将支付账户识别到区段的系统和方法与流程

本申请要求2015年10月21日提交的美国专利申请，序列号14/918,981的优先权和权益，该申请通过引用整体并入本文中。

本公开一般涉及基于威胁事件，将支付账户识别到区段(segment)，特别地，识别与支付账户关联的威胁事件并且随后基于威胁事件把支付账户附加到风险区段的系统和方法。

背景技术：

本节提供与本公开相关的背景信息，所述背景信息不一定是现有技术。

消费者利用支付账户进行众多的不同交易，例如包括从商家购买诸如商品和/或服务之类的产品，等等。通过支付账户的使用，或者通过消费者对于支付设备的针对支付账户和/或与支付账户关联的访问凭证的控制，未经授权的用户可以获得对支付账户的访问，并试图在未经消费者允许或者消费者不知道的情况下，利用支付账户为交易提供资金。可以按不同的方式，例如通过在由消费者或者其他实体使用的计算设备处的不法软件来访问支付账户，获得这类未经授权的访问，由此不法软件允许未经授权的用户直接访问支付账户和/或控制计算设备获得这种访问。

附图说明

这里说明的附图只是用于举例说明选择的实施例，而不是所有可能的实现，并不意图限制本公开的范围。

图1表示包括本公开的一个或多个方面的，基于威胁事件，将支付账户识别到区段的例证系统；

图2是适合于在图1的系统中使用的例证计算设备的方框图；

图3是可通过图1的系统实现的基于威胁事件，将支付账户识别到区段的例证方法的流程图。

在各个附图中，对应的附图标记指示对应的部分。

具体实施方式

下面将参考附图，更充分地说明例证实施例。包含在这里的说明和具体例子只是用于举例说明，并不意图限制本公开的范围。

未经授权的用户常常在未经与支付账户关联的消费者(即，所有者)允许的情况下，试图获得(并且常常确实获得)对支付账户的访问。这类访问为未经授权的用户提供在未经消费者允许的情况下使用支付账户，或者访问关于支付账户和/或消费者的其他信息的机会。本文中的系统和方法基于风险关联计算设备和/或风险关联用户与支付账户的接触，识别对于支付账户的威胁事件，比如未经授权用户的访问。威胁事件表示对支付账户等的威胁。响应威胁事件，本文中的系统和方法把支付账户附加到一个或多个风险区段，并随后对支付账户进行审查，以判定实际的威胁是否存在。这可包括通知支付账户的发行者(issuer)，作为响应，随后对支付账户的访问和/或使用设置一个或多个限制，直到潜在威胁被解除，并通过审查核实了支付账户为止。这样，基于威胁事件，将支付账户识别到风险区段有助于抑制未经授权访问和/或使用支付账户。

图1图解说明其中可实现本公开的一个或多个方面的例证系统100。尽管按一种布置呈现了系统100的各个部分，不过应意识到例如取决于支付交易的处理、发行者和支付网络之间的通信等，其他例证实施例可包括以其他方式布置的相同或不同部分。

如图1中所示，例示的系统100通常包括商家102、收单方(acquirer)104、支付网络106和发行者108，它们都耦接到网络110(并与网络110通信)。网络110可包括(但不限于)有线和/或无线网络、局域网(lan)、广域网(wan)(例如，因特网等)、移动网络、和/或能够支持系统100的两个或更多个例示部分之间的通信的另外的适当公用和/或专用网络，或者它们的任意组合。在一个例子中，网络110包括多个网络，图1中的各个例示部分中的不同部分可接入所述多个网络中的不同网络。特别地，在本例中，收单方104、支付网络106和发行者108可经作为网络110的一部分的专用网络连接，以便处理支付交易，并且商家102和消费者112可通过也是网络110的一部分的公用网络(比如因特网之类)连接。

图2图解说明可在系统100中使用的例证计算设备200。例如，计算设备200可包括一个或多个服务器、工作站、个人计算机、膝上型计算机、平板电脑、智能电话机、其他适当的计算设备，等等。另外，计算设备200可包括单个计算设备，或者它可包括位置极接近的多个计算设备，或者分布在地理区域内的多个计算设备，只要计算设备被具体配置成如本文中所述地起作用即可。在系统100中，商家102、收单方104、支付网络106和发行者108都被例示成包括耦接到网络110(并与网络110通信)的计算设备200，或者都是在所述计算设备200中实现的。不过，系统100不应被视为局限于如下所述的计算设备200，因为可以使用不同的计算设备和/或计算设备的布置。另外，在其他计算设备中，可以使用不同的组件和/或组件的布置。

参见图2，例证的计算设备200一般包括处理器202和耦接到处理器202(并与处理器202通信)的存储器204。处理器202可包括一个或多个处理单元(例如，在多核芯配置中等)，包括但不限于中央处理器(cpu)、微控制器、精简指令集计算机(risc)处理器、应用专用集成电路(asic)、可编程逻辑电路(plc)、门阵列和/或能够实现记载在本文中的功能的任何其他电路或处理器。上述例子仅仅是例证性的，决不意图限制处理器的定义和/或含义。

这里所述的存储器204是允许数据、指令等被存储在其中和从中检索的一个或多个器件。存储器204可包括一个或多个计算机可读介质，比如(但不限于)动态随机存取存储器(dram)、静态随机存取存储器(sram)、只读存储器(rom)、可擦可编程只读存储器(eprom)、固态器件、闪存驱动器、cd-rom、拇指驱动器、软盘、磁带、硬盘、和/或任何其它类型的易失性或非易失性物理或有形计算机可读介质。存储器204，和/或包含在其中的数据结构可被配置成存储(但不限于)与支付账户相关的数据、针对支付账户所处理的交易的交易数据、风险区段、账户活动违规、与不法软件检测相关的数据、点击模式、关于支付账户的规则和/或限制、和/或适合于如这里所述的使用的任何其他类型的数据和/或信息。此外，在各个实施例中，计算机可执行指令可被存储在存储器204中，以便由处理器202执行，使处理器202进行记载在本文中的一种或多种功能，以致存储器204是物理、有形和非暂态的计算机可读存储介质。应意识到存储器204可包括每个都在记载在本文中的一种或多种功能或处理中实现的各种不同存储器。

计算设备200还包括耦接到处理器202(并与处理器202通信)的呈现单元206(或者输出设备或显示设备)(不过，应意识到计算设备200可包括除呈现单元206以外的输出设备，等等)。呈现单元206可视或可听地向计算设备200的用户，例如，系统100中的消费者112、系统100中的一个或多个用户116等输出信息。进一步应意识到各种界面(例如，应用界面、网页等)可被显示在计算设备200处，具体地显示在呈现单元206处，以显示诸如与支付账户相关的信息、附加到风险区段的支付账户、关于支付账户的规则和/或限制之类的信息。呈现单元206可包括(但不限于)液晶显示器(lcd)、发光二极管(led)显示器、有机led(oled)显示器、“电子墨水”显示器，等等。在一些实施例中，呈现单元206包括多个设备。

计算设备200还包括接收来自计算设备200的用户的输入(即，用户输入)，诸如在web界面的链接的点击之类的输入设备208。输入设备208耦接到处理器202(并与处理器202通信)，并且可包括例如键盘、指示设备、鼠标、指示笔、触敏面板(例如，触摸板或触摸屏等)、另外的计算设备、和/或音频输入设备。在各个例证实施例中，触摸屏，诸如包含在平板电脑、智能电话机或类似设备中的触摸屏起呈现单元和输入设备两者的作用。

另外，例示的计算设备200包括耦接到处理器202和存储器204(并与处理器202和存储器204通信)的网络接口210。网络接口210可包括(但不限于)有线网络适配器、无线网络适配器、移动网络适配器、或者能够与一个或多个不同的网络(包括网络110)通信的其他设备。此外，在一些例证实施例中，计算设备200包括处理器202，和并入处理器202中或者与处理器202合并的一个或多个网络接口。

再次参见图1，系统100包括与计算设备114关联的消费者112，在本实施例中，计算设备114与计算设备200一致。如上所述，计算设备114例如可包括诸如经由一个或多个基于web的界面(例如，应用、网站、门户等)并通过网络110与关联于消费者112(并由发行者108发行的)的支付账户一起使用，或者能够提供对所述支付账户的访问的智能电话机、平板电脑、工作站或其他适当的设备。

在一个例子中，消费者112可通过与支付网络106或发行者108关联的基于web的界面，经由计算设备114访问他/她的支付账户，以查看余额详情、改变账户设置(例如，地址、联系信息、优选项，等等)、或者进行支付，等等。常常，当消费者112(或者充当消费者112的另外的人/实体)访问和/或利用基于web的界面时，他/她常常点击界面内的不同链接(通常按特定的速率或者间隔，等等)，以进行例如如上所述的期望功能，和/或其他功能。包含在基于web的界面中的不同链接一般是顺序地指定或识别的。因而，当消费者112访问和/或利用所述界面时，消费者经由计算设备114对于所述界面的输入的使用通常是非顺序地，因为顺序地选择链接，即，不同链接的有序的点击通过(click-through)不会进行例如消费者112典型地在所述界面进行的任何期望的功能。相反，界面中的不同链接的有序的点击通过(概括地，点击模式)通常指示自动化实体访问该web界面。类似地，速率比人类一般能够执行的速率快，或者重复间隔包含例行的可预测时间的(顺序任意的)不同链接的基于时间(temporalbased)的点击通过(概括地，点击模式)通常指示自动化实体访问该web界面。

应意识到经由计算设备114，消费者112可在与发行者108或支付网络106关联的基于web的不同界面处，与发行者108或支付网络106有各种不同的交互。通过这类交互，消费者112可在不同的界面处点击各种不同的链接，这表示消费者112的典型使用。不过，在一个或多个不同的界面处可以识别表示非典型使用以及与之关联的可能威胁的特定点击模式(例如，有序的点击通过模式，等等)。在各个实施例中，在不同界面的这类点击模式可被确定为威胁事件(或者用于确定存在威胁事件)。

此外在系统100中，支付网络106和发行者108可雇用用户116来提供消费者帮助，即，作为消费者服务人员，等等。每个用户116与和计算设备200一致的计算设备118关联。通常，用户116将与消费者112(以及系统100中的其他消费者)交互，并进一步利用计算设备118访问消费者的支付账户，以提供关于消费者112遇到的问题的帮助或回答相关的问题，或者提供另外的服务提供，或者进行与消费者的支付账户相关的其他功能，等等。尽管用户116及其关联的计算设备118被例示成包含在支付网络106和发行者108两者中，不过在其他实施例中，可能仅支付网络106或仅发行者108包含这样的用户。此外，在其他实施例中，收单方104和/或商家102可包含这样的用户。与下面的说明一致，应意识到经由一种或多种不同的部件，可以访问支付账户的任何实体可包括计算设备，比如系统100中的计算设备114或118，或者可在所述计算设备中实现，从而可服从于下面说明的方法。

如上所述，用户116一般响应来自消费者112的服务请求，或者结合一个或多个其他因素(例如，例行的支付账户维护、欺诈警报、收费争议和/或可能需要访问消费者的支付账户的其他情况，等等)，访问消费者112的支付账户。当系统100中的任何一个用户116访问消费者的支付账户时，他们的计算设备118可以获得与支付账户关联的信息。同样地，当消费者112经由计算设备114访问他/她的支付账户时，计算设备114可以访问与支付账户关联的信息。

如果与正在访问支付账户信息的消费者112或用户116关联的计算设备114或118任意之一被不法软件(例如，恶意软件、病毒、特洛伊木马，等等)感染，或者以其他方式暴露在所述不法软件之下或者可被所述不法软件访问，那么支付账户信息也可被所述不法软件访问。在一些情况下，不法软件允许未经授权的实体访问和/或控制计算设备114和118，或者提供对在计算设备114和118中输入的凭证的访问(例如，在通过网络钓鱼、域欺骗等，欺骗消费者112和/或用户116把他们的凭证输入由未经授权的实体控制的不法站点的情况下)。

计算设备118，以及通常与计算设备118关联的支付网络106和/或发行者108一般包括防范各种不同类型的不法软件的一种或多种不同的防卫机制。这类防卫机制可以是用户级防卫机制(例如，用户培训，等等)，计算设备级防卫机制(例如，防病毒和防恶意程序软件，等等)，系统级防卫机制(例如，系统控制和加固，等等)，和/或网络级防卫机制(例如，防火墙，等等)。当检测到不法软件时，所述不法软件从支付网络106和/或发行者108(以及关联的计算设备118)中被移除，或者以其他方式补救和/或隔离，以确保不法软件被移除，并且不法软件对其他计算设备的访问受到限制或被消除。消费者112可以在或者可不在计算设备114准备好类似的防卫机制。如下所述，在计算设备114和118任意之一的这类软件的检出可被确定为威胁事件。

除不法软件之外，在一些情况下，当与消费者112或者佯装成消费者112的某人，即，欺诈性消费者交互时，用户116可能违反标准程序。在这类情况下，用户116与消费者112(不管是实际消费者还是欺诈性消费者)之间的交互可能产生账户活动违规。具体地，例如，当用户116之一允许消费者变更与支付账户关联的地址，并且随后接收替换支付设备(例如，替换信用卡或借记卡，等等)的请求时，有可能该消费者实际上是欺诈性消费者，该欺诈性消费者伪装成消费者112，以使支付设备被递送到该欺诈性消费者能够取回所述支付设备(以便用于进行欺诈交易)的位置。标准程序一般指导用户116防止在这种情况下发出替换设备。不过，如果尽管最近发生了地址变更，用户116允许替换支付设备被订购和递送，那么用户116可能违反了标准程序，并且该用户关于支付账户和其他支付账户的动作被视为账户活动违规。应意识到各种不同的活动和/或模式可能引起账户活动违规，由此在支付网络106和/或在发行者108处的用户116违反标准程序，并且作为结果，引起或者导致欺诈的风险。如下所示，这些账户活动违规可被确定为威胁事件。

另外，发行者108可基于交易中使用的支付账户的类型，把不同类型的交易识别为正常或异常。具体地，例如，预付费支付账户可包括旅行卡，对于所述旅行卡一些交易将被识别为异常。这样做时，发行者108可依赖于交易的不同方面来确定哪些单独的交易是异常的。例如，当涉及预付费旅行卡时，发行者108可把用于家电维修的交易识别为异常。或者，当预付费旅行卡以英镑计价时，发行者108可把利用该预付费旅行卡在美国以美元进行的交易(或者利用该预付费旅行卡在美国进行的任何交易)(例如，涉及利用以英镑计价的旅行卡在美国购买食品杂货的交易)识别为异常。应意识到该标准可能对于其他类型的支付账户不同，或者对于相同类型的支付账户不同(工资卡对旅行卡、通用可重复储值(gpr)支付设备、不可重复储值礼品卡，等等)。如下所述，这些类型的异常交易可被确定为威胁事件(使得当被识别时，关联的支付账户可被分配或附加到特定的风险区段，以便进行额外的监视和/或调查，如下进一步所述)。

继续参见图1，系统100还包括风险区段引擎120，引擎120通常由可执行指令具体配置成例如使处理器进行如这里所述的多个操作。引擎120可以是与计算设备200一致的独立计算设备(如图1中图解所示)，或者它可被并入支付网络106或发行者108或者与支付网络106或发行者108合并(例如，并入发行者的计算设备200中，并入支付网络的计算设备200中，等等)(如图1中用虚线所示)。此外，应意识到引擎120可部分或整个包含在系统100的其他部分中，例如包括收单方104(例如，在收单方104，引擎120可用于帮助保护商家，等等)，等等。

引擎120通常被配置成基于与支付账户关联的威胁事件，把支付账户附加到诸如风险区段之类的区段中。

特别地，引擎120被配置成识别与威胁事件关联的支付账户。在一些实施例中，识别支付账户可包括例如从发行者108和/或收单方104接收威胁事件，或者威胁事件的通知。在至少一个实施例中，由引擎120检测威胁事件，随后据此识别支付账户。如上所述，威胁事件例如可包括风险关联计算设备与支付账户的接触，或者风险关联用户与支付账户的接触。风险关联计算设备的接触例如可包括对于提供对支付账户的访问的网站的界面的特定点击模式，比如有序的点击通过，等等。另外，风险关联计算设备的接触例如可包括当被不法软件感染时，计算设备118之一对支付账户的访问(即，风险关联的访问)，或者当用户116之一涉及账户活动违规时，所述用户的访问(即，风险关联的访问)。如上所述，另外的威胁事件可包括相对于特定类型的支付账户的异常交易的检测。

无论如何，当基于特定威胁事件识别出支付账户时，引擎120被配置成把支付账户附加到风险区段，或者附加到多个风险区段。不同的风险区段可用于不同级别的威胁事件，这种情况下，每个风险区段于是可包括对于不同的支付账户类型等解决不同的威胁事件的不同对策。例如，经历低级别威胁事件的支付账户可被附加到低风险区段，其中(作为响应)，支付账户被传送，以便进行后续交易的实时欺诈评分和/或监视，或者实现与商家类别、交易额、跨境使用、因特网交易等相关的限制或约束。经历中等级别威胁事件的支付账户可被附加到中等风险区段，其中(作为响应)，支付账户被暂停进一步使用，直到能够联系上与支付账户关联的消费者为止。另外，经历高级别威胁事件的支付账户可被附加到高风险区段，其中(作为响应)，支付账户被终止并重新发放给消费者。此外，应意识到这里识别的各种对策中的不同对策可以与各种风险区段中的不同风险区段关联(例如，可能存在多个不同的低风险区段，每个低风险区段具有与之关联的一个或多个不同的对策；等等)。例如，可能受损(compromised)的emv卡可基于涉及的威胁事件被分配给风险区段(例如，低风险区段，等等)，随后在该区段内，基于与该区段关联的阻止磁条交易、非3d安全因特网交易和邮件订购交易(但是仍然允许emv和3d安全因特网交易继续进行)的期望对策，被进一步分配。

当支付账户被附加到适当的风险区段中时，引擎120基于支付账户在该区段中的包含(以及基于特定区段)，引起对支付账户的审查。这可包括例如向与支付账户关联的发行者108通知该支付账户已被附加到风险区段中。发行者108随后可采取进一步的动作来审查支付账户，或者限制对该支付账户的访问和/或使用直到威胁事件被解决并且支付账户被审查(概括地，被核实)为止。在至少一个实施例中，引擎120还可(或者另外地)通知支付网络106，然后支付网络106可限制对支付账户的访问和/或使用。

在审查之后(并且如果支付账户被核实)，引擎120、支付网络106和/或发行者108(或者其他实体)可从支付账户被附加到的风险区段中移除该支付账户，由此引擎120、支付网络106和/或发行者108(或者其他实体)使对支付账户的访问和/或使用恢复正常。不过，如果在审查之后，支付账户未被核实或者被确认是欺诈访问账户，那么引擎120可把该支付账户保留在该风险区段中以便进一步调查，或者依照指示移除该支付账户(例如，如果支付账户被关闭，如果支付账户被重发，等等)。

图3图解说明用于基于例如威胁事件(或者多个威胁事件)，将支付账户识别到风险区段的例证方法300。在另外参考支付网络106和发行者108的情况下，例证方法300被描述成是在系统100的引擎120中实现的。此外，出于举例说明的目的，这里参考系统100的其他部分和计算设备200说明了例证方法300。不过应明白，这里的方法不应被理解成局限于例证系统100或者例证计算设备200，并且这里的系统和计算设备不应被理解成局限于例证方法300。

在例证方法300中，例如，当发行者108识别出威胁事件(或者潜在的威胁事件)时，在本例证实施例中，发行者108通过计算设备200，把威胁事件传送给引擎120。引擎120转而在302接收威胁事件。在304(但不限于)，指示引擎120接收的例证威胁事件。

发行者108采用各种机制来检测对于计算设备114和118的不当或未经授权的访问。例如，发行者108(或支付网络106)可向用户的计算设备118提供已知的检测不法软件并在检出时根据需要隔离和/或移除不法软件的多种不同的防不法软件工具。当检测到不法软件时，在向引擎120提供威胁事件时，发行者108识别针对可能与威胁事件关联的所有支付账户的支付账户信息，所述支付账户例如包括自不法软件在特定计算设备118上的安装日期以来，或者在计算设备118访问的一个或多个定义的间隔内(例如，在最近12天内，在最近7天内，在最近的15天内，等等)，该特定计算设备118访问过的那些支付账户。如果使用定义的间隔，那么它可由例如与引擎120关联的用户定义，以确保或者至少试图确保识别出自不法软件被安装以来由被感染的计算设备118先前访问过的所有支付账户。不过，当检测出不法软件时，与选择的间隔无关，在304，发行者108生成不法软件检出作为威胁事件。如下更详细所述，识别出的可能受不法软件影响的支付账户随后被附加到适当的风险区段中。

发行者108(或支付网络106)还向用户116提供标准程序，并随后监视从标准程序的偏离，即，账户活动违规。特别地，发行者108对于用户116采用各种不同的标准程序，以便例如禁止用户116非故意或故意地允许表示潜在欺诈的账户活动的模式，即，账户活动违规。当程序未被遵循时，在304，发行者108生成账户活动违规作为威胁事件。例如，在试图获得对消费者的支付账户的未经授权访问时，欺诈者可能联系发行者108的用户116并请求把支付账户的替换支付设备邮寄到新地址，在该新地址，欺诈者能够领取该支付设备以便使用。在这种例子中，在消费者112被通知对支付账户的地址变更的时间之前，或者消费者112被通知请求的替换设备的时间之前，欺诈者可能已进行未经授权的交易。因而，发行者108可(通过标准程序)，禁止在支付账户地址变更的10天内发出替换支付设备。因此，如果在消费者的支付账户地址变更的10天内，用户116允许订购替换支付设备，那么发行者108生成威胁事件，即，账户活动违规，并将其传送给引擎120。在这个例子中，发行者108不仅可把消费者的支付账号传送给引擎120，而且还可传送同一用户116在定义的间隔(如刚刚所述)内访问过的所有账户的支付账号。更一般地，如果用户116非故意或故意地导致账户活动违规，那么由用户116进行的其他支付账户访问可能存在相同或不同的标准程序违反和/或欺诈性目的，均导致由发行者108生成账户活动违规作为威胁事件。

此外，发行者108以安装在智能电话机的应用或者由智能电话机或平板电脑可访问的网站等等的形式，提供各种基于web的界面。与类型和/或格式无关，各个界面允许消费者112在计算设备114访问消费者的支付账户，以进行各种任务(例如，检查账户余额、访问账单支付特征、转账、争议变更、花费奖励、变更账户信息、订购替换支付设备，等等)。每个界面包括至少一个链接，或者通常按顺序组织的多个链接。作为提供界面的一部分，发行者108还可关于某些点击模式监视界面，所述某些点击模式例如指示与界面交互的自动化实体，等等。在一个例子中，点击模式包括在界面处的有序的点击通过，即，依次点击包含在界面中的链接，等等。当发行者108检测到在界面处的这类点击模式已从消费者的计算设备114获得对支付账户的访问时，在304，发行者108生成点击模式通知作为威胁事件。

此外，尽管在方法300中未示出，不过，发行者108可采取特定动作，从而可能取决于支付账户的特定类型、交易的特定类型和/或如上所述的其他标准(例如，在家电商家处使用预付费旅行卡，等等)，把相对于支付账户的交易识别为异常交易。当识别出异常交易时，例如在方法300中的304等，发行者108生成异常交易通知作为威胁事件。

应意识到，在方法300中(例如，在304等)，例如基于由风险关联计算设备进行的其他接触和/或由风险关联用户进行的其他接触和/或其他动作等，可适当地生成其他威胁事件(例如，由发行者108、由系统100的另一个部分等等生成)，并传送给引擎120。例如，收单方104或支付网络106的交易处理部分可检测模式、或者账户活动违规、或者不法软件，并且作为结果，(在304)可生成威胁事件并传送给引擎120。或者，发行者108可能检测到消费者的支付设备正在离消费者112的当前位置距离较远的商家位置处被使用(例如，基于与消费者112关联的智能电话机的位置数据，等等)，并且作为结果，(在304)可生成威胁事件并传送给引擎120。或者，发行者108可能检测到消费者的支付设备正在与消费者的居住地不同的国家中的商家位置处被使用，并且作为结果，(在304)可生成威胁事件并传送给引擎120。此外，可以预见的是消费者112通过计算设备114或者以另外的方式，或者甚至收单方104或商家102(或其他实体)可(在304)检测威胁事件，并向引擎120报告所述威胁事件。

继续参见图3，当接收到威胁事件或者多个威胁事件时，在306，引擎120识别与所述威胁关联的支付账户。当如例示的方法300中一样，从发行者108接收到威胁事件时，发行者108一般还把支付账号提供给引擎120，由此识别支付账户仅仅包括从接收自发行者108的通知中识别支付账号。不过，在各种实现中，例如取决于和威胁事件一起由发行者108提供的信息的形式和/或内容，可能涉及另外的操作。此外，当引擎120从除发行者108以外的其他实体接收到威胁事件时，所述威胁事件可以或者可不包括/识别支付账号，或者替代地，支付账户的某些标记，借助所述标记，引擎120能够识别支付账户和对应的支付账号(例如，通过与支付网络106、发行者108等的后续通信；通过交易数据仓库；等等)

无论如何，与在306识别支付账户结合，引擎120可以可选地(如图3中用虚线所示)，在308识别由风险关联计算设备访问过的所有支付账户。例如，如上所述，当在计算设备118之一处检测到不法软件时，连同威胁事件，发行者108可把由该计算设备118(即，风险关联计算设备)(例如，在或不在预先定义的时间段内，等等)访问过的所有支付账户的列表包括在内，随后在308，所述所有支付账户由引擎120识别。类似地，引擎可以可选地(同样如图3中用虚线所示)，在310识别由风险关联用户访问过的所有支付账户。例如，还如上所述，当检测到账户活动违规时，连同威胁事件，发行者108可把由用户116(即，风险关联用户)(例如，在或不在预先定义的时间段内，等等)访问过的所有支付账户的列表包含在内，随后在310，所述所有支付账户由引擎120识别。或者，引擎120可基于需要，简单地从交易数据仓库访问可能受影响的支付账户的列表。

随后在312，引擎120把识别的支付账户附加到风险区段。这可包括把支付账户适当地附加到例如基于威胁事件的类型、与事件关联的威胁的程度、支付账户的类别、或者与威胁事件和/或支付账户关联的其他适当因素等划分的一个风险区段或多个风险区段中。把支付账户附加到风险区段还可包括把例如在308和310识别的多个支付账户附加到相同或不同风险区段之中的一个或多个风险区段中。例如，如上所述，当威胁事件与风险关联计算设备和多个支付账户的接触关联时，在306，识别所有的支付账户(或者至少一部分的支付账户)，并且随后在312，附加到适当的风险区段中。

在各个实施例中，在312，在把支付账户附加到风险区段中之前，引擎120可采用一个或多个另外的条件。例如，引擎120可利用报告的受影响支付账户的批量加载(例如，通过交易数据仓库，等等)、源自消费者报告的指定(assignment)(例如，基于从发行者108到与可疑交易相关的消费者112的通信，和来自消费者112的可疑交易确实是欺诈交易的确认等)等，来帮助识别待附加到风险区段的支付账户。此外，可以预见的是引擎120可采用公知的bayesian统计(以及对应的模型)来帮助学习哪些事件和/或交易是有效的以及哪些事件和/或交易是欺诈的(或者是威胁)，从而帮助识别(例如自动地，等等)待附加到风险区段的支付账户。

继续参见图3，一旦支付账户被附加到风险区段中，在314，引擎120就引起对该支付账户的审查。在本实施例中，审查(例如，调查、核实等)由发行者108进行(不过在其他实施例中，可由支付网络106或者由另外的适当实体进行)。作为引起审查的一部分，引擎120还可暂停(或者与发行者108通信以暂停)与威胁事件关联的支付账户。或者，当知道与威胁事件关联的支付账户被附加到风险区段中时，发行者108可简单地暂停该支付账户。例如，引擎120可向发行者108(或者可能向支付网络106)标记支付账户，并且发行者108可拦截并拒绝关于该支付账户的任何进一步尝试的授权。

在一些实现中，当审查(至少一部分)是除了发行者108之外的实体进行的时，作为引起审查的一部分，引擎120可向系统100中的其他实体，比如支付网络106或另外的实体通知支付账户被添加到风险区段中。在这类实现中，当支付账户被附加到风险区段中时，通常从引擎120提供所述通知。此外只要支付账户留在风险区段中，就可按各种间隔(规律或不规律的)重新发送所述通知。这种情况下，当收到来自引擎120的通知时，例如，发行者108可审查支付账户，以判定是否发生了未经授权的访问。取决于威胁事件的类型(基于所述威胁事件，支付账户被附加到风险区段中)(和/或基于支付账户被附加到的特定风险区段)，审查可能更严格。例如，在消费者的计算设备114处的有序的点击通过可能是未经授权访问的强烈暗示，并且需要更严格的审查，而由在不同的支付账户中导致账户活动违规的用户116进行的接触可能需要不太严格的审查。

除了在314的支付账户的审查之外，发行者108(或引擎120)可制定对于允许对支付账户的访问的规则的各种改变。在一个例子中，当在发行者应用处的有序的点击通过促成威胁事件时，发行者108(或者引擎120)可对于支付账户暂停或者锁闭该应用。另外，或者替代地，发行者108(或者引擎120)可进一步变更与支付账户的使用(包括但不限于交易的批准或拒绝)关联的规则。例如，发行者108可改变与支付账户关联的限制(limit)，或者变更evm支付设备的一个或多个脚本(或操作)。发行者108(或者引擎120)此外可基于支付账户到风险区段(或者到特定风险区段)的分配，创建欺诈案例或账户接管案例，从而为支付账户的具体审查作准备，每个案例具有防止对支付账户的未经授权访问和/或使用的具体规则和/或操作，或者甚至识别未经授权的用户的措施。再例如，发行者108(或者引擎120)可变更与发行者108关联并且由消费者112可访问以访问和/或使用支付账户的交互语音响应系统。

在方法300中，引擎120通常实时地或者近实时地操作，以响应于对应的威胁事件，把支付账户附加到风险区段中并进一步引起审查。这样，在一些情况下，在允许未经授权的用户利用未经授权的访问和/或使用之前或者在此后不久，引擎120允许对支付账户进行审查，并且允许使对支付账户的访问和/或使用施加的任何限制生效。因而，在提供威胁事件之后，对支付账户的访问和/或使用常常受到限制。例如，引擎120可操作以基于各种因素处理交易(以及对应的交易数据)、账户更新、web活动、欺诈案件活动、位置更新等的实时流，并挖掘数据。这样的因素可包括(但不限于)数据的配置、数据与历史数据的关系、数据与模型和规则的关系、或者可用于创建一组可操作事件以基于区段分配触发规则或模型或者向发行者108(或其他)触发可选警报以便进行额外的分析或动作的任何其他因素。

最后，当在判定支付账户可以恢复正常访问和/或使用状态，或者要采取进一步的步骤(例如，取消，等等)的情况下，发行者108(或支付网络106)进行的审查完成时，引擎120可以可选地(如图3中用虚线所示)在316，接收来自发行者108的该支付账户已被相应处理的核实。响应所述核实，引擎120可以可选地(同样如用虚线所示)在318，从风险区段中移除该支付账户。这样做时，引擎120响应于把支付账户附加到风险区段中而作出的任何限制和/或变更可被撤消。不过，在一个或多个实施例中，来自发行者108的核实可允许引擎120从风险区段中移除支付账户，但是可能包括针对引擎120的在来自发行者108的进一步核实以前，将一个或多个限制和/或变更保留一段时间，或者无限期保留(即使支付账户从风险区段中被移除)的指令。在一些实现中，可以预见的是支付账户可仍然被附加在风险区段中达预定的一段时间，之后，如果与引擎120或发行者108关联的用户未对进行另外的行动(或者如果所述一段时间未被延长)(或者独立于来自发行者108的任何核实，或者与所述任何核实结合)，那么该支付账户于是被移除。

出于举例说明的目的，提供了例证实施例的上述说明。上述说明并不是详尽的，也不意图限制本公开。特定实施例的各个元件或特征通常并不局限于该特定实施例，相反在适用的情况下是可互换的，并且可以用在选定的实施例中，即使未被具体图示或说明。特定实施例的各个元件或特征也可按照多种方式被改变。这样的变化不应被视为脱离本公开，并且所有这样的修改旨在包含在本公开的范围之内。

再次地并如前所述，应意识到在一些实施例中，记载在本文中的各种功能可被记载在存储在计算机可读介质上并且可由一个或多个处理器执行的计算机可执行指令中。计算机可读介质是非暂态计算机可读存储介质。例如但不限于，这样的计算机可读介质可包括ram、rom、eeprom、cd-rom或其他光盘存储器、磁盘存储器或其他磁存储设备、或者可用于携带或存储呈指令或数据结构形式的期望程序代码并且可被计算机访问的任何其他介质。上述的各种组合也应被包含在计算机可读介质的范围之内。

还应意识到当被配置成进行记载在本文中的功能、方法和/或处理时，本公开的一个或多个方面把通用计算设备变换成专用计算设备。

此外，基于上面的说明书，本公开的上述实施例可以利用计算机编程或工程技术，包括计算机软件、固件、硬件或者它们的任意组合或子集来实现，其中技术效果可通过进行下述操作中的至少一个操作来实现：(a)识别与威胁事件关联的支付账户，其中所述威胁事件包括访问支付账户的风险关联计算设备进行的接触，或者访问支付账户的风险关联用户进行的接触；(b)把所述支付账户附加到风险区段中；(c)基于所述支付账户被包含在所述风险区段中，引起对支付账户的审查；(d)识别在定义的间隔内，由所述计算设备访问过的每个支付账户；(e)识别在定义的间隔内，由所述风险关联用户访问过的每个支付账户；(f)从与所述支付账户关联的发行者接收威胁事件；(g)向支付账户的发行者进行通知，指示所述支付账户被附加到风险区段，由此所述发行者能够采取行动以限制对所述支付账户的访问和/或使用；和(h)暂停所述支付账户的使用，从而导致对于所述支付账户的进一步的交易被拒绝，或者监视对于所述支付账户的后续交易。

提供了例证实施例，使得本公开是充分彻底的，并将向本领域的技术人员充分传达本公开的范围。记载了众多的具体细节，比如具体组件、设备和方法的例子，以透彻地理解本公开的实施例。对本领域的技术人员来说清楚的是，具体的细节不必被采用，例证实施例可以许多不同的形式实施，并且这两种情况都不应被理解为对本公开的范围的限制。在一些例证实施例中，未详细说明公知的处理、公知的设备结构、以及公知的技术。另外，借助本公开的一个或多个例证实施例可获得的优点和改进只是出于举例说明的目的提供的，并不限制本公开的范围，因为本文中公开的例证实施例可提供所有的上述优点和改进，或者不提供任意的上述优点和改进，但仍然在本公开的范围之内。

本文中的使用的术语只是用于说明特定的例证实施例，并不旨在进行限制。本文中使用的单数形式可以旨在也包括复数形式，除非上下文明确地另有说明。用语“包含”、“包括”和“具有”是开放性的，因此指定所陈述的特征、步骤、操作、元件和/或组件的存在，不过不排除一个或多个其他特征、步骤、操作、元件、组件和/或它们的组合的存在或添加。记载在本文中的方法步骤、处理和操作不应被理解为必定要求按照说明或例示的特定顺序执行它们，除非明确地被识别为执行的顺序。还要明白可以采用另外的步骤或者替代的步骤。

当元件或层被称为在另一个元件之上，连接到另一个元件，与另一个元件通信或者耦接到另一个元件时，该元件或层可能直接在另一个元件之上、直接连接或耦接到另一个元件、或者直接与另一个元件通信，或者可能存在居间元件。相反，当元件被称为直接在另一个元件之上，直接连接到另一个元件，直接与另一个元件通信，或者直接耦接到另一个元件，那么没有居间元件存在。这里使用的“和/或”包括关联的列举项目中的一个或多个的任意以及所有组合。

尽管本文中可利用术语第一、第二、第三等来描述各个特征，不过，这些特征不应受这些术语限制。这些术语只是用于区分一个特征和另一个特征。这里使用的诸如“第一”、“第二”和其他数字术语之类的术语并不意味次序或顺序，除非上下文明确地指出。从而，第一特征可被称为第二特征，而不脱离例证实施例的教导。