我们平台最近被支付公司告知,发生了好多起用户的银行卡被盗刷,需要我们平台赔付的事情。于是我们开始着手调查,一开始以为是我们系统的漏洞,排查了一遍,后来客服经过和受害人联系,发现了规律,这次被盗刷的都是从来没有注册我们平台的用户,黑客帮用户注册绑卡后,直接向借款人出借,借款人收到钱后,因为我们平台提供垫资,因此直接提现了。整个流程里,在银行绑卡这个环节中,用户是怎么能正确输入被盗刷银行的校验码的呢,用户反馈说,他们晚上睡觉的时候的确是收到了验证码,但是也没有搭理它,但是却被黑客拿到了。这个问题的解释只有一个了,黑客是可以通过木马监控用户的短信的。
调查清楚了整个事情的来龙去脉后,我们就得着手解决这个问题了,要不然第三方支付公司就不和我们合作了。用户的手机已经不可靠了,不能指望通过短信验证码来识别用户本人了。我想到可以通过语音验证码来识别用户,如果是晚上,用户不会接收短信,那么黑客也拿不到短信验证码。就算是用户能接电话,其他程序捕获语音通话记录的可能性应该也不高,就这这个问题,我让一个程序员研究了一下,他说系统软件才有权限获取话筒的录音,其他的程序只能通过microphone来录制声音,他录了一段话筒的声音,反正声音极小,不排除用户能分辨出来的可能,但是这种方案已经是我们能最快增加黑客盗刷难度的方案了。在哪里添加语音验证码也是个问题,最安全的方案是凡是用户刷卡的地方都增加一次语音识别,但是用户体验不太好,最后决定,根据这次黑客作案的特点,把之前盗刷的用户账号全部封掉,在绑卡的地方增加语音验证码,在修改绑卡手机号的地方增加语音也验证码。
但是这个方案也有问题,如果黑客控制用户手机呼叫转移了呢。我们接下来考虑通过采集用户录像,然后调用第三方图像识别,和身份证比对这个方式,感觉成功率还可以,最终采用了这个方案,感觉线上的反馈还可以。
扫一扫
845
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
