前言：

今天在微信公眾號(hào)上無(wú)意間看到了一篇文章《黑客為什么不攻擊支付寶？》，覺得寫得很不錯(cuò)，這里和大家分享下。

文章轉(zhuǎn)載自公眾號(hào)：淺黑科技
 

用支付寶轉(zhuǎn)賬，要過(guò)三道大門：

第一道：登錄密碼；

第二道：支付密碼；

第三道：AlphaRisk 風(fēng)險(xiǎn)控制系統(tǒng)。
 

第一關(guān)、登錄密碼

這個(gè)很簡(jiǎn)單。你登錄支付寶的時(shí)候，要輸入登錄密碼，證明你是你。

你可能會(huì)杠說(shuō)，不對(duì)啊，我每次在手機(jī)上登錄支付寶，不用輸入密碼，直接就打開了?。](méi)錯(cuò)，那是因?yàn)槟憬?jīng)常登錄，并且沒(méi)有換手機(jī)。這種情況下，你賬戶有風(fēng)險(xiǎn)的概率很低。支付寶沒(méi)有必要每次都打擾你，讓你輸密碼。

這里，我們學(xué)到了今天最重要的一個(gè)概念：打擾率。

一個(gè) App，每要求你做一件事，比如輸入密碼，比如讓你接收一個(gè)短信驗(yàn)證碼，這都算一次打擾。而在用戶體驗(yàn)中，打擾是要扣分的。所以，通過(guò)頻繁打擾用戶的方式來(lái)保證你的“絕對(duì)安全”，并不是個(gè)好辦法。

如果你在一部手機(jī)里很久都沒(méi)有登錄支付寶，那是需要重新輸入密碼的。如果你換了一部新手機(jī)登錄支付寶，那么不僅要輸入密碼，還要二次校驗(yàn)（短信驗(yàn)證碼或者回答安全問(wèn)題）。

所以，黑客單單偷到了你的支付寶登錄密碼，是無(wú)法直接登錄你的支付寶的。那他們是怎么做的呢？中哥可以告訴你幾種可能性：

1）你的身份信息泄露嚴(yán)重。

剛才我說(shuō)到，支付寶密碼是可以被重置的，需要提供身份證、銀行卡等一系列信息。如果這些信息隱私信息都被黑產(chǎn)掌握了，那么從某種程度上說(shuō)，他就是你了。沒(méi)辦法，你的密碼也會(huì)被重置，他可以登錄。

2）你的手機(jī)丟了。

你的手機(jī)丟了的意思是——你的手機(jī)不僅丟了，并且沒(méi)有設(shè)置開屏密碼或指紋解鎖。否則壞人解不開你的手機(jī)，就跟沒(méi)丟一樣。

反正黑客只要進(jìn)入你的手機(jī)主屏，接下來(lái)就有兩種情況：

你在幾天內(nèi)用過(guò)支付寶，那么，黑客不用輸入密碼，就像你本人使用一樣，能直接登陸。

你最近沒(méi)有登錄支付寶，那么支付寶會(huì)要求你輸入密碼，此時(shí)黑客可以選擇重置密碼，選擇手機(jī)接收驗(yàn)證碼，也是可以重置密碼成功登錄的。

此乃第一關(guān)。
 

第二關(guān)、支付密碼

如果壞人破解了你的登錄密碼，那么接下來(lái)他想把錢轉(zhuǎn)走，就要遇到“支付密碼”這道關(guān)口。

你記得不，支付寶會(huì)要求你的支付密碼和登錄密碼不同，目的就是為了防止壞人破解了你的登錄密碼，直接就能攻破你的支付密碼。

這里有個(gè)小細(xì)節(jié)：支付寶最近幾年會(huì)鼓勵(lì)你用指紋代替支付密碼。當(dāng)然，用戶也可以手動(dòng)選擇切換——這次支付不用指紋，就用密碼。這關(guān)實(shí)際上擋不住黑客，但是你要記住這個(gè)細(xì)節(jié)，一會(huì)兒有用。

接下來(lái)我們繼續(xù)說(shuō)黑客怎么攻破你的支付密碼：

1）用你之前泄露的其他登錄密碼嘗試。

一般人不會(huì)把支付寶支付密碼和其他應(yīng)用的登錄密碼設(shè)置為一個(gè)，這種方法成功率從實(shí)戰(zhàn)數(shù)據(jù)中看比較低。

2）重置你的支付密碼。

重置你的密碼，需要你的個(gè)人信息，或者需要你的手機(jī)。如果黑客已經(jīng)掌握了這些，那么他很可能重置支付密碼成功。

你一定以為：黑客破了我的支付密碼，錢就會(huì)被轉(zhuǎn)走了嚕。

錯(cuò)！圖樣圖森破！黑客的噩夢(mèng)才剛剛開始。

馬上就會(huì)進(jìn)入第三步驟：AlphaRisk。
 

第三關(guān)、AlphaRisk

前面兩步，黑客的所有操作，其實(shí) AlphaRisk 都在默默看著，只是它沒(méi)說(shuō)話而已。

當(dāng)前兩個(gè)密碼都輸入正確后，AlphaRisk 會(huì)作為最后一道門神，像尉遲恭和秦叔寶一樣，決定放不放走這個(gè)錢。

那么，AlphaRisk 判斷的依據(jù)是什么呢？

舉個(gè)栗子：一個(gè)老警察靠在公交車站，他如何發(fā)現(xiàn)一個(gè)正在擠上車的小伙是個(gè)賊呢？他會(huì)通過(guò)幾個(gè)維度：眼神、舉止、穿著、和前人之間的距離、是否遮擋手上的行為等等等等。有經(jīng)驗(yàn)的警察不用等到“偷錢”那個(gè)動(dòng)作發(fā)生，就已經(jīng)能準(zhǔn)確判斷誰(shuí)是小偷。

同樣，AlphaRisk 也像一個(gè)老警察，它也會(huì)從一些維度來(lái)觀察一筆交易。比如：設(shè)備、環(huán)境、偏好、行為、關(guān)系、賬戶、身份、交易，等等。

如果其中所有維度任何一個(gè)或者多個(gè)有異常，都會(huì)引起 AlphaRisk 的警覺，直接強(qiáng)制操作者進(jìn)行人臉活體驗(yàn)證，手機(jī)驗(yàn)證碼，或者干脆就截?cái)嘟灰住?/span>

不知你感受到了沒(méi)。日常你用支付寶轉(zhuǎn)賬給別人，你覺得非常自由，支付寶從來(lái)不添亂，恰恰是因?yàn)?AlphaRisk 對(duì)每一筆交易都做了極其細(xì)致的評(píng)估之后，覺得沒(méi)問(wèn)題才不攔著的。

你可能會(huì)問(wèn)，為神馬 AlphaRisk 等到那么驚險(xiǎn)的最后一步才起作用呢？早點(diǎn)出來(lái)這個(gè)“嗶——”就裝得不夠到位嗎？

這個(gè)地方又涉及到剛才的概念——打擾率，如果支付寶在輸入交易密碼之前就用 AlphaRisk 跳出一堆人臉驗(yàn)證手機(jī)驗(yàn)證碼，那就會(huì)讓你覺得很煩。作為一個(gè)有尊嚴(yán)的 App，支付寶把安全性最強(qiáng)的 AlphaRisk 放到最后一步，就是為了最少的打擾。

下面說(shuō) AlphaRisk 的工作細(xì)節(jié)。

以《制造將來(lái)》里面的操作舉例。攻擊第三個(gè)手機(jī)的時(shí)候，黑客已經(jīng)拿到了登錄密碼和交易密碼，并且是照著身份證的照片把身份證號(hào)一次輸入正確的，為神馬 AlphaRisk 會(huì)認(rèn)為這個(gè)交易有風(fēng)險(xiǎn)呢？

用大家都能理解的話說(shuō)，大概是醬：

首先，支付寶是在陌生的手機(jī)上登陸的；

其次，支付寶的登錄密碼是剛剛被重置過(guò)的；

再次，支付寶的支付密碼也剛剛被重置過(guò)；

還有，轉(zhuǎn)出賬戶和被轉(zhuǎn)入賬戶之間沒(méi)有任何人際關(guān)聯(lián)；

還有，轉(zhuǎn)出賬戶所在城市和被轉(zhuǎn)入賬戶所在城市，本身就很少存在轉(zhuǎn)賬行為；

等等等等。

其實(shí)，還有很多不正常的維度可供 AlphaRisk 參考。

比如剛才我故意賣了關(guān)子的一個(gè)細(xì)節(jié)：操作者本來(lái)習(xí)慣用指紋支付，突然今天強(qiáng)制改成了密碼支付。這一個(gè)蛛絲馬跡，起碼說(shuō)明事出有因，足夠讓 AlphaRisk 關(guān)注到這次交易的風(fēng)險(xiǎn)。

啊，說(shuō)了這么多，終于大概解釋清楚了支付寶風(fēng)控的三道關(guān)。

偷不到錢，那騙錢行不行？

有一個(gè)問(wèn)題其實(shí)很值得一說(shuō)。

寬泛來(lái)說(shuō)，支付寶賬戶受損失，有兩種情況：1、賬戶被盜；2、你被詐騙之后主動(dòng)轉(zhuǎn)錢給別人。

當(dāng)然，你的賬戶被盜，支付寶會(huì)賠錢給你。但如果你被騙，用支付寶主動(dòng)轉(zhuǎn)錢給騙子，就沒(méi)辦法找支付寶賠錢了。畢竟，被騙不能賴錢包。

但是雄文告訴我，作為一個(gè)有追求的錢包，這兩年支付寶恰恰在“識(shí)別詐騙”方面苦練技巧。

這種對(duì)詐騙的識(shí)別能力，同樣在 AlphaRisk 身上。

騙子騙人，一般都是直接打電話，或者在微信上騙，那些過(guò)程支付寶肯定不知道。它只能看到一個(gè)賬戶給另一個(gè)賬戶轉(zhuǎn)了錢。。。通過(guò)這么少的信息，它怎么能判斷你是不是被騙了呢？？

雄文給我講了一個(gè)真實(shí)的例子。

一個(gè)媽媽，她的孩子在外地打工，做快遞小哥。突然有一天，她接到了一個(gè)陌生電話，告訴她兒子出了車禍，急需搶救，需要她打錢過(guò)來(lái)。媽媽開始沒(méi)相信，把電話掛了。但是身邊的電視正好播出了一條新聞，說(shuō)他兒子所在的城市，有一個(gè)送貨小哥出了嚴(yán)重車禍。這下她著急了，趕快給對(duì)方回電話，要把錢轉(zhuǎn)過(guò)去。

就在這位媽媽把錢轉(zhuǎn)給騙子的時(shí)候，AlphaRisk 判斷了風(fēng)險(xiǎn)，并且彈出了提示，告訴她有這筆轉(zhuǎn)賬可能是被騙了。媽媽選擇無(wú)視，關(guān)掉彈窗繼續(xù)轉(zhuǎn)賬。這次，AlphaRisk 判斷強(qiáng)風(fēng)險(xiǎn)，直接阻斷了交易，鎖定賬戶兩小時(shí)。

這位媽媽非常生氣，覺得自己的兒子出了事，支付寶卻不讓轉(zhuǎn)賬，于是撥打客服理論。正在這時(shí)，他的兒子碰巧打電話給媽媽，這才揭穿了騙子的騙局。

在這個(gè)例子中，AlphaRisk 是憑什么判斷轉(zhuǎn)賬存在詐騙風(fēng)險(xiǎn)呢？

雄文說(shuō)，至少有三點(diǎn)：

1、媽媽平常的支出，都是小額的日常生活，買菜超市，突然一下轉(zhuǎn)幾萬(wàn)塊顯得很異常。

2、對(duì)方的收款賬戶是新注冊(cè)的。而且近幾日只有大額收款和提現(xiàn)，并沒(méi)有日常消費(fèi)。

3、這兩個(gè)賬戶之間從未有過(guò)直接轉(zhuǎn)賬。

你看，基礎(chǔ)邏輯和判斷賬戶被盜差不多，只不過(guò)，判斷被騙可以利用的信息比判斷被盜少得多，所以難得多。

但最讓雄文頭疼的是，截?cái)嘤脩舾犊罟倘缓?，但是萬(wàn)一截錯(cuò)了，用戶是要跟支付寶拼命地。。。支付寶但凡截?cái)嘤脩舻慕灰?，必須證據(jù)確鑿。如果沒(méi)有百分百的證據(jù)，一般會(huì)選擇彈窗提示。然鵝，很多時(shí)候即使支付寶彈出了警視窗，用戶都會(huì)選擇直接關(guān)掉，沒(méi)啥作用。

即使是這樣，雄文團(tuán)隊(duì)也對(duì)彈窗內(nèi)容改了又改，可謂是苦口婆心啊。

前兩天，雄文和團(tuán)隊(duì)突然找到了一個(gè)好方法，他們和地方反詐騙中心“合作彈窗”。例如你是重慶人，在支付寶判斷你的一筆交易有風(fēng)險(xiǎn)時(shí)，彈出的內(nèi)容不是“支付寶提醒您注意詐騙”，而是“重慶反詐騙中心提醒您，這個(gè)交易有可能是詐騙。”

“這樣一下，用戶終止交易的比率大大增加！”改了幾個(gè)字，就能讓好多人少上當(dāng)。雄文老激動(dòng)了，這兩天從地方到中央找反詐中心公安局各種合作。

“到目前為止，用戶遭受詐騙，有85-90% 都能收到彈窗提示。”雄文大叔開心地說(shuō)。

說(shuō)到這，雄文大叔給我普及了一個(gè)金融小常識(shí)：

一般的在線交易系統(tǒng)，對(duì)于轉(zhuǎn)賬這個(gè)操作，只涉及“轉(zhuǎn)出”和“到賬”兩個(gè)狀態(tài)。這邊轉(zhuǎn)出之后，那邊就到賬。就像一盞燈只存在“開”和“關(guān)”兩個(gè)狀態(tài)。不可能存在“這邊錢扣掉，那邊還不到賬”的情況。

但是支付寶為了防止詐騙，開發(fā)了第三個(gè)狀態(tài)：類似“預(yù)授權(quán)“。如果你覺得這次轉(zhuǎn)賬有風(fēng)險(xiǎn)，可以設(shè)置2小時(shí)或者24小時(shí)延時(shí)到賬。這種情況下資金就在“預(yù)授權(quán)”狀態(tài)。在這個(gè)期間如果你發(fā)現(xiàn)被詐騙，可以報(bào)警并向支付寶申請(qǐng)凍結(jié)資金。

“預(yù)授權(quán)“狀態(tài)的錢，按理說(shuō)到時(shí)之后就會(huì)順利進(jìn)入轉(zhuǎn)入賬戶。但只要有公安機(jī)關(guān)的相關(guān)憑證，就可以退回到轉(zhuǎn)出賬戶。

別看只是加了一個(gè)“預(yù)授權(quán)”的狀態(tài)，這相當(dāng)于給了受害者一個(gè)“時(shí)光機(jī)”，回到過(guò)去，改變那個(gè)無(wú)可挽回的錯(cuò)誤。

雄文說(shuō)，為了增加這個(gè)新狀態(tài)，他們兩年里對(duì)支付寶底的層代碼做了很大的修改。雖然大動(dòng)干戈，但這件事非常值得。

玩漂移的老司機(jī)

講真，人類對(duì)一臺(tái)機(jī)器的要求是很變態(tài)的。好的機(jī)器不僅要代替人，還要比人更精神。

畢竟是親生的， 說(shuō)到 AlphaRisk，雄文特別開心。他覺得如果2017年支付寶沒(méi)有開始研究 AlphaRisk，現(xiàn)在很多風(fēng)控策略還靠人肉的話，一定會(huì)被“時(shí)代的洪流”所擊垮。

如今，AlphaRisk 有兩個(gè)殺手锏：

1、和人比，它厲害到不知哪里去了。

你可能已經(jīng)知道，AlphaRisk 就是一種“人工智能。你作為一個(gè)人每天家長(zhǎng)里短悲歡離合其實(shí)本質(zhì)都是判斷，人工智能每天也是做一件事：判斷。

人工智能判斷事情的標(biāo)準(zhǔn)，和人又像又不像。這里涉及到一個(gè)大家普遍理解得不好的技術(shù)梗，中哥正好以 AlphaRisk 為例簡(jiǎn)單科普幾句：

人工智能和人各自做一個(gè)判斷，有點(diǎn)像兩個(gè)大廚分別做一桌菜給你吃。這分為三步：

1、他們使用的原料種類都是一樣的青椒、蘿卜、雞肉等等。（這意味著人工智能和人用于判斷一件事情的基礎(chǔ)數(shù)據(jù)是一樣的。）

2、但是，他們炒菜的路數(shù)可就不一樣了。人類可能會(huì)做出魚香肉絲、宮保雞丁、水果拼盤，但是機(jī)器會(huì)根據(jù)自己的理解做出西瓜披薩，蘋果蒸蛋、巧克力燒茄子等等常人不能想象的飯菜。（這意味著人工智能的判斷模型和人既相似又不同。）

3、最后，兩桌菜分別上來(lái)，食客們會(huì)發(fā)現(xiàn)，兩種菜雖然不一樣，但是都能填飽肚子，而且機(jī)器做的明顯更好吃更營(yíng)養(yǎng)。（這意味著人工智能判斷的準(zhǔn)確度比人類還高。）

簡(jiǎn)單總結(jié)人工智能的工作原理：通過(guò)人類看都看不過(guò)來(lái)的數(shù)據(jù)，用風(fēng)騷的機(jī)器思維，做出一擊致命的判斷。

這里給你幾個(gè)數(shù)據(jù)你感受一下。

AlphaRisk 用來(lái)判斷的風(fēng)險(xiǎn)點(diǎn)有幾千個(gè)（如交易金額、支付寶注冊(cè)地、交易時(shí)間、使用密碼支付還是指紋支付等）。把這么多數(shù)據(jù)進(jìn)行慘無(wú)人道的交叉運(yùn)算，總運(yùn)算量是巨大的。

在平時(shí)，每秒鐘全世界都會(huì)用支付寶進(jìn)行上萬(wàn)次的交易。如果在雙十一這種狂歡節(jié)，每秒支付寶要處理25萬(wàn)筆交易。你想想看，就像商場(chǎng)的收銀臺(tái)后面，排隊(duì)排了25萬(wàn)個(gè)顧客，每一筆交易，AlphaRisk 都還要計(jì)算無(wú)數(shù)次來(lái)判斷它是不是有風(fēng)險(xiǎn)，這得累計(jì)多大的計(jì)算量。。。

如果這些計(jì)算量交給人來(lái)做，等到算完，估計(jì)已經(jīng)到了9102年雙11了吧。

這么瘋狂的機(jī)器，日常得有不少碼農(nóng)為它檢修上油吧。。。

雄文說(shuō)哈哈哈NO！因?yàn)?，這兩年他們已經(jīng)搞出了一套“自動(dòng)駕駛”系統(tǒng)。

納尼？支付寶也會(huì)開車了么？求車牌號(hào)！其實(shí)，不是你想的那樣，這就到了 AlphaRisk 的第二個(gè)逆天優(yōu)勢(shì)。

2、這是個(gè)會(huì)自動(dòng)駕駛的老司機(jī)。

那些做壞事的黑客，連過(guò)年都不休息，天天“苦煉內(nèi)功”，不斷升級(jí)自己盜取支付寶賬戶和詐騙用戶的技術(shù)。這是為什么？因?yàn)樗麄冎溃绻茉鐜滋煅芯砍鲆粋€(gè)盜取支付寶的方法，那賺的錢可比在支付寶上班的碼農(nóng)加班費(fèi)多多了。

對(duì)手那么瘋狂，AlphaRisk 也要加油才行啊。正常情況下，AlphaRisk 想要學(xué)會(huì)新的反詐騙套路，要工程師手動(dòng)輸入代碼。

但是，雄文和支付寶安全團(tuán)隊(duì)的隊(duì)員很“懶”，他們覺得，AlphaRisk 已經(jīng)長(zhǎng)大了，不能每天晚上給它“檢查作業(yè)”，它要自己學(xué)習(xí)新的知識(shí)了。

所以過(guò)去兩年，攻城獅們很少砍柴，主要磨刀。他們建立了一個(gè)自動(dòng)建模的系統(tǒng)。每天都會(huì)有一些用戶損失通過(guò)投訴渠道反饋到支付寶風(fēng)控團(tuán)隊(duì)，這個(gè)自動(dòng)建模系統(tǒng)就可以通過(guò)學(xué)習(xí)這些AlphaRisk 沒(méi)有攔截成功的案例來(lái)建立新的風(fēng)險(xiǎn)模型，然后把這個(gè)模型輸入到 AlphaRisk 里，下次再遇到同樣的問(wèn)題，AlphaRisk 就能一眼識(shí)別。

自動(dòng)建模還不是全部。

你知道，每年雙11的時(shí)候，支付寶會(huì)像雷峰塔一樣，承受一下交易量水漫金山的感覺。這個(gè)時(shí)候，如果還執(zhí)行原來(lái)的風(fēng)控策略，就會(huì)導(dǎo)致計(jì)算力嚴(yán)重不足的情況。本來(lái)人家零點(diǎn)秒殺，結(jié)果支付寶算了十秒鐘，跟人家說(shuō)沒(méi)問(wèn)題去付錢吧。結(jié)果秒殺的限量款衣服早都被人家搶得毛都不剩。這會(huì)造成大批群眾到杭州上訪的。。。

所以，支付寶需要根據(jù)不同的情景，調(diào)整 AlphaRisk 的風(fēng)控策略。這就像一輛車，根據(jù)路況不同，切換12345檔。

原來(lái)每到雙11，攻城獅們就會(huì)寫一套新的風(fēng)控策略，為 AlphaRisk 手動(dòng)換擋。從2017年開始，完全不用了。AlphaRisk 學(xué)會(huì)了騷氣的自動(dòng)換擋。交易量巨大的時(shí)候，就自動(dòng)切換為高檔，交易量低的時(shí)候，就瞬間調(diào)回來(lái)。

這不就和汽車的自動(dòng)駕駛是一回事么。。。

我第一次發(fā)現(xiàn)，原來(lái)自動(dòng)駕駛不僅僅是汽車領(lǐng)域的人工智能。凡是需要復(fù)雜人工智能的場(chǎng)景，其實(shí)都有自動(dòng)駕駛的一席之地。甭管是人是機(jī)，反正這個(gè)世界缺不了老司機(jī)。