互聯(lián)網(wǎng)金融經(jīng)過(guò)近幾年的瘋狂生長(zhǎng),目前大小平臺(tái)有超過(guò)4000家,但各平臺(tái)的安全防護(hù)能力參差不齊,由于金融產(chǎn)品交易的特殊性,互聯(lián)網(wǎng)金融平臺(tái)逐漸成為騙子盯上的一塊香餑餑。
我們簡(jiǎn)單地對(duì)互聯(lián)網(wǎng)金融平臺(tái)的盜刷事件進(jìn)行了一下調(diào)查,就發(fā)現(xiàn)網(wǎng)貸之家關(guān)于銀行卡盜刷的帖子有近千個(gè)。業(yè)內(nèi)某個(gè)著名的基金電銷平臺(tái), 2016年8月第一周就出現(xiàn)600多人被盜刷??梢哉f(shuō),大量的盜刷行為正在互聯(lián)網(wǎng)金融領(lǐng)域引發(fā)一場(chǎng)“火災(zāi)”。
在互金平臺(tái),綁卡環(huán)節(jié)就是易燃物
傳統(tǒng)盜刷行為往往通過(guò)綁定第三方支付平臺(tái),隨后在電商平臺(tái)分散消費(fèi)轉(zhuǎn)移資金,騙子通過(guò)在電商網(wǎng)站上大量分散地購(gòu)買游戲點(diǎn)卡、景點(diǎn)門票、酒店等商品進(jìn)行資金轉(zhuǎn)移和提現(xiàn)。但分散消費(fèi)會(huì)涉及第三方支付平臺(tái)和商品提供方,一方面異常消費(fèi)可能被攔截,另一方面相關(guān)信息可能會(huì)暴露詐騙者的信息。所以對(duì)詐騙團(tuán)伙而言,在電商平臺(tái)上盜刷,額度小、提現(xiàn)難、隱蔽性差,隨著第三方支付平臺(tái)風(fēng)控措施的加強(qiáng),難度也越來(lái)越大。
所以,相對(duì)于電商平臺(tái),騙子似乎現(xiàn)在更喜歡攻擊互聯(lián)網(wǎng)金融平臺(tái)。通過(guò)攻擊互聯(lián)網(wǎng)金融平臺(tái)的綁卡環(huán)節(jié),騙子可以獲得用戶的支付權(quán)限?;ヂ?lián)網(wǎng)金融平臺(tái)不涉及第三方支付和商品提供方,騙子作案比較隱蔽,同時(shí)因?yàn)槭墙鹑谫~戶,用戶卡內(nèi)金額往往也比較大,一旦獲得支付權(quán)限,騙子就可以用用戶的信息重新辦一張銀行卡綁定,然后將錢一次性轉(zhuǎn)走,用戶往往損失慘重。
如果盜刷行為是一場(chǎng)火災(zāi),那么互聯(lián)網(wǎng)金融平臺(tái)的綁卡環(huán)節(jié)就是引發(fā)火災(zāi)的易燃物,但是,攻和守是一對(duì)矛盾。只要我們防守好綁卡環(huán)節(jié),盜刷引發(fā)的各種火險(xiǎn)隱患就可以被我們消除。
互聯(lián)網(wǎng)金融平臺(tái)常見綁卡方式的漏洞
小額打款綁卡
一種相對(duì)簡(jiǎn)陋的綁卡方式,平臺(tái)通過(guò)用戶帳戶、姓名給用戶打入一筆小金額,用戶正確提交入賬金額給平臺(tái),由此確定用戶對(duì)卡的所有權(quán),完成綁卡。但是由于在銀行的安全體系里,賬戶的查詢權(quán)限比支付權(quán)限要低很多,渠道相對(duì)便捷,詐騙團(tuán)伙通過(guò)簡(jiǎn)化版網(wǎng)銀或通過(guò)銀行客服電話等查詢余額,完成銀行卡所有權(quán)的認(rèn)證之后,就可以將卡的查詢權(quán)限提升為支付權(quán)限,隱患很大。
小額轉(zhuǎn)賬綁卡
與小額打款綁卡類似,把平臺(tái)轉(zhuǎn)賬給用戶變成了用戶轉(zhuǎn)賬給平臺(tái),因此需要用戶擁有銀行卡的轉(zhuǎn)賬權(quán)限。由于能夠最大限度保證持卡人的賬戶安全,因此,雖然操作轉(zhuǎn)賬相對(duì)麻煩導(dǎo)致用戶體驗(yàn)上會(huì)打折扣,這種方式在互聯(lián)網(wǎng)金融平臺(tái)中接受度較高。但是,由于目前銀行在做各種體驗(yàn)升級(jí),每個(gè)銀行的安全級(jí)別不盡相同,有些銀行做創(chuàng)新業(yè)務(wù)嘗試,很可能小金額的轉(zhuǎn)賬需要的授權(quán)級(jí)別比較低,如果被騙子突破用于綁卡,即可在平臺(tái)實(shí)現(xiàn)大金額的投資交易。
四要素綁卡
目前最快捷的綁卡方式,最早應(yīng)用于支付寶等第三方支付平臺(tái)的銀行卡鑒權(quán),經(jīng)多年驗(yàn)證,安全級(jí)別較高。但這種綁卡方式依賴于用戶的銀行預(yù)留手機(jī)號(hào)的短信驗(yàn)證碼,因此對(duì)短信運(yùn)營(yíng)商的安全措施和用戶的手機(jī)信息安全要求都很高。
但是事實(shí)證明,短信驗(yàn)證碼很容易泄露。此前有過(guò)騙子通過(guò)移動(dòng)運(yùn)營(yíng)商的“短信保管箱”業(yè)務(wù)盜取用戶驗(yàn)證碼進(jìn)行盜刷的情況;同時(shí)騙子還可以通過(guò)偽基站、病毒鏈接、病毒二維碼等植入手機(jī)木馬攔截短信,以及通過(guò)社交工具偽裝熟人騙取短信驗(yàn)證碼。
四要素加取款密碼綁卡
在驗(yàn)證了四要素信息及銀行預(yù)留手機(jī)號(hào)驗(yàn)證碼后,附加銀行卡取款密碼。這也是目前銀聯(lián)等推行的更安全的驗(yàn)證方式。但是讓用戶在互聯(lián)網(wǎng)平臺(tái)上輸入銀行卡取款密碼需要很強(qiáng)的信任感,同時(shí)取款密碼的輸入也依賴各類插件或者SDK等,對(duì)平臺(tái)的集成難度加大,也影響平臺(tái)體驗(yàn)的統(tǒng)一,因此目前使用此類方式綁卡的平臺(tái)不多。同時(shí)這種綁卡方式也不是無(wú)限可擊,雖然多了一層密碼保護(hù),增加了騙子盜取的難度,但是目前密碼泄露非常嚴(yán)重,更何況很多人的密碼其實(shí)和他們的個(gè)人信息相關(guān)。因此這種綁卡方式雖然安全性有所提高,但是使用率也不高。
小結(jié)一張表格,綜述一下互聯(lián)網(wǎng)金融平臺(tái)幾種綁卡方法的特點(diǎn)
安全性
便捷性
使用率
小額打款綁卡
█
████
█
小額轉(zhuǎn)賬綁卡
████
██
███
四要素綁卡
████
███
████
四要素+取款密碼綁卡
█████
█
█
互聯(lián)網(wǎng)金融平臺(tái)該如何應(yīng)對(duì)
1.同卡進(jìn)出
即資金與銀行卡完全綁定,確保從哪里投資回哪里去,實(shí)現(xiàn)資金的閉環(huán),典型的案例如券商的銀證賬戶。
同卡進(jìn)出可以最大限度保障資金安全,即使發(fā)生盜刷,資金最終還是只能在同一張銀行卡內(nèi)流轉(zhuǎn),騙子無(wú)法取走。因此,當(dāng)前券商、基金、保險(xiǎn)的用戶資金幾乎都是同卡進(jìn)出,互聯(lián)網(wǎng)金融平臺(tái)也越來(lái)越多的采用同卡進(jìn)出的方案,這是平臺(tái)確保客戶資金安全的一把金鎖。
2.提醒和教育用戶
雖然平臺(tái)可以通過(guò)“同卡進(jìn)出”掐斷提現(xiàn),但是騙子的騙術(shù)層出不窮,總能找到突破口。
有一個(gè)典型案例:一個(gè)老阿姨因?yàn)樾畔⑿孤锻瑫r(shí)驗(yàn)證碼被騙子通過(guò)社交工具騙取,最終在某平臺(tái)上被盜刷,完成了150萬(wàn)的基金交易,在她發(fā)現(xiàn)異常后直接致電銀行否認(rèn)交易,而基金銷售平臺(tái)的投資資金都是同卡進(jìn)出,因此最終平臺(tái)幫忙撤單,并告訴她錢在下午3點(diǎn)后到帳。這時(shí)騙子冒充網(wǎng)警調(diào)查人員給老阿姨打電話說(shuō)她的賬戶涉及銀行卡詐騙要凍結(jié)賬戶,要求她將錢轉(zhuǎn)到所謂“安全賬戶”內(nèi),因?yàn)轵_子描述的信息非常準(zhǔn)確,阿姨沒有起疑心,最終親手把把剛剛追回來(lái)的被盜資金轉(zhuǎn)給了騙子。
在這個(gè)案例中,雖然最終的被騙與互聯(lián)網(wǎng)金融平臺(tái)沒有直接關(guān)系,但是互金平臺(tái)還是有提醒和教育用戶的責(zé)任和義務(wù)。比如可以提醒用戶注意防范騙子偽裝成熟人、警察,不要相信所謂“安全賬戶”、不要泄露短信驗(yàn)證碼、不要點(diǎn)擊陌生鏈接、不要隨意輸入銀行卡密碼等個(gè)人信息等。
3.遠(yuǎn)期風(fēng)控措施
遠(yuǎn)期來(lái)看,互聯(lián)網(wǎng)金融平臺(tái)還可以嘗試一些更有效更有力的風(fēng)控措施,增加驗(yàn)證手段,提高信息盜取的難度,例如將四要素認(rèn)證升級(jí)為卡密認(rèn)證,以及增加視頻認(rèn)證等,大大增加詐騙行為的實(shí)施難度。
與此同時(shí),互聯(lián)網(wǎng)金融平臺(tái)可以利用行業(yè)內(nèi)的風(fēng)險(xiǎn)數(shù)據(jù)的黑名單庫(kù),通過(guò)接入一些第三方平臺(tái)可以進(jìn)行匹配查詢,進(jìn)而識(shí)別風(fēng)險(xiǎn)用戶。
此外,還可以加強(qiáng)行為分析風(fēng)控。通過(guò)行為分析、關(guān)系網(wǎng)分析等對(duì)風(fēng)險(xiǎn)行為進(jìn)行識(shí)別,進(jìn)而及時(shí)制止。還可以通過(guò)機(jī)器學(xué)習(xí)逐步建立和完善風(fēng)險(xiǎn)識(shí)別模型。國(guó)內(nèi)某大型第三方支付公司通過(guò)賬戶、身份、交易、行為、關(guān)系、設(shè)備、位置、偏好8個(gè)維度進(jìn)行風(fēng)險(xiǎn)掃描,識(shí)別并攔截大量盜刷行為。目前,其資損率為十萬(wàn)分之一,識(shí)別率非常高,而Paypal的資損率約千分之二。而對(duì)于還沒有組建起類似的能力的平臺(tái),可通過(guò)引進(jìn)第三方風(fēng)控公司的系統(tǒng)進(jìn)行主動(dòng)防御。
面對(duì)騙子的瘋狂地瘋狂盜刷,作為互聯(lián)網(wǎng)金融平臺(tái)有責(zé)任做出有力的應(yīng)對(duì),如果連用戶的資金安全都無(wú)法保證,何談理財(cái)?但是我們也應(yīng)該認(rèn)識(shí)到,騙子的詐騙手段層出不窮,永遠(yuǎn)都沒有一勞永逸的措施,兵來(lái)將擋水來(lái)土掩,相信隨著技術(shù)水平的提高和互聯(lián)網(wǎng)金融平臺(tái)風(fēng)控措施的加強(qiáng),騙子們的生存空間將會(huì)越來(lái)越小。
責(zé)任編輯:莊婷婷
- 最新互聯(lián)網(wǎng)金融 頻道推薦
- 進(jìn)入圖片頻道最新圖文
- 進(jìn)入視頻頻道最新視頻
- 一周熱點(diǎn)新聞
已有0人發(fā)表了評(píng)論
您需要登錄后才可以評(píng)論,登錄| 注冊(cè)