第三方、四方支付商注意了！您的支付系统现在还安全吗？

可乐不加冰

引文：随着海外赌博业的迅速发展，大多数的境外线上赌博网站都需要依靠接入互联网的三方、四方支付来完成玩家的资金充值提款的整个流程。于此同时，在菠菜平台的巨大需求之下，也给不少互联网的三方、四方支付服务商提供了更多的市场与发展机遇。

通常在国内，一些大型的三方支付服务商在接入一些电商网站,网页游戏网站,手机无线支付、旅游网站的同时，也在支付系统的安全保障上做了详细的防御措施。

但是仍有部分中小型三、四方支付商更加青睐与境外的菠菜网站合作，毕竟在成功接入一家大中型的菠菜网站后，支付商依靠网站每天的巨大交易流水额也可以从中获取丰厚的利润。当然，在支付商收获更大利益的同时，也潜藏着巨大的支付安全风险问题。

比如：支付系统被入侵,服务器被篡改,开放的支付接口被劫持,银行账号和信用卡信息数据库被盗取,等等的安全隐患问题。

由于黑客的攻击频繁，导致了三方、四方支付商的系统安全存在了严重的问题。

就在近期小编听闻了一个行业内某四方支付商小C在接入菠菜平台验证后，支付系统被黑的经历。通常一般在四方支付接入某菠菜平台前，都需要对方提供一个平台网址链接，由支付商进行支付验证工作。

而就在小C点入平台给到的网址链接并进行验证后，小C的支付系统发生了黑客钓鱼攻击，这也导致了支付系统内的数十万元资金被迅速的转移了。最终，小C也无法追踪到这些资金的去向。。。很显然，小C的支付系统安全防范除了问题，这个菠菜网站只是一个钓鱼网站。

由此，一些三、四方支付公司一心想赚快钱而忽略了自身系统安全防范问题，这也再次给支付商们敲响了警钟。

被大家所熟识的钓鱼手段，大家真的了解吗？

——如今的“钓鱼”手段已不再是之前的手段

随着传统的钓鱼攻击手段逐渐被大家所熟识，现在光凭简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击。成本低、风险小、广撒网的钓鱼模式已经不具备优势。

而现在的钓鱼技术渐渐专向的是更专业化、组织化以及分工细致化发展。

比如：一条由包网服务、盗刷通道等多个黑灰产业链共同参与的钓鱼网站诈骗组织。

在钓鱼技术的黑产链中，包含了哪些服务以及价格？

作为诈骗的关键环节，这块基本也是除了数据外，也成为了黑产另一项硬收入。其中包括了：仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后制作拦截程序。

小编大概的了解了一下，五年前搭建一个完整的钓鱼网站的价格大概在上千元。

随着分工越来越细，包网服务商出现，钓鱼黑产链的提供还包括了：搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的全套服务。

为了提升竞争力，服务商还开通了各类后台管理系统，为黑产组织提供「一站式钓鱼攻击服务」。

未来该如何去防范支付的系统安全问题呢？

对于三方、四方的支付系统来说，安全系统的保障措施并不能作为最后的安全防线来看，在整个支付系统乃至金融系统中，系统的安全问题是一个整体性问题，关乎每一个环节，技术、业务、运营通通都不能漏掉。

简单来说，支付系统的主要环节有：充值（入金）、提现（出金）、转账、结算。

而小编认为在支付系统最容易发生危险的环节是“出金”。出金的问题远远比入金更严重。

比如：支付系统内的重复出金，不管是黑客，还是普通用户在系统出现bug 时，频繁的出金，会造成平台的重大损失。更可怕的是，明明是“我”的钱，却被别人提走了，这个更恐怖。

就此，对于支付系统上“出金”的安全防范，小编总结了如下几点：

遵从“宽进严出”的原则

一、关注特殊时间段

业务上的出金时间段，尽量在工作日的工作时间，上班时间，值班人员容易发现问题出现问题，合作方也容易找到人

对账、三方支付以及银行的切日，大小额时间点，跨日都需要注意，很可能引起出金，以及对账问题。

二、业务规范，技术细节

出金必须有业务来源，银行的接口一定要先确定等，必须有一个唯一的业务订单贯穿整个调用过程；

尽量不重试。对于处理中，未知的返回，尽量不重试业务，可以多查询。

先扣业务系统金额，再进行支付调用，这样的流程不至于无限制的出金。

三、必须有监控
业务系统是不是存在相同的业务订单；是不是某些账户存在时间上相近、金额相同的订单；某些人的订单是不是不符合正常出金，比如某日出金订单异常多。

四、增加内部审核流程
对于商户，可以增加审核环节，必须审核通过才能进行出金客户的大额出金、频繁出金也可以采用增加审核流程。

五、风控体系
出金黑名单，黑卡等对于规则中的异常出金增加“增强验证”；支付系统除了核心的网关、路由、渠道，管理权限的风控更为重要。

六、其他
退款逻辑一定要小心，定时任务也要小心，可能很多的重复出金不是用户导致的，而是系统自己种下的恶果。

总之一句话，出现问题要善于总结，预防于未来。处理支付安全问题的流程大概基本是：监控、发现、解决、预防。

所以，在整个处理支付系统安全流程上而言，需要支付商们更加的谨慎！

监控——无论从硬件、软件、业务等各种维度上进行，这样才能更及时的发现问题。在监控出现问题时，要即时通知，手机、短信、各种渠道，总之要触达到系统的核心开发人员。

快速定位——前面说的报警信息全面、各种其他排查工具，调用链、第三方的，一定要多使用，出现问题，一是看定位问题能力，二是恢复时间，一个长另一个时间就急迫，一个宽松留个剩下的时间就充沛。

预防——发生的问题，修复的同时，会后总结，发散思维，是不是能自动化处理，其他渠道会不会也遇到这种问题，尽量不要靠码人。

希望支付商们在合作的同时，一定要提升自己的支付系统安全。