移动支付的普及极大地方便了我们的生活。但与此同时,移动互联网领域的支付犯罪大幅增加,尤其是银行卡盗刷的事件就频频发生。
一
有统计表明,2016年全国银行卡盗刷共计7095次,累计造成客户损失1.83亿元人民币。在这些案件中,约有23%的盗刷渠道为网银支付,65%为快捷支付。最近一年多的情况并未有本质改善,银行卡盗刷事件仍然频繁见诸报端,而且犯罪分子的手段也越来越高超。
就在最近,警方又破获了一系列移动APP盗刷案件。受害人银行卡里的存款都是在睡梦中不翼而飞,一觉醒来,发现手机里还有相应交易环节的短信验证码。
根据分析,这是不法分子通过GSM劫持+短信嗅探的手段,盗刷或转移了受害人银行卡里的存款。
简单来讲,这种攻击手段主要分为以下几个步骤:
1.不法分子基于2G移动网络下的GSM通信协议并搭配专用手机,组装成便携式短信嗅探装置。
2.用伪基站搜取以其为中心、一定半径范围内的手机号码,然后在某些支付网站或APP的登录界面,选择用短信验证码登录,然后用短信嗅探装置来嗅探短信。
3.通过社工获取手机号码对应的用户身份证和银行卡号。
4.实施盗刷或转账等恶意操作。
二
那么,怎么样才能真正防止这类情况发生呢?有人建议,每个人一定要保护好自己的信息。
但这种建议无异于隔靴搔痒,因为一方面,人是信息安全最薄弱的环节,根本无法保证个人信息的绝对安全;另一方面,很多人的信息其实早已成为黑产手中的商品,不知被倒卖利用了多少遍。
三
在遭受损失后,很多受害人一怒之下将银行告上法庭,但银行也很委屈,因为不法分子有受害人的银行卡号、手机号、身份证号、短信验证码等信息,就可以冒用被害人的身份,整个盗刷流程其实是合规的。
这其实也说明了在层出不穷的攻击手段下,传统的身份认证方式已经不能确保银行账户的安全。因此,更应该从技术角度出发,优化甚至革新此前的身份认证方式,杜绝冒用身份情况的发生。据悉,锦佰安科技自主研发的SecID AI行为识别身份认证系统,就是一款确保用户本人登录银行账户的革命性的身份认证产品。
具体来讲,SecID通过卷积神经网络、循环神经网络、贝叶斯神经网络等机器学习模型,在用户无感知状态下利用传感器多维度、多规则地对用户日常登陆账户的操作行为和使用习惯持续深度学习。SecID为每个用户单独建立行为特征识别模型,在用户登陆账户时与本人进行相似度匹配,即可对用户身份进行确认,确保只有用户本人可以进行业务操作,即使密码泄漏也能保证账号安全。
因为每个人的行为特征是独特且不可复制的,所以通过这些核心技术,SecID不仅能阻止虚假机器操作,而且还能准确识别用户身份,从而可以在注册、登录、转账、支付等敏感性操作环节进行身份鉴别,或在大额交易时进行身份识别与授权,将试图冒用用户身份进行恶意操作的不法分子拒之“门”外。