支付业务如何应对欺诈行为和数据泄露

​译者 | 刘涛

审校 | 孙淑娟

支付业务遇到的任何问题都会导致直接的、可衡量的损失。数据泄露、欺诈骗局或仅仅与供应商沟通不畅，都可能导致数百万美元的损失。

本文介绍了反欺诈、PCI DSS、对账等防范措施，以杜绝此类问题的发生。

评估问题

在了解防范措施之前，让我们先来看一看现实中常见的问题——数据泄露和在线欺诈。

数据泄露

美国在2021到2022年期间，各类基础设施数据泄露的平均成本为每次360万美元。对金融机构而言，数据泄露的平均成本更高，竟达到了585万美元。从去年起，这个数字又增加了10%。

新冠肺炎迫使很多人在家办公，但并不是所有的公司都有时间采用诸如零信任安全（Zero Trust Security）等网络安全技术以及其他分布式安全技术。因此，随着数据处理费用的增加，事故的数量和成本也会随之增加。

欺诈行为

欺诈指某人为了获得特定的利益而故意欺骗他人，其中最常见的就是资金诈骗。欺诈的种类很多：

• 网络钓鱼（Phishing）。这是一种较为常见的以获取用户个人信息为目的的欺诈行为。幸运的是，现代的电子邮件供应商和运营商已经学会了识别网络钓鱼邮件，并将其标记为垃圾邮件，以防止用户打开它们。
• 友善欺诈（Friendly fraud）或欺诈性退单拒付（fraudulent chargeback）。这是一种强制性用户退款。例如，如果有人用信用卡支付服务费用，就可以通过使用条款或者其他规则的漏洞来骗取退款。如果它是数字产品，则可以多次使用。Twitch网（一个面向视频游戏的实时流媒体视频平台）经常遇到这个问题。该平台的一项服务允许流媒体用户通过阅读信息或点击用户名获得“红包”。用户在收到1美元、3美元、5美元或更多的红包后立刻要求退款，这种做法后来变得非常普遍，因为Twitch上的退款申请程序太简单了。这也是后来该项服务决定引入查证机制的原因。
• 信用卡盗窃。如果持卡人没有设置诸如3DS之类的安全措施，使得信用卡最终落到了骗子手中，那么损失的资金将无法挽回。
• 帐户接管欺诈。例如，用户在支付服务费用时，依次输入卡片的详细信息，确认交易，并在信用卡交易账单服务中看到付款成功的信息。但在这个过程中，信用卡数据最终会被人窃取，然后在用户不知情的情况下用来支付。最好的解决办法是启用动态 CVV，设置信用卡支付限制以及应用其他的基本安全规则。

为了说明欺诈问题的严重性，以下是关于全球信用卡购买总量的统计数据，与欺诈损失的对比表：

供应商可以做什么

供应商本身可以影响欺诈行为的数量。要做到这一点，所有的交易都需要被检查、保存和跟踪它们的历史记录。当处理大量付款交易时，几乎不可能手动完成此类检查。因此，供应商必须提供一些有效的武器来打击欺诈行为。

规则引擎

顾名思义，该解决方案根据已建立的规则过滤交易事件。交易过程中，系统读取所有可用的信息，包括设备，地理位置，客户历史记录， IP地址历史记录等。根据这些信息，系统聚合了可以用来创建规则的度量。举例来说，如果客户定期付款且兑换率很高，那么他们就可以自由确认交易。但是如果没有任何规律可遵循，那么供应商会自动采用其它的安全规则。

评分和人工智能

欺诈评分是一个定量评估交易风险水平的过程。它基于机器学习技术，通过各种指标对每一笔交易进行验证。然后系统打出一个简单的分数表示交易风险水平。

评估过程由下列步骤组成：

1.客户端启动交易。

2.系统收集所有与客户有关的信息（付款记录，电话号码，E-mail，IP地址等等）。

3.通过评分系统分析所有信息。

4.系统给每个指标打正分或负分。

5.计算总分。

6.根据总分，系统将执行下列操作中的一项：批准、拒绝或转发交易以进行手动审核。

公司可以创建自己的评分系统，也可以使用第三方服务。

人工智能对于处理大量数据的企业非常重要，因为不同类型的企业，甚至特定的客户都需要定制评分。人工智能帮助系统适应各种突发事件和快速增长的销售状况。

黑名单

这种方法对供应商和商户都是适用的。

没有人比商人更了解顾客了。不管客户用哪种信用卡付款，只要把客户放在旁路列表中，就可以保证交易的顺利进行。

但是有些交易，永远都不应该去做。例如，由可疑 IP地址发起的交易。这时候，黑名单就派上用场了。

同时它也是个动态列表，可以根据其它系统的处理结果来补充。例如，如果支付运营商以“反欺诈”为由拒绝了交易，商户可以冻结发起交易的客户或客户使用的特定信用卡，这就是黑名单的作用。这并不是最好的防止欺诈的方法，但可以作为附加工具使用。

PCI DSS 合规性

支付卡行业开发了PCI DSS—这是一套建议和规则，为使用信用卡支付的企业提供数据安全保障。PCI DSS的开发和实施始于2004年，目前市场上的版本是v3.2.1。

该标准不属于特定国家，也不是法律。然而，像Visa或Mastercard这样的世界上最知名的支付系统，不会和没有通过PCI DSS认证的公司合作。

合规性分为四个等级：

L1–每年超过600万笔交易

L2–每年有100-600万笔交易

L3–每年20000-100万笔交易

L4–每年少于20000笔交易

每个级别都有不同的要求，可能需要每季度至少一次的ASV扫描和渗透测试。L1的价格可能在1万到5万美元之间，并且需要超过2个月的时间来进行初始合规。只有当该公司在它的一侧托管支付页面和使用支付网关服务器时，该公司才需要符合PCI DSS。另外，与和PCI DSS L1兼容的可信支付中介合作是个不错的解决方案。

对账

对账是一个会计过程，将两组记录进行比较，检查数字是否正确和一致。 

所有通过我们系统的交易都是由另一个系统提供资金担保的。因此，必须确保在两个系统中都有相同的状态和金额，不会出现任何故障，并且正确地计算佣金。

对账应有助于解决以下问题：

• 状态不匹配
• 数量不匹配
• 此操作在供应商的系统中不存在
• 此操作在处理中不存在
• 非财务属性不匹配：IP、指纹、描述等。

交互日志

理想的情况是，公司应该详细记录每一次与供应商的互动，因为有时某些操作需要确认。在支付行业中，如果不能提供有利于己方的行为证据，可能导致财务和声誉受到损失。

记录以下数据至关重要：

• 您和供应商之间的所有请求和响应
• 供应商传输错误：500+，超时或意外行为
• 回调
• 用户返回

基础设施

有效和优质的基础设施建设直接影响到公司的业务。现代基础设施提供商，如Amazon Web Services、Cloudflare等，为企业客户提供了大量的软件包和服务。

基础设施供应商应提供以下主要功能：

• 产能计划
• 扩展策略
• DDoS防护
• 数据备份
• 数据留存

结论

由于数据泄露、与供应商沟通不当或欺诈等原因，企业在从事数字支付业务时遭受直接损失。为了避免这种情况发生，他们必须采取相应的安全措施，或者寻找负责任的支付合作伙伴。幸运的是，市场上有很多安全可靠的支付解决方案。

规则引擎、评分服务、人工智能以及基于不同属性的黑名单，可以阻拦企业处理可疑交易。对账，交互日志以及高质量的基础设施能最大限度地减少出现问题的可能性，并使企业能够迅速解决出现的问题。PCI DSS合规性意味着支付公司必须采取一套安全措施来保护客户数据和商业交易。

市场上总会存在欺诈行为。但是，采用现代化的方法和服务可以为企业提供很多机会来保护客户免受欺诈，避免不必要的损失。

译者介绍

刘涛，51CTO社区编辑，某大型央企系统上线检测管控负责人，主要职责为严格审核系统上线验收所做的漏扫、渗透测试以及基线检查等多项检测工作，拥有多年网络安全管理经验，多年PHP及Web开发和防御经验，Linux使用及管理经验，拥有丰富的代码审计、网络安全测试和威胁挖掘经验。精通Kali下SQL审计、SQLMAP自动化探测、XSS审计、Metasploit审计、CSRF审计、webshell审计、maltego审计等技术。

原文标题：​​How Payment Businesses Deal with Fraud and Data leaks​​​，作者：Dmytro Dziubenko​