通付盾——金融科技安全行业领军品牌 风险决策平台 · 信用认证 · 多因子身份认证 · APP检测加固 技术专业 服务安全 体验快捷
QQ咨询 在线咨询 400-8318-116 免费申请试用
安全资讯
短信验证码隐患重重:谁将替代它
来源:本站原创 时间:2017-02-10 作者:盾盾


随着移动互联时代的发展与技术创新,商业银行也纷纷在网络金融领域重点发力,参与这场划时代的变革。截至2016年6月,我国网上支付用户规模达到了4.55亿,其中手机网上支付用户占比93%,快捷支付、移动支付已成为人们日常生活中不可分割的一部分。


然而,在复杂的互联网安全态势下,各类风险事件频发。如2016年4月,不法分子利用运营商网上4G自助换卡的业务漏洞,从用户手中骗取短信验证码后,补办了用户的SIM卡,将该SIM卡绑定的相关银行卡中的资金全部转移;6月,不法分子通过二次打包某APP,在APP中植入“木马”病毒,监控用户的短信验证码,获取短信验证码后将资金转移。


实际情况是,移动支付产品愈发便捷,各类诈骗手段也在不断升级,比如电信诈骗从传统的撒网式诈骗向结合用户信息的定点诈骗演化,而且往往结合移动端木马攻击等手法,仿冒用户身份,盗取用户财产。


银行业在重视用户便捷体验的同时,做好身份认证体系升级,换句话说,如何更高效地识别“你就是你”,迫在眉睫。可以说,唯有赢得用户的安全信心,在线金融业务才能走得更远。


账号密码、短信验证码能证明是你吗?


比如当用户登录银行APP时,只凭“账号+密码”就可以进行支付和交易等一系列操作吗?显然不是这么简单,为什么?因为每年都有大量的网上账号密码、银行卡等信息泄漏事件曝光,即使是大的在线服务商也不能幸免。


因此,除了账号密码验证,还有第二道身份验证程序,那就是短信验证码,用其来验证是否为本人操作,极简单便捷。相信大家都很了解,无非就是平台发送短信验证码4位或者6位数字到我们的手机终端,我们再将收到的数字输入平台,即可完成交易。


那么,手机短信验证码能保证安全吗?答案是不能。


为什么这么说呢,因为它并不能证明“你是你”,不法分子想要截取你的验证码,也是分分钟的事儿:


1“木马”病毒窃取手机验证码:


通常,木马会被不法分子伪装在看起来很正常的手机软件中,或者通过链接、图片等方式诱导用户下载或点击,一不留神,你的手机就会被种下“木马”, 将用户的涉及财产的应用账号密码重置,并拦截短信验证码,实现重置用户的账号,从而进行盗刷。


对大多数银行来说,PC端的网上银行业务广泛采用UKey数字签名技术,安全性高;对于手机银行,仍主要采用手机短信验证码的方式。而手机短信验证码方式安全性低,易被获取,难以对抗木马,所以,目前手机银行业务存在一定安全风险。


2补卡攻击—SIM卡被复制:


不法分子利用运营商补卡漏洞,对用户的SIM卡进行克隆,得到一个与用户相同的手机号,这样就能接收用户的短信验证码,并可以重置用户的各种账号,进行转移和窃取用户资金。


这个主要是部分地区的运营商对补卡人员的身份信息验证不严谨,导致出现了补卡攻击。


3无线电监听:


简单来说就是通过伪基站对用户手机进行监听,这里主要包括GSM监听,包括监听空中短信,直接获取短信内容,不过这种方式的成本较高,而且对距离有一定的限制,距离太远是不行的。


那么,账号密码怎么会落在不法分子手里呢?


你需要知道的是,目前我国网络诈骗黑色产业链规模超过1100亿元,从业人员160万人,2016年网民因为垃圾信息、诈骗信息和个人信息泄露等原因,导致损失约 805 亿元,七成左右的网民个人身份信息和个人网上活动信息均遭到泄露。所以说你的账密等信息可能早已泄露在网上。


有了账密,有了短信验证码,“谁都可以是你“。然而,短信验证码身份认证仍然是很多银行和支付平台常用的移动身份认证方式。诚然,短信验证码具有用户体验好,成本相对较低的优势,但其以短信发送单次密码的方式,安全风险显而易见。


央行新规落地加强支付结算管理


2016年9月,央行261号文件的发布为商业银行和支付机构防范打击信息诈骗、最大限度保护用户账户资金安全提供了强有力的政策支持。


《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》明确要求,非柜面业务超5万元,应当采用数字证书或者电子签名等安全可靠的支付指令验证方式;单位、个人银行账户非柜面转账单日累计金额分别超过100万元、30万元的,银行应当进行大额交易提醒,单位、个人确认后方可转账。



金融业需要怎么样的安全认证?


总的来说,当前银行系统常用的身份认证方式除了短信验证码外,还有令牌和U盾。


从安全性的角度考虑,U盾呢,无疑是这其中安全系数最高的认证方式,我们在电脑上操作网银转账时,通常会用到U盾,它可以保障我们的交易安全。但是,在移动互联爆发的时代,我们在登录手机银行APP操作时要随身携带U盾吗?显然,它的用户体验很差。


而在用户体验方面,短信验证码优于令牌,而令牌又优于U盾。也就是说,短信验证码作为身份认证方式的安全级别是最低的,但出于用户体验考虑,在身份认证领域仍然被广泛应用。


那么,到底有没有一种兼顾安全性和便捷性的身份认证方式,这才是用户所需要的。



兼顾安全与便捷的新一代身份认证

能够对抗黑产和不法分子花样百出的账号、资金盗取方式的,只有技术创新。在身份认证技术的发展浪潮中,通付盾的HUE多因子身份认证解决方案实现了兼顾安全与便捷的新一代身份认证。


HUE多因子身份认证产品采用通付盾设备指纹、时空码等多项安全专利以及PKI、数字签名等技术,实现了安全扫码、重要信息确认、生物识别特征等在内的多种身份认证方式。用户只需持移动设备(如手机)即可完成身份认证、电子签名,安全强度可媲美U盾,用户体验极佳!


移动端转账流程(以银行转账为例)

12.jpg


客户可根据不同的业务场景及风控需求,配置不同安全强度的身份认证策略,以平衡业务安全度与用户便捷性。多因子身份认证集成部署简单,兼容性强,适用于转账汇款、支付交易、信息修改、资金提现、流程审批等强身份认证要求的业务场景。


HUE多因子身份认证同样支持web端业务,移动设备可代替U盾,实现“手机在手,钱偷不走”!


再来看看它的核心技术有哪些?


设备指纹:

通付盾设备指纹基于国际领先的设备识别技术,通过快速获取上网设备的软件、硬件、行为等多项属性信息,为每一个操作设备生成全球唯一的设备标识号码,实现精准识别上网设备的历史操作轨迹,其独到之处是完整刻画“设备画像”。


时空码:

通付盾独有的核心技术时空码,通过动态算法、去中心化校验、设备指纹、传输加密、时间、空间、行为等多重安全因子的有机结合,作为底层技术植入身份认证产品中,实现精准识别企业平台用户真实身份,进而确保账号安全和交易安全等。


通付盾HUE多因子身份认证集安全与便捷于一身,在实现准U盾级认证方式的同时,用户通过安全信道,以手机为终端确认账户登录、转账等关键操作,便捷性甚至不输短信验证码,实现极致的用户体验,其有着其他认证手段所不可比拟的优势。


总之,把身份认证应用到网络安全中,首先要根据用户认证方式和实际需求来进行综合考虑分析,只要是能够满足用户的安全与便捷性就是最好的。在账号盗用情况日益猖獗、黑产技术水平不断升级的未来,通付盾HUE多因子认证的市场表现将越发值得期待。


通付盾科技

2016年2月10日



帮助文档
联系我们
  • 商务咨询:info@tongfudun.com
  • 售后服务:service@tongfudun.com
  • 市场合作:info@tongfudun.com
  • 英才招聘:jobs@tongfudun.com
  • 蓝海基金:bp@tongfudun.com
  • 联系电话:400-831-8116
随时随地了解通付盾动态 敬请关注:

通付盾
官方微博

通付盾
官方公众号