一是用户所知道的东西，比如密码；二是用户所拥有的东西，比如数字证书、硬件盾。他们的本质都是，当支付服务接收到支付请求时，为了减低支付风险，服务端要先确认支付发起者的身份是合法的。

但以上两种方法都会遇到一些障碍，比如密码容易忘记，有些人所有应用都用同一个密码，密码还可能存在泄露的风险。这一点，2011年底的CSDN密码泄露事件就给了所有人一个警示。

数字证书和硬件盾的问题在于，更换电脑或者重装系统之后，电脑中没有数字证书，用户就会无法支付，而硬件盾可能丢失或者损坏，发生这种情况，用户也会无法支付。这也是至今很多用户都没有选择这些安全产品的原因。

第三种现在广泛使用的安全认证方式是手机检验码。 用户在电子商务网站、网上银行或者第三方支付网站预留手机之后，就可以在需要进行身份确认时接收动态验证码。 手机有良好的携带性、私密性，手机短信的达到率可以达到90%以上。因此手机短信动态验证码被电子银行和第三方支付大量使用。

在手机短信验证码被大量使用之后，不法分子也开始针对性的展开攻势。钓鱼网站、电话的方式骗取验证码甚至成为一个黑色产业链，对电子商务环境造成很大的负面影响。

举个真实的案例，支付宝为了防止不法分子冒充工作人员向用户骗取手机校验码，曾经在发送短信校验码的短信文案中明确写到“淘宝或支付宝工作人员不会向您索取短信校验码”。有一次，一位用户接到一位假客服的电话，假客服以帮她处理交易为由向她索取校验码，这位用户跟假客服说，“短信里面说了工作人员不会向我索取短信校验码的。”假客服可能也是灵机一动，回答说，“我不是淘宝和支付宝的，我是卖家。”这位用户就把校验码告诉假客服了。为此，支付宝只好更改了短信校验码的文案，明确说明“任何索取短信校验码的行为均是诈骗行为。”

即使这样，用户被骗取短信校验码的情况还是不能绝迹。因为这类非法骗取验证码的行为很多是有组织的实施，加上受害者的防范意识比较薄弱，成功骗取的概率始终是存在的。电子银行和第三方支付想要很好的控制这种非法行为，存在很大的难度。

设备行为分析的优势：你可以易容，但你的行为特征很难改变