移动支付背后的信息安全与防控策略

你是否有过以下担心？

每次支付后，担心金额扣除多了；

账号不幸被盗后，银行卡(绑卡)是否会被恶意刷爆；

存移动钱包的钱，哪天不翼而飞;

本文讨论了移动支付背后的安全防控策略，强调了支付安全的重要性和防控的必要性。

移动支付的机遇与挑战

移动支付是指通过手机等移动终端进行资金转移和支付的一种新型支付方式。以下是移动支付面临的一些机遇和挑战：

机遇：
- 市场增长潜力巨大：
  - 庞大的用户基础：全球手机用户数量庞大，且持续增长，为移动支付提供了广阔的用户群体。例如，中国的移动支付用户数量众多，随着智能手机的普及，越来越多的人开始使用移动支付。
  - 新兴市场的增长：在一些发展中国家和地区，移动支付市场仍处于快速发展阶段，具有很大的增长潜力。例如，一些非洲国家的移动支付市场近年来增长迅速。
- 技术创新推动发展：
  - 生物识别技术：指纹识别、面部识别、虹膜识别等生物识别技术的应用，提高了移动支付的安全性和便捷性。用户可以通过指纹或面部识别快速完成支付，无需输入密码或携带其他支付工具。
  - 区块链技术：区块链技术的分布式账本和加密算法，为移动支付提供了更高的安全性和透明度。它可以减少支付过程中的中间环节，降低交易成本，并提高交易的可追溯性。
  - 人工智能与机器学习：通过对用户支付行为的分析和学习，人工智能可以提供个性化的支付推荐和风险预警，提升用户体验和支付安全性。
  - 物联网（IoT）：随着物联网设备的普及，移动支付可以与智能家居、智能穿戴设备等进行融合，实现更加便捷的支付体验。例如，用户可以通过智能手表或手环进行支付。
- 消费习惯的改变：
  - 便捷性需求增加：现代人生活节奏快，对于支付的便捷性要求越来越高。移动支付可以随时随地进行，无需携带现金或银行卡，节省了时间和精力，满足了人们的便捷性需求。
  - 线上消费的增长：电子商务的发展推动了线上消费的增长，而移动支付是线上购物的重要支付方式。消费者可以通过手机或平板电脑轻松完成在线购物支付，促进了移动支付的使用。
  - 无接触支付的趋势：在疫情等特殊时期，无接触支付方式受到更多关注。移动支付无需接触现金或刷卡设备，减少了病毒传播的风险，符合人们对健康和安全的需求。
- 商业合作与拓展：
  - 与金融机构合作：移动支付企业与银行、信用卡公司等金融机构合作，可以拓展支付渠道，提供更多的金融服务。例如，联合推出信用卡还款、理财等功能，增加用户粘性和使用场景。
  - 与商家合作：与各类商家合作，推广移动支付，提供优惠活动和促销，吸引消费者使用。例如，与超市、餐厅、电影院等合作，推出满减、折扣等优惠，提高移动支付的使用率。
  - 跨境支付的发展：随着全球化的推进，跨境支付需求不断增加。移动支付可以提供快速、便捷的跨境支付解决方案，降低跨境交易成本和时间，促进国际贸易和旅游消费。
挑战：
- 安全与风险问题：
  - 数据泄露与隐私保护：移动支付涉及用户的个人信息和资金安全，如银行卡号、密码、指纹等。如果支付平台的安全措施不到位，可能导致用户数据泄露，给用户带来财产损失和隐私侵犯。
  - 支付欺诈与风险：黑客攻击、网络诈骗等安全威胁始终存在，可能导致支付欺诈事件的发生。例如，钓鱼网站、恶意软件等可能窃取用户的支付信息，进行非法交易。
  - 技术漏洞与系统故障：移动支付系统可能存在技术漏洞和故障，导致支付失败、交易延迟或资金损失。例如，系统升级、网络拥堵等情况可能影响支付的正常进行。
- 监管与合规要求：
  - 法律法规的限制：不同国家和地区对于移动支付的监管政策和法律法规不同，可能对移动支付的发展产生限制。例如，一些国家对移动支付的业务范围、资金监管等方面有严格的规定。
  - 合规成本的增加：为了满足监管要求，移动支付企业需要投入大量的资源进行合规建设，包括安全技术升级、风险管理、用户身份验证等，增加了企业的运营成本。
- 市场竞争激烈：
  - 众多支付服务提供商：市场上存在众多的移动支付服务提供商，竞争激烈。各大支付平台为了争夺用户和市场份额，纷纷推出各种优惠活动和营销策略，导致市场竞争日益激烈。
  - 用户忠诚度低：由于市场竞争激烈，用户在选择移动支付平台时往往更注重优惠和便利性，忠诚度较低。用户可能会根据不同的需求和场景选择不同的支付平台，导致用户流动性较大。
  - 创新压力大：为了在竞争中脱颖而出，移动支付企业需要不断创新，推出新的支付产品和服务，满足用户的多样化需求。这对企业的技术研发能力和创新能力提出了更高的要求。
- 技术与基础设施限制：
  - 网络覆盖与稳定性：移动支付依赖于网络的覆盖和稳定性。在一些偏远地区或网络信号不好的地方，可能无法正常使用移动支付，影响用户体验。
  - 设备兼容性：不同的移动设备和操作系统可能存在兼容性问题，导致部分用户无法使用移动支付。此外，一些老旧的设备可能不支持最新的支付技术，也会限制移动支付的普及。
  - 技术更新换代快：移动支付技术不断更新换代，需要不断投入资金和资源进行技术升级和设备更新。这对企业的技术实力和资金实力提出了挑战，同时也增加了用户的学习成本。

移动支付面临的主要安全问题

1）敏感信息安全存储

对个人和商户/渠道的敏感信息进行安全存储。

个人敏感信息包括身份证信息、支付卡明文数据和密码等，而商户/渠道的敏感信息则涉及商户登录/操作密码、渠道证书密钥等。

2）交易信息安全传输

确保客户端与支付系统服务器之间、商户系统与支付系统之间、支付系统内部服务器与服务器之间、支付系统与银行之间的数据传输安全。这包括采用加密技术等措施来保障数据传输过程中的安全性。

3）交易信息的防篡改与防抵赖

确保交易信息的完整性和真实性，防止交易信息被篡改或者被抵赖。一笔典型的交易，通常涉及到用户、商户、支付机构、银行四方，确保各方发出的信息没有被篡改也无法被抵赖。

4）欺诈交易风险识别

识别并防止欺诈交易，包括套现、洗钱等违规操作，以及通过识别用户信息泄露和可疑交易来保护用户资产的安全。这一方面通常由支付风控系统负责。

5）防范网络攻击，保证服务可用性

防范DDoS攻击，确保支付系统的稳定运行和服务可用性。通过部署防火墙、入侵检测系统等技术手段，及时发现并应对可能的DDoS攻击，保障支付服务的正常进行。

支付安全风险应对之策

敏感信息加密传输&安全存储

安全传输：使用安全套接字层（SSL）或传输层安全性协议（TLS）等加密技术，确保数据在传输过程中的机密性和完整性。
- SSL&TLS作用：工作在运输层的协议，提供运输层安全的协议，目前有SSL和TLS协议在运输层提供安全，
安全存储：采用加密技术对个人和商户/渠道的敏感信息进行加密存储，限制敏感信息的访问权限，防止未授权的访问和泄露。
- 数据安全：加解密技术
  - 对称加密算法：对称加密是使用相同的密钥（称为对称密钥）进行加密和解密。这意味着发送方和接收方必须在通信之前共享相同的密钥。对称加密算法使用简单且高效，但密钥分发和管理是其主要挑战之一。
  - 对称加密常见算法：DES、3DES、AES

对称加密示意图

对称解密示意图

非对称加密算法：非对称加密算法使用一对密钥（公钥和私钥）进行加密和解密。这两个密钥是相关联的，但不相同。公钥用于加密数据，私钥用于解密数据，一定不能反过来，因为公钥大家都有，如果使用私钥加密，公钥解密，大家都可以解密，就没有安全性可言。这种加密方式具有密钥分离的特点，即公钥可以公开分发，而私钥则保密保存。
非对称加密常见算法：RSA(最常用)、ECC

交易信息的防篡改与防抵赖

采用数字信封&签名技术确保交易信息的完整性和真实性，对交易信息进行记录，建立可追溯的交易日志(至少五年)，以应对可能出现的交易篡改或抵赖情况。

数字信封加密算法

数字信封加密算法组合了对称加密、非对称加密、数字签名和验签等多种加密技术，用于在网络通信中保护数据的安全性和完整性。传输的数据就像放在信封里面，只有收件人才能打开信封查看明文，所以被形象称为数字信封加密。

它的原理是使用对称加密算法对要传输的数据进行加密，然后再使用接收方的公钥对对称密钥进行加密，再使用自己的私钥进行签名，最后将加密后的对称密钥和加密后的数据一起发送给接收方。接收方先使用对方的公钥进行验签，再使用私钥解密对称密钥，最后使用对称密钥解密数据。

数字签名

什么是签名与验签？

签名：本身也是一种算法，是对特定内容采用双方约定好的算法来进行加密的过程。这里的双方是指，信息发送方和接收方，例如支付平台银行的信息交互。

验签：接收者根据接收的数据、数字签名进行验证，确认数据的完整性，以证明数据未被篡改，且确实来自声称的发送方。如果验签成功，就可以确信数据是完好且合法的。

目前，有专门的签名服务器来完成这个签名功能，这种签名方式叫做硬件签名，算法的逻辑完全在硬件服务器上。所以双方事前一定要约定好使用的签名算法。

下图是数字信封加解密算法的完整过程：

数字证书

在数字签名那里，不知道你有没有发现一个问题?

数字签名是非对称加密，服务端有一个私钥，客户端一个公钥，只有这两个对上了验签。

那假如说你(客户端)拿到的公钥并不是服务端给的呢，而是黑客塞给你的呢?而你却把这个假公钥当成真的，那么当你使用这个假公钥加密一些敏感信息时，黑客就可以截取你的这段信息，由于这信息是用黑客自己的公钥加密的，这样一来，黑客拿自己的私钥就能解密得到你的敏感信息。

这就是问题所在。

要解决这个问题，其实只要保证『公钥』是可信的。只有服务端发给你的公钥你才能拿，而坏人给你的公钥，你要懂得识别并丢弃它。

在自己的服务器上生成一对公钥和私钥。然后将域名、申请者、公钥(注意不是私钥，私钥是无论如何也不能泄露的)等其他信息整合在一起，生成.csr 文件。
将这个 .csr 文件发给 CA 机构，CA 机构收到申请后，会通过各种手段验证申请者的组织信息和个人信息，如无异常(组织存在，企业合法，确实是域名的拥有者)，CA 就会使用散列算法对.csr里的明文信息先做一个HASH，得到一个信息摘要，再用 CA 自己的私钥对这个信息摘要进行加密，生成一串密文，密文即是所说的签名。签名 + .csr 明文信息，即是证书。CA 把这个证书返回给申请人。

防欺诈交易：支付风控

(内部系统保密，不予展示)

风险划分方式：

按照不同的场景可以分成：欺诈风险，拒付风险，合规风险。这种分类方式很好理解，基本上就是按照可能带来资损的原因进行分类：
如果按照不同的业务来分，又可以分成消费侧风险和商户侧风险。消费侧风险指的是买家或发钱方一端的风险（欺诈，拒付，合规等），商户侧风险指的是消费者的对手方，即支付机构对接的特约商户的风险

欺诈风险策略：

如果是盗号，不管是消费侧还是商户侧，本质都是需要判断账号所有权和使用权是否一致。消费侧的盗号比较容易识别，比如将账号当前的登录行为，使用习惯和历史进行对比，判断是否有异常；还可以借助支付这个场景所衍生出的支付行为来对比，比如历史记录来看，该账号只在白天有支付行为，且大多数是小额支付，但是当前支付发生在半夜，而且是多笔大额支付，同时账号的登录IP发生改变，登录设备从iPhone15变成安卓机，那基本上可以断定发生了盗号。此时就需要切断支付链并及时冻结账号，并通知用户当前账号异常。当然大多数时候是否盗号的界限没有这么清晰，所以考虑到用户体验，可以向用户发送验证码验证用户身份，而不是直接拒绝当前支付。

商户风险策略：

相比于消费侧盗号，商户侧的盗号就比较难以识别了，一方面，在一笔支付中，支付接收方是不在场的（指支付接收方不需要登录支付账号就可以接收支付），因此无法获取当前支付中有关接收方的任何信息，例如设备IP，浏览器参数，手机型号等在识别消费侧盗号中非常有用的数据，在识别商户侧盗号上就变得有心无力了；另一方面，尤其是国际商家，他们通常会在多个不同国家设立分公司，并且支付账号可能会被地处不同国家的公司员工所使用，天然的就有“异地登陆”等风险特征，增大了识别商户侧盗号的难度。不过，我们还是可以借助历史登录信息，商户账号行为进行辅助判断。即使是国际商户天然的异地登录特征，我们依然能分析异常的异地登陆，比如某商户只在美国，英国，中国等大城市设有分部，但是某天突然出现非洲某个小国家的IP登录，这会是一个风险信号；比如某商户最近频繁提款（将账户余额提现到银行卡），或者频繁给某些新建的，有地域特征的账号转账，这也是一个风险信号。因为当商户被盗号后，黑灰产获利的方式通常是将商户收到的钱转移出支付机构到自己拥有的银行卡中，因此提款频率和金额若出现异常，则需要风控关注。有的时候黑灰产也会新注册支付账号，再将被盗商户账户里的余额转移到新注册的账号里，再提现，这是因为商家账户的提款操作通常受到支付机构的严格管控，因此频繁的大额提款很容易触发支付机构的风控规则。但是如果先转移到其他账号再转移出支付机构，触发风控规则的概率就会小的多，因为很多商家本身就会有比较频繁的转账需求，比如和供应商的对接。

盗卡策略：

虽然盗卡听起来和盗号很相似，但其实是非常不同的欺诈模式。盗号是指你的支付账号被盗用，比如微信账号或支付宝账号被黑灰产盗用，给不相关的人转账，或者在某些商家处下单，属于账号风险的范畴，可以由支付机构向账号使用者发送验证码来验证是否本人使用。而盗卡是指银行卡被盗，它可以没有支付账号的参与，比如黑灰产直接使用窃取的信用卡信息在商家网站发起支付，也可以有支付账号的参与，比如黑灰产将窃取的信用卡绑定到某个支付账号上（可以是黑灰产自己持有的账号，也可以是黑灰产盗取的账号），再通过该支付账号发起信用卡支付，此时支付机构再向账号使用者发送验证码就失去了验证的意义，如果是黑灰产自己持有的账号，那总是能够成功验证身份。如果有支付账号的参与，那么对应的支付机构可以依照前述分析账号是否有异常，如果认为有盗号发生（不管是不是盗卡）就可以切段当前支付并冻结账号；如果账号正常，那么可以进一步分析绑卡行为，比如当前支付所使用的信用卡，是在发起当前支付时绑定的，还是很久之前绑定到账号上的？如果是很久之前就绑定到账号上的信用卡，并且过去有过成功的无拒付申诉的大额交易，那么可以认为当前信用卡的使用属于正常支付。进一步，如果是新绑定的信用卡，可以对比该卡和该账户上已有的其他信用卡，以及该卡和同时段其他账户新添加的信用卡。这是因为盗卡经常会有卡Bin或者发卡行的聚集性，并且有些卡的类型也会天然的风险更高，比如预付卡，礼品卡等。

如果没有支付账号的参与，比如黑灰产直接使用窃取的信用卡信息在商家网站发起支付，那么可以分析发起支付的设备信息如设备IP，是否同一IP使用多张不同的信用卡发起交易，或者同一IP短时间内重复下单购买某一商品，也可以分析卡信息，比如是否多张不同的信用卡发起的交易使用的是同一收货地址，或者短时间内出现大量来自同一卡Bin的不同信用卡下单等。

最后，如果怀疑有盗卡风险，可以向用户发起3DS验证来确认信用卡是否属于当前使用者。

欺诈型商户的识别和管控：

欺诈型商户是指本身就带有欺诈性质的商家，他们通常会自行搭建钓鱼网站诱导用户下单。这类欺诈型商户的账龄（账户使用年限）一般不会很久，毕竟时间足够长的话，将会有大量受骗的消费者发起申诉赔付，足以引起支付机构的注意（当然，也不能排除正常经营的商户被盗号，导致欺诈消费者，或者正常经营的商户因为经营不善，走上欺诈消费者的歧途）。

欺诈型商户在准入阶段，通常会提供虚假资质文件，比如伪造的营业许可证，PS的线下商铺图片等，有时通过和同一时间段内申请入网的商户对比，甚至能发现他们提供的商户名称及其相似，线下图片也是出自同一邮箱域名也相同等。个PS模版，商铺地址可能分散在不同的城市但是都在同名的街道上。当欺诈型商户通过准入审核后，一般不会立刻开始欺诈消费者，通常早期阶段，欺诈型商户的销售客单价很低，在真正开始欺诈时，会明显的观测到销售客单价暴增，并且客单价出现单笔整额或贴近整额的特征，这些都是风险信号。

商户提供的线上网址也是很重要的线索，可以通过网址的结构，文本，图像来分析商户是否有欺诈嫌疑。有些道行不深的欺诈商户，在提供的网址中会出现违法违规内容，或是出现明显的虚假宣传，伪造冒充等；有些同类型的欺诈商户，如销售投资理财类产品的商户还会出现类似的网页结构，这是因为黑灰产的网站源码通常是由同一技术上游提供，下游人员只是简单修改文案，配图等，而保留了相似的页面布局。

挖掘数据深度分析：

商户和消费侧的交易关系也是值得深挖的一部分，有些信用卡套现类商家，电商刷单类商家经常需要和消费侧互相配合才能达到目的。这种情况下我们就可以分析商户和消费侧的交易模式，比如商户和消费侧是否有同样的设备IP登录，是否出现类似的账号信息如注册邮箱都是大写字母+4位数字为前缀，邮箱域名也相同等。

风险处置：

最后，针对商户侧欺诈的处置，如果是特别确定的情况，可以直接封禁账号；如果是灰色地带，一般还是会允许商家继续接受消费侧打款，但是可以给商户账号限额，比如一笔¥100元的支付金额，商户可以实时接收到¥10元，剩下的¥90元需要等待30天后才可入账；或者商户在提款时，限制提款频率和提款金额等，同时可以要求商户提供额外的资质信息。

网络流量安全：防火墙与入侵检测

网络安全和入侵检测是保护计算机网络和系统安全的重要组成部分，它们涉及各种技术和工具，包括防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、漏洞扫描器等。

这些内容通常归属于网络工程师、系统工程师、及安全工程师的工作范围，下面只做一个简单介绍：

防火墙（Firewall）： 防火墙是一种网络安全设备，用于监控和控制网络流量，阻止未经授权的访问和恶意流量进入网络。它可以根据预先定义的安全策略过滤和阻止来自Internet或内部网络的流量，从而保护网络免受攻击和入侵。入侵检测系统（IDS）： 入侵检测系统是一种监视网络流量和系统活动的安全设备，用于检测和警报可能的安全威胁和入侵行为。IDS可以根据事先定义的规则或行为模式检测异常活动，并生成警报或采取措施来应对潜在的威胁。入侵防御系统（IPS）： 入侵防御系统是一种进一步加强网络安全的设备，它不仅能够检测和警报安全威胁，还可以主动阻止和防御入侵行为。IPS可以根据IDS的警报自动采取措施，如阻止恶意流量、更新防火墙规则等，以加强网络的安全性。

漏洞扫描器（Vulnerability Scanner）： 漏洞扫描器是一种用于检测计算机系统和网络中存在的安全漏洞和弱点的工具。它可以自动扫描系统和网络，发现潜在的漏洞，并提供建议和修复措施，以减少系统受到攻击的风险。

这些工具更多的是从数据包的维度来处理安全问题。数据包处理完成之后，才会组装成业务数据，才能被用于加解密、签名验签等。