因業務技術邏輯漏洞,攻擊者可利用他人(以下稱受害人)身份證和姓名信息開通受害人名下銀行卡,經驗證,開通類型為Ⅱ類和Ⅲ類虛擬銀行卡。該類虛擬銀行卡主要用於綁定支付寶、微信以及其他金融產品,更嚴重的可能用來批量洗黑錢。
過程還原
攻擊者利用偽造身份證工具,生成受害人姓名+身份證ID,無需任何驗證直接繞過銀行APP,輸入特定的卡號和接收驗證碼的手機號,便可成功開通銀行卡。
風險評估
從發現漏洞的潛伏期到爆發期僅僅8個小時,黑產就開了近萬張虛擬銀行卡,該類銀行卡主要在洗錢、騙貸、薅羊毛等場景上被惡意使用。據瞭解,涉及該業務漏洞的銀行共有近50餘家,其中大部分銀行已關閉了該漏洞風險。
風控建議
1、 各大第三方支付平臺增加對以623170開頭實名認證的銀行卡風險判斷,以免給真實用戶造成經濟損失及其他危害。
2、 個人用戶如想查詢是否名下有非本人的銀行卡,可去央行徵信獲取徵信報告得知。
分享到:
閱讀更多 極客的世界 的文章
