互聯(lián)網(wǎng)金融平臺綁卡漏洞：短信驗證碼很容易泄露

互聯(lián)網(wǎng)金融經(jīng)過近幾年的瘋狂生長，目前大小平臺有超過4000家，但各平臺的安全防護(hù)能力參差不齊，由于金融產(chǎn)品交易的特殊性，互聯(lián)網(wǎng)金融平臺逐漸成為騙子盯上的一塊香餑餑。

我們簡單地對互聯(lián)網(wǎng)金融平臺的盜刷事件進(jìn)行了一下調(diào)查，就發(fā)現(xiàn)網(wǎng)貸之家關(guān)于銀行卡盜刷的帖子有近千個。業(yè)內(nèi)某個著名的基金電銷平臺， 2016年8月第一周就出現(xiàn)600多人被盜刷?？梢哉f，大量的盜刷行為正在互聯(lián)網(wǎng)金融領(lǐng)域引發(fā)一場“火災(zāi)”。

在互金平臺，綁卡環(huán)節(jié)就是易燃物

傳統(tǒng)盜刷行為往往通過綁定第三方支付平臺，隨后在電商平臺分散消費(fèi)轉(zhuǎn)移資金，騙子通過在電商網(wǎng)站上大量分散地購買游戲點(diǎn)卡、景點(diǎn)門票、酒店等商品進(jìn)行資金轉(zhuǎn)移和提現(xiàn)。但分散消費(fèi)會涉及第三方支付平臺和商品提供方，一方面異常消費(fèi)可能被攔截，另一方面相關(guān)信息可能會暴露詐騙者的信息。所以對詐騙團(tuán)伙而言，在電商平臺上盜刷，額度小、提現(xiàn)難、隱蔽性差，隨著第三方支付平臺風(fēng)控措施的加強(qiáng)，難度也越來越大。

所以，相對于電商平臺，騙子似乎現(xiàn)在更喜歡攻擊互聯(lián)網(wǎng)金融平臺。通過攻擊互聯(lián)網(wǎng)金融平臺的綁卡環(huán)節(jié)，騙子可以獲得用戶的支付權(quán)限?；ヂ?lián)網(wǎng)金融平臺不涉及第三方支付和商品提供方，騙子作案比較隱蔽，同時因為是金融賬戶，用戶卡內(nèi)金額往往也比較大，一旦獲得支付權(quán)限，騙子就可以用用戶的信息重新辦一張銀行卡綁定，然后將錢一次性轉(zhuǎn)走，用戶往往損失慘重。

如果盜刷行為是一場火災(zāi)，那么互聯(lián)網(wǎng)金融平臺的綁卡環(huán)節(jié)就是引發(fā)火災(zāi)的易燃物，但是，攻和守是一對矛盾。只要我們防守好綁卡環(huán)節(jié)，盜刷引發(fā)的各種火險隱患就可以被我們消除。

互聯(lián)網(wǎng)金融平臺常見綁卡方式的漏洞

小額打款綁卡

一種相對簡陋的綁卡方式，平臺通過用戶帳戶、姓名給用戶打入一筆小金額，用戶正確提交入賬金額給平臺，由此確定用戶對卡的所有權(quán)，完成綁卡。但是由于在銀行的安全體系里，賬戶的查詢權(quán)限比支付權(quán)限要低很多，渠道相對便捷，詐騙團(tuán)伙通過簡化版網(wǎng)銀或通過銀行客服電話等查詢余額，完成銀行卡所有權(quán)的認(rèn)證之后，就可以將卡的查詢權(quán)限提升為支付權(quán)限，隱患很大。

小額轉(zhuǎn)賬綁卡

與小額打款綁卡類似，把平臺轉(zhuǎn)賬給用戶變成了用戶轉(zhuǎn)賬給平臺，因此需要用戶擁有銀行卡的轉(zhuǎn)賬權(quán)限。由于能夠最大限度保證持卡人的賬戶安全，因此，雖然操作轉(zhuǎn)賬相對麻煩導(dǎo)致用戶體驗上會打折扣，這種方式在互聯(lián)網(wǎng)金融平臺中接受度較高。但是，由于目前銀行在做各種體驗升級，每個銀行的安全級別不盡相同，有些銀行做創(chuàng)新業(yè)務(wù)嘗試，很可能小金額的轉(zhuǎn)賬需要的授權(quán)級別比較低，如果被騙子突破用于綁卡，即可在平臺實(shí)現(xiàn)大金額的投資交易。

四要素綁卡

目前最快捷的綁卡方式，最早應(yīng)用于支付寶等第三方支付平臺的銀行卡鑒權(quán)，經(jīng)多年驗證，安全級別較高。但這種綁卡方式依賴于用戶的銀行預(yù)留手機(jī)號的短信驗證碼，因此對短信運(yùn)營商的安全措施和用戶的手機(jī)信息安全要求都很高。

但是事實(shí)證明，短信驗證碼很容易泄露。此前有過騙子通過移動運(yùn)營商的“短信保管箱”業(yè)務(wù)盜取用戶驗證碼進(jìn)行盜刷的情況;同時騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機(jī)木馬攔截短信，以及通過社交工具偽裝熟人騙取短信驗證碼。

四要素加取款密碼綁卡

在驗證了四要素信息及銀行預(yù)留手機(jī)號驗證碼后，附加銀行卡取款密碼。這也是目前銀聯(lián)等推行的更安全的驗證方式。但是讓用戶在互聯(lián)網(wǎng)平臺上輸入銀行卡取款密碼需要很強(qiáng)的信任感，同時取款密碼的輸入也依賴各類插件或者SDK等，對平臺的集成難度加大，也影響平臺體驗的統(tǒng)一，因此目前使用此類方式綁卡的平臺不多。同時這種綁卡方式也不是無限可擊，雖然多了一層密碼保護(hù)，增加了騙子盜取的難度，但是目前密碼泄露非常嚴(yán)重，更何況很多人的密碼其實(shí)和他們的個人信息相關(guān)。因此這種綁卡方式雖然安全性有所提高，但是使用率也不高。

小結(jié)一張表格，綜述一下互聯(lián)網(wǎng)金融平臺幾種綁卡方法的特點(diǎn)

安全性

便捷性

使用率

小額打款綁卡

█

████

█

小額轉(zhuǎn)賬綁卡

████

██

███

四要素綁卡

████

███

████

四要素+取款密碼綁卡

█████

█

█

互聯(lián)網(wǎng)金融平臺該如何應(yīng)對

1.同卡進(jìn)出

即資金與銀行卡完全綁定，確保從哪里投資回哪里去，實(shí)現(xiàn)資金的閉環(huán)，典型的案例如券商的銀證賬戶。

同卡進(jìn)出可以最大限度保障資金安全，即使發(fā)生盜刷，資金最終還是只能在同一張銀行卡內(nèi)流轉(zhuǎn)，騙子無法取走。因此，當(dāng)前券商、基金、保險的用戶資金幾乎都是同卡進(jìn)出，互聯(lián)網(wǎng)金融平臺也越來越多的采用同卡進(jìn)出的方案，這是平臺確?？蛻糍Y金安全的一把金鎖。

2.提醒和教育用戶

雖然平臺可以通過“同卡進(jìn)出”掐斷提現(xiàn)，但是騙子的騙術(shù)層出不窮，總能找到突破口。

有一個典型案例：一個老阿姨因為信息泄露同時驗證碼被騙子通過社交工具騙取，最終在某平臺上被盜刷，完成了150萬的基金交易，在她發(fā)現(xiàn)異常后直接致電銀行否認(rèn)交易，而基金銷售平臺的投資資金都是同卡進(jìn)出，因此最終平臺幫忙撤單，并告訴她錢在下午3點(diǎn)后到帳。這時騙子冒充網(wǎng)警調(diào)查人員給老阿姨打電話說她的賬戶涉及銀行卡詐騙要凍結(jié)賬戶，要求她將錢轉(zhuǎn)到所謂“安全賬戶”內(nèi)，因為騙子描述的信息非常準(zhǔn)確，阿姨沒有起疑心，最終親手把把剛剛追回來的被盜資金轉(zhuǎn)給了騙子。

在這個案例中，雖然最終的被騙與互聯(lián)網(wǎng)金融平臺沒有直接關(guān)系，但是互金平臺還是有提醒和教育用戶的責(zé)任和義務(wù)。比如可以提醒用戶注意防范騙子偽裝成熟人、警察，不要相信所謂“安全賬戶”、不要泄露短信驗證碼、不要點(diǎn)擊陌生鏈接、不要隨意輸入銀行卡密碼等個人信息等。

3.遠(yuǎn)期風(fēng)控措施

遠(yuǎn)期來看，互聯(lián)網(wǎng)金融平臺還可以嘗試一些更有效更有力的風(fēng)控措施，增加驗證手段，提高信息盜取的難度，例如將四要素認(rèn)證升級為卡密認(rèn)證，以及增加視頻認(rèn)證等，大大增加詐騙行為的實(shí)施難度。

與此同時，互聯(lián)網(wǎng)金融平臺可以利用行業(yè)內(nèi)的風(fēng)險數(shù)據(jù)的黑名單庫，通過接入一些第三方平臺可以進(jìn)行匹配查詢，進(jìn)而識別風(fēng)險用戶。

此外，還可以加強(qiáng)行為分析風(fēng)控。通過行為分析、關(guān)系網(wǎng)分析等對風(fēng)險行為進(jìn)行識別，進(jìn)而及時制止。還可以通過機(jī)器學(xué)習(xí)逐步建立和完善風(fēng)險識別模型。國內(nèi)某大型第三方支付公司通過賬戶、身份、交易、行為、關(guān)系、設(shè)備、位置、偏好8個維度進(jìn)行風(fēng)險掃描，識別并攔截大量盜刷行為。目前，其資損率為十萬分之一，識別率非常高，而Paypal的資損率約千分之二。而對于還沒有組建起類似的能力的平臺，可通過引進(jìn)第三方風(fēng)控公司的系統(tǒng)進(jìn)行主動防御。

面對騙子的瘋狂地瘋狂盜刷，作為互聯(lián)網(wǎng)金融平臺有責(zé)任做出有力的應(yīng)對，如果連用戶的資金安全都無法保證，何談理財？但是我們也應(yīng)該認(rèn)識到，騙子的詐騙手段層出不窮，永遠(yuǎn)都沒有一勞永逸的措施，兵來將擋水來土掩，相信隨著技術(shù)水平的提高和互聯(lián)網(wǎng)金融平臺風(fēng)控措施的加強(qiáng)，騙子們的生存空間將會越來越小。