关于个人收款的一点感想
发展进程
简单介绍一下个人收款这几年在国内的发展情况和当前现状。
最开始搞个 vxp hook 一下支付宝和微信,可以实现即时生成指定金额 + 备注的收款码,付款成功后,同样通过 hook 拿到最新的收款记录,匹配订单。但后来支付宝做了一次大的升级:每个账号每天最多生成 20 个收款码,每个码的被扫次数也是有限制的。这次升级直接断送了个人收款的黄金时代。
后来又出现了转账的方案,通过诸如:“09999988”,“20000123” 等支付宝私有 schema 进行转账,支持任意金额支付,同时不需要用户手动输入金额。一个常用的场景就是:用户发起支付,如果是移动端,直接展示一个按钮,点击后通过 schema 唤醒支付宝,直接进入转账的页面(activity)。如果是桌面端,则将 schema 转换为一个二维码,用户扫码后同样可以进行跳转转账。当然,移动端的监控软件也是少不了的。
实现方式1:alipays://platformapi/startapp?appId=09999988&actionType=toAccount&xxx
实现方式2:alipays://platformapi/startapp?appId=20000123&actionType=scan&biz_data=xxx
还有其它的方式,不再列举。
上面这种看似完美的方案,依然逃脱不了被支付宝风控的命运。支付宝识别到上述 schema 后,直接弹出窗口对该支付行为进行了拦截。笔者有一段时间因为工作原因使用钉钉,有一次识别二维码给同事转账,都被支付宝拦截了。自家兄弟都是如此,何况不被信任的第三方网站和应用?
- 再后来就是银行卡转账,依然是通过支付宝的私有 schema, 跳转到个人转账的页面(activity)。同时针对银行类 app 进行移动端消息监控(也可以直接监听绑定了各家银行卡的云闪付),从而进行接口回调和订单匹配。
实现方式:alipays://platformapi/startapp?appId=09999988&actionType=toCard&xxx
这种方式和个人转账的方式一样,很快也被支付宝干掉了。
后来聪明的做题家还摸索出了其它的一些方式,比如美团的商家码,拼多多店铺的代付,口碑掌柜收款等。这些收款方式最终的命运都是被风控,何况它们的支付转换率并不高。
再后来,大家也就妥协了,那就牺牲一点用户体验吧,通过任意金额收款码 + 监测通知栏消息的方式。这种方式虽然简陋点(扫码后需要用户手动输入支付金额,而如果用户输入了错误的金额进行支付,则会出现订单无法匹配需要人工处理的情况),但好在稳定可靠,官方无法从技术层面进行风控。你下楼去小商店买包烟,如果是正扫,一般扫的码就是任意金额的收款码,吃个面一般也是扫的这种码。这种码扫码后,要求输入支付金额,然后商家的支付宝,会提示收款多少多少元,这就完成了一次(支付)交易行为。
上面这种任意金额收款码 + 监测通知栏消息的方式,持续的时间是最久的,包括现在很多打着个人收款旗号的,依然用的是这种方式。这种收款方式,也衍生出了诸多版本,比如不需要商户再安装移动端监听软件的(通过添加店家助手,远程监听通知回调)。
大概从2020年开始,支付宝又开始对收款码动手了,收款码基本上是上一批,收不了多久,就死了,搞的商户焦头烂额,后来还出现了很多上码跑分的,但治标不治本,支付宝分析收款码的收款行为,时间 + 空间 + 金额,直接把这个收款码锁死,判断它属于一个刁民,然后直接干掉。
如果大家有上过一些爱情动作片网站,然后想充个会员,扫码后,会让你开启飞行模式,知道为什么吗? 因为飞行模式一开,你就断网了,而断网后,可以阻断支付宝的风控判断,然后就可以正常支付了。不过这种也是极大的牺牲了用户体验,同时无法阻断事后的风控行为。
现在很多飞机场的收款,基本上都是走的线下商户码,不再赘述。
在特定的领域,现在也在兴起数字货币收款,比如 usdt,监控地址交易信息,处理好并发,做好资金归集。但对于商户而言,如果涉及到平台提现,需要注意跑路的风险。
总结下来,这个行业发展到今天,光是广大从业者突破风控的技巧和经验,如果政策允许上报申请专利,都可以写几百篇了。另一方面,今日不同往时,想痛痛快快、简简单单的收个款,已经不太容易了。要么需要 kyc,费率还不低,要么走 usdt,支付率不高,要么走个人收款,但时不时给你来一发风控。最初的那批人,说实话钱也赚到了,陆续转到了新的赛道,后来大量的人涌进来,把这个细分行业变成了一片红海,光名字叫 xx 收款的,随便百度一下至少几十页,但随便拿一个出来,0.5%的费率,其实根本赚不了什么钱。到了这种程度,基本上也就没什么意思了。
关于风控
- 支付宝(蚂蚁金服)有国内最顶尖的风控团队,和国内的执法机构有非常密切的联系。包括执行机构找支付宝配合,支付宝如果发现问题,也会主动推给执法机构。
- 国内基本上所有非法的赌博,棋牌类的应用,它们的支付方式,比如使用了什么 schema,做了几次跳转,收款人是谁,付款人都是谁谁谁,支付宝都一清二楚。
- 支付宝内部维护着一个网站和应用的白名单。发起支付时,通过该“source”参数,支付宝可以控制该次支付动作是放行还是拦截。
- 如果一个赌徒进行了转账,那接收这笔转账的用户,大概率是庄家。如果一次行为不能说明问题,那就用十次行为来验证。
欢迎电报交流:@jackslowfak
