通付盾企业安全解决方案之五：反欺诈防漏洞 护卫第三方支付

  不用输密码，轻松一点就完成支付，这种简单便捷的支付方式已经不再新鲜。与此同时，巨大的支付风险也随之而来。

    近期，第三方支付账户被盗刷的案件频发。一位使用某知名支付平台的网友表示，在本人手机保持平台登录状态下，他人使用其他手机登录了他的账号，发起了两笔大额消费，共计2.5万元。另一位网友在网络上公布了自己电子支付账户被盗刷的遭遇，他表示在没有任何提醒的情况下，其账户中绑定的银行卡被盗刷了1.5万元，银行卡余额只剩下0.1元。 

    近年来，在频频发生的盗刷事件中，有近半都是通过第三方支付平台进行的，其风险漏洞暴露无遗。除了上文中提及的盗刷风险，还有账号盗用、网站漏洞、移动APP漏洞、业务流程漏洞等，无一不是第三方支付平台面临的潜在风险。随着个人信息被盗用的问题越来越严重，常规的短信验证码和密码保护措施已经不能有效保障持卡人资金安全，一旦出现问题，除了赔偿持卡人资金损失外，第三方支付企业将面临监管方、银行、持卡人、商户等多重压力。互联网时代，第三方支付在为消费者提供更便捷支付方式的同时，都面临哪些安全风险？又该如何规避？ 

    1、欺诈风险 

    盗卡支付是第三方支付行业面临的主要欺诈风险。支付用户因各种原因（如中网络木马、登录钓鱼网站）导致支付账户或银行卡信息泄露，进而发生非本人意愿的盗卡支付行为，致使第三方支付平台需要进行资金赔付，并影响到支付平台品牌形象。 

    去年，央行发布的《非银行支付机构网络支付业务管理办法》明确规定了多个关键问题。其中第37条明确：“对不能有效证明因客户原因导致的资金损失使用风险准备金先行全额赔付。”这意味着，如果不加强对盗卡支付等欺诈风险的防控，第三方支付平台将面临更大的资金赔付压力。 

    通付盾解决方案： 

    通付盾反欺诈平台通过对设备、机器行为和交易数据的识别分析，高效识别卡片信息泄露、批量盗卡、异常交易等风险。根据不同的风险等级，及时预警甚至阻断盗卡支付行为。既保护了资金安全，又避免平台资金赔付以及相应的声誉损失。 

    2、账户安全风险 

    对于有账户体系的第三方支付公司来说，黑客实施撞库攻击，盗取用户账号密码，造成用户账密信息泄露，并且为进一步实施网络诈骗和资金转移奠定实施基础，严重影响平台声誉。 

    去年年底，央行出台了《非银行支付机构网络支付业务管理办法》，要求第三方支付平台根据用户使用的身份验证方式，按照安全级别从低到高开通I、II、III三类账户，并限制支付额度和资金用途。《办法》将于今年7月1日起开始实施。加强账户安全等级已经成为第三方支付公司迫在眉睫的业务需求。 

    通付盾解决方案： 

    通付盾纵深多重账户防护体系（包括机器行为识别、谛听反撞库服务以及HUE多因子自适应身份认证服务），有效协助第三方支付平台识别和拒绝异常登录行为，保护平台用户账号安全。 

    更值得一提的是，对于正常交易客户，上述多重账户防护体系一直是“默默的保护”，并不增加客户操作难度，客户体验极佳；而在遇见不法分子实施撞库攻击、账号盗用行为时，就立刻切换到全副武装状态。 

    3、平台风险 

    平台风险既包括网站漏洞和移动APP漏洞，也包括第三方支付业务流程漏洞。在“乌云”漏洞报告平台中，以“支付”为关键词报告的漏洞达到2000多条，其中有大量第三方支付平台相关的高危漏洞，如：系统漏洞、弱口令、SQL注入漏洞和命令执行漏洞等。不法分子可以利用平台漏洞，窃取用户账密和隐私。更有甚者，直接导致用户银行卡信息和支付信息外泄，不仅造成用户资金损失，平台信誉降低，而且直接影响平台正常运营。 

    通付盾解决方案： 

    对于第三方支付平台的网站漏洞和业务流程漏洞，通付盾提供全面的安全服务解决方案： 

    A.渗透测试：模拟黑客攻击的方式对业务系统进行漏洞挖掘，评估漏洞影响力，验证漏洞扫描结果的有效性和安全策略的有效性； 

    B.风险评估：依据信息安全标准与行业规范，对信息系统进行全面评估，发现潜在的安全隐患，提出风险处置建议； 

    C.安全培训：为不同类型用户提供定制化培训课程，包括管理、技术、安全意识等方面，提高人员的信息安全防护能力。 

    对于已经开发了移动APP应用的第三方支付公司，通付盾还提供移动APP的安全检测和加固方案： 

    A.应用检测：从应用层、网络传输层、数据存储层、服务器层四部分，对移动应用进行全面审核与深入分析，发现应用中存在的潜在风险与漏洞。 

    B.应用加固：针对目前移动应用存在的各类安全隐患，通付盾能提供完整的加固方案，全面覆盖APK加固、SDK加固、iOS加固，保障“互联网+”安全，防止被黑客破解。 

    随着电子商务在我国的迅猛发展，第三方网络支付在短短数年之内已经成为年交易额达万亿元的行业，发展潜力可期。通付盾身份认证产品和反欺诈产品在网银在线等第三方支付平台的应用，帮助平台高效识别了盗卡支付和异常交易行为，及时避免了平台资金损失和声誉损失，切实保障了平台正常运营，得到了平台的一致认可。