發布時間:2018-11-04
瀏覽次數:552
2018年1月,互聯網金融風險分析技術平臺對1529家互聯網金融平臺網站漏洞情況進行了抽樣檢測,按風險的強弱等級進行統計,其中高危評級網站占比12.4%,中危評級網站占比52.5%,共發現安全漏洞達7210個,這些漏洞包括跨站腳本漏洞、SQL注入漏洞等,它們是互聯網金融平臺屢屢遭遇黑客攻擊的直接原因。事實上,這樣的安全漏洞就存在于用戶的日常生活里,其中之一,即是最常見不過的短信驗證碼。
不久前,一條關于“回復退訂短信,致多張銀行卡內大量存款在短時間內被盜”的新聞引發網友瘋轉,短信驗證碼的安全問題再次被推上風口浪尖。銀行卡不離身,密碼沒有泄露,卡里的錢卻不翼而飛,這是為何?原來,不法分子非法獲取了用戶的個人信息,利用短信驗證碼身份認證可輕易被劫持的漏洞,通過銀行卡快捷支付綁定和密碼找回功能,對用戶的銀行卡資金實施了非法轉移。
如今,銀行卡被“盜刷”已經不是新鮮事兒,但令人不安的是,由于移動支付的普及,這類盜刷行為越來越多的出現在了互聯網金融領域,讓大批用戶損失慘重。此類事件的發生,映射出短信驗證方式不可忽視的弊端。
當下,出于成本低且操作便利等原因,短信驗證碼身份認證是大多數銀行和支付平臺最常用的移動身份認證方式。但由于業務系統與用戶手機短信之間是依靠單向的信息傳遞,短信驗證碼身份認證極易發生短信通道被劫持、引導用戶誤入釣魚網站和中木馬病毒的問題,進而引發驗證碼劫持、中間人攻擊、非授權訪問等安全威脅,引發賬戶資金盜用的悲劇。原本用于安全認證身份的短信驗證碼,如今卻成了犯罪分子侵害公民財產的“幫兇”。不過這并不意味著安全認證身份難以做到,面對愈發嚴峻的行業形勢,中國移動率先提出了更優化的解決方案——移動認證。
移動認證基于運營商獨有的數據網絡認證能力,為企業提供全面的用戶賬號使用和用戶數據管理一站式解決方案。其一鍵免密登錄利用數據網關獲取登錄用戶本機號,并進行免密驗證碼登錄,降低用戶手輸賬號密碼繁瑣流程,消除短驗被劫持的風險,為風控環節預判提供基礎信息。
其本機號碼校驗能力則利用數據網絡自動校驗本機號碼與需校驗號碼的一致性,返回是/否結果。用戶使用手機號碼在銀行/互聯網企業APP里操作關鍵步驟時,通過本服務自動校驗所用號碼安全性,若非本機號碼則發起安全性拒絕,確保用戶的轉賬匯款安全。
互聯網金融的本質是金融,金融的關鍵則在于風控,而除了加強市場監管,互聯網金融平臺本身亦有責任做出有力的應對,維護行業的安全發展和用戶的切身利益。盡管不法分子的犯罪手段隨著科技發展層出不窮,但同樣地,科學應對的手法也在不斷嚴謹更新,像移動認證這樣可以為用戶帶來雙重安全保護的認證方式也陸續出現,我們仍應對互聯網金融的明天抱有信心。