基于“零信任”安全体系 芯盾时代阻断钓鱼短信诈骗

　　“八种绝不能点的银行卡诈骗短信！”“别人给我发短信说涉嫌诈骗他是怎么知道我各种信息的？”“警惕：冒充银行短信诈骗又现新手法！”

　　移动互联网时代，手机银行的应用已十分普遍，“用户名、密码+短信验证码”的方式因其便捷性成为广泛使用的身份认证方式。但如今，一条验证码的输入，竟会导致银行卡里几十万甚至更多的资金不翼而飞。

　　这并非偶然事件。据芯盾时代统计，就在今年年初，全国100余家银行被钓鱼短信攻击，盗刷金额超3000万元。而在更大的范围，据数据显示，截至2020年10月初，全国共破获电信网络诈骗案件15.5万起，同比上升65.6%；累计封堵涉诈域名网址21万个，拦截处置诈骗电话5100万余次、诈骗短信6.3亿余条，成功止付冻结涉案资金1000余亿元。

　　短信验证码的目的是验证用户身份。目前大部分APP通过账号加密码的形式即可登录，改密和交易的场景一般以短信验证码作为验证条件，便捷的同时，不免裹挟着一定风险隐患。并且，当下交易场景越发多元，风险更为复杂，不少APP为了追求用户体验，会直接开通小额免密支付的功能，前提依然是短信验证码。

　　然而，你所认为相当安全的短信验证码，其实可能危险重重。“短信验证码安全机制薄弱，即使手机在自己手里，黑客仍可轻松拦截窃取短信验证码。”芯盾时代CEO郭晓鹏在接受《金融时报》记者采访时表示，黑客通过三步即可攻破验证码防线。第一步，利用拖库撞库、伪基站钓鱼、免费WIFI、改造POS等手段，非法获得用户个人信息，如用户名、密码、手机号和姓名等。第二步，窃取用户信息后，以刷串号软件、模拟器等来绕过设备绑定。第三步，以恶意APP、社会工程学、钓鱼网站、基站无限拦截、嗅探等拦截，窃取用户的短信验证码，进而实施盗转盗刷、身份冒用等欺诈行为。

　　针对层出不穷的诈骗案件和不断翻新的作案手法，技术有了更好的应对方式。郭晓鹏指出，短信验证码有两个可能被盗取的节点，一个是运营商向用户手机发送验证码时被拦截，另一个是手机被植入木马，短信在手机上被‘偷走’，所以也应从这两个点切入来解决问题。

　　“技术可以做到在业务操作过程中确认设备的安全性，很大程度避免此类事件的发生。”郭晓鹏表示，要防止短信验证码被非法窃取，一方面要保证客户的手机上没有木马，操作环境可信；另一方面要通过设置个人化密钥来保证短信验证码安全可用，也就是“要确保你的验证码只有你的手机能用”。

　　据介绍，芯盾时代通过多因素认证（MFA）产品将手机打造成移动U盾，实现符合电子签名法的移动安全基线。另外，通过业务改造，除柜面、U盾之外的业务都需要移动端扫码或授权方可执行，即使用当前可信设备确认后续操作；通过全渠道交易反欺诈，实现对线上业务（网银、手机银行、微信银行、web交易、电子商城）实时监控，并阻断风险交易。

　　这一套方案是基于“零信任”安全体系所构建。郭晓鹏认为，想抵御黑灰产带来的威胁，需以零信任安全理念为基础，以“人”为核心，展开全方位防护，即网络中的任何“人”均不可信任，从设备、身份和行为等维度入手，持续验证“人”是否可信，并根据状态进行及时处置。

　　“不同的手机有不同的型号、使用时间、软件更新时间等，这些都是这台手机独一无二的标记。”郭晓鹏表示，芯盾时代将大数据风控技术与认证技术结合，人与设备进行强绑定，对用户的账号密码，设备信息和生物因素等进行验证，当出现不同设备登录或异地登录等异常操作，实时、自适应的推送涵盖设备、SIM卡、账户、时间、APP、生物、行为等多种维度认证因素进行安全识别，最大可能保护用户信息和资金的安全。

　　谈及芯盾时代打造的上述安全体系的优势，郭晓鹏表示，一是能够实现账户、人、设备的强绑定，每次交易进行终端认证，并对短信验证码进行强加密，大幅提高手机银行的安全性。二是用户在进行交易时无需接入额外的硬件设备，且满足主管部门对手机银行交易的安全技术要求。三是系统以SDK的方式进行集成，不改变原有的交易流程，原有系统改造小、接入便捷。值得关注的是，芯盾时代所采集的信息不涉及用户隐私，用户无须担心隐私泄露问题。

　　据了解，成立五年多以来，芯盾时代已与300多家银行客户展开合作，在营销反欺诈、交易反欺诈和信贷反欺诈、防范短信钓鱼等领域为客户挽回损失超过40亿元。

　　“防短信诈骗需要用户自身、技术公司以及监管等多方努力。如果因用户个人原因造成个人信息、验证码泄漏，比如帮不法分子完成第二台设备的激活或者帮不法分子确认交易、告诉其验证码等，目前无法通过技术解决。在技术防护到位的基础上，用户必须提高防诈骗意识。”郭晓鹏说道。