关于银行业钓鱼攻击风险提示的政策解读

日前，中国银行保险监督管理委员会办公厅会办公厅下发《关于银行业遭受短信钓鱼攻击有关风险提示的通知》，此政策通知文件面向全国各银保监局、各政策性银行、大型银行、股份制银行、城商行、外资银行，覆盖整个银行业，各级部门通知如下：

此次事件是从2021年2月份陆续发生，不法分子通过群发短信的方式，内容中多以手机银行失效或身份证过期等内容，诱导银行客户点击其中的伪造手机银行链接，使用户填入手机银行账号、登录密码、短信验证、交易密码等真实信息后，通过冒用客户真实身份信息登录手机银行进行转账操作，完成资金盗取。截止目前，已有数百名客户遭受损失，被盗取资金1000多万元。

这个政策的背后，其实是随着国家金融科技的蓬勃发展，人工智能、大数据、区块链等新技术与金融业务的深度结合，促进了金融科技的转型，越来越多的金融机构都在使用手机APP来开展业务，但同时也遭遇了大量的金融安全攻击，特别是各种类型的钓鱼攻击，其中银行APP成为钓鱼短信的重灾区。本文将沿着这个思路进行详细的解读，并提出对应的解决方案。

一、银行业线上业务高速发展

1.1 线下物理网点缩减

传统银行商业模式的核心是「覆盖更多人群以获取存款或触达客户金融需求」。故在传统销售模式下，银行会不断增设网点完成业务转化。而在万物互联的今天，这一模式，正在发生改变。

根据招商银行和中国银行在2017-2019年期间，线下网点裁撤分布数据来看，其中一二线城市物理网点占比招行超过70%，中国银行也有40%的占比。可以预见，随着移动互联网发展，以及乡村互联网的逐渐普及，传统的物理网点占比将进一步缩减。

数据来源：公开资料整理

1.2 线上移动端银行业务办理成为主流

相较传统网点，移动银行对于银行业务的取代率较高，客户的接受度也较高，网点线上化尝试，从一二线城市快速向全国各区域展开，网上银行APP、微信银行等移动端更加便捷的操作渠道受到了用户的喜爱。

同时手机银行的普及，越来越的的线下业务转移到线上办理，例如以往需要到银行柜台或ATM办理的转账汇款、投资购买理财、国债等业务均可以在银行APP移动端完成，大大的节约了用户的时间与效率。近年来手机银行APP独立设备数一直保持稳定增长，截止2018年7月份，手机银行APP月独立设备数已超过3.2亿，同比增长44%。同时，人均单日使用次数接近3次，同比增长36%。

数据来源于《2019-2025年中国手机银行APP行业市场需求预测及投资未来发展趋势报告》

疫情以来，全国各大银行线上累积用户数、日活跃度用户数大大提升。根据中国互联网信息中心发布的第45次《中国互联网络发展状况统计报告》，截至2020年3月，我国网民规模达9.04亿，较2018年底增长7508万，互联网普及率达64.5%，较2018年底提升4.9个百分点。如此庞大的互联网用户群体，促使手机银行的个人用户规模也在不断攀升，APP建设运营逐渐成为银行线上获客的重点渠道入口。

二、钓鱼短信在金融业日益高发

根据中国电子银行报告，截止至2020年第三季度，我国手机银行活跃用户数高达3.5亿。随着线上用户规模的日益增长，银行业互联网金融安全监管也必然带来重大压力。与此同时，相关的法规及文件层出不穷，其中《金融科技3年规划》更是提出，要求增强金融行业风险科技防范能力，增强网上银行、手机银行、直销银行等业务系统的安全防护水平，其中特别强调针对仿冒APP、钓鱼网站、钓鱼短信的识别处置能力的提升。

据调查，常见钓鱼欺诈手段如下：
1、欺诈短信：不法分子利用手机短信，冒充银行名义向客户发送诈骗短信，声称称客户中奖或账户被他人盗用等，要求客户尽快登录到短信中指定的网站进行身份验证。而该网站是不法分子建立的、用于套取客户信息的假网站，如客户登录该网站并进行操作，客户的卡号、密码、身份证件等信息将会被不法分子获取。

2、木马程序：不法分子通过木马程序等网络技术手段或其他手段，远程操纵客户电脑获取客户密码等认证信息，从而盗用客户资金。

3、垃圾邮件：不法分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对账等内容，或是以银行账号被冻结、银行系统升级等各种理由，要求收件人点击邮件上的链接地址，登录一个酷似银行网页的界面，而用户一旦在这个指定的登录界面输入了自己的卡（账）号、密码等，这些信息就会被窃取。

4、假冒的银行网站：不法分子在网络上设置与真银行网站域名相似或外观相似的站点，诱骗客户输入用户名及口令，盗取信息后进行网银转账。

以上几种钓鱼欺诈中，以钓鱼短信欺诈最为常见，银行发布的多个内部安全文件中都有提及，我们详细的来了解一下它是一种什么样的存在？
钓鱼短信主要是黑产通过伪装成银行给指定用户或者群发用户发送类似账户提示内容的相关短信，要求用户提供个人身份信息来验证银行账户的安全，随着诈骗短信作案者的经验上升，整个诈骗行业的分工越来越细成规模化，从搭建钓鱼网站、购买域名、服务器以及网站维护都由专门的包网服务商提供。这些包网服务商还开通了各类后台管理系统，为料主提供全方位的服务，价格十分便宜；

受害人收到的扣款短信

钓鱼短信诈骗的核心，就是通过各类短信诱导受害者点击钓鱼网站，骗你填完各类信息后再盗刷银行卡。这些包含姓名、身份证、银行卡、手机号、验证码的信息，在黑话中叫做「料」，搞料的人叫做「料主」，搞料的过程就是「钓鱼」。

钓鱼网站诈骗全链条

三、解决方案思考

3.1 传统短信认证方式弊端分析
在前面我们已经详细的分析了黑产实施钓鱼欺诈的全链条，其中核心的环节就是短信的验证，不论是在钓鱼前期的短信群发，还是钓鱼中期的冒用用户身份登录银行APP系统中的用户身份短信认证，以及钓鱼后期的盗刷洗钱，核心的作案工具都会使用到传统短信的认证方式。以下是例举为银行APP中应用传统短信作为用户身份认证的常见场景：

实例常见银行APP注册场景流程对比：

综上可见，在银行业手机端，传统短信认证方式的身影在各个核心场景都存在，因此钓鱼短信带来的安全隐患风险漏洞大增不容忽视，是否能有新的一代技术创新解决方案替代传统短信的安全风险，带着这个问题我们一起来看看极验推出的「无感本机认证」产品。

3.2 极验无感本机认证
极验新一代的身份认证解决方案「无感本机认证」，替代传统短信验证，既能规避传统短信验证缺点：短信轰炸、短信钓鱼、短信错误发送、短信通道堵塞、短信嗅探、第三方运营商用户信息泄露等诸多安全层面问题，同时在用户体验方面也可以解决传统短信存在延时发送不到，导致用户流失投诉等用户体验问题，极验新一代身份认证产品-无感本机认证适用于移动APP终端、H5以及微信小程序，详细体验demo

极验合作银行业部分案例

结语
不论是从政策报告还是当下的金融互联网环境变化，银行大力发展互联网金融科技必然是趋势核心，而在大力发展的过程中，对于互联网安全风险的防范肯定也存在诸多困难。安全风险的对抗是一场持久的博弈，我们要在关注用户安全的同时，让用户体验也越来越优，操作越来越便捷，线上银行业务的发展才能欣欣向荣，极验在这个过程中致力于用已有的9年对抗黑产风控的经验，32万家服务客户的对抗数据，为金融账户打造新一代的安全与体验极致平衡的认证方式。