互聯(lián)網(wǎng)金融經(jīng)過近幾年的瘋狂生長，目前大小平臺(tái)有超過4000家，但各平臺(tái)的安全防護(hù)能力參差不齊，由于金融產(chǎn)品交易的特殊性，互聯(lián)網(wǎng)金融平臺(tái)逐漸成為騙子盯上的一塊香餑餑。

我們簡單地對互聯(lián)網(wǎng)金融平臺(tái)的盜刷事件進(jìn)行了一下調(diào)查，就發(fā)現(xiàn)網(wǎng)貸之家關(guān)于銀行卡盜刷的帖子有近千個(gè)。業(yè)內(nèi)某個(gè)著名的基金電銷平臺(tái)， 2016年8月第一周就出現(xiàn)600多人被盜刷?？梢哉f，大量的盜刷行為正在互聯(lián)網(wǎng)金融領(lǐng)域引發(fā)一場“火災(zāi)”。

在互金平臺(tái)，綁卡環(huán)節(jié)就是易燃物

傳統(tǒng)盜刷行為往往通過綁定第三方支付平臺(tái)，隨后在電商平臺(tái)分散消費(fèi)轉(zhuǎn)移資金，騙子通過在電商網(wǎng)站上大量分散地購買游戲點(diǎn)卡、景點(diǎn)門票、酒店等商品進(jìn)行資金轉(zhuǎn)移和提現(xiàn)。但分散消費(fèi)會(huì)涉及第三方支付平臺(tái)和商品提供方，一方面異常消費(fèi)可能被攔截，另一方面相關(guān)信息可能會(huì)暴露詐騙者的信息。所以對詐騙團(tuán)伙而言，在電商平臺(tái)上盜刷，額度小、提現(xiàn)難、隱蔽性差，隨著第三方支付平臺(tái)風(fēng)控措施的加強(qiáng)，難度也越來越大。

所以，相對于電商平臺(tái)，騙子似乎現(xiàn)在更喜歡攻擊互聯(lián)網(wǎng)金融平臺(tái)。通過攻擊互聯(lián)網(wǎng)金融平臺(tái)的綁卡環(huán)節(jié)，騙子可以獲得用戶的支付權(quán)限?；ヂ?lián)網(wǎng)金融平臺(tái)不涉及第三方支付和商品提供方，騙子作案比較隱蔽，同時(shí)因?yàn)槭墙鹑谫~戶，用戶卡內(nèi)金額往往也比較大，一旦獲得支付權(quán)限，騙子就可以用用戶的信息重新辦一張銀行卡綁定，然后將錢一次性轉(zhuǎn)走，用戶往往損失慘重。

如果盜刷行為是一場火災(zāi)，那么互聯(lián)網(wǎng)金融平臺(tái)的綁卡環(huán)節(jié)就是引發(fā)火災(zāi)的易燃物，但是，攻和守是一對矛盾。只要我們防守好綁卡環(huán)節(jié)，盜刷引發(fā)的各種火險(xiǎn)隱患就可以被我們消除。

互聯(lián)網(wǎng)金融平臺(tái)常見綁卡方式的漏洞

小額打款綁卡

一種相對簡陋的綁卡方式，平臺(tái)通過用戶帳戶、姓名給用戶打入一筆小金額，用戶正確提交入賬金額給平臺(tái)，由此確定用戶對卡的所有權(quán)，完成綁卡。但是由于在銀行的安全體系里，賬戶的查詢權(quán)限比支付權(quán)限要低很多，渠道相對便捷，詐騙團(tuán)伙通過簡化版網(wǎng)銀或通過銀行客服電話等查詢余額，完成銀行卡所有權(quán)的認(rèn)證之后，就可以將卡的查詢權(quán)限提升為支付權(quán)限，隱患很大。

小額轉(zhuǎn)賬綁卡

與小額打款綁卡類似，把平臺(tái)轉(zhuǎn)賬給用戶變成了用戶轉(zhuǎn)賬給平臺(tái)，因此需要用戶擁有銀行卡的轉(zhuǎn)賬權(quán)限。由于能夠最大限度保證持卡人的賬戶安全，因此，雖然操作轉(zhuǎn)賬相對麻煩導(dǎo)致用戶體驗(yàn)上會(huì)打折扣，這種方式在互聯(lián)網(wǎng)金融平臺(tái)中接受度較高。但是，由于目前銀行在做各種體驗(yàn)升級，每個(gè)銀行的安全級別不盡相同，有些銀行做創(chuàng)新業(yè)務(wù)嘗試，很可能小金額的轉(zhuǎn)賬需要的授權(quán)級別比較低，如果被騙子突破用于綁卡，即可在平臺(tái)實(shí)現(xiàn)大金額的投資交易。

四要素綁卡

目前最快捷的綁卡方式，最早應(yīng)用于支付寶等第三方支付平臺(tái)的銀行卡鑒權(quán)，經(jīng)多年驗(yàn)證，安全級別較高。但這種綁卡方式依賴于用戶的銀行預(yù)留手機(jī)號的短信驗(yàn)證碼，因此對短信運(yùn)營商的安全措施和用戶的手機(jī)信息安全要求都很高。

但是事實(shí)證明，短信驗(yàn)證碼很容易泄露。此前有過騙子通過移動(dòng)運(yùn)營商的“短信保管箱”業(yè)務(wù)盜取用戶驗(yàn)證碼進(jìn)行盜刷的情況;同時(shí)騙子還可以通過偽基站、病毒鏈接、病毒二維碼等植入手機(jī)木馬攔截短信，以及通過社交工具偽裝熟人騙取短信驗(yàn)證碼。

四要素加取款密碼綁卡

在驗(yàn)證了四要素信息及銀行預(yù)留手機(jī)號驗(yàn)證碼后，附加銀行卡取款密碼。這也是目前銀聯(lián)等推行的更安全的驗(yàn)證方式。但是讓用戶在互聯(lián)網(wǎng)平臺(tái)上輸入銀行卡取款密碼需要很強(qiáng)的信任感，同時(shí)取款密碼的輸入也依賴各類插件或者SDK等，對平臺(tái)的集成難度加大，也影響平臺(tái)體驗(yàn)的統(tǒng)一，因此目前使用此類方式綁卡的平臺(tái)不多。同時(shí)這種綁卡方式也不是無限可擊，雖然多了一層密碼保護(hù)，增加了騙子盜取的難度，但是目前密碼泄露非常嚴(yán)重，更何況很多人的密碼其實(shí)和他們的個(gè)人信息相關(guān)。因此這種綁卡方式雖然安全性有所提高，但是使用率也不高。

小結(jié)一張表格，綜述一下互聯(lián)網(wǎng)金融平臺(tái)幾種綁卡方法的特點(diǎn)

安全性

便捷性

使用率

小額打款綁卡

█

████

█

小額轉(zhuǎn)賬綁卡

████

██

███

四要素綁卡

████

███

████

四要素+取款密碼綁卡

█████

█

█

互聯(lián)網(wǎng)金融平臺(tái)該如何應(yīng)對

1.同卡進(jìn)出

即資金與銀行卡完全綁定，確保從哪里投資回哪里去，實(shí)現(xiàn)資金的閉環(huán)，典型的案例如券商的銀證賬戶。

同卡進(jìn)出可以最大限度保障資金安全，即使發(fā)生盜刷，資金最終還是只能在同一張銀行卡內(nèi)流轉(zhuǎn)，騙子無法取走。因此，當(dāng)前券商、基金、保險(xiǎn)的用戶資金幾乎都是同卡進(jìn)出，互聯(lián)網(wǎng)金融平臺(tái)也越來越多的采用同卡進(jìn)出的方案，這是平臺(tái)確保客戶資金安全的一把金鎖。

2.提醒和教育用戶

雖然平臺(tái)可以通過“同卡進(jìn)出”掐斷提現(xiàn)，但是騙子的騙術(shù)層出不窮，總能找到突破口。

有一個(gè)典型案例：一個(gè)老阿姨因?yàn)樾畔⑿孤锻瑫r(shí)驗(yàn)證碼被騙子通過社交工具騙取，最終在某平臺(tái)上被盜刷，完成了150萬的基金交易，在她發(fā)現(xiàn)異常后直接致電銀行否認(rèn)交易，而基金銷售平臺(tái)的投資資金都是同卡進(jìn)出，因此最終平臺(tái)幫忙撤單，并告訴她錢在下午3點(diǎn)后到帳。這時(shí)騙子冒充網(wǎng)警調(diào)查人員給老阿姨打電話說她的賬戶涉及銀行卡詐騙要凍結(jié)賬戶，要求她將錢轉(zhuǎn)到所謂“安全賬戶”內(nèi)，因?yàn)轵_子描述的信息非常準(zhǔn)確，阿姨沒有起疑心，最終親手把把剛剛追回來的被盜資金轉(zhuǎn)給了騙子。

在這個(gè)案例中，雖然最終的被騙與互聯(lián)網(wǎng)金融平臺(tái)沒有直接關(guān)系，但是互金平臺(tái)還是有提醒和教育用戶的責(zé)任和義務(wù)。比如可以提醒用戶注意防范騙子偽裝成熟人、警察，不要相信所謂“安全賬戶”、不要泄露短信驗(yàn)證碼、不要點(diǎn)擊陌生鏈接、不要隨意輸入銀行卡密碼等個(gè)人信息等。

3.遠(yuǎn)期風(fēng)控措施

遠(yuǎn)期來看，互聯(lián)網(wǎng)金融平臺(tái)還可以嘗試一些更有效更有力的風(fēng)控措施，增加驗(yàn)證手段，提高信息盜取的難度，例如將四要素認(rèn)證升級為卡密認(rèn)證，以及增加視頻認(rèn)證等，大大增加詐騙行為的實(shí)施難度。

與此同時(shí)，互聯(lián)網(wǎng)金融平臺(tái)可以利用行業(yè)內(nèi)的風(fēng)險(xiǎn)數(shù)據(jù)的黑名單庫，通過接入一些第三方平臺(tái)可以進(jìn)行匹配查詢，進(jìn)而識(shí)別風(fēng)險(xiǎn)用戶。

此外，還可以加強(qiáng)行為分析風(fēng)控。通過行為分析、關(guān)系網(wǎng)分析等對風(fēng)險(xiǎn)行為進(jìn)行識(shí)別，進(jìn)而及時(shí)制止。還可以通過機(jī)器學(xué)習(xí)逐步建立和完善風(fēng)險(xiǎn)識(shí)別模型。國內(nèi)某大型第三方支付公司通過賬戶、身份、交易、行為、關(guān)系、設(shè)備、位置、偏好8個(gè)維度進(jìn)行風(fēng)險(xiǎn)掃描，識(shí)別并攔截大量盜刷行為。目前，其資損率為十萬分之一，識(shí)別率非常高，而Paypal的資損率約千分之二。而對于還沒有組建起類似的能力的平臺(tái)，可通過引進(jìn)第三方風(fēng)控公司的系統(tǒng)進(jìn)行主動(dòng)防御。

面對騙子的瘋狂地瘋狂盜刷，作為互聯(lián)網(wǎng)金融平臺(tái)有責(zé)任做出有力的應(yīng)對，如果連用戶的資金安全都無法保證，何談理財(cái)？但是我們也應(yīng)該認(rèn)識(shí)到，騙子的詐騙手段層出不窮，永遠(yuǎn)都沒有一勞永逸的措施，兵來將擋水來土掩，相信隨著技術(shù)水平的提高和互聯(lián)網(wǎng)金融平臺(tái)風(fēng)控措施的加強(qiáng)，騙子們的生存空間將會(huì)越來越小。