监管趋严 三道防线解决银行Ⅱ、Ⅲ类账户安全风险
移动支付网 | 2019-04-04 10:10

导语:日前,中国人民银行支付结算司发布《关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》,笔者采访了梆梆安全专家,针对银行Ⅱ、Ⅲ类账户安全防护进行了一次采访。

随着近年来人民银行建立起三类银行结算账户管理体系,商业银行在与互联网、移动互联网实现更加紧密的融合,借助于Ⅲ类账户使得客户得以拥有了更为便捷的电子“零钱包”,如今大行其道的电子支付、移动支付恰恰证明了三类银行结算账户管理体系对互联网经济发展的正向推动作用。

监管日趋严峻的Ⅱ、Ⅲ类账户

而需要警惕的是,黑客、黑产也在针对三类银行结算账户管理体系中的Ⅱ、Ⅲ类银行结算账户展开研究,利用其中所存在的漏洞大量开卡广薅羊毛,甚至造成账户风险的交叉传染蔓延扩大。

金融安全无小事,为进一步保障客户和银行的合法权益,日前,中国人民银行支付结算司发布《关于加强个人Ⅱ、Ⅲ类银行结算账户风险防范有关事项的通知》。

要求“银行业金融机构(以下简称银行)应于2019年4月15日前对网上银行、手机银行、直销银行、手机App等电子渠道办理Ⅱ、Ⅲ类账户业务的相关系统及后台系统开展全面自查。

重点排查是否采取有效的技术手段保证前后端系统之间通信数据的机密性、完整性和可靠性,业务逻辑层面是否具备足够强度的安全验证和反欺骗能力。

对于接收到的账户信息验证交易是否严格按照清算机构技术规范准确核实相关信息并正确反馈验证结果,相关业务系统调整或功能上线前是否进行充分的回归测试,对发现的问题应立即整改。”

三类账户催动互联网经济发展

2015年央行发布《中国人民银行关于改进个人银行账户服务加强账户管理的通知》,将银行个人账户分为不同权限等级的三类账户。

其中Ⅰ类账户为全功能账户,相当于“金库”,可以存款、取现、转账、理财、消费缴费支付等等,其具体所对应的是人们日常所用的借记卡、储蓄存折。

Ⅱ类账户的功能就变少了一些,可以存款、理财、定额消费,但不能取现,且单日最高消费额度不能超过10000元,相当于“钱包”的角色。

Ⅲ类账户功能最单一,只能进行小额消费和缴费支付,类似于人们平常的“零钱包”,而且包里的余额还不能超过2000元。另外,Ⅱ类和Ⅲ类账户必须依附在Ⅰ类账户之上,只有已经开通了Ⅰ类账户的客户才能开通Ⅱ类和Ⅲ类账户。

三类账户建立的本意在于,方便存款人支付,为家人开放Ⅱ类和Ⅲ类账户功能;让开户可以突破地域限制,便于传统银行业务的跨区域推广;实现对银行卡被盗刷、不法分子洗钱等金融犯罪事件的打击。

时至今日,三类账户的作用日益显著,互联网经济因之而得以快速发展,手机电子支付正在逐渐成为人们日常生活中的主要选择。

黑产视角下的Ⅱ、Ⅲ类账户新价值

但某些业务漏洞、安全漏洞的存在,使得黑客、黑产也看到了Ⅱ类和Ⅲ类账户背后的更多“价值”:节约黑产成本,提升开户便捷性,通过大批量开立Ⅱ类和Ⅲ类账户去薅更多的羊毛。

梆梆安全专家研究发现,对于黑产而言Ⅱ、Ⅲ类账户的最大价值在于其开户过程的线上化,线上化就意味着会存在漏洞,存在可被利用的空间。

现在各家企业在优惠活动、新用户注册活动等过程中均需要绑定银行卡,同一卡号认定为同一新用户,以前由于Ⅰ类卡的成本高,这类优惠活动的可批量化执行收益有限。

Ⅱ、Ⅲ类账户的出现给了黑产从业者新的希望,拥有一张Ⅰ类卡意味着可以在不同银行开立多个不同的Ⅱ、Ⅲ类账户。

这种乘数级别的增长,使得黑产从业者的成本大大降低,找到各家银行开户环节的业务漏洞批量开立Ⅱ、Ⅲ类账户这一新的黑色产业链正在形成。

来自一份黑产贩卖银行卡产业链的调查显示,一套银行卡的售价在500元-1500元不等,这些银行卡的来源主要有两种:

一种是通过获取遗失或被盗的公民个人信息和身份证件,由黑产团伙人员前往银行办理银行卡;另外一种则来自于对他人闲置不用银行卡的收购。

虽然各大银行、监管部门等一直在整治银行卡非法买卖,但这种行为依然存在。

突破基线验证限制黑产流水线作业批量开户

目前,监管机构要求开立Ⅱ类账户需要验证5要素,Ⅲ类账户需要验证4要素,其他的限制措施则属于银行可选的限制措施。

虽然监管趋严,但当前还是可以通过地下黑产渠道购买到成套的:Ⅰ类银行卡、身份证(号/证)、网银U盾、手机卡、网银密码、支付密码,这意味现行的黑产体系完全能够满足监管机构的5要素验证要求。

同时,借助于某些业务逻辑缺陷(如被验证方系统实现缺陷、对于要素不正确的请求依然返回成功等),使得黑产可以在“未能完整有效验证4要素或者5要素信息”时,仅通过卡号和姓名即通过验证。

如今,黑产已经可以使用黑科技以流水线作业的方式实现批量开户操作。

黑产完善的自动化填充申请技术,大大提高了整个黑产的作案效率和试错效率。终端硬件及运行环境造假技术,则能够模拟、伪造多个新设备,甚至伪造多个IP地址进行正常申请操作,以此来欺骗服务端的业务安全风险防范规则。

在开户过程中往往需要进行证件拍照,以确保申请人本身真实拥有证件。目前,拍照环节大多会在App前端完成。

黑产在App调用系统拍照接口过程中,通过HOOK系统拍照接口的方式可以绕过拍照环节返回一张本地已经存在的照片,以达到无真实证件仅需一张照片即完成申请的目的。

加之人脸识别欺骗技术上的突破,账号开设中的身份证验证环节在被越来越多的绕过。

另外,现在大部分银行业客户的Ⅱ、Ⅲ类账户开户均可在App上完成,虽然绝大部分客户端App均采取了不同程度的代码安全防护措施,但由于部分App代码安全保护措施欠缺或安全强度较低,使得黑产能够破解其接口,直接通过脚本批量开户。

三道防线解决银行Ⅱ、Ⅲ类账户安全风险

银行Ⅱ、Ⅲ类账户面临的安全风险在与日俱增,那么除了要做好排查工作外,还需要构筑起如下三道防线,实现对银行Ⅱ、Ⅲ类账户的长久性安全保护。

第一道防线:基线安全防御

安全基线被突破是银行Ⅱ、Ⅲ类账户面临安全风险的主要原因之一,因此需要严格做好基线安全防御工作,包括:

(1)严格遵循监管要求的安全基线,做好开户环节的5要素、4要素验证,避免出现非Ⅰ类卡可批量开Ⅱ类账户的业务逻辑缺陷;

(2)做好App端的加固/混淆等代码保护措施,防止出现被破解导致的接口外泄;

(3)开展定期渗透测试,尽可能规避App自身业务逻辑缺陷所导致的批量开户风险。

第二道防线:业务安全监控

这是一个大安全的时代,对于银行Ⅱ、Ⅲ类账户安全风险问题的解决更需要从大安全角度,对业务安全问题实施缜密的监控,实现对风险威胁更为敏捷的感知。

这需要遵照中国人民银行2018年所发布的《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》里的要求,进行严密监控:

同一账户(包括同一银行卡、手机号码、身份证等)连续开立多个Ⅱ、Ⅲ类银行账户;同一持卡人大量办卡;

频繁开销户;用户使用同一终端设备(包括同一设备ID、同一网络地址等情况)连续开立多个Ⅱ、Ⅲ类银行账户;

用户使用同一身份或同一终端设备在短时间内开立多家银行的Ⅱ、Ⅲ类银行账户;

不同用户申请使用同一绑定账户或手机号码开立Ⅱ、Ⅲ类银行账户;

开户行为偏离多数用户的一般习惯,如在异常时间段、异常网络地址、异常地理位置等申请开立Ⅱ、Ⅲ类银行账户;用户使用的手机号码属于网络销售的虚拟运营商手机号码等等问题。

如果短时间内出现以下集中特征的安全风险则要提高警惕:

(1)绑定账户开户行集中在少数几家银行;

(2)用户集中在同一或相似年龄段;

(3)用户集中在相近的网络地址或地理位置;

(4)开户身份证号码集中在少数几个地区;

(5)用户手机号码集中在少数几个地区。

第三道防线:应用运行环境安全监测

最后也是非常重要的,建立好客户端业务App的安全防线,防范针对业务App及其运行环境的恶意攻击威胁。梆梆安全专家建议相关安全从业者做好如下几项安全防护工作:

(1)检测App代码保护措施是否被攻击,如加固是否遭受攻击;

(2)检测终端是否是真实设备,警惕模拟器、多开器等;

(3)检测终端硬件设备信息是否遭篡改,伪装成为新设备;

(4)检测终端位置(GPS)信息是否遭篡改,真实地理位置信息被恶意隐藏;

(5)检测App是否被黑客渗透测试攻击,导致业务逻辑缺陷被暴露;

(6)检测终端操作系统是否被ROOT/越狱;

(7)检测终端操作系统中是否安装有Xposed等黑客攻击框架;

(8)检测系统接口是否已被HOOK攻击,导致拍照等无法正常执行。

Ⅱ、Ⅲ类银行账户对于未来银行业务在广阔网络空间里发展有着极为重要的作用,而攻防之间的博弈也会随之而长久存在,因此需要银行网络安全管理部门、专业网络安全企业共同努力,实现相关网络安全防护体系的逐步完善与强化。

如需APP安全测评(免费),请联系移动支付网姜风,手机/微信:18002540911 备注:测评。

相关阅读
一文读懂Ⅱ、Ⅲ类账户安全 中金网安 | 2019-05-15
移动金融应用面临的风险及应对思考 中国农业银行科技创新社区 | 2015-07-01
PC版  |  关于我们  |  联系我们
Copyright © 2011-2019 移动支付网
粤ICP备11061396号-5