首页
平台
互金平台绑卡漏洞:短信验证码容易泄露
发布时间:2016-09-08 07:51 来源:网贷财经 作者:财经视角

  卡不离身,钱却早已不翼而飞,类似这种新闻越来越多的出现在公众的视野中,这就是银行卡“盗刷”。让人不安的是,这种“盗刷”行为越来越多的出现在了互联网金融平台上,让许多用户损失惨重。

  互联网金融经过近几年的疯狂生长,目前大小平台有超过4000家,但各平台的安全防护能力参差不齐,由于金融产品交易的特殊性,互联网金融平台逐渐成为骗子盯上的一块香饽饽。

  我们简单地对互联网金融平台的盗刷事件进行了一下调查,就发现关于银行卡盗刷的帖子异常多。业内某个著名的基金电销平台, 2016年8月第一周就出现600多人被盗刷。可以说,大量的盗刷行为正在互联网金融领域引发一场“火灾”。

  在互金平台,绑卡环节就是易燃物

  传统盗刷行为往往通过绑定第三方支付平台,随后在电商平台分散消费转移资金,骗子通过在电商网站上大量分散地购买游戏点卡、景点门票、酒店等商品进行资金转移和提现。但分散消费会涉及第三方支付平台和商品提供方,一方面异常消费可能被拦截,另一方面相关信息可能会暴露诈骗者的信息。所以对诈骗团伙而言,在电商平台上盗刷,额度小、提现难、隐蔽性差,随着第三方支付平台风控措施的加强,难度也越来越大。

  所以,相对于电商平台,骗子似乎现在更喜欢攻击互联网金融平台。通过攻击互联网金融平台的绑卡环节,骗子可以获得用户的支付权限。互联网金融平台不涉及第三方支付和商品提供方,骗子作案比较隐蔽,同时因为是金融账户,用户卡内金额往往也比较大,一旦获得支付权限,骗子就可以用用户的信息重新办一张银行卡绑定,然后将钱一次性转走,用户往往损失惨重。

  如果盗刷行为是一场火灾,那么互联网金融平台的绑卡环节就是引发火灾的易燃物,但是,攻和守是一对矛盾。只要我们防守好绑卡环节,盗刷引发的各种火险隐患就可以被我们消除。

  互联网金融平台常见绑卡方式的漏洞

  小额打款绑卡

  一种相对简陋的绑卡方式,平台通过用户帐户、姓名给用户打入一笔小金额,用户正确提交入账金额给平台,由此确定用户对卡的所有权,完成绑卡。但是由于在银行的安全体系里,账户的查询权限比支付权限要低很多,渠道相对便捷,诈骗团伙通过简化版网银或通过银行客服电话等查询余额,完成银行卡所有权的认证之后,就可以将卡的查询权限提升为支付权限,隐患很大。

  小额转账绑卡

  与小额打款绑卡类似,把平台转账给用户变成了用户转账给平台,因此需要用户拥有银行卡的转账权限。由于能够最大限度保证持卡人的账户安全,因此,虽然操作转账相对麻烦导致用户体验上会打折扣,这种方式在互联网金融平台中接受度较高。但是,由于目前银行在做各种体验升级,每个银行的安全级别不尽相同,有些银行做创新业务尝试,很可能小金额的转账需要的授权级别比较低,如果被骗子突破用于绑卡,即可在平台实现大金额的投资交易。

  四要素绑卡

  目前最快捷的绑卡方式,最早应用于支付宝等第三方支付平台的银行卡鉴权,经多年验证,安全级别较高。但这种绑卡方式依赖于用户的银行预留手机号的短信验证码,因此对短信运营商的安全措施和用户的手机信息安全要求都很高。

  但是事实证明,短信验证码很容易泄露。此前有过骗子通过移动运营商的“短信保管箱”业务盗取用户验证码进行盗刷的情况;同时骗子还可以通过伪基站、病毒链接、病毒二维码等植入手机木马拦截短信,以及通过社交工具伪装熟人骗取短信验证码。

  四要素加取款密码绑卡

  在验证了四要素信息及银行预留手机号验证码后,附加银行卡取款密码。这也是目前银联等推行的更安全的验证方式。但是让用户在互联网平台上输入银行卡取款密码需要很强的信任感,同时取款密码的输入也依赖各类插件或者SDK等,对平台的集成难度加大,也影响平台体验的统一,因此目前使用此类方式绑卡的平台不多。同时这种绑卡方式也不是无限可击,虽然多了一层密码保护,增加了骗子盗取的难度,但是目前密码泄露非常严重,更何况很多人的密码其实和他们的个人信息相关。因此这种绑卡方式虽然安全性有所提高,但是使用率也不高。

  小结一张表格,综述一下互联网金融平台几种绑卡方法的特点

互联网金融平台绑卡漏洞:短信验证码很容易泄露

 

  互联网金融平台该如何应对

  1.同卡进出

  即资金与银行卡完全绑定,确保从哪里投资回哪里去,实现资金的闭环,典型的案例如券商的银证账户。

  同卡进出可以最大限度保障资金安全,即使发生盗刷,资金最终还是只能在同一张银行卡内流转,骗子无法取走。因此,当前券商、基金、保险的用户资金几乎都是同卡进出,互联网金融平台也越来越多的采用同卡进出的方案,这是平台确保客户资金安全的一把金锁。

  2.提醒和教育用户

  虽然平台可以通过“同卡进出”掐断提现,但是骗子的骗术层出不穷,总能找到突破口。

  有一个典型案例:一个老阿姨因为信息泄露同时验证码被骗子通过社交工具骗取,最终在某平台上被盗刷,完成了150万的基金交易,在她发现异常后直接致电银行否认交易,而基金销售平台的投资资金都是同卡进出,因此最终平台帮忙撤单,并告诉她钱在下午3点后到帐。这时骗子冒充网警调查人员给老阿姨打电话说她的账户涉及银行卡诈骗要冻结账户,要求她将钱转到所谓“安全账户”内,因为骗子描述的信息非常准确,阿姨没有起疑心,最终亲手把把刚刚追回来的被盗资金转给了骗子。

  在这个案例中,虽然最终的被骗与互联网金融平台没有直接关系,但是互金平台还是有提醒和教育用户的责任和义务。比如可以提醒用户注意防范骗子伪装成熟人、警察,不要相信所谓“安全账户”、不要泄露短信验证码、不要点击陌生链接、不要随意输入银行卡密码等个人信息等。

  3.远期风控措施

  远期来看,互联网金融平台还可以尝试一些更有效更有力的风控措施,增加验证手段,提高信息盗取的难度,例如将四要素认证升级为卡密认证,以及增加视频认证等,大大增加诈骗行为的实施难度。

  与此同时,互联网金融平台可以利用行业内的风险数据的黑名单库,通过接入一些第三方平台可以进行匹配查询,进而识别风险用户。

  此外,还可以加强行为分析风控。通过行为分析、关系网分析等对风险行为进行识别,进而及时制止。还可以通过机器学习逐步建立和完善风险识别模型。国内某大型第三方支付公司通过账户、身份、交易、行为、关系、设备、位置、偏好8个维度进行风险扫描,识别并拦截大量盗刷行为。目前,其资损率为十万分之一,识别率非常高,而Paypal的资损率约千分之二。而对于还没有组建起类似的能力的平台,可通过引进第三方风控公司的系统进行主动防御。

  面对骗子的疯狂地疯狂盗刷,作为互联网金融平台有责任做出有力的应对,如果连用户的资金安全都无法保证,何谈理财?但是我们也应该认识到,骗子的诈骗手段层出不穷,永远都没有一劳永逸的措施,兵来将挡水来土掩,相信随着技术水平的提高和互联网金融平台风控措施的加强,骗子们的生存空间将会越来越小。

【返回首页】
财经钻-财经观察
财经钻-互联网金融观察
财经钻-众筹/创投视野