?譯者 | 劉濤

審校 | 孫淑娟

支付業(yè)務(wù)遇到的任何問題都會導(dǎo)致直接的、可衡量的損失。數(shù)據(jù)泄露、欺詐騙局或僅僅與供應(yīng)商溝通不暢，都可能導(dǎo)致數(shù)百萬美元的損失。

本文介紹了反欺詐、PCI DSS、對賬等防范措施，以杜絕此類問題的發(fā)生。

評估問題

在了解防范措施之前，讓我們先來看一看現(xiàn)實(shí)中常見的問題——數(shù)據(jù)泄露和在線欺詐。

數(shù)據(jù)泄露

美國在2021到2022年期間，各類基礎(chǔ)設(shè)施數(shù)據(jù)泄露的平均成本為每次360萬美元。對金融機(jī)構(gòu)而言，數(shù)據(jù)泄露的平均成本更高，竟達(dá)到了585萬美元。從去年起，這個數(shù)字又增加了10%。

新冠肺炎迫使很多人在家辦公，但并不是所有的公司都有時間采用諸如零信任安全（Zero Trust Security）等網(wǎng)絡(luò)安全技術(shù)以及其他分布式安全技術(shù)。因此，隨著數(shù)據(jù)處理費(fèi)用的增加，事故的數(shù)量和成本也會隨之增加。

欺詐行為

欺詐指某人為了獲得特定的利益而故意欺騙他人，其中最常見的就是資金詐騙。欺詐的種類很多：

• 網(wǎng)絡(luò)釣魚（Phishing）。這是一種較為常見的以獲取用戶個人信息為目的的欺詐行為。幸運(yùn)的是，現(xiàn)代的電子郵件供應(yīng)商和運(yùn)營商已經(jīng)學(xué)會了識別網(wǎng)絡(luò)釣魚郵件，并將其標(biāo)記為垃圾郵件，以防止用戶打開它們。
• 友善欺詐（Friendly fraud）或欺詐性退單拒付（fraudulent chargeback）。這是一種強(qiáng)制性用戶退款。例如，如果有人用信用卡支付服務(wù)費(fèi)用，就可以通過使用條款或者其他規(guī)則的漏洞來騙取退款。如果它是數(shù)字產(chǎn)品，則可以多次使用。Twitch網(wǎng)（一個面向視頻游戲的實(shí)時流媒體視頻平臺）經(jīng)常遇到這個問題。該平臺的一項服務(wù)允許流媒體用戶通過閱讀信息或點(diǎn)擊用戶名獲得“紅包”。用戶在收到1美元、3美元、5美元或更多的紅包后立刻要求退款，這種做法后來變得非常普遍，因為Twitch上的退款申請程序太簡單了。這也是后來該項服務(wù)決定引入查證機(jī)制的原因。
• 信用卡盜竊。如果持卡人沒有設(shè)置諸如3DS之類的安全措施，使得信用卡最終落到了騙子手中，那么損失的資金將無法挽回。
• 帳戶接管欺詐。例如，用戶在支付服務(wù)費(fèi)用時，依次輸入卡片的詳細(xì)信息，確認(rèn)交易，并在信用卡交易賬單服務(wù)中看到付款成功的信息。但在這個過程中，信用卡數(shù)據(jù)最終會被人竊取，然后在用戶不知情的情況下用來支付。最好的解決辦法是啟用動態(tài) CVV，設(shè)置信用卡支付限制以及應(yīng)用其他的基本安全規(guī)則。

為了說明欺詐問題的嚴(yán)重性，以下是關(guān)于全球信用卡購買總量的統(tǒng)計數(shù)據(jù)，與欺詐損失的對比表：

供應(yīng)商可以做什么

供應(yīng)商本身可以影響欺詐行為的數(shù)量。要做到這一點(diǎn)，所有的交易都需要被檢查、保存和跟蹤它們的歷史記錄。當(dāng)處理大量付款交易時，幾乎不可能手動完成此類檢查。因此，供應(yīng)商必須提供一些有效的武器來打擊欺詐行為。

規(guī)則引擎

顧名思義，該解決方案根據(jù)已建立的規(guī)則過濾交易事件。交易過程中，系統(tǒng)讀取所有可用的信息，包括設(shè)備，地理位置，客戶歷史記錄， IP地址歷史記錄等。根據(jù)這些信息，系統(tǒng)聚合了可以用來創(chuàng)建規(guī)則的度量。舉例來說，如果客戶定期付款且兌換率很高，那么他們就可以自由確認(rèn)交易。但是如果沒有任何規(guī)律可遵循，那么供應(yīng)商會自動采用其它的安全規(guī)則。

評分和人工智能

欺詐評分是一個定量評估交易風(fēng)險水平的過程。它基于機(jī)器學(xué)習(xí)技術(shù)，通過各種指標(biāo)對每一筆交易進(jìn)行驗證。然后系統(tǒng)打出一個簡單的分?jǐn)?shù)表示交易風(fēng)險水平。

評估過程由下列步驟組成：

1.客戶端啟動交易。

2.系統(tǒng)收集所有與客戶有關(guān)的信息（付款記錄，電話號碼，E-mail，IP地址等等）。

3.通過評分系統(tǒng)分析所有信息。

4.系統(tǒng)給每個指標(biāo)打正分或負(fù)分。

5.計算總分。

6.根據(jù)總分，系統(tǒng)將執(zhí)行下列操作中的一項：批準(zhǔn)、拒絕或轉(zhuǎn)發(fā)交易以進(jìn)行手動審核。

公司可以創(chuàng)建自己的評分系統(tǒng)，也可以使用第三方服務(wù)。

人工智能對于處理大量數(shù)據(jù)的企業(yè)非常重要，因為不同類型的企業(yè)，甚至特定的客戶都需要定制評分。人工智能幫助系統(tǒng)適應(yīng)各種突發(fā)事件和快速增長的銷售狀況。

黑名單

這種方法對供應(yīng)商和商戶都是適用的。

沒有人比商人更了解顧客了。不管客戶用哪種信用卡付款，只要把客戶放在旁路列表中，就可以保證交易的順利進(jìn)行。

但是有些交易，永遠(yuǎn)都不應(yīng)該去做。例如，由可疑 IP地址發(fā)起的交易。這時候，黑名單就派上用場了。

同時它也是個動態(tài)列表，可以根據(jù)其它系統(tǒng)的處理結(jié)果來補(bǔ)充。例如，如果支付運(yùn)營商以“反欺詐”為由拒絕了交易，商戶可以凍結(jié)發(fā)起交易的客戶或客戶使用的特定信用卡，這就是黑名單的作用。這并不是最好的防止欺詐的方法，但可以作為附加工具使用。

PCI DSS 合規(guī)性

支付卡行業(yè)開發(fā)了PCI DSS—這是一套建議和規(guī)則，為使用信用卡支付的企業(yè)提供數(shù)據(jù)安全保障。PCI DSS的開發(fā)和實(shí)施始于2004年，目前市場上的版本是v3.2.1。

該標(biāo)準(zhǔn)不屬于特定國家，也不是法律。然而，像Visa或Mastercard這樣的世界上最知名的支付系統(tǒng)，不會和沒有通過PCI DSS認(rèn)證的公司合作。

合規(guī)性分為四個等級：

L1–每年超過600萬筆交易

L2–每年有100-600萬筆交易

L3–每年20000-100萬筆交易

L4–每年少于20000筆交易

每個級別都有不同的要求，可能需要每季度至少一次的ASV掃描和滲透測試。L1的價格可能在1萬到5萬美元之間，并且需要超過2個月的時間來進(jìn)行初始合規(guī)。只有當(dāng)該公司在它的一側(cè)托管支付頁面和使用支付網(wǎng)關(guān)服務(wù)器時，該公司才需要符合PCI DSS。另外，與和PCI DSS L1兼容的可信支付中介合作是個不錯的解決方案。

對賬

對賬是一個會計過程，將兩組記錄進(jìn)行比較，檢查數(shù)字是否正確和一致。 

所有通過我們系統(tǒng)的交易都是由另一個系統(tǒng)提供資金擔(dān)保的。因此，必須確保在兩個系統(tǒng)中都有相同的狀態(tài)和金額，不會出現(xiàn)任何故障，并且正確地計算傭金。

對賬應(yīng)有助于解決以下問題：

• 狀態(tài)不匹配
• 數(shù)量不匹配
• 此操作在供應(yīng)商的系統(tǒng)中不存在
• 此操作在處理中不存在
• 非財務(wù)屬性不匹配：IP、指紋、描述等。

交互日志

理想的情況是，公司應(yīng)該詳細(xì)記錄每一次與供應(yīng)商的互動，因為有時某些操作需要確認(rèn)。在支付行業(yè)中，如果不能提供有利于己方的行為證據(jù)，可能導(dǎo)致財務(wù)和聲譽(yù)受到損失。

記錄以下數(shù)據(jù)至關(guān)重要：

• 您和供應(yīng)商之間的所有請求和響應(yīng)
• 供應(yīng)商傳輸錯誤：500+，超時或意外行為
• 回調(diào)
• 用戶返回

基礎(chǔ)設(shè)施

有效和優(yōu)質(zhì)的基礎(chǔ)設(shè)施建設(shè)直接影響到公司的業(yè)務(wù)。現(xiàn)代基礎(chǔ)設(shè)施提供商，如Amazon Web Services、Cloudflare等，為企業(yè)客戶提供了大量的軟件包和服務(wù)。

基礎(chǔ)設(shè)施供應(yīng)商應(yīng)提供以下主要功能：

• 產(chǎn)能計劃
• 擴(kuò)展策略
• DDoS防護(hù)
• 數(shù)據(jù)備份
• 數(shù)據(jù)留存

結(jié)論

由于數(shù)據(jù)泄露、與供應(yīng)商溝通不當(dāng)或欺詐等原因，企業(yè)在從事數(shù)字支付業(yè)務(wù)時遭受直接損失。為了避免這種情況發(fā)生，他們必須采取相應(yīng)的安全措施，或者尋找負(fù)責(zé)任的支付合作伙伴。幸運(yùn)的是，市場上有很多安全可靠的支付解決方案。

規(guī)則引擎、評分服務(wù)、人工智能以及基于不同屬性的黑名單，可以阻攔企業(yè)處理可疑交易。對賬，交互日志以及高質(zhì)量的基礎(chǔ)設(shè)施能最大限度地減少出現(xiàn)問題的可能性，并使企業(yè)能夠迅速解決出現(xiàn)的問題。PCI DSS合規(guī)性意味著支付公司必須采取一套安全措施來保護(hù)客戶數(shù)據(jù)和商業(yè)交易。

市場上總會存在欺詐行為。但是，采用現(xiàn)代化的方法和服務(wù)可以為企業(yè)提供很多機(jī)會來保護(hù)客戶免受欺詐，避免不必要的損失。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負(fù)責(zé)人，主要職責(zé)為嚴(yán)格審核系統(tǒng)上線驗收所做的漏掃、滲透測試以及基線檢查等多項檢測工作，擁有多年網(wǎng)絡(luò)安全管理經(jīng)驗，多年P(guān)HP及Web開發(fā)和防御經(jīng)驗，Linux使用及管理經(jīng)驗，擁有豐富的代碼審計、網(wǎng)絡(luò)安全測試和威脅挖掘經(jīng)驗。精通Kali下SQL審計、SQLMAP自動化探測、XSS審計、Metasploit審計、CSRF審計、webshell審計、maltego審計等技術(shù)。

原文標(biāo)題：??How Payment Businesses Deal with Fraud and Data leaks???，作者：Dmytro Dziubenko?