用户5万余额被盗刷？MFA风险策略，分分钟克敌制胜！

没有任何操作，银行卡被转走5万元！！！

2019年7月4日凌晨3点多，海南省三亚市宋女士的手机上突然收到了几条短信验证码。不一会儿，手机又接到短信，显示她的银行卡被刷走了5万元。而这期间，宋女士并未进行任何操作……

刨析犯罪手段，“验证码”单因素认证或成元凶

据悉，这是一种新型银行卡盗刷手段，不法分子利用简易的“嗅探设备”和2G网络的加密技术缺陷，来截获用户的手机号和验证码，有了“动态验证码”就如同拿到了一把“万能钥匙”，不法分子仅使用“动态验证码”即可登录各类实名制软件，并从中获取到用户的姓名、身份证号、银行卡号等要素信息，从而完成银行账户“盗转盗刷”，而此过程完全无需受害者配合，细思极恐……

对于此类风险，网安专家提出了以下观点：

手机号极易被泄露，而验证码也有被拦截的风险，两者的结合认证本身就存在一定的安全隐患，企业/平台方应在此基础上增加其他的辅助认证手段，同时增强认证环节的风险识别能力，完善此类风险防控能力。

MFA风险策略，规避“快捷登录”的安全隐患

在日常的工作与生活中，很多应用平台和企业系统，为了方便用户登录或密码找回，采用了手机号+动态验证码的快捷登录方式，这很大程度上优化了用户的登录体验，但是当犯罪分子用“非常用设备“进行”异地登录“时，系统若未及时察觉到用户”登录异常“，就会让拦截到验证码的犯罪分子有了可乘之机！

提问

企业应如何规避此类风险？

派拉多因素认证（MFA）系统，会根据预先设置风险策略自动识别登录环节的风险因子、评估风险等级，并为此类风险匹配相应级别的身份认证方式。在常用（可信任）的登录环境下实现快捷登录，非常用（风险）环境下则自动触发系统风险策略，通过警告、阻止、不操作或二次认证的方式，对异常登录的账号进行拦截；

「异常网络」登录防御

可通过派拉MFA系统在“网络策略”中根据ip段配置常用网络，用户登录的ip如果处于该网络策略配置的ip内，则不触发异常网络风险，反之则触发。

「异常IP」登录防御

可通过派拉MFA系统在“IP策略”中配置“黑白灰”类型ip，

黑名单IP限制账号登录；

白名单IP不被任何条件限制，密码正确均即可登录；

灰名单IP和未知IP，登录时触发IP异常风险，进行强认证；

「非常用时段」登录防御

可通过派拉MFA系统在“日期策略”中配置“放行时段”和“限制时段”，放行时段内可正常登录，限制时段内登录将触发非常用时段风险策略。

「异地」登录防御

将用户访问IP和经纬度转化为用户登录城市,根据用户访问城市判断，未知城市或非个人常用城市登录，则触发风险“异地”登录风险。

「非常用设备」登录防御

根据用户系统、浏览器、ip地址、设备号确定设备指纹，用户登录时候系统将根据用户设备判断，未知设备或非个人常用设备登录将触发“非常用设备"登录风险

派拉多因素认证平台为企业提供验证码认证、互联网认证、二维码认证、动态口令、生物识别等多类型、多级别的登录认证方式。

在被信任的登录环境下，用户可通过账号+密码，或手机号+验证码等低级别认证方式进行登录；反之，系统则将依照策略为用户匹配相应级别的认证方式，引导用户进行二次强认证，或根据策略阻止该用户登录。

小结

就本案来讲，用户无法避免2G网络下动态验证码被拦截，但APP或平台可以在登录环节启用“多因素认证”风险策略，通过「异地」、「非常用设备」风险下的登录防御措施，阻止犯罪分子通过单一因素实完成虚假身份认证。

派拉MFA风险策略，保障常规用户快捷登录的同时，也可对潜在的登录风险进行全面分析与排查，实现智能风险分析、全面风险监控，提升业务系统风险应对能力！