背景

在国内，一种常见的验证或登录措施是：扫描二维码后点击确认登录。
这种做法，常见的国民软件有微信，QQ等。QQ还好一些，在检测出疑点的时候，会提示用已经登录的设备扫码确认。

除了非金融类AP，金融类APP对欺诈检测则更为严格。常见银行的验证措施，基本是账号和密码登录之后，会发送一条短信验证码进行确认。这一点确认完成后，基本就可以正常登录了。
也有部分银行会采用二维码的方式进行验证，即在回到该银行的APP端，扫描二维码进行确认登录，就算是这种情况，欺诈者也有能力绕过。

屏幕共享

屏幕共享由来

屏幕共享这个操作，最开始是用于分享自己的屏幕，也有远程控制，记得华为很早出过亲情关怀，小手手机也有小米通话，这些手机厂商自研的APP，最开始的用意是，方便老年人。我当时还用过这个帮家里长辈进行APP的设置。

怎么成为行骗工具

这种屏幕共享的特点是，在输入密码时，接收方的屏幕会变黑，什么也看不到。出现这个原因，一般是使用了安全键盘，屏蔽了录屏接口，导致对方看到的是黑屏。
如果有验证码通知，欺诈者通过屏幕共享可以获取验证码。四位验证码大多能被完整看到，而五至六位的验证码则视手机而定。至于看不到的情况，欺诈者可能会用一些话术引导用户打开信息页面，从而看到关键信息。

可见，仅凭手机验证码通常不足以确保安全。对于Android手机，如果有安装一些不明软件，或者直接就是中了木马病毒，是可以静默转发手机短信验证码(简称OTP)。一些便宜的老人机，这种系统一般是定制的，有的是黑产故意放出来的，留有后门，可以用作接码等非常规操作。

二维码

在添加二维码之后，可以保证的一点是，用户需要登录对应的APP，而在登录对应APP时，会有一道风控措施，而登录APP之后，再去网银端扫码，则会有更多的信息。

国外的做法，有通过push机制，发送一个消息到安全设备上，点击同意之后，算是通过了验证。如果是要求较高的业务，则会要求你的手机与登录的地方，必须要同一个IP地址，如果不同，差别较大，则账号受限，还可能冻结账号，要提交相关证明才能解锁。

国内因为利益的问题，Android端各家厂商都不想放弃自己的推送，各个APP也是添加了自己的推送保持在后台服务，一些不法行为可能在默默启动中，比如搜集麦克风信息，刚谈论过什么，在刷购物软件时，立马就弹出相应的产品，甚至在与别人谈起要去什么地方旅游，然后对应的广告就来了。

所以，看起来，二维码是相对比较友善的方案了。二维码，一个常见的问题是，没法准确分辨出是用户扫码，还是欺诈份子扫码？所以，请出一套新的方案。

动态二维码思路

基本做法

前端二维码每隔N秒变动1次，轮询二维码是否有被扫描

防控思路

正常用户

如果你坐在电脑面前，掏出手机扫码，不会有任何问题。

异常用户

如果将这个二维码转发给他人扫描（欺诈份子通过钓鱼或者其他社会工程手段获取你的账号密码之后，联系你，发你一个二维码，让你扫描），因为二维码是动态的，在他人扫码的时候，二维码实际上已经变了，这个时候后台在过期二维码被扫描后，就能精准定位到这是一次异常登录事件。