芯盾时代友情提示:如果您收到一条“手机银行即将失效”的短信,千万提高警惕,别顺手去点“升级”。只要您点进去后就会被要求填写姓名、手机号、身份/证号、银行/卡号、验证码等信息,而一旦按要求操作,黑产会通过你填写的个人信息来盗刷银行/卡并洗钱变现。
身份欺诈愈演愈烈
据不完全统计,每年因欺诈造成的损失约为1.7万亿元。企业因此损失1.4万亿,个人损失约3000亿。美国国内税务署(IRS)的监察长发布的一份报告显示,身份盗窃行为在五年时间里带来210亿美元的欺诈性退税。
移动互联网时代,“用户名&密码+短信验证码”因其便捷性,成为广泛使用的身份认证方式,然而黑产通过三步即可攻破:
- 窃取用户信息:黑产通过拖库撞库、伪基/站钓鱼、免费wifi、改造POS等手段,非法获得用户个人信息,如用户名、密码、手机号和姓名等。
- 绕过设备绑定:黑产窃取用户信息后,以刷串号软件、模拟器等来绕过设备绑定。
- 窃取短信验证码:以恶意APP、基站无限拦截、嗅探等拦截&窃取用户的短信验证码,进而实施盗转盗刷、身份冒用等欺诈行为。
![图片[1]-阻断钓鱼短信诈骗 芯盾时代助力银行业务安全 – 作者:芯盾时代trusfort-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210304/1614843616_60408ee0765334e26b227.jpg)
钓鱼短信诈骗“方法”分析
- 冒充官方号码发送带有虚假链接的钓鱼短信,欺骗用户输入账户、支付密码和短信验证码等个人信息,而后以用户个人信息开通银行账户等,并绑定第三方支付,盗取用户资金和洗钱提现。
- 诱导下载非法APP,在后台通过常驻系统进程的方式,实时截获用户的认证短信验证码,从而冒充用户本人盗取资金。
芯盾时代基于零信任的多维场景化身份安全建设
银行短信验证码作为一次一密口令,从其生成、发送、到保存,各个环节都是明文,在用户接收和提交的过程中面临诸多威胁,任何一个环节都有可能被拦截,从而造成盗转盗刷等风险,带来高额的资金损失。短信验证码是目前公认的方便快捷、使用最广泛的认证手段之一,短期内不可能消失或被替代。因此,如何确保短信验证码不被拦截,或拦截后黑客不可用,成为解决该问题的关键因素。
芯盾时代基于多年的行业积累,通过设备认证、终端安全、身份识别、认证协议等核心技术,实现所知、所持、所有多维度的安全认证,对银行交易进行高强度保护,保障整个交易流程的安全,杜绝因短信验证码、账户、密码等丢失造成的盗转盗刷等现象的发生。
短信验证码的目的是验证用户的身份,而类似短信验证码这样单一因素的认证并不安全。芯盾时代将大数据风控技术与认证技术结合,人与设备进行强绑定,对用户的账号密码,设备信息和生物因素等进行验证,当出现不同设备登录或异地登录等异常操作,实时、自适应的推送涵盖设备、SIM卡、账户、时间、APP、生物、行为等多种维度认证因素进行安全识别,最大可能保护用户信息和资金的安全。
短信验证码安全机制薄弱,即使手机在自己手里,黑客仍可轻松拦截窃取短信验证码,但若在业务操作过程中,通过确认设备的安全性,可避免此类事件的发生。芯盾时代生物探针产品,通过设备传感器实时采集加速度、角速度、倾斜角度等随时序变化的物理信息,结合机器学习中的时间序列、异常检测等模型,构建基于用户生物行为的画像信息,极高地提升了认证系统的安全性。
![图片[2]-阻断钓鱼短信诈骗 芯盾时代助力银行业务安全 – 作者:芯盾时代trusfort-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210304/1614843633_60408ef11db2d25544157.jpg)
实践案例
芯盾时代基于白盒密码算法、设备指纹服务 (DFS)、智能终端密码模块(PMIT)等技术,成功为国内某股份制银行实施身份安全建设,主要应用在手机银行、内部员工的统一身份认证等场景。
手机银行
芯盾时代通过一次混合多种认证方式的强认证,实现用户身份与智能手机长期有效的强绑定。同时,基于优化后的白盒加密算法,保障交易通信的安全性。这不仅规避了依赖短信验证码单一认证方式所带来的风险,通过保障认证环节将交易风控前置;此外还节省了客户的短信流量成本,保证了用户在手机银行后续交易的体验。
内部员工
芯盾时代通过初始化的强认证方式,将客户员工 OA 的登录凭证、终端设备(手机)等信息绑定。并基于白盒加密,将员工手机转换为安全的身份认证工具,保证认证设备的合法性和唯一性。同时支持多种认证方式,例如动态口令、扫码、人脸、指纹、声纹等,这保证了员工在认证过程中便捷、几乎无感知的体验。
方案优势
- 实现账户、人、设备的强绑定,每次交易进行终端认证,并对短信验证码进行强加密,大幅度的提高了手机银行的安全性。
- 用户在进行交易时无需接入额外的硬件设备,且满足主管部门对手机银行交易的安全技术要求。
- 系统以SDK的方式进行集成,不改变原有的交易流程,原有系统改造小、接入便捷。
芯盾时代率先倡导并广泛应用零信任安全理念,自主研发的零信任安全产品对不同业务场景进行无间断风险监测,及时阻断异常操作,防止客户的账号冒名登录、操作和业务信息的泄露,为用户构建智能、自适应的业务安全保障体系。
目前,芯盾时代已获得500+家头部标杆客户的高度认可,为民生银行、北京银行、新韩银行、华夏银行、兰州银行、银河证券、华夏基金、华泰证券、安信证券、泰康人寿等300+家金融机构,提供业务安全整体防护体系;与中央网信办、水利部、北京市政府、中央党校、中煤集团、中国移动、中国联通、永辉超市、清华大学等数百家客户通力合作,以零信任安全体系,应对来自外部身份欺诈和内部信息泄露的风险。
来源:freebuf.com 2021-03-04 15:39:02 by: 芯盾时代trusfort
请登录后发表评论
注册