扬搜
扬搜
广告
全棉时尚淘宝店

首页 财经 视频 图片 今日半价
百度热点 微博热点 天气预报 万年日历 扬搜精选

黑客为什么不攻击支付宝?
原创:史中
日期:2019-02-19


  “支付宝被黑客搞了!!!”

  女票发给我一段视频。

  中哥我虎躯一震,这么大的事儿居委会咋没通知我??赶紧打开视频。

  我去,这是黑客吗?谁来解释一下,明明是黑客,为神马穿得这么白,连脸都是白的。。。

  还有,你带着那个面具敲代码,能看清鬼啊?这是在练盲打么??闭着眼睛攻击支付宝,是为了表现一种蔑视和侮辱么???

  往后看了五分钟,冷静了一下,我不禁三呼卧槽。这是一个叫做《智造将来》的节目,浙江卫视的。虽说黑客的装束槽点满满,但干的事情还是很刺激的:

  他们在试图推倒三个身娇体柔的支付宝账户,把账户里的钱偷偷转走。。。

  主持人说,他们之所以搞得这么硬核,就是为了现场检测一下支付宝的安全性能到底好不好,你的钱放在支付宝里到底安不安全。

  为了让大家舒爽看片,这里中哥插一嘴:

  支付宝怎么保护大家的账户安全呢?并不是你想的那样,在杭州有一个脸上贴着“支”的敢死队,每天在网上和黑客手动硬刚。

  真实情况是,“安保工作”是由安全部门的童鞋开发的一套“风控系统”来自动完成的。这套风控系统有点像参加高考的你,在之前的学习阶段有“老师”各种辅导,但是一旦被推到实战场景里,就只能靠自己“自动滑行”了。

  回到节目现场,情况很是危急。一边是黑客奋力攻击,一边是受害者支付宝各种殊死抵抗。

  就在我为支付宝捏一把汗的时候,剧情突然走向癫狂:受害者家属也来到了现场!

  这个男人叫雄文,是支付宝风控部门的老大,蚂蚁金服的副总裁。支付宝的安全系统,就是他团队的作品。一堆头衔你也记不住,这么说吧,如果你支付宝里钱丢了,就找他赔。

  看到雄文这个名字我就震精了,目测支付宝安全老大,应该管理很多码农。不叫“佳娃”(Java)或者“稀加”(C+),居然叫雄文,这是摆明了有野心跟中哥抢夺10w+啊。。。

  对不起跑偏了,继续看节目。

  对第一个账户的攻击开始惹。黑客攻击主持人蒋昌建的支付宝。他们事先通过钓鱼 Wi-Fi 收集了他的手机号,然后又利用近场读卡器偷到了他的银行卡号。用这些信息尝试重置他的支付宝密码。然而,重置支付宝密码还需要身份证,黑客并没有办法拿到蒋昌建的身份证号。于是登录他的支付宝失败。

  对第二个账户的攻击开始惹。黑客攻击的是嘉宾王孟秋的支付宝。这次攻击的对象黑客通过“撞库”拿到了王孟秋的支付宝登录密码,顺利登陆。但是由于不知道支付宝支付密码,所以转账失败。

  对第三个账户的攻击开始惹。这次攻击目标是现场一位观众的支付宝。由于提前在这部手机里植入了木马,黑客可以完全控制这部手机,所以他们使用手机验证码就直接登陆了支付宝。然后黑客选择修改支付密码,修改支付密码需要验证个人信息,黑客又通过手机里存储的银行卡和身份证照片,成功修改了支付密码。转账眼看就要成功。

  我满心激动,等着看黑客使出最后的杀手锏一击致命。。。

  然后。。。突然。。。转账失败了!节目结束了!结束了!束了!了!

  纳尼?XX都X了你就给我看这个?我期待中支付宝被黑客干翻在地的场景被XX总局吃了吗?

  我突然想起了一个新闻:

  女棋士赢了。。。

  用了好久,我才接受支付宝真的赢了这个事实。虽说在节目上支付宝赢了,然而,在日常和黑客的乱斗中,支付宝难道就没有输的时候吗?我不信。

  于是,中哥下定决心要去和雄文聊聊,写一篇雄文背后故事的雄文,让大家认识一下我雄文里的雄文到底是怎样的雄文。

  几天后,在支付宝童鞋的引荐下,我坐在了雄文大叔的对面。我不是要和他下棋,而是要探究一下支付宝背后的秘密。

  雄文

  (一)支付宝能不能扛住“黑客围殴”?

  “老实说,节目上被攻击的支付宝,是不是假的支付宝?”我劈头盖脸就问。

  “当然是真的支付宝。”雄文云淡风轻。

  “你怎么证明?”我说。

  “为了电视节目,如果要模拟一个假的支付宝,还要做出一套假的风控系统,要开发好多代码。太麻烦了。还不如用真的。况且真的风控系统我们做了十几年,干嘛要用假的。。。”他说。

  “所以,被攻击的那三个账户,也是真的咯?”我问。

  “如假包换”他说。“支付宝账户都是实名制,背后挂着身份证的。不仅用不了假的,做节目的时候,连真的都差点用不了。。。”

  纳尼?雄文大叔在说什么?

  原来,在节目录制之前,需要进行一次彩排。彩排时候选定了三个账户被黑客一顿锤,支付宝防住了,一切都没问题。结果第二天要正式录制的时候,奇特的事情发生了——这三个账户被支付宝风控系统判定为受攻击高危账户,直接保护起来了,暂时限制对外转账功能一段时间。。。无奈,节目组只能另外换三个账户。也就是最终出现在节目上的那三个。

  “系统都是自动运行的,被封住的账户,就连我也无权解开。。。”雄文一摊手。

  我去,你是魔鬼吗?支付宝风控系统疯起来连自己人都刚啊,六亲不认,肃然起敬。

  “这支付宝的风控系统,叫个啥名?”

  “叫 AlphaRisk!”他说。

  “账户是真的,攻击是真的,AlphaRisk 的防御也完全是自动化的,那么也就是说在节目现场,你根本不知道它能不能挡住黑客的进攻咯?”我问。

  “是的。”

  “那你慌么?”

  “有点。”

  “。。。”

  雄文这么不按套路出牌的坦诚,让我本来准备好的一万个质疑都瞬间失效。

  “录节目时你最慌的是什么时候?”

  “AlphaRisk 判断一个账户是不是被盗用,是要综合很多指标来判断的。其中一个重要的维度就是看转走多少钱。结果在节目彩排的时候,黑客强行登录支付宝账号以后,居然只转5块钱!说实话,这么少的金额,是有可能被 AlphaRisk 放过的。转这么少钱,也没跟我商量,当时我真是捏了一把汗。还好支付宝给力,拦住了。”雄文吐槽。

  感觉白衣黑客们费劲气力,才看清5这个按键在哪。。。

  雄文当时的表情是这样的。

  看看,在节目上黑客攻击三个支付宝账户都功败垂成时,雄文有多开心。

  支付宝曾对外发布了一个数据:资损率低于千万分之五。意思就是,存在支付宝里的钱,出问题的概率低于千万分之五。

  千万分之五,真牛X!等等,好像哪里不对。。。假如我就是那倒霉的千万分之五,我是不是要去杭州上访?

  “不用,如果你的支付宝真的没被拦住,被盗了,我们赔给你就是了。”雄文淡定地说。

  确实,我记得支付宝从2004年上线之后,就有一个口号叫“你敢付,我敢赔。”只不过说实话这么多年中哥的支付宝账户也没丢过钱,不知道他们到底是赔不赔。。。既然今天支付宝副总裁都这么说了,那我放心了。

  也就是说,理论上支付宝并不能保证防御住每一次具体的黑客攻击,但这对于普通用户来说那不重要,因为每个人的钱都是绝对安全的。

  说实话,见到雄文之前,我是没想到他会这么坦诚的。好不容易逮到他,得多问点电视台不让播的内容。

  接下来就到了中哥硬核科普时间了,今天的话题是:

  你家支付宝的门神——AlphaRisk——到底是咋工作的?

  (二)黑客偷钱,总共分三步

  你可以简单想象一下,用支付宝转账,要过三道大门:

  第一道:登录密码;

  第二道:支付密码;

  第三道:AlphaRisk 风险控制系统。

  雄文说。

  来,我们一道一道地科普。

  第一关、登录密码

  这个很简单。你登录支付宝的时候,要输入登录密码,证明你是你。

  你可能会杠说,不对啊,我每次在手机上登录支付宝,不用输入密码,直接就打开了啊!没错,那是因为你经常登录,并且没有换手机。这种情况下,你账户有风险的概率很低。支付宝没有必要每次都打扰你,让你输密码。

  这里,我们学到了今天最重要的一个概念:打扰率。

  一个 App,每要求你做一件事,比如输入密码,比如让你接收一个短信验证码,这都算一次打扰。而在用户体验中,打扰是要扣分的。所以,通过频繁打扰用户的方式来保证你的“绝对安全”,并不是个好办法。

  由上图可知,频繁打扰是一件很烦的事,这个问题涉及到深奥的产品哲学,我们在最后还会详细讨论。

  我们继续说登录密码。

  如果你在一部手机里很久都没有登录支付宝,那是需要重新输入密码的。如果你换了一部新手机登录支付宝,那么不仅要输入密码,还要二次校验(短信验证码或者回答安全问题)。

  所以,黑客单单偷到了你的支付宝登录密码,是无法直接登录你的支付宝的。那他们是怎么做的呢?中哥可以告诉你几种可能性:

  1)你的身份信息泄露严重。

  刚才我说到,支付宝密码是可以被重置的,需要提供身份证、银行卡等一系列信息。如果这些信息隐私信息都被黑产掌握了,那么从某种程度上说,他就是你了。没办法,你的密码也会被重置,他可以登录。

  2)你的手机丢了。

  你的手机丢了的意思是——你的手机不仅丢了,并且没有设置开屏密码或指纹解锁。否则坏人解不开你的手机,就跟没丢一样。

  反正黑客只要进入你的手机主屏,接下来就有两种情况:

  你在几天内用过支付宝,那么,黑客不用输入密码,就像你本人使用一样,能直接登陆。

  你最近没有登录支付宝,那么支付宝会要求你输入密码,此时黑客可以选择重置密码,选择手机接收验证码,也是可以重置密码成功登录的。

  此乃第一关。

  第二关、支付密码

  如果坏人破解了你的登录密码,那么接下来他想把钱转走,就要遇到“支付密码”这道关口。

  你记得不,支付宝会要求你的支付密码和登录密码不同,目的就是为了防止坏人破解了你的登录密码,直接就能攻破你的支付密码。

  这里有个小细节:支付宝最近几年会鼓励你用指纹代替支付密码。当然,用户也可以手动选择切换——这次支付不用指纹,就用密码。这关实际上挡不住黑客,但是你要记住这个细节,一会儿有用。

  接下来我们继续说黑客怎么攻破你的支付密码:

  1)用你之前泄露的其他登录密码尝试。

  一般人不会把支付宝支付密码和其他应用的登录密码设置为一个,这种方法成功率从实战数据中看比较低。

  2)重置你的支付密码。

  重置你的密码,需要你的个人信息,或者需要你的手机。如果黑客已经掌握了这些,那么他很可能重置支付密码成功。

  你一定以为:黑客破了我的支付密码,钱就会被转走了噜。

  错!图样图森破!黑客的噩梦才刚刚开始。

  马上就会进入第三步骤:AlphaRisk。

  第三关、AlphaRisk

  前面两步,黑客的所有操作,其实 AlphaRisk 都在默默看着,只是它没说话而已。

  当前两个密码都输入正确后,AlphaRisk 会作为最后一道门神,像尉迟恭和秦叔宝一样,决定放不放走这个钱。

  那么,AlphaRisk 判断的依据是什么呢?

  举个栗子:一个老警察靠在公交车站,他如何发现一个正在挤上车的小伙是个贼呢?他会通过几个维度:眼神、举止、穿着、和前人之间的距离、是否遮挡手上的行为等等等等。有经验的警察不用等到“偷钱”那个动作发生,就已经能准确判断谁是小偷。

  同样,AlphaRisk 也像一个老警察,它也会从一些维度来观察一笔交易。比如:设备、环境、偏好、行为、关系、账户、身份、交易,等等。

  如果其中所有维度任何一个或者多个有异常,都会引起 AlphaRisk 的警觉,直接强制操作者进行人脸活体验证,手机验证码,或者干脆就截断交易。

  不知你感受到了没。日常你用支付宝转账给别人,你觉得非常自由,支付宝从来不添乱,恰恰是因为 AlphaRisk 对每一笔交易都做了极其细致的评估之后,觉得没问题才不拦着的。

  你可能会问,为神马 AlphaRisk 等到那么惊险的最后一步才起作用呢?早点出来这个“哔——”就装得不够到位吗?

  这个地方又涉及到刚才的概念——打扰率,如果支付宝在输入交易密码之前就用 AlphaRisk 跳出一堆人脸验证手机验证码,那就会让你觉得很烦。作为一个有尊严的 App,支付宝把安全性最强的 AlphaRisk 放到最后一步,就是为了最少的打扰。

  下面说 AlphaRisk 的工作细节。

  以《制造将来》里面的操作举例。攻击第三个手机的时候,黑客已经拿到了登录密码和交易密码,并且是照着身份证的照片把身份证号一次输入正确的,为神马 AlphaRisk 会认为这个交易有风险呢?

  用大家都能理解的话说,大概是酱:

  首先,支付宝是在陌生的手机上登陆的;

  其次,支付宝的登录密码是刚刚被重置过的;

  再次,支付宝的支付密码也刚刚被重置过;

  还有,转出账户和被转入账户之间没有任何人际关联;

  还有,转出账户所在城市和被转入账户所在城市,本身就很少存在转账行为;

  等等等等。

  其实,还有很多不正常的维度可供 AlphaRisk 参考。

  比如刚才我故意卖了关子的一个细节:操作者本来习惯用指纹支付,突然今天强制改成了密码支付。这一个蛛丝马迹,起码说明事出有因,足够让 AlphaRisk 关注到这次交易的风险。

  啊,说了这么多,终于大概解释清楚了支付宝风控的三道关。

  雄文告诉我,支付宝也不是一开始就有这么强大的智能风控能力的。

  在2004年,支付宝刚上线,他们就大喊“你敢付,我敢赔”的口号。实际上在那个时候,支付宝还真是“敢赔”。意思是,虽说风控技术有点糙,但我们胆子大,敢赔钱给用户而已。。。

  “那后来你们是怎么一步步提高风控能力的呢?”我好奇的地问。

  “你要是那么哗哗地赔钱,你也会拼了老命提高风控能力的!”

  “。。。”

  (三)偷不到钱,那骗钱行不行?

  有一个问题其实很值得一说。

  宽泛来说,支付宝账户受损失,有两种情况:1、账户被盗;2、你被诈骗之后主动转钱给别人。

  当然,你的账户被盗,支付宝会赔钱给你。但如果你被骗,用支付宝主动转钱给骗子,就没办法找支付宝赔钱了。毕竟,被骗不能赖钱包。

  但是雄文告诉我,作为一个有追求的钱包,这两年支付宝恰恰在“识别诈骗”方面苦练技巧。

  这种对诈骗的识别能力,同样在 AlphaRisk 身上。

  骗子骗人,一般都是直接打电话,或者在微信上骗,那些过程支付宝肯定不知道。它只能看到一个账户给另一个账户转了钱。。。通过这么少的信息,它怎么能判断你是不是被骗了呢??

  雄文给我讲了一个真实的例子。

  一个妈妈,她的孩子在外地打工,做快递小哥。突然有一天,她接到了一个陌生电话,告诉她儿子出了车祸,急需抢救,需要她打钱过来。妈妈开始没相信,把电话挂了。但是身边的电视正好播出了一条新闻,说他儿子所在的城市,有一个送货小哥出了严重车祸。这下她着急了,赶快给对方回电话,要把钱转过去。

  就在这位妈妈把钱转给骗子的时候,AlphaRisk 判断了风险,并且弹出了提示,告诉她有这笔转账可能是被骗了。妈妈选择无视,关掉弹窗继续转账。这次,AlphaRisk 判断强风险,直接阻断了交易,锁定账户两小时。

  这位妈妈非常生气,觉得自己的儿子出了事,支付宝却不让转账,于是拨打客服理论。正在这时,他的儿子碰巧打电话给妈妈,这才揭穿了骗子的骗局。

  在这个例子中,AlphaRisk 是凭什么判断转账存在诈骗风险呢?

  雄文说,至少有三点:

  1、妈妈平常的支出,都是小额的日常生活,买菜超市,突然一下转几万块显得很异常。

  2、对方的收款账户是新注册的。而且近几日只有大额收款和提现,并没有日常消费。

  3、这两个账户之间从未有过直接转账。

  你看,基础逻辑和判断账户被盗差不多,只不过,判断被骗可以利用的信息比判断被盗少得多,所以难得多。

  但最让雄文头疼的是,截断用户付款固然好,但是万一截错了,用户是要跟支付宝拼命地。。。支付宝但凡截断用户的交易,必须证据确凿。如果没有百分百的证据,一般会选择弹窗提示。然鹅,很多时候即使支付宝弹出了警视窗,用户都会选择直接关掉,没啥作用。

  即使是这样,雄文团队也对弹窗内容改了又改,可谓是苦口婆心啊。

  这是修改前的↓↓↓

  这是修改后的↓↓↓

  前两天,雄文和团队突然找到了一个好方法,他们和地方反诈骗中心“合作弹窗”。例如你是重庆人,在支付宝判断你的一笔交易有风险时,弹出的内容不是“支付宝提醒您注意诈骗”,而是“重庆反诈骗中心提醒您,这个交易有可能是诈骗。”

  “这样一下,用户终止交易的比率大大增加!”改了几个字,就能让好多人少上当。雄文老激动了,这两天从地方到中央找反诈中心公安局各种合作。

  “到目前为止,用户遭受诈骗,有85-90% 都能收到弹窗提示。”雄文大叔开心地说。

  现在是这样↓↓↓

  说到这,雄文大叔给我普及了一个金融小常识:

  一般的在线交易系统,对于转账这个操作,只涉及“转出”和“到账”两个状态。这边转出之后,那边就到账。就像一盏灯只存在“开”和“关”两个状态。不可能存在“这边钱扣掉,那边还不到账”的情况。

  但是支付宝为了防止诈骗,开发了第三个状态:类似“预授权“。如果你觉得这次转账有风险,可以设置2小时或者24小时延时到账。这种情况下资金就在“预授权”状态。在这个期间如果你发现被诈骗,可以报警并向支付宝申请冻结资金。

  “预授权“状态的钱,按理说到时之后就会顺利进入转入账户。但只要有公安机关的相关凭证,就可以退回到转出账户。

  别看只是加了一个“预授权”的状态,这相当于给了受害者一个“时光机”,回到过去,改变那个无可挽回的错误。

  雄文说,为了增加这个新状态,他们两年里对支付宝底的层代码做了很大的修改。虽然大动干戈,但这件事非常值得。

  (四)玩漂移的老司机

  讲真,人类对一台机器的要求是很变态的。好的机器不仅要代替人,还要比人更精神。

  毕竟是亲生的, 说到 AlphaRisk,雄文特别开心。他觉得如果2017年支付宝没有开始研究 AlphaRisk,现在很多风控策略还靠人肉的话,一定会被“时代的洪流”所击垮。

  如今,AlphaRisk 有两个杀手锏:

  1、和人比,它厉害到不知哪里去了。

  你可能已经知道,AlphaRisk 就是一种“人工智能。你作为一个人每天家长里短悲欢离合其实本质都是判断,人工智能每天也是做一件事:判断。

  人工智能判断事情的标准,和人又像又不像。这里涉及到一个大家普遍理解得不好的技术梗,中哥正好以 AlphaRisk 为例简单科普几句:

  人工智能和人各自做一个判断,有点像两个大厨分别做一桌菜给你吃。这分为三步:

  1、他们使用的原料种类都是一样的青椒、萝卜、鸡肉等等。(这意味着人工智能和人用于判断一件事情的基础数据是一样的。)

  2、但是,他们炒菜的路数可就不一样了。人类可能会做出鱼香肉丝、宫保鸡丁、水果拼盘,但是机器会根据自己的理解做出西瓜披萨,苹果蒸蛋、巧克力烧茄子等等常人不能想象的饭菜。(这意味着人工智能的判断模型和人既相似又不同。)

  3、最后,两桌菜分别上来,食客们会发现,两种菜虽然不一样,但是都能填饱肚子,而且机器做的明显更好吃更营养。(这意味着人工智能判断的准确度比人类还高。)

  简单总结人工智能的工作原理:通过人类看都看不过来的数据,用风骚的机器思维,做出一击致命的判断。

  这里给你几个数据你感受一下。

  AlphaRisk 用来判断的风险点有几千个(如交易金额、支付宝注册地、交易时间、使用密码支付还是指纹支付等)。把这么多数据进行惨无人道的交叉运算,总运算量是巨大的。

  在平时,每秒钟全世界都会用支付宝进行上万次的交易。如果在双十一这种狂欢节,每秒支付宝要处理25万笔交易。你想想看,就像商场的收银台后面,排队排了25万个顾客,每一笔交易,AlphaRisk 都还要计算无数次来判断它是不是有风险,这得累计多大的计算量。。。

  如果这些计算量交给人来做,等到算完,估计已经到了9102年双11了吧。

  这么疯狂的机器,日常得有不少码农为它检修上油吧。。。

  雄文说哈哈哈NO!因为,这两年他们已经搞出了一套“自动驾驶”系统。

  纳尼?支付宝也会开车了么?求车牌号!其实,不是你想的那样,这就到了 AlphaRisk 的第二个逆天优势。

  2、这是个会自动驾驶的老司机。

  那些做坏事的黑客,连过年都不休息,天天“苦炼内功”,不断升级自己盗取支付宝账户和诈骗用户的技术。这是为什么?因为他们知道,如果能早几天研究出一个盗取支付宝的方法,那赚的钱可比在支付宝上班的码农加班费多多了。

  对手那么疯狂,AlphaRisk 也要加油才行啊。正常情况下,AlphaRisk 想要学会新的反诈骗套路,要工程师手动输入代码。

  但是,雄文和支付宝安全团队的队员很“懒”,他们觉得,AlphaRisk 已经长大了,不能每天晚上给它“检查作业”,它要自己学习新的知识了。

  所以过去两年,攻城狮们很少砍柴,主要磨刀。他们建立了一个自动建模的系统。每天都会有一些用户损失通过投诉渠道反馈到支付宝风控团队,这个自动建模系统就可以通过学习这些AlphaRisk 没有拦截成功的案例来建立新的风险模型,然后把这个模型输入到 AlphaRisk 里,下次再遇到同样的问题,AlphaRisk 就能一眼识别。

  自动建模还不是全部。

  你知道,每年双11的时候,支付宝会像雷峰塔一样,承受一下交易量水漫金山的感觉。这个时候,如果还执行原来的风控策略,就会导致计算力严重不足的情况。本来人家零点秒杀,结果支付宝算了十秒钟,跟人家说没问题去付钱吧。结果秒杀的限量款衣服早都被人家抢得毛都不剩。这会造成大批群众到杭州上访的。。。

  所以,支付宝需要根据不同的情景,调整 AlphaRisk 的风控策略。这就像一辆车,根据路况不同,切换12345档。

  原来每到双11,攻城狮们就会写一套新的风控策略,为 AlphaRisk 手动换挡。从2017年开始,完全不用了。AlphaRisk 学会了骚气的自动换挡。交易量巨大的时候,就自动切换为高档,交易量低的时候,就瞬间调回来。

  这不就和汽车的自动驾驶是一回事么。。。

  我第一次发现,原来自动驾驶不仅仅是汽车领域的人工智能。凡是需要复杂人工智能的场景,其实都有自动驾驶的一席之地。甭管是人是机,反正这个世界缺不了老司机。

  (五)三个“隐秘战场”

  其实,中哥知道,科普半天支付宝 AlphaRisk 的风险识别技术,你也未必听得进去,因为我已经提前剧透了,反正你丢了钱支付宝会赔给你。

  不过,要是你以为雄文和支付宝风控团队只玩技术,那就太小看他们了。

  有道是:“科学的尽头是哲学。”

  这句话不无道理。好多事是科学解决不了的。比如你女票天天吵着要买钻石戒指,你告诉她从科学角度说那玩意儿其实就是碳,那你当晚必定自己睡。

  虽说支付宝的风控做得很科学,但是雄文却每天都面临三个哲学问题:

  第一,打扰率和资损率如何平衡?

  之前我们已经介绍过这个重要概念“打扰率”,就是支付宝为了保障你账户的安全,弹出来一些验证提示等等打扰你的行为的概率。

  当然技术水平是在不断进步的。但假设在技术保持不变的情况下,这是个跷跷板。打扰率越高,资损率就越低。

  如果让中哥这样的抠门来做决定,那估计是要把资损率降到极限,对用户的打扰率有多高。。。爱咋咋地。。。因为这样能保证赔出去的钱最少。

  当然,支付宝没有这样做。他们在资损率降低到千万分之五之后,转而把技术重心放在了降低打扰率和诈骗识别上。

  资损率低到千万分之五的时候,我们就认为被盗是小概率事件了。即使被盗,也能做到全额赔付。这个时候,我们要用技术的进步让用户体验到温度。

  雄文说。

  正所谓:“有技术的 App 千篇一律,有温度的 App 万里挑一”。表面上看,这是一个产品哲学和技术取舍。但在这个天平上,你其实可以测量用户的重量。

  第二,赔付与不赔付如何平衡?

  你可能会说,不是刚刚都说了么,被盗就赔,自己转给骗子不赔。

  没错,但是在现实生活中,总有那些让人哭笑不得的中间地带。

  我随便给你举两个例子。

  第一个例子:卖早点的老张,把自己的收款码放在早餐车柜台上,结果有一天,一个混球突然把老张的收款码偷偷换成自己的。老张忙着做早点,结果半个小时才发现。他联系支付宝客服,你是支付宝的话,你赔还是不赔?

  直接说答案,赔。原因很简单,做生意不容易,虽然二维码被偷梁换柱不是支付宝的责任,但是支付宝不想让诚实的人受损失。

  别看雄文说得轻描淡写,当初决定二维码偷换也要赔的时候,所有人可是下了老大的决心的。因为,付款码偷换的整个流程,都不是支付宝能监督控制的,所以他们不知道如果赔的话,要赔出去多少钱。

  雄文记得,那时候他跟支付宝老大井贤栋商量这件事,井贤栋立刻就同意了,他说:“我们准备个几亿,先赔着。”支付宝还专门给小摊主设计了一个语音播报的功能,收到款手机就会大声喊出来。

  当然,事后证明广大摊主并没有那么粗心,自己的二维码被偷换了还不知道。数据显示,真正因此受损失的小商家很少。

  第二个例子:小美联系支付宝客服要求赔偿,说一觉醒来支付宝里几万块的余额不翼而飞。但是支付宝通过数据查看, 这笔钱是用她的手机,在她家的 Wi-Fi 环境里,密码根本没有被重置,都是一次输入正确而被转走的。AlphaRisk 认为这很可能不是被盗,说白了,有可能是“监守自盗”,如果你是支付宝,你赔不赔?

  直接说答案,不一定赔。原因也很简单,因为大家都要诚实。如果涉及到欺诈,支付宝并不能蒙受不白之冤。

  这是个真实的案例。后来的警察调查发现,这是她交往十年的男朋友,因为沾上了赌博不敢说,趁她睡觉的时候偷偷把钱转走的。

  雄文告诉我,支付宝风控部门有一个专门的团队,就是处理这种介于赔偿和不赔偿之间的中间地带。如果确实有警方介入,没有发现是监守自盗或亲友作案,那么支付宝就会赔付。

  第三,安全和安全感之间如何平衡?

  你有没有过这样的经历:给别人转好大一笔钱,结果支付宝问都没问,直接放行了你的转账。这时你的心里会闪过一丝不安全感,就像穿着短裙的女装大佬,总感觉空空荡荡的。

  其实,AlphaRisk 在背后已经帮你掐指一算,判断了你的转账没有风险,只不过没有明确告诉你。

  雄文说,这是他们团队最近在努力思考的问题:“安全”没问题,但是用户的“安全感”有问题,这要怎么平衡?

  其实有关“安全”和“安全感”的问题,历史上有个经典公案。汽车门关上的时候,本来是没有声音的,但是广大司机们听不到声音,总觉得车门没关好,百爪挠心。于是,索性各大车厂专门设计了一个机关,让车门关闭的时候发出坚实的“砰——”。然后,天下太平。。。

  “所以,你们也要在某些不需要打扰用户的时候,弹出验证消息吗?”我问。

  “谁说得准呢?”雄文笑了。

  没想到,每天我打开支付宝只是付个钱买个余额宝,其实它背后正在发生着无数秘密战争——支付宝风控团队带着 AlphaRisk 时刻在改进风控技术,并且在这样那样的平衡之间精确腾挪。

  告别雄文。走在杭州冬天温润的空气里,我突然觉得心情很舒畅。

  一次偶然的电视节目,却让我认识了这么一位温暖的大叔,还有背后守护我们的工程师们。

  我记得曾经在网上看到过这样一个帖子:“黑客这么厉害,为什么不去攻击支付宝?”

  现在我觉得自己大概能回答这个问题了:他们攻击了,只是你不知道,因为有人在替你负重前行。

  很多备受推崇的产品经理在介绍经验时,总是强调“人心”二字。当时,我未免觉得这是一种政治正确的姿态。但当我和无数大佬聊过之后,越来越发现一个真理:

  技术可以打下世界,但只有良知可以赢得人心。

  世界辽阔,而且,没有想象中那么糟。


来源:浅黑科技
作者:史中
文章仅代表作者观点,转载请注明来源及作者

文章搜索:
史中 浅黑科技 支付宝 黑客 



文章收录排行:

顾子明   471
央视网   254
一棵青木   129
花猫哥哥   98
肖仲华   83
牲产队长   65
唐如松   61
学爸   58
卢克文   56
旗扬   53
北风   49
阿甘   47



扬搜7天搜索词排行:

顾子明 猫哥的视界 2019 政事堂 政事堂2019 央视网 花猫哥哥 焦点访谈 焦点 一棵青木 时代 美国 新闻 特朗普 新闻联播 远方青木 中美 20 俄乌 俄罗斯 卢克文 卢克文工作室 中国 专业 

 淘宝广告_扬搜 


精选留言

木心
你已经是个成熟的app了,要学会自己还花呗

有个好名字
我过去一直不敢设置指纹支付,是担心哪天我睡着了被人用手指盗去钱
作者
老实交代,和你一起睡的都是什么人??

邓瑞杨
哼我哥们的支付宝登录在他女朋友手机上,密码也在她那,这个可防不住
作者
这就是文中提到的“亲友作案”。儿女私情,包青天都难断,支付宝更是臣妾做不到啊

Vinh_Chiu👌
17年的时候遭受过合租人的盗刷支付宝的情况,最开始是收集到我的身份证和另一部手机(长时间放家里不用),然后这兄弟就开始绑定我这部不用的手机号到我的支付宝上面,相当于克隆一个小号,期间做过几笔小额转账迷惑支付系统,当然都没成功,但是却给到支付系统操作习惯干扰。所以过一段时间后这兄弟做了一个2000多的购买家电行为,并成功了(不过当天就被我发现金额不对并报警)…结局就是报警无用,毕竟这种网络犯罪证据确实麻烦,当然支付宝也赔了我的损失,所以…还是真赔出来的牛逼

7.1.xx
用过paypal的人,才知道国外的这些支付系统多么反人类………
作者
这个墙裂同意!

史中@浅黑科技
技术可以打下世界,良知可以赢得人心。世间道理,简单如斯。

m·涛.com
我只对那个下棋的电影挺感兴趣的

路锐
技术好的黑客都被招进支付宝工作了

强子😤
支付宝都是实名啊。类似于这种电子转账不都是可以找到收款方么?
作者
有时是可以通过某种方法,用毫不相干的人身份证来注册的,城市套路很深的。不过话说回来,警察叔叔真想要找到你,别说实名,就是非实名,你也跑不掉。

Javie
想咨询一下:如果手机丢了,别人登陆支付宝后用POS机扫付款码,钱会不会就轻易被扫走了啊?在超市柜台的那种扫码付款POS机都不需要支付宝付款密码,钱直接就付出去了...
作者
这个问题,我当时问了雄文大叔,首先,防不住会赔给你。其次,这里的风险判断同样基于日常行为习惯。如果这次扫码支付和你一般支付的金额,消费场景都不同,那么会弹出验证。如果坏人那你手机连续扫码支付,同样会触发风控弹出验证。你平时扫码支付不用验证,是因为支付宝确信就是你。

史中@浅黑科技
后台有盆友问如果手机丢了被扫码支付怎么办,我统一回答给@Javie 童鞋了~
另外,各位不要求女骑士车牌号啦,怎么会真有这部电影呢

嗷嗷嗷
黑阔为什么不攻击美国国防部,窃取F22战斗鸡,核动力航空母舰设计图纸?

小丑
他们攻击了,只是你不知道,因为有人在替你负重前行。

感谢阿里团队!

大牙蚂蚁
对支付宝和马云更有信心了!

别矫情
很优质的文章

wayne
阿里粉永远支持支付宝

陆毅飞luyifei
有技术的 App 千篇一律,有温度的 App 万里挑一。

绅士🌚
所以巧克力烧茄子真的好吃又营养吗?
作者
这还真是一个暗黑料理节目推荐的,你可以试试。。。


卧槽,我都想放弃习惯的微信支付去用支付宝了

木铭
很流弊的样子啊!

嘟嘟乐陶陶
前不久我使用我老公的旧手机顺利进入他的淘宝用花呗买东西,期间只输入了一次支付密码。一个账号允许在两个设备同时登陆使用,不是个bug吗。
作者
咦,为啥我不能同时登录。。。你确定用旧手机登录的时候,你老公没有掉线吗?如果他早已看穿了这一切,肿么办。。。

CHEN
雄文:AlphaRisk,你已经是个成熟的系统了,该学会自己写代码了

随风奔跑
啊啊啊啊 后悔啊!看到了提示选择无视,还是转了,希望我的这个样本不要被系统记录判断为他的失误了,这是我的错啊(话说,这样由于个人问题失误会导致这个风控训练偏离吗?又怎么纠偏呢?)
作者
话说,这么照顾人工智能情绪的,还真少呢。。。感觉你好有温度啊如果确定是诈骗,你可以通过联系支付宝客服告诉他们,他们会把你的信息输入 AlphaRisk 的。这样就完成了纠偏。

木东
科学的尽头是哲学

Haru.👑
这个公众号是给一些有情怀的人看的。。。多谢史中大叔在这个充满利益的世界还保有优秀的情怀

李中航
我的支付宝没钱可盗...
作者
允悲

三叶草
支持支持,马云说每年拿出100亿给支付宝赔钱,可赔不出去~~果然,整个阿里的体系确实很成熟了。

胡伟
风控科普文章,不错。

Yao
我在想,既然现场已经控制手机了,直接远程操控在他手机上找密码、转账,成功率会很高的吧
作者
这种控制还达不到可以随意操作的程度,属于某种“精神控制”。

当心动
第一遍没注意,打算看第二遍的时候,突然发现开头撒狗粮了

52赫兹
支付宝的铁粉一枚,第一次见公众号把支付宝写的这么详尽,了解了很多。比心希望以后多出一些关于支付宝的文章。


支付宝真的很优秀,,手机没电了换朋友手机扫脸就登录了,免了不少麻烦。讲不出来为什么就是感觉优秀,可能和文中讲的安全感有关。

郭永灿
论科普的趣味性,就数你最风骚,怒赞!

Jemma
妈呀,你们会读心术吗,刚看完前面一篇文章就想为什么黑客不黑支付宝,然后这文章就出来了

枝吱
看完了,良心好文,支付宝确实很好,我也很喜欢支付宝~

heyimateyang
阿里真的厉害~

i
黑产假装被盗怎么处理呢
作者
文中有解释哒,AlphaRisk 会对是否骗保做评估,如果支付宝判断是黑产骗保,会拒绝赔付的。雄文大叔告诉我:当然,如果有异议的话,你也可以向相关部门提出仲裁。

卫了一
看的时候笑场好多次,软科普!好评

夜影
我刚看了这个节目,发现还是熊文大大还是有些慌得哈哈,特别第三个手机时候最后一句,会赔的,就一切无所谓了

Quasi
为啥要强调一下不是跟他下棋呢?

Hahhhnxsm
看过这个视频,最后一步真的刺激

Derek lee
认真看完了,写的不错。迫不及待的去看视频。

官 方 定 义
看的我热血沸腾

阿狸不乖
原来支付宝这么6

跃志
文章写的很精彩,我一点一滴看完了,作者辛苦啦

跃志
支付宝:我也想赔给你,可实力不允许呀!

大王
看得有点感动。。。

静以幽 正以治
虽然很少拜读过支付宝背后的风控技术,所以每次它向我推荐账户安全险我都是拒绝的,反正银行卡里面是没钱的,支付宝里面的钱它会替我管好的

傻眼了
配图好sao

0x🧨
我赢得了全世界,却唯独赢不了你的心。


好有逼格

青青子衿
小编用心啦~写的很详尽

QI LU
哪有什么安全,只是头顶有人替你遮伞

10px
好详细 看了好久

硫酸@铜
文章好长,我在公交车上都坐过站了。。。
作者
我的锅

莲藕打孔员
看了这篇文章我的收获是:以后支付宝里的钱被黑可以找他们赔,哈哈
作者
确实,普通人知道这个就够了。

Virginia 👾
啊!!离开了风控行业的我!!!!在这一刻突然怀念起了自己曾经的工作!!!!

Truman
我想问问,一秒钟处理25万笔交易,阿里用哪台超级计算机?
作者
阿里云了解一下

Dav1d''
平淡是一件很幸福的事情,那意味着有很多人在默默为你付出。

薛逸冰
科学的风控背后不仅有技术还有哲学

ZZ
我妈的支付宝就被盗了,不过打客服追回来了

moon
因为能黑支付宝的黑客,都被马爸爸高薪聘请维护支付宝安全了!

文子
大佬的观点总是相似。龙叔也说,善良比聪明更重要,AI比我们更聪明、更懂套路,但我们可以比他更善良。

写意莯莯
支付宝不错,我记得前年我被电信诈骗犯骗了500块钱,她是通过QQ骗钱、微信转账,我说用支付宝她坚决没同意,而且微信她是新加的好友,给对方转账,微信没做任何拦截,而且实时到帐。被骗之后求助客服也是闲的,求助警察,反被警察说了一顿……

滑稽HuaJi2333
所以什么时候让支付宝支持一下Android原生的指纹方案,我的Google pixel到现在都无法用支付宝的指纹支付,好气啊
作者
其实蚂蚁金服做了IFAA联盟,就是解决你说的问题。但是,谷歌,对吧。。。。


 淘宝广告_扬搜
广告
全棉时尚淘宝店


 阅读: 3966 6天: 11 今天: 1

扬搜 yangsou.com ©2008~2024

首页 财经 视频 图片 今日半价