深度|“奥巴马照片”身份证被用来开户盗刷,暴露了哪些风险漏洞?
订阅十字财经 掌握独家财经资讯
(设计台词 奥巴马:不关我的事!)
导
读
这一起蹊跷的银行卡盗刷事件背后的风险隐患不容小觑,暴露了银行账户审核不严问题,以及用户身份信息泄露情况下,银行卡开户链条、支付宝添加新卡找回登录密码功能存在被不法分子利用的漏洞空间。
尽管没有发生实际损失,潘女士对自己几天前遭遇的银行卡盗刷事件仍心有余悸。
3月3日半夜,潘女士收到招商银行短信显示其支付宝绑定的借记卡,被消费4笔总计5500元,潘女士当即选择了报警。
潘女士告诉经济观察网,自己的支付宝被新绑定了两张并非自己办理的虚拟借记卡,一张是交行、一张建行。
在和银行的进一步沟通中,潘女士得知,就在自己被盗刷的前一天,3月2日,不法分子利用其身份证信息在交行办理了一个二类户,并通过捆绑该二类户信息在银联云闪付APP陆续开出了两个三类户。
潘女士告诉经济观察网,据银行告知,自己此前在交行从未开具过一类户,该二类户开出时的用于比对的一类户来自“广东省某家地方性小银行”,但具体情况要到下周进一步知悉。尤为蹊跷的是,从交行的留存信息中看到,上述二类户的身份证照片居然是“美国前总统奥巴马的”。
经济观察网记者多方采访发现,这一起蹊跷的银行卡盗刷事件背后的风险隐患不容小觑,暴露了银行账户审核不严问题,以及用户身份信息泄露情况下,银行卡开户链条、支付宝添加新卡找回登录密码功能存在被不法分子利用的漏洞空间。
(支付宝寻找密码流程截图)
如何被盗刷
经济观察网采访多家涉事机构的内部人士并梳理出不法分子的作案路径:
首先,不法分子通过潘女士的身份证信息和自己的非实名手机号在“广东省某家地方性小银行”开出了一类户,开通一类户的目的在于将潘女士身份证对应的银行卡与不法分子持有的手机号进行挂钩对应。而后不法分子在交通银行通过绑定该一类户开出了二类户,由于该二类户号段已处于管控状态无法直接用于登录支付宝和微信,不法分子便利用银联云闪付APP的虚拟借记卡申请功能开出了交行和建行的三类户,由于三类户只需挂钩二类户就可开出,不法分子得以成功开出了两个三类户卡号。最后一步,不法分子则是利用支付宝添加新卡找回登录密码的功能,利用绑定两个虚拟借记卡重置了支付宝账户的登录和支付密码,不法分子真正在意的,是用户支付宝账号里或支付宝账号绑定的其他银行卡里的资金。幸运的是,当不法分子最后试图将资金转账到虚拟卡时,被支付宝的安全策略拦截了。
“在这个过程中,比较匪夷所思的是最初那张’奥巴马照片’身份证的二类户是怎么开出来的。从开户环节来看,二类户开户应该会去和身份证持卡人的一类户去进行信息比对,’奥巴马照片’身份证有可能是在一类户开具时就已经进入账户系统,因此在二类户开具时轻松地就通过了比对核查,当然也有不排除交行审核环节出现问题的可能性。”一家股份制银行电子银行部总经理告诉经济观察网。
“目前看来,这个用户(潘女士)的信息是遭遇了全方位的泄露。不但是身份证、手机号,包括她的支付宝和微信的账户信息都已经被不法分子获取,大概率是精准盗刷,”上述股份制银行电子银行部总经理表示。
漏洞出在哪?
“用户信息泄露和银行实名开户管理不严是这起风险事件背后最重要的推手。用户信息到底是在哪一个环节泄露的很难具体考证,但部分真实的用户个人信息结合一张假的身份证信息居然能过的了银行的审核系统,已经在很大程度上表明银行的风控不力。此外,支付机构通过银行卡找回登陆密码的环节中也可能存在严重的安全漏洞。”上述股份制银行电子银行部总经理分析称。
由于一类户是全功能的银行结算账户,因此风控审核是最严的,有面核亲签的要求,一般是柜面开立或者远程视频柜员机提交开户申请,银行工作人员核验身份信息。而上述“广东省某家地方性小银行”在开户面核环节的失职,为不法分子在此后若干个假账户的开立提供了操作空间。
此外,在盗刷套现的最后环节,支付宝添加新卡找回登录密码的功能存在被不法分子利用的风险隐患。相较而言,微信在通过绑定新卡找回密码的环节中,采取的是绑定新卡必须解绑旧卡的策略,以此隔离不同的银行账户之间的风险,并且给账户绑定的原有手机号推送了通知。 据潘女士回忆,其曾收到了微信的消息推送显示要绑定新卡,但到微信钱包查看之后发现没有绑上。
(微信寻找密码流程截图)
另一方面,根据《中国人民银行关于落实个人银行账户分类管理制度的通知》(银发【2016】302)的要求显示:“银行通过电子渠道非面对面为个人开立Ⅱ类户,应当向绑定账户开户行验证Ⅱ类户与绑定账户为同一人开立且绑定账户为Ⅰ类户或者信用卡账户。”而验证的信息则应当至少包括开户申请人姓名、居民身份证号码、手机号码、绑定账户账号(卡号)、绑定账户是否为Ⅰ类户或者信用卡账户等5个要素。由此可见,相较于一类户开户强制面核的要求,二三类户的开户,则只需比对一类户即可。
但上述银行人士补充分析认为,不少银行在二类户的开卡过程中,都已经具备了远程线上面核的环节。而无论“奥巴马照片”身份证是否是在交行的审核环节进入账户体系,显然,交行并未引入人脸识别的环节,从风控层面而言,存在提升空间。
接近银联人士表示,这个事件并不能说明云闪付App系统存在安全漏洞,从二三类户的设立初衷看,只要是为方便客户远程开户、提升体验。一方面云闪付APP在开户过程中遵循了所有的监管规定,三类户是通过二类或一类户的信息比对进行开户,实现小额即开即付的功能,另一方面三类户账户有严格的限额管理,总体上风险是可控的。
目前,从云闪付后台来看,仅仅支持上海银行、建设银行、广发银行等8家的三类户开户。所谓三类户,其账户余额不得超过2000元;非绑定账户资金转入日累计限额为5000元;消费和缴费支付、向非绑定账户转出资金日累计限额合计为5000元。
对于潘女士遭遇的情况,支付宝相关负责人表示,潘女士的个人信息严重泄露(支付宝登录名、姓名、身份证件信息等),盗用者为潘女士的支付宝账户绑定了虚拟卡同时重置了账户的登录和支付密码,后续用账户内绑定的招行快捷卡分三笔将款项充值到账户余额。但当盗用者试图将资金转出到虚拟卡时被我们的安全策略拦截,因此用户没有实际资损。其提醒,用户的个人信息安全要引起高度重视。
“在打造用户体验的过程中,便捷性和安全性永远是需要平衡的两个要素。但在银行和支付机构设计产品和流程体验的时候,还是应该以资金安全为本。”一位接近监管的人士如此评价。
目前,潘女士的上述三个银行账户都已完成销户。