虚拟银行卡高危情报预警： 仅需身份证+姓名信息可开通名下银行卡

虚拟银行卡高危情报预警

2018年12月27日，经情报人员分析确认，因业务技术逻辑漏洞，攻击者可利用他人（以下称受害人）身份证和姓名信息开通受害人名下银行卡，经验证，开通类型为Ⅱ类和Ⅲ类虚拟银行卡。该类虚拟银行卡主要用于绑定支付宝、微信以及其他金融产品，更严重的可能用来批量洗黑钱。

过程还原

攻击者利用伪造身份证工具，生成受害人姓名+身份证ID，无需任何验证直接绕过银行APP，输入特定的卡号和接收验证码的手机号，便可成功开通银行卡。

风险评估

从发现漏洞的潜伏期到爆发期仅仅8个小时，黑产就开了近万张虚拟银行卡，该类银行卡主要在洗钱、骗贷、薅羊毛等场景上被恶意使用。

CE安全网了解，涉及该业务银行漏洞的分行共有近50余家，其中大部分银行已关闭了该漏洞风险。

风控建议

1、 各大第三方支付平台增加对以623170开头实名认证的银行卡风险判断，以免给真实用户造成经济损失及其他危害。

2、 CE安全网会将该批虚拟银行卡账号反馈给被攻击银行，供银行增加风控措施。

3、 个人用户如想查询是否名下有非本人的银行卡，可去央行征信获取征信报告得知。