多家银行设立金融科技公司，金融科技领域会发生什么变化？你怎么看？

2020年，对每个人都是非常艰辛的一年，也是金融 科技 沧海桑田的一年——线上金融进入强监管时代、金融 科技 监管框架雏形已现、银行掀起分布式核心建设的浪潮、区块链王者之相毕现、5G成为金融业门口的“野蛮人”。

让我们回首2020年，总结金融 科技 的高光和落寞，并由此展望金融 科技 的2021年。

线上金融，强监管降临

2020年开始，互联网贷款、供应链金融助贷、网络小贷、互联网保险、理财子公司的理财代销业务都受到严格限制。

2020年7月17日，中国银保监会发布了《商业银行互联网贷款管理暂行办法》,明确了 商业银行不得以任何形式为无放贷业务资质的合作机构提供资金用于发放贷款，不得与无放贷业务资质的合作机构共同出资发放贷款。 互联网贷款授信审批、合同签订等核心风控环节，应当由商业银行独立有效开展。商业银行对于互联网贷款借款人的身份核验，不得全权委托合作机构办理。

2020年9月23日，中国人民银行、工业和信息化部、司法部、商务部、国资委、市场监管总局、银保监会、外汇局联合发布《关于规范发展供应链金融支持供应链产业链稳定循环和优化升级的意见》，明确规定，不得无牌或超出牌照载明的业务范围开展金融业务；各类第三方供应链平台公司不得以供应链金融的名义变相开展金融业务。 未来无经营许可的供应链助贷将会受到打击。

2020年11月2日，中国银保监会、中国人民银行共同发布了《网络小额贷款业务管理暂行办法（征求意见稿）》， 叫停了网络小贷的跨区业务， 要求和流量平台注册地统一，明确了网络小贷公司在联合贷款中出资比例不得低于30%，明确了100万的单户贷款余额上限，限制了控股跨区域网络小贷公司的数量，提升了资本金的要求。

2020年12月14日，银保监会发布实施《互联网保险业务监管办法》，明确规定 非保险机构不得开展互联网保险业务。 互联网保险业务包括：一是提供保险产品咨询服务；二是比较保险产品、保费试算、报价比价；三是为投保人设计投保方案；四是代办投保手续；五是代收保费。与此形成鲜明对比的是，2020年5月2日，银保监会印发《关于推进财产保险业务线上化发展的指导意见》，要求 到2022年，车险、农险、意外险、短期 健康 险、家财险等业务领域线上化率达到80%以上。

2020年12月24日，华东地区某银保监局下发《关于进一步规范辖内存款市场若干问题的通知》。通知显示，该局明确要求辖内各类型银行机构不得通过第三方互联网平台或与其他第三方中介合作的方式吸收存款，已经开展合作的，即日起下架相关存款产品，终止合作。 第三方互联网平台未来将不能做存款业务，银行机构也要未雨绸缪，开拓互联网平台之外的存款渠道。

2020年12月25日，银保监会发布《商业银行理财子公司理财产品销售管理暂行办法（征求意见稿）》，明确规定， 未经金融监管部门许可，任何非金融机构和个人不得直接和变相代理销售理财产品。 那么，那些未经金融监管部门许可的互联网平台、产业链平台，是不能对外销售理财产品的。

线上金融强监管的大环境下，监管鼓励金融机构发展自有线上渠道，但是外部线上渠道将一片萧条。持牌金融机构是该“断、舍、离”，放弃只提供资金、依赖互联网渠道快速上量的打法了。撸起袖子，做笨功夫，自建特色场景，融入到产业链中去，“扎硬寨，打笨仗”，打造自有品牌金融产品，为自己的金融消费者提供本土化、差异化、可以持续促进粘性的场景服务，才是正途。未来也许会出现一种趋势，金融机构开始发展非金融业务了，银行的人开始给农民卖菜了，保险的人开始做 健康 科技 了，支付的开始做餐饮外卖了，未来金融机构招聘，可能不需要懂金融学的了，懂农业、物流、生物 科技 等的，可能更吃香。

金融 科技 ，监管框架初现

2020年是金融 科技 监管措施密集出台的一年，金融 科技 发展指标、金融 科技 监管沙盒、国家金融 科技 认证中心、国家金融 科技 风险监测中心都在这一年内尘埃落定。未来，金融 科技 产品要通过认证，要通过监管沙盒充分测试，并在风险检测中心的监测下，才能为金融机构提供服务，可以说并不容易。

2020年10月，中国人民银行发布《金融 科技 发展指标》标准，该标准从战略规划、组织架构、金融 科技 资金和人才投入、线上智能服务情况、风控能力、专利、软件著作权、金融 科技 应用和输出等方面对金融 科技 发展指标进行了详细阐述，对统计和量化考核金融机构的金融 科技 成果意义深远。

2020年人民银行共公布了9地64个金融 科技 监管沙盒项目。北京侧重于AI和区块链，深圳、雄安新区、苏州重点是数字人民币的试点；重庆侧重于风控技术对于小微金融 科技 和农村金融促进；上海侧重于基于区块链和大数据的产业链金融风控技术促进金融和产业链和数字政务的融合；杭州侧重于大数据、区块链和分布式账本技术；广州侧重于跨境金融服务安全和小微金融风控，这是因为广东外贸金融服务较多，制造业的小微也较多。

这9个地区基本上是一线城市，也是中国经济最为发达和活跃的地方，在这些地方做金融 科技 监管沙盒，有助于结合当地经济的产业链和 社会 生态，有助于做促进金融更好地融合实体经济的良好实验。另外，这些地方都有非常多的金融 科技 企业，可以为金融 科技 监管沙盒提供更多的技术支撑和实验样本。进一步试点，一要考虑小微企业客户的获得感，感知强不强作为评价依据之一，不能只是金融机构和金融 科技 企业试点，要了解客户对于试点的感觉；二要促进金融和场景、产业链的融合，这一直是金融行业的大问题，监管可以鼓励金融机构通过物联网、生物识别和AI等金融 科技 加深和产业链的融合，并促进融合的深度和广度，促进金融真正的覆盖产业链金融的全链条。

2020年10月13日，重庆国家金融 科技 认证中心有限责任公司在重庆成立，该中心将依托国家统一推行的金融 科技 产品认证体系，打造金融 科技 认证核心竞争力，建设一流的权威专业化认证机构，成为我国金融 科技 多元共治体系的中坚力量。

2020年10月23日，在2020金融街论坛年会政策发布专场活动上，中国人民银行金融研究所副所长莫万贵表示，央行将在京设立国家金融 科技 风险监控中心，未来金融 科技 风险将纳入全国的统一监控。

从上面这些信息来看，金融 科技 的监管框架未来将非常严密，和贷款的分类分级监控是一样的，都要到微观级别。

金融云，分布式核心建设浪潮

中国银保监会发布的《中国银行业信息 科技 “十三五”发展规划监管指导意见（征求意见稿）》（下简称《征求意见稿》），于2016年7月15日公开征求意见。《征求意见稿》指出：积极开展云计算架构规划，主动和稳步实施架构迁移。《征求意见稿》要求： 到“十三五”末期，面向互联网场景的重要信息系统全部迁移至云计算架构平台，其他系统迁移比例不低于60%。

除了上面的《征求意见稿》，2020年央行重新发布了3个金融云相关的标准，给金融云的建设提供了明确和具体的指引。2020年10月16日，中国人民银行发布《云计算技术金融应用规范技术架构》（JR/T0166-2020）、《云计算技术金融应用规范安全技术要求》（JR/T0167-2020）、《云计算技术金融应用规范容灾》（JR/T 0168-2020）等三项金融行业标准，结合金融云的运行机制与风险特性，从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求。

2020年是十三五的最后一年，金融机构建设金融云系统的压力倍增。各家银行建设金融云大多选择分布式核心系统作为切入点，但是具体思路各不相同：

一些成立时间较长的银行，不会一下子就将全行的业务都转移到分布式系统上来，而是从财富管理、xyk业务和互联网渠道等方面为切入点，建设分布式数据库系统，这样影响较小，可以逐步试点，逐步推广。

工商银行对公（法人）理财系统2020年完成了从大型主机到基于分布式数据库的分布式架构的改造。

光大银行2020年自主研发POIN微服务系统，推广容器云平台，全行应用系统上云率87.5%，光大银行还基于 TiDB上线了面向新一代财富管理平台的分布式数据库系统。

中信银行和中兴通讯联合研发的分布式数据库GoldenDB上线中信银行xyk新核心，支撑8000万xyk用户，日均交易金额90亿人民币，通过了4500 TPS的压力测试。

最近成立的民营银行，因为 历史 包袱小，可以一上来就高起点建设线上线下一体化的分布式核心系统，为基于金融 科技 进行线上存贷业务展业和线下线上融合会员发展提供强大支撑。

江苏第一家民营银行-苏宁银行，定位于 科技 驱动的O2O银行，历时2年打造， 2020年上线了自主研发的行业首个线上线下一体化分布式核心系统“云开”。“云开”基于“苏宁云”的分布式架构，将银行线上线下核心业务处理有效整合到一套系统中，解决了传统银行线上线下双核心带来的“用户数据割裂”、“研发运维成本高”、“不支持高并发交易”、“产品研发交付慢”等严重问题，系统已承载苏宁银行2500万用户和300万账户的日常处理，每天交易笔数150万。

但金融机构真的需要分布式架构么？如果只是传统业务，其实传统数据库就已经足够。一些银行平时的TPS不会达到几千甚至上万的规模。但是银行做互联网转型总是要做一些事情，如果能顺带降低IT成本，提升业务需求响应的敏捷度，优化系统架构，那就是有好处的。

目前金融行业使用的还是较低技术层级的分布式数据库、中间件、虚拟化等云计算的能力，我们很多厂商更推崇的是集成别人的解决方案和开源代码，掌握和贡献核心原生技术的较少，缺乏在全球有影响力的云计算核心技术。

业界云计算领先的企业在核心技术上有了较大的突破。由NASA和 Rackspace公司发起的云计算开源项目-OpenStack 2020年发布了第21版的平台（代号Ussuri），包括支持裸金融硬件配置的Ironic、支持容器化部署的Kolla、支持容器间IPV6通信的Kunyr、支持边缘环境负载均衡的Octavia。2020年Red Hat公司发布了面向K8S、取代Docker的新容器运行时技术CRI-O，在容器市场掀起了新的浪潮。IBM基于IBM Z服务器的高可用服务、Promontory合规技术、OpenShift容器平台，发布了IBM金融服务公有云，Promontory在合规方面支持反洗钱、制裁、反腐败、隐私与数据保护、网络与信息安全、消费者保护等服务，非常契合金融机构的需求。苏宁金融 科技 也于最近发布了历时十年打造的移动端开发DevOps平台mPaaS，支持线上金融APP的快速搭建和生成，包括一套客户端原生框架和组件库：3大研发框架、20多个基础技术组件，30多个功能性组件；一个移动中台：提供研发、测试、发布、分析、运营全生命周期的支持；支持跨平台，可以实现开发一次多端投放，并支持多渠道的精准营销和运营。

区块链，王者之相毕现

区块链2020年技术进展朝向保护隐私和提升效率方面发展。比特币重点在以下三个方面提升隐私保护和智能合约能力，即保护隐私的聚合签名技术Schnorr签名，提升比特币隐私性的智能合约解决方案Taproot，可扩展比特币智能合约灵活性和扩展性的默克尔抽象语法树MAST。闪电网络开始出现多部份支付技术（multi-part payment），将发送的资金分割成较小的金额，通过闪电节点到达接收者，这已经有了TCP/IP和分布式金融的雏形，但是闪电网络也面临以太坊的DeFi体系WBTC的挑战。以太坊2.0（Ethereum 2.0, ETH2）2020年12月1日上线，以太坊2.0有两个重大升级，一是从PoW(Proofof Work，工作量证明)升级到PoS(Proof of Stake，权益证明)，通过验证器和存入以太币来构建区块，可节约电力；二是部署分片链（Shard Chains），可以大幅度提升以太坊的吞吐量到10万TPS级别。Fabric 2.0实现了智能合约的去中心化管理，CouchDB增加了状态数据库缓存提升读取效率，用Alpine Linux来打包Docker映像降低空间占用。

区块链应用方面，迎来了几个里程碑：

比特币单价突破3.2万美元，比特币在加密货币市值的占比突破70%，在全球法币市值排行榜中排名第20，达到4990亿美元，以市值论已经成为全球第一大“金融机构”，超过了4800亿美元的VISA；

中国央行的数字人民币已经通过红包和零售支付的方式在深圳和苏州试点，支持离线钱包线下二维码支付、线下“碰一碰”支付和电商线上支付等多种支付方式；

单季度交易额达2470亿美元的PayPal公司宣布支持比特币交易；

新加坡最大的商业银行星展银行推出基于区块链技术的数字交易平台，提供数字资产代币化（非上市公司的股票、债券和私募基金支持的数字代币）、数字货币交易（比特币、以太坊、比特币现金、瑞波币和新加坡元、美元、港元、日元的互相兑换）和数字资产托管生态系统（数字资产加密密钥）；

分布式应用DAPP，分布式市场DeMa都有了重量级的应用，比如海伯利安地图，等等。

区块链技术加速成熟和实用化，王者之相毕现，毫无疑问将成为未来数字世界的基石技术。区块链在构建分布式金融互联网、分布式市场、分布式应用方面进展非常迅速，未来很快就有比特币之外的杀手级应用。

5G，金融业门口的“野蛮人”

金融停留在移动互联网时代已经太久，移动金融APP目前已经让消费者审美疲劳。目前的场景金融也大多没什么新意，无外乎电子账户、贷款、结算等基本服务。5G，是可能会给金融服务带来较大变革的突变型技术，目前全球移动通信用户数为56亿，未来将有全新的5G金融形态，只不过目前还在萌芽。

5G的核心技术有频谱共享、载波聚合、大规模MIMO、固定无线接入、网络切片。5G数据传输速率最高可达10Gbit/s，用户体验速率达到100Mbit/s，比4G LTE快100倍。5G网络延迟极低，低于1毫秒，5G为30-70毫秒。5G支持超大网络容量，提供千亿设备的连接能力。网络切片可以实现网络资源的虚拟化。

5G消息，是基于GSMARCS标准，支持文本、图片、音视频等多媒体格式，支持个人和个人之间的交互消息，也支持行业客户与个人之间的交互消息。5G消息，可以和手机通讯录完美结合，可以基于运营商的海量实名信息，确保对个人身份的识别。5G消息是手机协议栈的一部分，和微信不一样，用户无需下载APP就可以使用5G消息。

5G目前在银行中的应用还比较浅层次。比如，建行主要在智能网点里应用5G，比如金融太空舱、智能家居、共享空间直播、客户成长互动、安防监控等。工行已经向部分客户试点推出5G消息服务，在短信页面就办理银行业务，涵盖投资理财、办卡、贷款、缴费、智能客服、网点预约等20余项应用场景。工行客户无需下载APP、打开微信就可以完成业务办理。民生银行重点通过5G提供APP端的服务语音导航，还提供财富讲堂、 财经 知识、子女教育、 健康 讲座、税务讲解等等生活百科式的内容服务，民生银行还通过5G提供账户信息即时通、大额转账、卡片激活、密码管理、资产证明开具等服务。

传统保险定损和理赔流程是比较繁琐的，虽然已经优化，但是从拍照片到联系理赔专员最快也要2个小时，车主要打7、8个电话才能完成理赔。众安推出了“马上赔”车险在线理赔，在一个视频通话里走完从报案、查勘、定损、交单、理算到核赔、结案全过程，最快可2分钟下款。平安好车主APP推出“信任赔”，只需车主将事故照片上传APP，车主就可驾车离开现场，在3分钟之内获得理赔款。

运营商是对5G生态控制最深的角色，而且现在很多运营商都有金融牌照和金融 科技 公司。5G是断代技术的典型代表，一种断代技术的崛起，一定会伴随着势力版图的重新划分。从目前来看，5G消息对微信的颠覆已经在路上，多媒体消息、社交、视频和直播已经完全不需要独立的APP，而且移动运营商掌握海量的实名用户的信息，5G时代客户也完全不需要银行APP就能办理金融业务。如果说过去的十年，是电商金融时代，那么未来的十年有可能是5G金融的时代。5G就是金融业门口的“野蛮人”。

展望2021年金融 科技 的模样

金融 科技 对金融行业形态的改变之快，会超出我们的想象。

纯线上风控将成为 历史 ，线下物联网技术将加速和线上风控融合，形成线上线下一体的风控体系，加速物理世界融合数字世界，现在的物联网动产质押、智能头盔尽调、卫星小微风控都是案例；在全球区块链社区的强大支撑之下，比特币、以太坊2.0、FABRIC等区块链的性能/隐私优化将坚定地进行下去，分布式金融传输技术将加速发展，和跨链/侧链等生态技术同步发展，将加速形成以互联网世界为基础的分布式金融互联网生态，精简一切金融中介和中间机构，让金融回归价值本源；5G将开始大规模取代现有的金融服务渠道如网页、APP、微信和小程序，也会让机器和人，乃至机器和机器之间的金融交互成为可能。

青山遮不住，毕竟东流去

这个变化从不同视角来看，肯定有不一样的答案，这里从 财经 的视角来回答。多家银行纷纷设立金融 科技 公司，明显可见“金融”+“ 科技 ”是一个未来的发展趋势。

这里先来明确下在我国“金融 科技 ”的实际内涵。具体来说就是，当前我国发展金融 科技 的侧重点主要是在“市场基础设施服务”的细分领域，更多是强调前沿各类技术对持牌合规金融业务的辅助、支持和优化作用，技术的运用始终是围绕“金融”的内在规律和监管要求来进行。

这次在金融 科技 领域，那么多银行的陆续进入，可见金融 科技 已被很多传统金融机构上升到战略层面的考量以及核心竞争力所在。而变化是不可避免的，要求这些传统银行必须在流程、产品、风控、运营、场景等多领域进行全方位提升，需要 科技 为其扩张边界。同时，当前互联网巨头还是把控着电商购物、社交运营等多重场景，银行想要单q匹马杀出一条路相对比较困难，因而金融 科技 领域的跨行业、跨地域合作就自然产生，也会是今后很多中小银行走特色化、本地化的一条有效出路， 科技 干好 科技 的事，金融做好金融的事，相互链接，共同为客户提供开放式、体验式的金融服务。

在我看来，由于前几年互联网发展的弯道超车，我国数字技术是比较强的，目前在全球金融 科技 领域，是处于主导地位。但在实际的经济运行中，很多领域都没有得到金融 科技 充分的服务，这是目前存在的矛盾点。因此，银行这个代表着国家意志的金融机构的加入，能进一步催化金融 科技 行业的快速蜕变。

这是不可逆转的趋势，不是银行想这么做是时代推动着银行这么做：

一，互金公司给银行上了一课，金融还可以这么玩，成本更低，利润更好，银行以前只圈定服务优质客户以达到利润最大化，后面发现所谓优质客户以外的客户利润更大。

二，传统银行不管是几级支行还是社区银行，受地域限制在，其实成本都是很高，一方面监管一方面成本，和获利都是不成正比的，而互联网平台受众全国成本更低相对利润就更乐观了！

三，银行传统的营销模式在渐渐失效，以前电台，户外媒体都是非常有效的，但是现在越来越差，被迫转型被迫创新！

一、钓鱼短信盯上银行用户

据美国网络安全公司proofpoint《2020 State of the Phish Report》数据显示，受疫情全球大流行影响，2020年全球钓鱼短信攻击的增长率超过300％。而其中，针对金融机构的网络钓鱼攻击占比最大，占所有攻击的22.5％。而在国内，这一比例更是高达26.88%：

近期「假冒银行短信钓鱼」案件频发，中国银保监会也紧急发文，就近期假冒多家银行名义发送服务信息的短信钓鱼诈骗行为进行风险提示：

种种迹象表明，黑产团伙已经盯上各家银行的用户，这将严重威胁到用户的财产安全，并对各大银行的品牌形象造成极为恶劣的影响。

早在2012年，全球每天有将近19亿条文字讯息通过WhatsApp等实时通讯软件传送，而传统短信则仅有17.6亿条。从那时起，每年都会有人喊出「短信已死」，结果人家非但没死，每天还变着花样，轮番轰炸你的手机：

营销泛滥的当下，流量转化成本越来越高，以槽点最多的开屏广告为例：

这种误点率极高的设计，就是为了让点击率能突破行业12%的上限。而短信则不同：

Mobile Squared的数据称，在所有营销渠道中，近九成的短信会在被收到后的三分钟之内被打开阅读，这一点是其他任何直接营销渠道所无法比拟的。

在独有的紧迫感下，短信催生了新的商机。除常规的短信验证码、服务类短信通知外，越来越多的银行使用文本消息进行新客营销，老客促活。越来越多的银行用户开始习惯，以短信文本消息与银行进行交互。而在不经意间，银行也帮助黑产团伙培养了用户习惯：

完美的钓鱼攻击环境，黑产团伙只需要模仿各大银行定期通过短信与用户互动，便可实施钓鱼短信诈骗。

根据FBI旗下互联网犯罪投诉中心（IC 3）的一份调查报告显示，在过去的三年里，全美因钓鱼攻击所造成的损失，超过260亿美元。而在我国，2020年以来，仅凭拦截下来的钓鱼诈骗信息，就为群众直接避免了将近1200亿元的经济损失。

在美国，摩根大通银行作为金融领域代表，与Netflix、苹果公司入选最受「钓鱼短信」模仿的热门品牌。而「假冒银行钓鱼短信」威胁，早已蔓延全球：

在国内，包括：民生银行、华夏银行、招商银行、众邦银行、贵州银行、嘉兴银行、湖州银行、昆仑银行、郑州银行等在内的多家银行纷纷通过官方渠道向用户推送风险提示，对冒充银行短信的新型诈骗手法进行预警：

三、钓鱼攻击背后的黑灰产

钓鱼式攻击（Phishing）作为最早的网络攻击类型之一，其 历史 可以追溯到上个世纪90年代。随着移动互联网的发展，传统钓鱼攻击下又演变出移动钓鱼攻击，其中短信钓鱼攻击（Smishing）就是传统钓鱼式攻击（Phishing）的变种：

作为移动威胁的一部分，「钓鱼短信」攻击已成为当下互联网的重要威胁。而随着各类信息及数据泄露事件的不断发生，包括：姓名、手机号、yhk号与身份z信息等一套完整的公民隐私信息，对黑产而言，已触手可得。

随着 社会 对钓鱼攻击的关注，传统的攻击手段逐渐为用户所熟识，简单的信息诱骗和相似网站内容的欺骗已经很难成功实现钓鱼攻击：

成本低，风险小，广撒网，多敛鱼的模式已不具备优势，黑产转而向专业化、组织化以及分工细致化发展。一条由包网服务、短信通道、盗刷通道、 游戏 代充等多个黑灰产业链共同参与的钓鱼短信诈骗组织逐渐兴起。

1.钓鱼网站：

作为诈骗的关键环节，这块基本也是除了数据外，黑产另一项硬支出。包括：仿冒银行域名抢注、各大银行官网的模仿、到大量的适配手机界面的钓鱼网站以及购买美国或者香港免备案服务器进行搭建后制作拦截程序。搭建一个完整的钓鱼网站下来，五年前的价格大概在上千元。

随着分工越来越细， 包网服务商 出现，他们为黑产提供包括：搭建钓鱼网站、购买域名、服务器租赁甚至网站维护在内的全套服务。为提升竞争力，服务商还开通了各类后台管理系统，为黑产组织提供「一站式钓鱼攻击服务」：

2.精准数据采购

为了提升钓鱼短信转化率，降低运营成本，黑产会向「数据贩子」购买数据。而数据商通过各种渠道，能够拿到各种行业的用户数据，其中以金融行业数据最为热销。通过黑市、暗网论坛以及社交媒体进行交易，优质的一手数据，按照1万条算，单价一般能到上千元。一旦黑产掌握了银行用户的真实信息，如姓名、手机号、身份z、yhk等重要隐私信息后，钓鱼短信的破坏性将得到质的提升。

3.伪基站发送钓鱼短信：

为了提升反侦察能力以及机动性，伪基站设备也在不断更新，由固定式变为移动式，由大功率变为小功率，由大体积变为小体积，使得违法犯罪分子携带更加轻便并实现移动攻击模式，比如，以每小时500元左右为酬劳或以合作分成的方式，让人带着设备穿梭于闹市区以及大型社区，「打一q换一个地方」。

现在，国内各大运营商和短信平台的风控机制越来越严格，发送这些钓鱼网站被拦截的概率越来越大，于是有些黑产开始用国际短信通道来发送信息，规避审核。这些国际短信通道也有专门的公司提供，一般5000条起发，每条3-4毛钱。

4.出料

当用户上钩后，黑场会将钓鱼网站后台所收到的数据进行筛选整理，利用各个银行的在线快捷支付功能查询余额。然后，直接消费、进行转账或第三方支付消费，而针对无法将余额消费的，将会以余额的额度以不同的价格出售（大部分会打包起来以每条1元的价格进行多次叫卖），余额巨大的有时还会找人合作进行「洗料」。

5.洗料：

黑产通过多种方式将「料」进行变现，一般开通快捷支付充值水电、话费、 游戏 币或者利用其他存在第三方支付转账接口和银行快捷支付漏洞等，将「四大件」变成现金后，通过各种规避追查的手段与合伙人按比例进行分账，日均收入都在6位数以上。

与此同时，钓鱼短信仍保持着快速的技术迭代与策略更新：

利用移动通信、短视频平台、富媒体类等营销场景，钓鱼短信所承载的内容也将愈发丰富。这些消息，用于诱使用户下载欺诈性应用程序或打开指向密码窃取或欺诈性移动站点的链接；

更具欺骗性的文本使用以及短链，向银行用户隐藏实际的欺诈目的。黑产利用合法URL+字符形式+高防域名，让假冒域名在移动设备的小地址栏中仅显示该域的合法部分；

配合强调消息的紧迫性以及很难抗拒的诱惑，进一步提升钓鱼短信转化率；

频繁发生的钓鱼攻击案件，正在造成各大银行线上用户的流失。赛门铁克的一项研究表明，将近三分之一的银行用户表示，由于担心遭遇钓鱼攻击，而被迫放弃对网上银行的使用。

随着钓鱼短信攻击的手段日益复杂，事件持续高发，让银行以及用户蒙受巨大损失，严重影响用户财产安全，并逐渐失去对银行的信心。作为交互安全领域服务商，极验将从企业与用户的交互视角，审视钓鱼短信攻击：

早在5年前的 KCon 黑客大会上，网络安全专家Seeker在《伪基站高级利用技术——彻底攻破短信验证码》中曾明确表示，短信验证码这种安全认证机制可被轻易突破，理应尽快放弃并使用更安全的认证机制。

GSM 伪基站的搭建：硬件：普通 PC、USRP B2X0 + 天线（或Motorola C118／C139 + CP2102）。软件：Ubuntu Linux、OpenBSC。OpenBSC：由Osmocom发起并维护的一套高性能、接口开放的开源GSM／GPRS基站系统。

针对短信验证码存在的缺陷与安全隐患，具体表现为：

显然，如果仅仅是依靠短信验证码来确认用户身份，具有一定的安全隐患。对于平台而言，除了短信验证之外，在涉及大额支付及修改用户交易密码等业务场景，增加新的验证手段刻不容缓。

替代方案：脱敏手机号+免短信登录

仔细研究黑产整个钓鱼短信攻击环节，短信是黑产突破银行防线的重要突破口。而在银行金融机构的关键业务关节，极验「无感本机认证」正在替代传统短信验证码：

作为身份校验的升级方案，极验牵手全国三大运营商推出「无感本机认证」。由运营商网关直接验证用户SIM卡中的手机号码，全程加密，替代短信验证码。从而让不法分子无短信可嗅探，从根源解决短信嗅探的风险。同时，也大大简化用户 *** 作流程，用户体验更加顺畅，有效提高转化率，帮助银行金融机构优化认证流程，助力拉新、留存、促活。

而对于银行用户，提升隐私安全意识，就能抵御超过一半的安全风险：《2019年数据泄露成本报告》中有一组数据，49％的数据泄露是人为错误和系统故障造成的，而这都让他们成为网络钓鱼攻击的牺牲品。

幸运的是，短信网络钓鱼攻击相对容易防御。你会发现，只要什么都不做，通常可以确保自己的安全。所以当遭遇疑似钓鱼短信的时候，不妨冷静下来思考三个问题：

当然，如果遭遇短信嗅探，则要迅速做出响应，例如：

作为银行用户，提高对移动安全事件的关注度和敏感度，对与个人关联的事件进行紧急响应，做好事后止损的工作。一旦遭遇以上情况，提高警惕，必要时可采取关机、启动飞行模式等应对措施应对。

可以预见，在之后数年，移动网络安全依然不容乐观。隐私泄露和移动攻击的泛滥和融合还会进一步加深，并导致网络攻击威胁泛滥进一步加深。对抗还将继续，不论是企业还是消费者，唯有不断强化安全意识，提升自身对抗风险能力，并做到及时排除风险隐患，才是不变的真理，从而让自己远离风险。

---