关于短信验证码:关于银行业钓鱼攻击风险提示的政策解读

41次阅读

共计 2921 个字符,预计需要花费 8 分钟才能阅读完成。

日前,中国银行保险监督管理委员会办公厅会办公厅下发《对于银行业蒙受短信钓鱼攻打无关危险提醒的告诉》,此政策告诉文件面向全国各银保监局、各政策性银行、大型银行、股份制银行、城商行、外资银行,笼罩整个银行业,各级部门告诉如下:

此次事件是从 2021 年 2 月份陆续产生,不法分子通过群发短信的形式,内容中多以手机银行生效或身份证过期等内容,诱导银行客户点击其中的伪造手机银行链接,使用户填入手机银行账号、登录明码、短信验证、交易明码等实在信息后,通过冒用客户实在身份信息登录手机银行进行转账操作,实现资金盗取。截止目前,已有数百名客户蒙受损失,被盗取资金 1000 多万元。

这个政策的背地,其实是随着国家金融科技的蓬勃发展,人工智能、大数据、区块链等新技术与金融业务的深度联合,促成了金融科技的转型,越来越多的金融机构都在应用手机 APP 来开展业务,但同时也遭逢了大量的金融平安攻打,特地是各种类型的钓鱼攻打,其中银行 APP 成为钓鱼短信的重灾区。本文将沿着这个思路进行具体的解读,并提出对应的解决方案。

一、银行业线上业务高速倒退

1.1 线下物理网点缩减

传统银行商业模式的外围是「笼罩更多人群以获取贷款或触达客户金融需要」。故在传统销售模式下,银行会一直增设网点实现业务转化。而在万物互联的明天,这一模式,正在产生扭转。

依据招商银行和中国银行在 2017-2019 年期间,线下网点裁撤散布数据来看,其中一二线城市物理网点占比招行超过 70%,中国银行也有 40% 的占比。能够预感,随着挪动互联网倒退,以及农村互联网的逐步遍及,传统的物理网点占比将进一步缩减。


数据起源:公开材料整顿

1.2 线上挪动端银行业务办理成为支流

相较传统网点,挪动银行对于银行业务的取代率较高,客户的接受度也较高,网点线上化尝试,从一二线城市疾速向全国各区域开展,网上银行 APP、微信银行等挪动端更加便捷的操作渠道受到了用户的青睐。

同时手机银行的遍及,越来越的的线下业务转移到线上办理,例如以往须要到银行柜台或 ATM 办理的转账汇款、投资购买理财、国债等业务均能够在银行 APP 挪动端实现,大大的节约了用户的工夫与效率。近年来手机银行 APP 独立设施数始终保持稳定增长,截止 2018 年 7 月份,手机银行 APP 月独立设施数已超过 3.2 亿,同比增长 44%。同时,人均单日应用次数靠近 3 次,同比增长 36%。


数据来源于《2019-2025 年中国手机银行 APP 行业市场需求预测及投资将来发展趋势报告》

疫情以来,全国各大银行线上累积用户数、日活跃度用户数大大晋升。依据中国互联网信息中心公布的第 45 次《中国互联网络倒退情况统计报告》,截至 2020 年 3 月,我国网民规模达 9.04 亿,较 2018 年底增长 7508 万,互联网普及率达 64.5%,较 2018 年底晋升 4.9 个百分点。如此宏大的互联网用户群体,促使手机银行的个人用户规模也在一直攀升,APP 建设经营逐步成为银行线上获客的重点渠道入口。


二、钓鱼短信在金融业日益高发

依据中国电子银行报告,截止至 2020 年第三季度,我国手机银行沉闷用户数高达 3.5 亿。随着线上用户规模的日益增长,银行业互联网金融安全监管也必然带来重大压力。与此同时,相干的法规及文件层出不穷,其中《金融科技 3 年布局》更是提出,要求加强金融行业危险科技防备能力,加强网上银行、手机银行、直销银行等业务零碎的平安防护程度,其中特别强调针对仿冒 APP、钓鱼网站、钓鱼短信的辨认处理能力的晋升。

据调查,常见钓鱼欺诈伎俩如下:
1、欺诈短信:不法分子利用手机短信,假冒银行名义向客户发送欺骗短信,宣称称客户中奖或账户被别人盗用等,要求客户尽快登录到短信中指定的网站进行身份验证。而该网站是不法分子建设的、用于套取客户信息的假网站,如客户登录该网站并进行操作,客户的卡号、明码、身份证件等信息将会被不法分子获取。

2、木马程序:不法分子通过木马程序等网络技术手段或其余伎俩,近程操纵客户电脑获取客户明码等认证信息,从而盗用客户资金。

3、垃圾邮件:不法分子以垃圾邮件的模式大量发送欺诈性邮件,这些邮件多以中奖、参谋、对账等内容,或是以银行账号被解冻、银行系统升级等各种理由,要求收件人点击邮件上的链接地址,登录一个酷似银行网页的界面,而用户一旦在这个指定的登录界面输出了本人的卡(账)号、明码等,这些信息就会被窃取。

4、混充的银行网站:不法分子在网络上设置与真银行网站域名类似或外观类似的站点,诱骗客户输出用户名及口令,盗取信息后进行网银转账。

以上几种钓鱼欺诈中,以钓鱼短信欺诈最为常见,银行公布的多个外部平安文件中都有提及,咱们具体的来理解一下它是一种什么样的存在?
钓鱼短信次要是黑产通过伪装成银行给指定用户或者群发用户发送相似账户提醒内容的相干短信,要求用户提供个人身份信息来验证银行账户的平安,随着欺骗短信作案者的教训回升,整个欺骗行业的分工越来越细成规模化,从搭建钓鱼网站、购买域名、服务器以及网站保护都由专门的包网服务商提供。这些包网服务商还开明了各类后盾管理系统,为料主提供全方位的服务,价格非常便宜;


受害人收到的扣款短信

钓鱼短信欺骗的外围,就是通过各类短信诱导受害者点击钓鱼网站,骗你填完各类信息后再盗刷银行卡。这些蕴含姓名、身份证、银行卡、手机号、验证码的信息,在黑话中叫做「料」,搞料的人叫做「料主」,搞料的过程就是「钓鱼」。


钓鱼网站欺骗全链条

三、解决方案思考

3.1 传统短信认证形式弊病剖析
在后面咱们曾经具体的剖析了黑产施行钓鱼欺诈的全链条,其中外围的环节就是短信的验证,不论是在钓鱼后期的短信群发,还是钓鱼中期的冒用用户身份登录银行 APP 零碎中的用户身份短信认证,以及钓鱼前期的盗刷洗钱,外围的作案工具都会应用到传统短信的认证形式。以下是例举为银行 APP 中利用传统短信作为用户身份认证的常见场景:

实例常见银行 APP 注册场景流程比照:

综上可见,在银行业手机端,传统短信认证形式的身影在各个外围场景都存在,因而钓鱼短信带来的安全隐患危险破绽大增不容忽视,是否能有新的一代技术创新解决方案代替传统短信的平安危险,带着这个问题咱们一起来看看极验推出的「无感本机认证」产品。

3.2 极验无感本机认证
极验新一代的身份认证解决方案「无感本机认证」,代替传统短信验证,既能躲避传统短信验证毛病:短信轰炸、短信钓鱼、短信谬误发送、短信通道梗塞、短信嗅探、第三方运营商用户信息泄露等诸多平安层面问题,同时在用户体验方面也能够解决传统短信存在延时发送不到,导致用户散失投诉等用户体验问题,极验新一代身份认证产品 - 无感本机认证实用于挪动 APP 终端、H5 以及微信小程序,具体体验 demo


极验单干银行业局部案例

结语
不论是从政策报告还是当下的金融互联网环境变动,银行大力发展互联网金融科技必然是趋势外围,而在大力发展的过程中,对于互联网安全危险的防备必定也存在诸多困难。平安危险的反抗是一场长久的博弈,咱们要在关注用户平安的同时,让用户体验也越来越优,操作越来越便捷,线上银行业务的倒退能力欣欣向荣,极验在这个过程中致力于用已有的 9 年反抗黑产风控的教训,32 万家服务客户的反抗数据,为金融账户打造新一代的平安与体验极致均衡的认证形式。

正文完
 0