远程开个户，我怎么隔空被黑产偷走了银行卡

发布时间：2019-05-28 15:23:24 所属栏目：建站来源：李勤

导读：副标题#e# 世界上最远的距离不是 520 我站在你面前，你没有发红包给我，而是你拿着一张百夫长黑金卡，而我，拿着一张每月余额艰难在正负间挣扎的银行卡。银行卡怎么了?谁还没有么? 有，现在远程开户就能办理。不仅是银行卡，电话卡、社保卡等也都可以远程

副标题[/!--empirenews.page--]

世界上最远的距离不是 520 我站在你面前，你没有发红包给我，而是你拿着一张百夫长黑金卡，而我，拿着一张每月余额艰难在正负间挣扎的银行卡。

银行卡怎么了?谁还没有么?

有，现在远程开户就能办理。

不仅是银行卡，电话卡、社保卡等也都可以远程办理。

呵，就算拥有的余额一言难尽，还是有人盯上我的银行卡，不过背后黑手的目标并不是简简单单这张“银行卡”。

今天，编辑与梆梆安全的高级安全顾问赵千里聊了聊，揭秘背后黑手如何在你远程开户的过程中搞小动作，他们的目的又是什么。

忧伤的金融业

以银行卡开户为例。

话说现在的银行储蓄卡基本分为三类：一类卡、二类卡、三类卡。

1.持有数量不同

一类卡一个银行只可以有一张;

二类、三类卡不限制。

2.交易限额不同

一类卡没有限额;

二类卡非绑定账户转入资金、存入现金日累计限额合计为1万元，年累计限额合计为20万元等。

三类卡余额不得超过1000元;非绑定账户资金转入日累计限额为5000元，年累计限额为10万元等。

在银行的操作中，一类卡开户必须用户到银行现场开户，但是二、三类卡可以远程开户。

远程开户的中心要义是：证明我是我，还要证明我是合法的我。

具体操作步骤是，先通过手机卡和对应的验证码通过第一层验证，再上传身份证的正反面信息，通过人脸识别通的验证，接着关联一类银行卡账号，最后，填写个人信息、电子签名等完成开户。

[图片来源：央视新闻]

看上去这些步骤都很简单，而且大大节约了去银行窗口现场开卡的时间，但是有很多安全风险，可以直接造成几类后果：

1.在银行搞活动时，批量开卡薅羊毛，套取现金;
2.利用第三方支付平台漏洞，用虚假账号盗取资金;
3.有些人向黑产贩卖虚假账户的信息，自己搞一把虚假账号，又通过黑产来贩卖做好的虚假账号的信息，实现“完美闭环”;
4.通过虚假的账号信息实施诈骗、洗钱等非法活动。

总之一句话，搞钱，干坏事。

黑产的 N 个诡计

我们来看看黑产的招数：

第一招，偷梁换柱。

攻击者想用别人的身份信息注册，但手里没有别人的手机卡，得不到验证码，怎么办?他想到了一招——自己找一个170号段的非实名制手机号接收短信，通过第一关。

但是，问题来了，这个170的手机号也不是别人的真手机号，他是怎么蒙混过关的?

原来，最终提交的数据是非法手机号，服务端验证会出错，但是攻击者将提交验证的数据劫持并将手机号改成了别人的真手机号。

第二招，临门一脚截胡。

攻击者上传假照片，虚假手机验证码等，虽然这些验证环节均失败，但是在最后后台结果返回时，篡改结果，由于这几项信息没有连接起来统一认证，服务端认为“结果对”则“程序对”，前面一系列认证都算通过。

第三招，谁真谁假?

攻击者用真实信息开户，真实信息开户上传到服务端时，服务端明确信息没有问题，返回的数据允许正常开户，你以为他要开具一张真卡?错，攻击者把服务端发回的数据包改成验证失败，客户端拿到服务端验证失败的结果后选择再提交一次，由于客户端身份已经被认可，服务端会接受后续客户端发送的数据，这时攻击者通过篡改的方式提交一次虚假信息，就能实现使用虚假信息的虚假开户