本报记者 陶力 上海报道
欺诈、违禁、虚假交易、营销作弊、数据风险、黑产攻击……每家互联网平台都绕不过这些风险。
12月18日,蚂蚁金服牵头的商业生态安全联盟(BESA)在杭州成立。同时,支付宝也宣布,其核心风控技术将开放给商业合作伙伴。不管是银行、OTA,还是酒店网站,其商业生态都面临着六大业务风险挑战,包括账户安全、欺诈风险、违禁风险、真实性风险、营销资金风险和舆情风险。
“互联网世界的安全从来不是一家企业就能做到的,一定是行业共同努力的结果。现在支付宝的资损率仅为千万分之五,远低于国际同行的千分之二,我们可以把这个风控能力开放给其他同行。”12月20日,蚂蚁金服风险管理与决策中心总经理赵闻飙在接受21世纪经济报道记者采访时称,目前互联网行业遇到的最大的安全挑战在于,利用个人信息进行诈骗,令人防不胜防。
中国信息通信研究院发布的报告显示,2017年第二季度到2018年第二季度期间,全国诈骗交易金额总体呈上升趋势。以季度为周期,近一年内的诈骗交易金额的平均复合增长率达到17%,单笔支付的诈骗金额平均复合增长率达到14%。
蚂蚁金服副总裁芮雄文建议,数据安全与隐私保障应采用政府牵头,通过市场机制和社会共治的模式来推动。
黑产数据共建
互联网上的安全问题正面临严峻挑战。 除了金融诈骗,众多的互联网公司也因黑产而遭受经济损失。
腾讯安全《2018上半年互联网黑产研究报告》指出,互联网创新企业容易遭遇羊毛党的攻击,国家实行实名制对网络服务账号严格管理,但随着物联网的兴起,大量未实行实名制的物联网卡流入市场。羊毛党大量买入物联网卡,注册大量账号待价而沽。
尤其是在一些金融平台,此类现象更加严重。通过一款木马病毒,盗取他人支付宝或微信支付账户密码,进而转账盗取资金,同时制作含木马病毒的某开发软件模块,任何通过该软件模块编写的app都含木马病毒,只要一运行,就能记录用户的各类账号和密码。
12月初,东莞网警侦破了这样一起特大型勒索病毒破坏计算机信息系统的案件。“以前有些黑产链条,可能在其他商家平台上进行,最后在支付宝或微信完成交易,形成联盟之后,黑产数据会通过加密式分享,用户的支付环境可以变得更加安全。”赵闻飙解释称,加入联盟后,一些黑产、黑客的信息都会得到共享,以最大范围将其排除在外,从而把安全风控水位拉高到一个较高的位置。
此前,支付宝发布了安全服务产品RiskGo。去年7月,某家有移动支付业务的商业银行遭遇黑产袭击,欺诈团伙伪装成为商户进行诈骗,并不停切换商户账号,导致业务受到极大影响。8月份接RiskGo后,整体风险大幅下降了90%。
在无人零售领域,安全风险的防控也尤为重要。小卖柜商务总监王巍介绍称,在小卖柜的实际运营过程中,有一些非诚信的行为出现,主要表现为恶意偷盗行为,给小卖柜的合作商户带来一些经营上的损失。“如果能够对全网风险行为监控分析,提前识别消费者的恶意行为,使用先进的人工智能风控技术,实时识别风险交易,也可以有效减少合作商户的资损率。”
隐私保护挑战
据了解,目前RiskGo已为超过1000家商户,提供全面的风险防控服务。2015年,通过互联网金融身份认证联盟(IFAA),支付宝将其生物识别解决方案开放给手机厂商,以及相关智能终端设备身份认证产业链,使得更多用户能更享受到生物识别的安全和便捷。
在2018年ATEC大会上,支付宝发布的蚂蚁风险大脑2.0也已经开放给多地监管部门。“近年来,金融欺诈案例持续上升。过去单一依靠自己企业的数据不能很好地判断欺诈风险,需要对来自不同渠道的数据做有效整合,才能正确地判断欺诈。”昆山杜克大学大数据研究中心主任李昕近日表示,未来还需要在用户数据保护上进行提升。
目前,在美国硅谷已经有大批投资机构和创业者将目光瞄准了移动安全领域。Trustlook是位于硅谷的移动安全解决方案提供商,多年来服务于华为、亚马逊、高通等一线软硬件厂商。针对行业存在的问题,Trustlook建议从应用商店上加强对应用的审核。许多应用存在窃取用户隐私、私自扣费,违规推送广告等行为,而可靠的安全技术,能在源头上制止这一行为。
另外,对于目前普遍存在的用户在打电话之后,谈论到的话题很快就会被其他应用推送相关的产品,这就需要在更底层的系统层面去解决问题。Trustlook已经和高通芯片展开了合作,从芯片层建立起AI安全机制。
TrustlookCEO张亮对21世纪经济报道记者表示,数据和隐私是一个全球问题,从年初Facebook被剑桥分析公司利用用户数据,操纵总统大选而引发的公司危机,到欧洲的GDPR对Facebook等美国公司开出76亿美元罚单可以看出,整个互联网上面临的隐私问题是非常严重的。2018年互联网安全还有一个重要特点是,由于比特币等数字支付的兴起,让暗网支付场景日趋成熟,进一步促进了黑产的发展。
对于隐私问题,比如窃取用户数据等行为,大部分平台和厂商也无能为力。“如果一个用户在支付宝上交易行为,我们判定对方是骗子可以直接拦截这笔交易。但是如果用户是向其他银行或者平台转账,我们也没有办法去阻止。所以说,还是应该建立安全联盟,共同打击。”赵闻飙无奈地解释。
据悉,商业生态安全联盟将从明年开始正式招募,芮雄文坦言,当下各行各业的数据安全能力还参差不齐,需要类似行业协会或安全联盟的组织,成为用户数据安全的守护者、行业数据安全的建设者。“一个良性的机制,将可以推动个人信息保护水平的提升。同时需要加强生态企业间的合作以及行业自律。”
(编辑:张伟贤)
文章来源:新浪科技