互联网金融平台绑卡漏洞：短信验证码很容易泄露

本篇文章2964字，读完约7分钟

蓝鲸网络金融，9月7日:钱已经不见了，没有留下卡。像这样的新闻越来越多地出现在公众的视野中，那就是银行卡盗窃。让人感到不安的是，这种盗窃行为越来越多地出现在互联网金融平台上，这使得许多用户遭受重大损失。

经过近几年互联网金融的疯狂增长，目前已有4000多个大大小小的平台，但每个平台的安全防护能力参差不齐。由于金融产品交易的特殊性，网络金融平台逐渐成为诈骗者攻击的热点。

我们简单调查了互联网金融平台的盗窃案，发现网上贷款屋有近1000条关于银行卡盗窃的帖子。在2016年8月的第一周，600多人从行业内一个著名的基金销售平台被盗。可以说，大量被盗的画笔正在引发互联网金融领域的一场大火。

在共同金平台上，卡绑定链接是易燃的

传统的盗窃行为通常通过绑定第三方支付平台来转移资金，然后在电子商务平台上分散消费。骗子通过在电子商务网站上购买大量游戏卡、景点门票、酒店和其他商品来转移和提取资金。然而，分散消费将涉及第三方支付平台和商品供应商。一方面，异常消费可能被截获，另一方面，相关信息可能暴露欺诈者的信息。因此，对于诈骗团伙来说，在电子商务平台上盗窃数额小，取现困难，隐蔽性差。随着第三方支付平台风险控制措施的加强，这变得越来越困难。

因此，与电子商务平台相比，诈骗者现在似乎更喜欢攻击互联网金融平台。通过攻击互联网金融平台的卡绑定链接，诈骗者可以获得用户的支付权限。互联网金融平台不涉及第三方支付和商品提供商，欺诈者以隐蔽的方式实施犯罪。同时，由于是金融账户，用户卡中的金额往往相对较大。一旦获得支付权限，欺诈者就可以用用户的信息绑定一张新的银行卡，然后一次性将钱转走，用户往往会遭受重大损失。

如果说盗刷是一场火灾，那么互联网金融平台的卡绑定环节就是引发火灾的易燃材料，而攻击和防御是一对矛盾。只要我们保护好卡片装订环节，由被盗的刷子引起的各种火灾隐患都可以被我们消除。

互联网金融平台上常见卡绑定方法的漏洞

用少量的钱打一张卡片

一种相对粗糙的卡绑定方法，其中平台通过用户的账户和姓名向用户贷记少量，并且用户将贷记的金额正确地提交给平台，从而确定用户对卡的所有权并完成卡绑定。但是，在银行的安全系统中，账户的查询权限远远低于支付权限，渠道也相对方便。诈骗集团通过简化网上银行或银行客服电话查询余额完成银行卡所有权认证后，可以将卡的查询权限升级为支付权限，存在很大的隐患。

小型转账卡装订

与卡上绑定的小额资金类似，从平台向用户转账变成了从用户向平台转账，因此用户需要有银行卡的转账权限。由于持卡人的账户安全性可以得到最大程度的保证，虽然转账操作比较麻烦会影响用户体验，但这种方法在互联网金融平台上被高度接受。然而，由于目前银行正在进行各种体验升级，每个银行的安全级别都不一样。一些银行尝试创新业务，小额转账所需的授权级别很可能相对较低。如果被欺诈者破解并用于捆绑卡，则可以在该平台上实现大量投资交易。

四元素卡片装订

目前，最快的绑定卡方法首先应用于第三方支付平台(如支付宝)上的银行卡认证。经过多年验证，安全级别相对较高。然而，这种卡绑定方式依赖于用户银行为手机号码预留的短信验证码，因此短信运营商的安全措施和用户手机信息的安全要求非常高。

但事实证明，短信验证码很容易泄露。此前，曾有欺诈者通过移动运营商的短信保险箱业务窃取用户验证码的案例；同时，诈骗者可以通过植入伪基站、病毒链接、病毒二维码等手机木马拦截短信，通过社交工具伪装熟人来欺骗短信验证码。

四个元素加上取款密码来绑定卡片

对四要素信息和银行预留的手机号码验证码进行验证后，添加银行卡的取款密码。这也是银联目前实施的一种更安全的验证方法。然而，在互联网平台上输入银行卡取款密码需要用户强烈的信任感。同时，取款密码的输入也依赖于各种插件或SDK，这使得平台集成更加困难，影响了平台体验的统一。因此，目前使用这种方式打扑克的平台并不多。同时，这种卡绑定方法也不是无限制的。虽然有一层额外的密码保护，使诈骗者更难窃取，但目前密码泄漏非常严重，更不用说许多人的密码实际上与他们的个人信息有关。因此，尽管这种卡绑定方法的安全性得到了提高，但是利用率不高。

总结表格，总结互联网金融平台上几种卡绑定方式的特点

安全

便利

使用率

用少量的钱打一张卡片

█

████

█

小型转账卡装订

████

██

███

四元素卡片装订

████

███

████

四要素+取款密码绑定卡

█████

█

█

互联网金融平台应该如何应对

1.同样的牌进进出出

也就是说，资金完全与银行卡捆绑在一起，以保证投资到哪里，回报到哪里，实现资金的闭环，例如，一个经纪公司的银行卡账户。

用同一张卡进出可以最大限度地保证资金的安全。即使有盗窃行为，资金也只能在同一张银行卡上转移，诈骗者不能拿走。因此，目前证券公司、基金和保险用户的资金几乎都是用同一张卡进出，互联网金融平台也越来越多地采用同一张卡进出的方案，这是平台确保客户资金安全的金锁。

2.提醒和教育用户

尽管该平台可以通过输入和输出同一张卡来切断现金提取，但欺诈者的诡计是无穷无尽的，他们总能找到突破口。

有一个典型的案例:一个老阿姨因为信息泄露被骗子通过社交工具骗走，最后在某个平台上被盗，完成了一笔150万元的资金交易。发现异常后，她直接打电话给银行拒绝交易，基金销售平台的投资基金都是用同一张卡进出的，所以平台最终帮她取消了订单，并告诉她钱是下午3点以后到的。这时，骗子假装是网络警察调查员，打电话给老阿姨说她的账户涉及银行卡诈骗，并要求她把钱转到所谓的安全账户。由于骗子描述的信息非常准确，阿姨没有起疑，最后亲自将刚刚追回的赃款转给了骗子。

在这种情况下，虽然最终的欺骗与互联网金融平台没有直接关系，但互助黄金平台仍然有责任和义务提醒和教育用户。例如，可以提醒用户警惕冒充成年人和警察的骗子，不要信任所谓的安全账户，不要泄露短信验证码，不要点击不熟悉的链接，不要随意输入个人信息，如银行卡密码。

3.长期风险控制措施

从长远来看，互联网金融平台还可以尝试一些更有效、更有力的风险控制措施，增加验证手段，提高信息窃取的难度，如将四元认证升级为基于卡的认证，增加视频认证，这大大增加了欺诈的实施难度。

同时，互联网金融平台可以利用行业风险数据黑名单数据库，通过访问一些第三方平台进行匹配查询，识别风险用户。

此外，可以加强行为分析的风险控制。通过行为分析、网络分析等。，识别风险行为，然后及时制止。风险识别模型也可以通过机器学习逐步建立和完善。中国一家大型第三方支付公司通过账户、身份、交易、行为、关系、设备、位置和偏好八个维度进行风险扫描，识别和拦截大量盗窃行为。目前，其资产损失率为1/10万，识别率非常高，而贝宝的资产损失率约为2/1000。对于没有构建类似功能的平台，他们可以通过引入第三方风险控制公司的系统来主动防御。

面对骗子的疯狂盗窃，作为互联网金融平台，有责任做出有力的回应。如果用户资金的安全得不到保证，我们怎么谈财务管理？然而，我们也应该认识到，骗子的欺诈手段层出不穷，永远不会有措施一劳永逸。相信随着互联网金融平台技术水平的提高和风险控制措施的加强，骗子的生存空间将会越来越小。

富网产品部高级经理黄