如果你還沒察覺互金行業的這個安全漏洞，那就危險了…

近些年，我國互聯網金融蓬勃發展，移動互聯網、大數據、雲計算、區塊鏈等新一代信息技術與金融業不斷深度融合，成為推動金融行業發展的巨大力量。然而，伴隨著網路技術應用水平的不斷提高，數據安全與用戶信息泄露等網路安全問題也日益突出，木馬殭屍病毒、釣魚網站等網路安全威脅更是愈演愈烈，互聯網金融運行平台安全正面臨著前所未有的嚴峻挑戰。

2018年1月，國家互聯網金融風險分析技術平台對1529家互聯網金融平台網站漏洞情況進行了抽樣檢測，按風險的強弱等級進行統計，其中高危評級網站佔比12.4%，中危評級網站佔比52.5%，共發現安全漏洞達7210個，這些漏洞包括跨站腳本漏洞、SQL注入漏洞等，它們是互聯網金融平台屢屢遭遇黑客攻擊的直接原因。事實上，這樣的安全漏洞就存在於用戶的日常生活里，其中之一，即是最常見不過的簡訊驗證碼。

不久前，一條關於「回復退訂簡訊，致多張銀行卡內大量存款在短時間內被盜」的新聞引髮網友瘋轉，簡訊驗證碼的安全問題再次被推上風口浪尖。銀行卡不離身，密碼沒有泄露，卡里的錢卻不翼而飛，這是為何？原來，不法分子非法獲取了用戶的個人信息，利用簡訊驗證碼身份認證可輕易被劫持的漏洞，通過銀行卡快捷支付綁定和密碼找回功能，對用戶的銀行卡資金實施了非法轉移。

如今，銀行卡被「盜刷」已經不是新鮮事兒，但令人不安的是，由於移動支付的普及，這類盜刷行為越來越多的出現在了互聯網金融領域，讓大批用戶損失慘重。此類事件的發生，映射出簡訊驗證方式不可忽視的弊端。

當下，出於成本低且操作便利等原因，簡訊驗證碼身份認證是大多數銀行和支付平台最常用的移動身份認證方式。但由於業務系統與用戶手機簡訊之間是依靠單向的信息傳遞，簡訊驗證碼身份認證極易發生簡訊通道被劫持、引導用戶誤入釣魚網站和中木馬病毒的問題，進而引發驗證碼劫持、中間人攻擊、非授權訪問等安全威脅，引發賬戶資金盜用的悲劇。原本用於安全認證身份的簡訊驗證碼，如今卻成了犯罪分子侵害公民財產的「幫凶」。不過這並不意味著安全認證身份難以做到，面對愈發嚴峻的行業形勢，中國移動率先提出了更優化的解決方案——移動認證。

移動認證基於運營商獨有的數據網路認證能力，為企業提供全面的用戶賬號使用和用戶數據管理一站式解決方案。其一鍵免密登錄利用數據網關獲取登錄用戶本機號，並進行免密驗證碼登錄，降低用戶手輸賬號密碼繁瑣流程，消除短驗被劫持的風險，為風控環節預判提供基礎信息。

其本機號碼校驗能力則利用數據網路自動校驗本機號碼與需校驗號碼的一致性，返回是/否結果。用戶使用手機號碼在銀行／互聯網企業APP里操作關鍵步驟時，通過本服務自動校驗所用號碼安全性，若非本機號碼則發起安全性拒絕，確保用戶的轉賬匯款安全。

互聯網金融的本質是金融，金融的關鍵則在於風控，而除了加強市場監管，互聯網金融平台本身亦有責任做出有力的應對，維護行業的安全發展和用戶的切身利益。儘管不法分子的犯罪手段隨著科技發展層出不窮，但同樣地，科學應對的手法也在不斷嚴謹更新，像移動認證這樣可以為用戶帶來雙重安全保護的認證方式也陸續出現，我們仍應對互聯網金融的明天抱有信心。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！