如果你还没察觉互金行业的这个安全漏洞,那就危险了…

来源:      2018-8-19 12:46:49      点击:
近些年,我国互联网金融蓬勃发展,移动互联网、大数据、云计算、区块链等新一代信息技术与金融业不断深度融合,成为推动金融行业发展的巨大力量。然而,伴随着网络技术应用水平的不断提高,数据安全与用户信息泄露等网络安全问题也日益突出,木马僵尸病毒、钓鱼网站等网络安全威胁更是愈演愈烈,互联网金融运行平台安全正面临着前所未有的严峻挑战。

2018年1月,国家互联网金融风险分析技术平台对1529家互联网金融平台网站漏洞情况进行了抽样检测,按风险的强弱等级进行统计,其中高危评级网站占比12.4%,中危评级网站占比52.5%,共发现安全漏洞达7210个,这些漏洞包括跨站脚本漏洞、SQL注入漏洞等,它们是互联网金融平台屡屡遭遇黑客攻击的直接原因。事实上,这样的安全漏洞就存在于用户的日常生活里,其中之一,即是最常见不过的短信验证码。

不久前,一条关于“回复退订短信,致多张银行卡内大量存款在短时间内被盗”的新闻引发网友疯转,短信验证码的安全问题再次被推上风口浪尖。银行卡不离身,密码没有泄露,卡里的钱却不翼而飞,这是为何?原来,不法分子非法获取了用户的个人信息,利用短信验证码身份认证可轻易被劫持的漏洞,通过银行卡快捷支付绑定和密码找回功能,对用户的银行卡资金实施了非法转移。

如今,银行卡被“盗刷”已经不是新鲜事儿,但令人不安的是,由于移动支付的普及,这类盗刷行为越来越多的出现在了互联网金融领域,让大批用户损失惨重。此类事件的发生,映射出短信验证方式不可忽视的弊端。

当下,出于成本低且操作便利等原因,短信验证码身份认证是大多数银行和支付平台最常用的移动身份认证方式。但由于业务系统与用户手机短信之间是依靠单向的信息传递,短信验证码身份认证极易发生短信通道被劫持、引导用户误入钓鱼网站和中木马病毒的问题,进而引发验证码劫持、中间人攻击、非授权访问等安全威胁,引发账户资金盗用的悲剧。原本用于安全认证身份的短信验证码,如今却成了犯罪分子侵害公民财产的“帮凶”。不过这并不意味着安全认证身份难以做到,面对愈发严峻的行业形势,中国移动率先提出了更优化的解决方案——移动认证。

移动认证基于运营商独有的数据网络认证能力,为企业提供全面的用户账号使用和用户数据管理一站式解决方案。其一键免密登录利用数据网关获取登录用户本机号,并进行免密验证码登录,降低用户手输账号密码繁琐流程,消除短验被劫持的风险,为风控环节预判提供基础信息。

本机号码校验能力则利用数据网络自动校验本机号码与需校验号码的一致性,返回是/否结果。用户使用手机号码在银行/互联网企业APP里操作关键步骤时,通过本服务自动校验所用号码安全性,若非本机号码则发起安全性拒绝,确保用户的转账汇款安全。

互联网金融的本质是金融,金融的关键则在于风控,而除了加强市场监管,互联网金融平台本身亦有责任做出有力的应对,维护行业的安全发展和用户的切身利益。尽管不法分子的犯罪手段随着科技发展层出不穷,但同样地,科学应对的手法也在不断严谨更新,像移动认证这样可以为用户带来双重安全保护的认证方式也陆续出现,我们仍应对互联网金融的明天抱有信心。