前言：

今天在微信公眾號上無意間看到了一篇文章《黑客為什么不攻擊支付寶？》，覺得寫得很不錯，這里和大家分享下。

文章轉載自公眾號：淺黑科技

用支付寶轉賬，要過三道大門：

第一道：登錄密碼；

第二道：支付密碼；

第三道：AlphaRisk 風險控制系統。

第一關、登錄密碼

這個很簡單。你登錄支付寶的時候，要輸入登錄密碼，證明你是你。

你可能會杠說，不對啊，我每次在手機上登錄支付寶，不用輸入密碼，直接就打開了??！沒錯，那是因為你經常登錄，并且沒有換手機。這種情況下，你賬戶有風險的概率很低。支付寶沒有必要每次都打擾你，讓你輸密碼。

這里，我們學到了今天最重要的一個概念：打擾率。

一個 App，每要求你做一件事，比如輸入密碼，比如讓你接收一個短信驗證碼，這都算一次打擾。而在用戶體驗中，打擾是要扣分的。所以，通過頻繁打擾用戶的方式來保證你的“絕對安全”，并不是個好辦法。

如果你在一部手機里很久都沒有登錄支付寶，那是需要重新輸入密碼的。如果你換了一部新手機登錄支付寶，那么不僅要輸入密碼，還要二次校驗（短信驗證碼或者回答安全問題）。

所以，黑客單單偷到了你的支付寶登錄密碼，是無法直接登錄你的支付寶的。那他們是怎么做的呢？中哥可以告訴你幾種可能性：

1）你的身份信息泄露嚴重。

剛才我說到，支付寶密碼是可以被重置的，需要提供身份證、銀行卡等一系列信息。如果這些信息隱私信息都被黑產掌握了，那么從某種程度上說，他就是你了。沒辦法，你的密碼也會被重置，他可以登錄。

2）你的手機丟了。

你的手機丟了的意思是——你的手機不僅丟了，并且沒有設置開屏密碼或指紋解鎖。否則壞人解不開你的手機，就跟沒丟一樣。

反正黑客只要進入你的手機主屏，接下來就有兩種情況：

你在幾天內用過支付寶，那么，黑客不用輸入密碼，就像你本人使用一樣，能直接登陸。

你最近沒有登錄支付寶，那么支付寶會要求你輸入密碼，此時黑客可以選擇重置密碼，選擇手機接收驗證碼，也是可以重置密碼成功登錄的。

此乃第一關。

第二關、支付密碼

如果壞人破解了你的登錄密碼，那么接下來他想把錢轉走，就要遇到“支付密碼”這道關口。

你記得不，支付寶會要求你的支付密碼和登錄密碼不同，目的就是為了防止壞人破解了你的登錄密碼，直接就能攻破你的支付密碼。

這里有個小細節(jié)：支付寶最近幾年會鼓勵你用指紋代替支付密碼。當然，用戶也可以手動選擇切換——這次支付不用指紋，就用密碼。這關實際上擋不住黑客，但是你要記住這個細節(jié)，一會兒有用。

接下來我們繼續(xù)說黑客怎么攻破你的支付密碼：

1）用你之前泄露的其他登錄密碼嘗試。

一般人不會把支付寶支付密碼和其他應用的登錄密碼設置為一個，這種方法成功率從實戰(zhàn)數據中看比較低。

2）重置你的支付密碼。

重置你的密碼，需要你的個人信息，或者需要你的手機。如果黑客已經掌握了這些，那么他很可能重置支付密碼成功。

你一定以為：黑客破了我的支付密碼，錢就會被轉走了嚕。

錯！圖樣圖森破！黑客的噩夢才剛剛開始。

馬上就會進入第三步驟：AlphaRisk。

第三關、AlphaRisk

前面兩步，黑客的所有操作，其實 AlphaRisk 都在默默看著，只是它沒說話而已。

當前兩個密碼都輸入正確后，AlphaRisk 會作為最后一道門神，像尉遲恭和秦叔寶一樣，決定放不放走這個錢。

那么，AlphaRisk 判斷的依據是什么呢？

舉個栗子：一個老警察靠在公交車站，他如何發(fā)現一個正在擠上車的小伙是個賊呢？他會通過幾個維度：眼神、舉止、穿著、和前人之間的距離、是否遮擋手上的行為等等等等。有經驗的警察不用等到“偷錢”那個動作發(fā)生，就已經能準確判斷誰是小偷。

同樣，AlphaRisk 也像一個老警察，它也會從一些維度來觀察一筆交易。比如：設備、環(huán)境、偏好、行為、關系、賬戶、身份、交易，等等。

如果其中所有維度任何一個或者多個有異常，都會引起 AlphaRisk 的警覺，直接強制操作者進行人臉活體驗證，手機驗證碼，或者干脆就截斷交易。

不知你感受到了沒。日常你用支付寶轉賬給別人，你覺得非常自由，支付寶從來不添亂，恰恰是因為 AlphaRisk 對每一筆交易都做了極其細致的評估之后，覺得沒問題才不攔著的。

你可能會問，為神馬 AlphaRisk 等到那么驚險的最后一步才起作用呢？早點出來這個“嗶——”就裝得不夠到位嗎？

這個地方又涉及到剛才的概念——打擾率，如果支付寶在輸入交易密碼之前就用 AlphaRisk 跳出一堆人臉驗證手機驗證碼，那就會讓你覺得很煩。作為一個有尊嚴的 App，支付寶把安全性最強的 AlphaRisk 放到最后一步，就是為了最少的打擾。

下面說 AlphaRisk 的工作細節(jié)。

以《制造將來》里面的操作舉例。攻擊第三個手機的時候，黑客已經拿到了登錄密碼和交易密碼，并且是照著身份證的照片把身份證號一次輸入正確的，為神馬 AlphaRisk 會認為這個交易有風險呢？

用大家都能理解的話說，大概是醬：

首先，支付寶是在陌生的手機上登陸的；

其次，支付寶的登錄密碼是剛剛被重置過的；

再次，支付寶的支付密碼也剛剛被重置過；

還有，轉出賬戶和被轉入賬戶之間沒有任何人際關聯；

還有，轉出賬戶所在城市和被轉入賬戶所在城市，本身就很少存在轉賬行為；

等等等等。

其實，還有很多不正常的維度可供 AlphaRisk 參考。

比如剛才我故意賣了關子的一個細節(jié)：操作者本來習慣用指紋支付，突然今天強制改成了密碼支付。這一個蛛絲馬跡，起碼說明事出有因，足夠讓 AlphaRisk 關注到這次交易的風險。

啊，說了這么多，終于大概解釋清楚了支付寶風控的三道關。

偷不到錢，那騙錢行不行？

有一個問題其實很值得一說。

寬泛來說，支付寶賬戶受損失，有兩種情況：1、賬戶被盜；2、你被詐騙之后主動轉錢給別人。

當然，你的賬戶被盜，支付寶會賠錢給你。但如果你被騙，用支付寶主動轉錢給騙子，就沒辦法找支付寶賠錢了。畢竟，被騙不能賴錢包。

但是雄文告訴我，作為一個有追求的錢包，這兩年支付寶恰恰在“識別詐騙”方面苦練技巧。

這種對詐騙的識別能力，同樣在 AlphaRisk 身上。

騙子騙人，一般都是直接打電話，或者在微信上騙，那些過程支付寶肯定不知道。它只能看到一個賬戶給另一個賬戶轉了錢。。。通過這么少的信息，它怎么能判斷你是不是被騙了呢？？

雄文給我講了一個真實的例子。

一個媽媽，她的孩子在外地打工，做快遞小哥。突然有一天，她接到了一個陌生電話，告訴她兒子出了車禍，急需搶救，需要她打錢過來。媽媽開始沒相信，把電話掛了。但是身邊的電視正好播出了一條新聞，說他兒子所在的城市，有一個送貨小哥出了嚴重車禍。這下她著急了，趕快給對方回電話，要把錢轉過去。

就在這位媽媽把錢轉給騙子的時候，AlphaRisk 判斷了風險，并且彈出了提示，告訴她有這筆轉賬可能是被騙了。媽媽選擇無視，關掉彈窗繼續(xù)轉賬。這次，AlphaRisk 判斷強風險，直接阻斷了交易，鎖定賬戶兩小時。

這位媽媽非常生氣，覺得自己的兒子出了事，支付寶卻不讓轉賬，于是撥打客服理論。正在這時，他的兒子碰巧打電話給媽媽，這才揭穿了騙子的騙局。

在這個例子中，AlphaRisk 是憑什么判斷轉賬存在詐騙風險呢？

雄文說，至少有三點：

1、媽媽平常的支出，都是小額的日常生活，買菜超市，突然一下轉幾萬塊顯得很異常。

2、對方的收款賬戶是新注冊的。而且近幾日只有大額收款和提現，并沒有日常消費。

3、這兩個賬戶之間從未有過直接轉賬。

你看，基礎邏輯和判斷賬戶被盜差不多，只不過，判斷被騙可以利用的信息比判斷被盜少得多，所以難得多。

但最讓雄文頭疼的是，截斷用戶付款固然好，但是萬一截錯了，用戶是要跟支付寶拼命地。。。支付寶但凡截斷用戶的交易，必須證據確鑿。如果沒有百分百的證據，一般會選擇彈窗提示。然鵝，很多時候即使支付寶彈出了警視窗，用戶都會選擇直接關掉，沒啥作用。

即使是這樣，雄文團隊也對彈窗內容改了又改，可謂是苦口婆心啊。

前兩天，雄文和團隊突然找到了一個好方法，他們和地方反詐騙中心“合作彈窗”。例如你是重慶人，在支付寶判斷你的一筆交易有風險時，彈出的內容不是“支付寶提醒您注意詐騙”，而是“重慶反詐騙中心提醒您，這個交易有可能是詐騙?！?/p>

“這樣一下，用戶終止交易的比率大大增加！”改了幾個字，就能讓好多人少上當。雄文老激動了，這兩天從地方到中央找反詐中心公安局各種合作。

“到目前為止，用戶遭受詐騙，有85-90% 都能收到彈窗提示?！毙畚拇笫彘_心地說。

說到這，雄文大叔給我普及了一個金融小常識：

一般的在線交易系統，對于轉賬這個操作，只涉及“轉出”和“到賬”兩個狀態(tài)。這邊轉出之后，那邊就到賬。就像一盞燈只存在“開”和“關”兩個狀態(tài)。不可能存在“這邊錢扣掉，那邊還不到賬”的情況。

但是支付寶為了防止詐騙，開發(fā)了第三個狀態(tài)：類似“預授權“。如果你覺得這次轉賬有風險，可以設置2小時或者24小時延時到賬。這種情況下資金就在“預授權”狀態(tài)。在這個期間如果你發(fā)現被詐騙，可以報警并向支付寶申請凍結資金。

“預授權“狀態(tài)的錢，按理說到時之后就會順利進入轉入賬戶。但只要有公安機關的相關憑證，就可以退回到轉出賬戶。

別看只是加了一個“預授權”的狀態(tài)，這相當于給了受害者一個“時光機”，回到過去，改變那個無可挽回的錯誤。

雄文說，為了增加這個新狀態(tài)，他們兩年里對支付寶底的層代碼做了很大的修改。雖然大動干戈，但這件事非常值得。

玩漂移的老司機

講真，人類對一臺機器的要求是很變態(tài)的。好的機器不僅要代替人，還要比人更精神。

畢竟是親生的， 說到 AlphaRisk，雄文特別開心。他覺得如果2017年支付寶沒有開始研究 AlphaRisk，現在很多風控策略還靠人肉的話，一定會被“時代的洪流”所擊垮。

如今，AlphaRisk 有兩個殺手锏：

1、和人比，它厲害到不知哪里去了。

你可能已經知道，AlphaRisk 就是一種“人工智能。你作為一個人每天家長里短悲歡離合其實本質都是判斷，人工智能每天也是做一件事：判斷。

人工智能判斷事情的標準，和人又像又不像。這里涉及到一個大家普遍理解得不好的技術梗，中哥正好以 AlphaRisk 為例簡單科普幾句：

人工智能和人各自做一個判斷，有點像兩個大廚分別做一桌菜給你吃。這分為三步：

1、他們使用的原料種類都是一樣的青椒、蘿卜、雞肉等等。（這意味著人工智能和人用于判斷一件事情的基礎數據是一樣的。）

2、但是，他們炒菜的路數可就不一樣了。人類可能會做出魚香肉絲、宮保雞丁、水果拼盤，但是機器會根據自己的理解做出西瓜披薩，蘋果蒸蛋、巧克力燒茄子等等常人不能想象的飯菜。（這意味著人工智能的判斷模型和人既相似又不同。）

3、最后，兩桌菜分別上來，食客們會發(fā)現，兩種菜雖然不一樣，但是都能填飽肚子，而且機器做的明顯更好吃更營養(yǎng)。（這意味著人工智能判斷的準確度比人類還高。）

簡單總結人工智能的工作原理：通過人類看都看不過來的數據，用風騷的機器思維，做出一擊致命的判斷。

這里給你幾個數據你感受一下。

AlphaRisk 用來判斷的風險點有幾千個（如交易金額、支付寶注冊地、交易時間、使用密碼支付還是指紋支付等）。把這么多數據進行慘無人道的交叉運算，總運算量是巨大的。

在平時，每秒鐘全世界都會用支付寶進行上萬次的交易。如果在雙十一這種狂歡節(jié)，每秒支付寶要處理25萬筆交易。你想想看，就像商場的收銀臺后面，排隊排了25萬個顧客，每一筆交易，AlphaRisk 都還要計算無數次來判斷它是不是有風險，這得累計多大的計算量。。。

如果這些計算量交給人來做，等到算完，估計已經到了9102年雙11了吧。

這么瘋狂的機器，日常得有不少碼農為它檢修上油吧。。。

雄文說哈哈哈NO！因為，這兩年他們已經搞出了一套“自動駕駛”系統。

納尼？支付寶也會開車了么？求車牌號！其實，不是你想的那樣，這就到了 AlphaRisk 的第二個逆天優(yōu)勢。

2、這是個會自動駕駛的老司機。

那些做壞事的黑客，連過年都不休息，天天“苦煉內功”，不斷升級自己盜取支付寶賬戶和詐騙用戶的技術。這是為什么？因為他們知道，如果能早幾天研究出一個盜取支付寶的方法，那賺的錢可比在支付寶上班的碼農加班費多多了。

對手那么瘋狂，AlphaRisk 也要加油才行啊。正常情況下，AlphaRisk 想要學會新的反詐騙套路，要工程師手動輸入代碼。

但是，雄文和支付寶安全團隊的隊員很“懶”，他們覺得，AlphaRisk 已經長大了，不能每天晚上給它“檢查作業(yè)”，它要自己學習新的知識了。

所以過去兩年，攻城獅們很少砍柴，主要磨刀。他們建立了一個自動建模的系統。每天都會有一些用戶損失通過投訴渠道反饋到支付寶風控團隊，這個自動建模系統就可以通過學習這些AlphaRisk 沒有攔截成功的案例來建立新的風險模型，然后把這個模型輸入到 AlphaRisk 里，下次再遇到同樣的問題，AlphaRisk 就能一眼識別。

自動建模還不是全部。

你知道，每年雙11的時候，支付寶會像雷峰塔一樣，承受一下交易量水漫金山的感覺。這個時候，如果還執(zhí)行原來的風控策略，就會導致計算力嚴重不足的情況。本來人家零點秒殺，結果支付寶算了十秒鐘，跟人家說沒問題去付錢吧。結果秒殺的限量款衣服早都被人家搶得毛都不剩。這會造成大批群眾到杭州上訪的。。。

所以，支付寶需要根據不同的情景，調整 AlphaRisk 的風控策略。這就像一輛車，根據路況不同，切換12345檔。

原來每到雙11，攻城獅們就會寫一套新的風控策略，為 AlphaRisk 手動換擋。從2017年開始，完全不用了。AlphaRisk 學會了騷氣的自動換擋。交易量巨大的時候，就自動切換為高檔，交易量低的時候，就瞬間調回來。

這不就和汽車的自動駕駛是一回事么。。。

我第一次發(fā)現，原來自動駕駛不僅僅是汽車領域的人工智能。凡是需要復雜人工智能的場景，其實都有自動駕駛的一席之地。甭管是人是機，反正這個世界缺不了老司機。