互聯網金融平臺綁卡漏洞：短信驗證碼很容易泄露

互聯網金融經過近幾年的瘋狂生長，目前大小平臺有超過4000家，但各平臺的安全防護能力參差不齊，由于金融產品交易的特殊性，互聯網金融平臺逐漸成為騙子盯上的一塊香餑餑。

我們簡單地對互聯網金融平臺的盜刷事件進行了一下調查，就發現網貸之家關于銀行卡盜刷的帖子有近千個。業內某個著名的基金電銷平臺， 2016年8月第一周就出現600多人被盜刷。可以說，大量的盜刷行為正在互聯網金融領域引發一場“火災”。

在互金平臺，綁卡環節就是易燃物

傳統盜刷行為往往通過綁定第三方支付平臺，隨后在電商平臺分散消費轉移資金，騙子通過在電商網站上大量分散地購買游戲點卡、景點門票、酒店等商品進行資金轉移和提現。但分散消費會涉及第三方支付平臺和商品提供方，一方面異常消費可能被攔截，另一方面相關信息可能會暴露詐騙者的信息。所以對詐騙團伙而言，在電商平臺上盜刷，額度小、提現難、隱蔽性差，隨著第三方支付平臺風控措施的加強，難度也越來越大。

所以，相對于電商平臺，騙子似乎現在更喜歡攻擊互聯網金融平臺。通過攻擊互聯網金融平臺的綁卡環節，騙子可以獲得用戶的支付權限。互聯網金融平臺不涉及第三方支付和商品提供方，騙子作案比較隱蔽，同時因為是金融賬戶，用戶卡內金額往往也比較大，一旦獲得支付權限，騙子就可以用用戶的信息重新辦一張銀行卡綁定，然后將錢一次性轉走，用戶往往損失慘重。

如果盜刷行為是一場火災，那么互聯網金融平臺的綁卡環節就是引發火災的易燃物，但是，攻和守是一對矛盾。只要我們防守好綁卡環節，盜刷引發的各種火險隱患就可以被我們消除。

互聯網金融平臺常見綁卡方式的漏洞

小額打款綁卡

一種相對簡陋的綁卡方式，平臺通過用戶帳戶、姓名給用戶打入一筆小金額，用戶正確提交入賬金額給平臺，由此確定用戶對卡的所有權，完成綁卡。但是由于在銀行的安全體系里，賬戶的查詢權限比支付權限要低很多，渠道相對便捷，詐騙團伙通過簡化版網銀或通過銀行客服電話等查詢余額，完成銀行卡所有權的認證之后，就可以將卡的查詢權限提升為支付權限，隱患很大。

小額轉賬綁卡

與小額打款綁卡類似，把平臺轉賬給用戶變成了用戶轉賬給平臺，因此需要用戶擁有銀行卡的轉賬權限。由于能夠最大限度保證持卡人的賬戶安全，因此，雖然操作轉賬相對麻煩導致用戶體驗上會打折扣，這種方式在互聯網金融平臺中接受度較高。但是，由于目前銀行在做各種體驗升級，每個銀行的安全級別不盡相同，有些銀行做創新業務嘗試，很可能小金額的轉賬需要的授權級別比較低，如果被騙子突破用于綁卡，即可在平臺實現大金額的投資交易。

四要素綁卡

目前最快捷的綁卡方式，最早應用于支付寶等第三方支付平臺的銀行卡鑒權，經多年驗證，安全級別較高。但這種綁卡方式依賴于用戶的銀行預留手機號的短信驗證碼，因此對短信運營商的安全措施和用戶的手機信息安全要求都很高。

但是事實證明，短信驗證碼很容易泄露。此前有過騙子通過移動運營商的“短信保管箱”業務盜取用戶驗證碼進行盜刷的情況;同時騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機木馬攔截短信，以及通過社交工具偽裝熟人騙取短信驗證碼。

四要素加取款密碼綁卡

在驗證了四要素信息及銀行預留手機號驗證碼后，附加銀行卡取款密碼。這也是目前銀聯等推行的更安全的驗證方式。但是讓用戶在互聯網平臺上輸入銀行卡取款密碼需要很強的信任感，同時取款密碼的輸入也依賴各類插件或者SDK等，對平臺的集成難度加大，也影響平臺體驗的統一，因此目前使用此類方式綁卡的平臺不多。同時這種綁卡方式也不是無限可擊，雖然多了一層密碼保護，增加了騙子盜取的難度，但是目前密碼泄露非常嚴重，更何況很多人的密碼其實和他們的個人信息相關。因此這種綁卡方式雖然安全性有所提高，但是使用率也不高。

小結一張表格，綜述一下互聯網金融平臺幾種綁卡方法的特點

安全性

便捷性

使用率

小額打款綁卡

█

████

█

小額轉賬綁卡

████

██

███

四要素綁卡

████

███

████

四要素+取款密碼綁卡

█████

█

█

互聯網金融平臺該如何應對

1.同卡進出

即資金與銀行卡完全綁定，確保從哪里投資回哪里去，實現資金的閉環，典型的案例如券商的銀證賬戶。

同卡進出可以最大限度保障資金安全，即使發生盜刷，資金最終還是只能在同一張銀行卡內流轉，騙子無法取走。因此，當前券商、基金、保險的用戶資金幾乎都是同卡進出，互聯網金融平臺也越來越多的采用同卡進出的方案，這是平臺確保客戶資金安全的一把金鎖。

2.提醒和教育用戶

雖然平臺可以通過“同卡進出”掐斷提現，但是騙子的騙術層出不窮，總能找到突破口。

有一個典型案例：一個老阿姨因為信息泄露同時驗證碼被騙子通過社交工具騙取，最終在某平臺上被盜刷，完成了150萬的基金交易，在她發現異常后直接致電銀行否認交易，而基金銷售平臺的投資資金都是同卡進出，因此最終平臺幫忙撤單，并告訴她錢在下午3點后到帳。這時騙子冒充網警調查人員給老阿姨打電話說她的賬戶涉及銀行卡詐騙要凍結賬戶，要求她將錢轉到所謂“安全賬戶”內，因為騙子描述的信息非常準確，阿姨沒有起疑心，最終親手把把剛剛追回來的被盜資金轉給了騙子。

在這個案例中，雖然最終的被騙與互聯網金融平臺沒有直接關系，但是互金平臺還是有提醒和教育用戶的責任和義務。比如可以提醒用戶注意防范騙子偽裝成熟人、警察，不要相信所謂“安全賬戶”、不要泄露短信驗證碼、不要點擊陌生鏈接、不要隨意輸入銀行卡密碼等個人信息等。

3.遠期風控措施

遠期來看，互聯網金融平臺還可以嘗試一些更有效更有力的風控措施，增加驗證手段，提高信息盜取的難度，例如將四要素認證升級為卡密認證，以及增加視頻認證等，大大增加詐騙行為的實施難度。

與此同時，互聯網金融平臺可以利用行業內的風險數據的黑名單庫，通過接入一些第三方平臺可以進行匹配查詢，進而識別風險用戶。

此外，還可以加強行為分析風控。通過行為分析、關系網分析等對風險行為進行識別，進而及時制止。還可以通過機器學習逐步建立和完善風險識別模型。國內某大型第三方支付公司通過賬戶、身份、交易、行為、關系、設備、位置、偏好8個維度進行風險掃描，識別并攔截大量盜刷行為。目前，其資損率為十萬分之一，識別率非常高，而Paypal的資損率約千分之二。而對于還沒有組建起類似的能力的平臺，可通過引進第三方風控公司的系統進行主動防御。

面對騙子的瘋狂地瘋狂盜刷，作為互聯網金融平臺有責任做出有力的應對，如果連用戶的資金安全都無法保證，何談理財？但是我們也應該認識到，騙子的詐騙手段層出不窮，永遠都沒有一勞永逸的措施，兵來將擋水來土掩，相信隨著技術水平的提高和互聯網金融平臺風控措施的加強，騙子們的生存空間將會越來越小。