一场有关「安全」的棋局

500

他们说安全是躲在后面的东西,不需要被觉察。

作者 | 陈晨

编辑 | 靖宇

「下载国家反诈中心 App 了吗?」

当这句话在上班路上把我拦下的时候,我有一瞬间恍惚。彼时我正赶往地铁口,来往行人间站着几个民警,走在前面背公文包的大哥正停在其中一个民警前,掏出手机扫码下载 App。

庆幸的是手机里已经有了这个 App,给我节省了些时间。在那之前,我在警官老陈和一众快手博主的直播连线中成功接受了这个「安利」。

这波反诈宣传除了传统的街道横幅、路口广播,还有下载反诈 App「跟特警合照」、「去文和友走快速通道」等众多让人直呼「绝了」的操作。

国家怎么突然这么重视反诈了?

反诈宣传形式的「有趣」之外,其实还有不少数字与案例。比如今年 1 月到 5 月破获电信诈骗案件 11.4 万起、挽回经济损失 991 亿元,又比如「被骗 80 万,为还贷款卖掉房子」。

刷单返利、注销校园贷、冒充公检法、杀猪盘……

「暴利」之下,各种诈骗套路防不胜防,更有骗子用 AI 换脸绕过人脸识别等引入技术手段,不用跟受害者打交道就能转走钱款,让我们的「警惕心」都没有发挥空间。

既然在诈骗之前大多数人很无力,什么能帮我们在最后时刻守住「钱袋子」?

这让我想到了之前看的一档节目。

节目内容用一句话来概括:「黑客大战支付宝」。

黑客在手机里植入了木马后直接控制手机,再用手机验证码登录支付宝,通过手机存储里的银行卡和身份证照片成功修改支付密码。输入支付密码、正在支付……转账失败。

有了支付密码仍然转账失败,其实是碰上了支付宝 AlphaRisk 这个硬茬。

500

AlphaRisk 在最后关头阻止交易

自 2004 年上线以来,AlphaRisk 不断优化升级,目前已经更迭至第五代。今年 6 月,以「可信 AI」为核心的下一代风控系统 IMAGE 开始部署上线。

接力棒即将交过,但是比起「交互式风控」、「多方安全风控」、「智能决策」、「全图风控」、「端云协同风控」等需要被解释的概念,我更想看看团队里的员工们正在做些什么?风控体系里有哪些是我们可以感知的?哪些是不为人知的?在风控领域,支付宝有没有走上更广阔的舞台?

为此,我们采访了几位支付宝风控的同学,他们分别来自策略、运营、技术、出海团队。来听他们讲讲自己的工作,一起聊聊有什么正在发生着。

01

「数字时代,安全

是AI 与 AI 的博弈」

诈骗套路越来越多、越来越智能化,反诈也要赶上骗子的速度。

楮墨的工作就是奋战在跟骗子斗智斗勇的一线。他们的团队被称作「策略工坊」。

炒鞋、网红奶茶店加盟、注销校园贷,骗子惯会在热点中找到诈骗的机会。即使是团队内研究策略的专家,也很难一下子识别各种套路和话术的包装,更不要说普通人。

面对层出不穷的诈骗手段,即使有大量的反诈经验,他们也不敢说有压倒性的优势,通常是「你想出了一招新的,他也会有一招新的过来。」

策略团队的主要工作就是依据专业的经验从还未发生或已发生的诈骗中提取出异常行为,然后分析形成策略,再沉淀为 AI 分析的模型。

支付宝端内每天有上亿笔的交易,光靠人工识别没办法承受如此巨大的工作量。大面上的识别与管控主要交给智能化的模型。

「我们现在有的非常多的这种 AI 的攻防、AI 的交互的这些能力,实际上是为了通过使用技术,尽快地应对风险。」

500

而这种与骗子的对招,「我们内部称这个叫攻防」,「实际上就是跟骗子的对峙过程」。

对峙的过程往往是长期、动态的。

比如起于暧昧、热于投资、终于诈骗的「杀猪盘」,短则几个月、长则一两年。在这个过程中,骗子在和受骗人的交互中获取信任,「我们能提供一些什么样的信息,让用户去信赖我们,这其实是一个要长期去迭代和长期去研究的问题。」

用户举报信息是楮墨团队重要数据来源,用他们的话说,「骗局的点都靠用户来反哺给我们」。相较于支付宝这个交易平台,用户掌握更多的信息,比如聊天截图,而这些信息则能辅助诈骗手段的识别和反诈策略的制定。

不过在谈到这部分的时候,楮墨和负责反诈运营的今南都觉得有些遗憾。

「我们可以识别到的可疑交易中,大概只有三到四成用户会选择主动举报。」

至于为什么很多用户没有举报,据他们所说,其一可能是涉及金额较少,对举报之后能否追回款项没有信心。另一个原因则是很多诈骗跨平台,支付宝只是最后交易的一环,用户可能在其他平台举报后便忽略了在支付宝上举报的过程。

相较于支付宝,公安机关却有着更高的公信力,用户有什么诉求也更容易想到警察。「也是为什么我们要和其他机构特别是公安这边合作的原因。」真实世界出现新的欺诈报案时,支付宝的 AlphaRisk 能通过自学习,在 1 天内完成全盘进化,离不开与公安机关的紧密合作。

今南说,「我们也在主动去问用户最近有没有一些可能有问题的交易,如果有的话欢迎他们贡献线索给到我们。」

我问他们,在后台工作,最大的成就感是什么?

「成就感?」

两人都琢磨了一下这个词,「我们可以看到风险形变化,案件的下降,感觉已经是很直接的反馈了。」

对他们来说,数据的温度或许不比话语的温度差。


02

技术的目的在于「人」

《白帽子讲 Web 安全》中写到:「互联网公司安全还有一些鲜明的特色,比如注重用户体验、注重性能、注重产品发布时间……」这句话在 2014 年的风控系统升级中得到了很好的体现。

对技术部门的向秀来说,那也是最让他印象深刻的一次攻坚战。

当时正处在 PC 向移动互联网全面转换阶段,又恰逢网商银行、国际出海等新业务高速推进,支付宝亟需让庞大的风控系统轻盈起来,能更快速灵动地应对场景的变化与适配。

而双十一已经临近,峰值考验在前,留给技术升级的时间并不多。除了技术攻坚,更让团队头疼的,其实是如何在用户和业务无感的情况下完成体系升级。用他的话说,像是「如何给飞行中的飞机无缝换掉引擎」。

最终,体系升级异常成功,「同学们扛住了压力」,除了资损和打扰率的指数级降低、适配率提升,也「没有给业务和用户带来任何影响」,完成了「无体感」式升级。

对于风控来说,「人」是工作另一端。关注「人」的感受也是他们工作的一部分。

AI 机器人在客服等与用户交互的场景中其实有不少应用,但要说起跟 AI 对话的感受,相信不少人会说:「冷冰冰的」。

在反诈场景中,潜在受骗者要么已经对骗子有了信任,要么受骗后情绪激动,这时候「冷冰冰」的信息提示往往很难改变他们的态度。

跟诈骗案件和潜在受骗人数相比,真人反诈客服一定是不够的,那么 AI 能更有「人」味一些吗?

让 AI 理解情绪。几位同学也给我们介绍了这样一项技术。

2019 年初,蚂蚁安全天筭实验室与浙江大学心理学研究团队合作推出「AI 叫醒机器人」。

经过训练的「AI 叫醒机器人」,能够根据用户交流中关键信息,选择最合适的话术和手段,让潜在受骗者的情绪恢复平稳,然后再进行针对性的说服劝阻。

简单来说,如果情绪激动,AI 叫醒机器人就先缓缓,或者帮助你缓解情绪后再沟通。

除此之外,它还能建立个性特征判断模型,对不同性格特征的人用不同的情绪引导方式,提供千人千面的陪伴式安全提醒,让 AI 更有人情味。

这项技术也获得了比较好的成绩,现在支付宝的叫醒热线 90% 以上是由 AI 打出,而主动交互不仅唤醒潜在被骗者,也能在交流中还原诈骗手法,帮助「策略工厂」理解欺诈者意图、分析骗术信息。

今年 7 月,这项技术也入选了 2021 年度信息通信行业反诈创新项目。

500

蚂蚁两项反诈技术获奖

另一个问题是,AI 的理解怎样转化成人的理解,特别是在要对用户进行打扰或者交易拦截的时候。

提高 AI 的可解释性也是策略部门的工作之一,楮墨也对此作出了回答。

信息如何触达用户端,不能单纯地用 AI 来解决,「我们跟心理学的专家有些合作」,影响用户接受程度的因素很多,「怎样给到用户一些更好的文案,甚至有些时候我们还会想使用什么样的色彩,在什么地方放什么样的图标。」整个风控团队在这个过程中其实做了很多细枝末节的工作。

反诈要落到实处,归根到底是要对用户的心智产生影响,这里面涉及到了太多问题,很多可能都没有被用户察觉。

为了理解用户的需求、获取用户的信任,整个支付宝团队还做了很多工作。比如客权部门组织的「用户三小时」,让其他业务部门的员工定期的倾听用户的反馈,比如报名成为反诈宣传的志愿者,下到乡县、走进校园……但更多的,是在各司其职。

支付宝的安全团队吸纳了大量的行业精英,吴翰清在他书里的致谢中说,「感谢我的公司,它营造了良好的技术与实践氛围,使我能够有今天的积累。」不过对于大多数人来说,它只是一个新的工作机会,而后带来了新的挑战。

就像楮墨的花名,「说实在的,大部分的花名都被使用了」,刚好「进来也是做安全类相关的工作,希望在这个场面上面我们能够找到这条界限。这个黑白分明的界限。」

03

「安全共同体」

支付宝风控体系做得不错,既然能保护用户的资产安全,它的技术可以让更多人用吗?

他们的回答是「安全」也要形成「共同体」。

疫情加速了物理世界的数字化,2020 年 3 月,支付宝在数字化转型的大背景下锁定了成为「全球最大的数字生活平台」的新愿景。

「未来三年,支付宝将携手 5 万服务商,帮助 4000 万服务业商家完成数字化升级。」而与数字化进程相伴的,是同时被加速的风险与问题,「安全」这项基础设施也因着支付宝的新愿景开放。

武汉利楚扫呗,国内最早从事聚合支付技术研发和应用的高新技术企业,就是一个支付宝开展风控技术联防的实践案例。它联合支付宝搭建了可用于商户入网安全的联合风控引擎系统,在疫情期间帮四千多家商户搭建了基于支付宝小程序的外卖到家服务。

支付宝风控技术的「走出去」当然不只于国内,经济的全球化也必然带来风控的全球化。

一方面来说,「黑产无国界」,黑产的流窜作案加大了对联防联控的要求。另一方面,在安全领域起步较早的支付宝也看到了技术在全球范围的应用场景。

金焰负责风控出海相关的工作,他向极客公园描述了黑产在全球范围内流窜的动机和场景:「国内流量红利差不多了,几个钱包都是十多亿的用户量了。但在东南亚一些国家,可能现在基本上还是在 20%~30% 的渗透率,所以他们还在大规模地投放一些营销的抵用券,去拉新的一个过程中。」

黑产「会随着各个国家的经济发展和它的互联网技术的发展找空子钻。」

500

印度当地百货商店内为使用 Paytm 支付系统做广告 

两三年前,支付宝的风控出海「大包大揽」,派技术、业务人员帮其他国家做整套防控体系的解决方案,过程中输出一些国内的经验。如今,很多国家本地化的能力和理念已经建立了起来。除了分析一些地区个性化的案例,现在的主要工作是与其他国家合作,更大范围分析风控形式,及时找到并防御风险。

「之前做 0 到 1,现在算是 1 到 N。」

支付宝实时保护的便签里写「被盗全额赔付」,而在早期合作的东南亚国家,它同样喊出了「你敢付、我敢赔」的口号。这不仅源于对风控技术的自信,也得益于国内多年摸爬滚打中学习的经验。

就像金焰所说,「能看清楚它的一个风险的趋势、峰值、可能的防控手段以及我们的响应速度」,「这几个方面心里还是有底的。」在出海业务上,如何应对各国家各异监管标准、分析特殊的风险场景,相较而言则是目前支付宝风控面临的更大挑战。

在风控标准的制定上,支付宝同样取得了一些成就。

2020 年 7 月,由支付宝母公司蚂蚁集团主导编制的智能风控技术国际标准正式发布,中国的标准获得了国际认可,变成世界标准。在此之前,在数字身份、区块链、终端安全、内容安全等领域,蚂蚁集团也已主导制定了大量 ISO、IEEE、ITU-T 国际标准。

风控领域有很多前辈,行业中也已经建立了很多标准。支付宝作为一家相对来说新一代的支付企业,在传统巨头之下希望带来一些新东西。

金焰介绍,支付宝的「很多模式会更加偏向互联网」,「希望在这个生态里面也能够去建立一些审核的标准,然后帮助更多生态里面的角色走得更加顺畅。」

此前有报道评价,支付宝「让不少东南亚国家直接进入到了移动支付时代」。

当我带着这句评价询问金焰时,他说:「今天也许没有支付宝,他们也是会做到这一步的。这是整个社会发展、现代化发展包括科技发展的一个必然的方向。」

不过他又补充到,支付宝「不仅仅局限于我们自己的一个品牌,而是说协同生态里的其他企业,让整个生态都能发展起来」。

采访的最后,我问了有关台前与幕后的问题,关于安全是什么?

「有时候安全是一个中台的东西,最好的状态就是不需要让消费者感受到你的存在,但是让消费者觉得整个过程是畅通无阻又非常安心的。」

他们说安全是躲在后面的东西,不需要被察觉。 

*头图来源:视觉中国

本文为极客公园原创文章,转载请联系极客君微信 geekparker

500


最近更新的专栏

全部专栏