银行卡四要素验证是通过接入银联数据库，对用户提交的银行卡号、身份证号、手机号以及姓名进行核验，核验四个要素是一致，常用于在线支付、金融借贷等场景。

当用户需要办理新的银行卡时，银行各种人员会现场核验其身份证二要素信息并要求预留本人手机号码，银行卡四要素验证就是通过绑定银行卡的四项要素来核验用户身份的。

银行卡四要素验证由于是对多达四个要素进行匹配核验，属于比较严格的安全验证方式，但依然会存在漏洞的可能性，主要体现在身份信息核验、手机短信验证码盗用这两方面。

身份信息验证核验漏洞

银行为个人用户现场办理银行卡时，会对用户进行严格的身份核验，基本采取人工+人脸识别api接口的验证方式，但依然会有一些不太规范的小银行，做不到这样标准程度，让不法分子蒙混过关。

还有集体办理银行卡时也会产生漏洞，比如企业给员工统一办理工资卡，学校为入学新生办理储蓄卡等场景，没有办法进行现场身份核验，从而产生漏洞。

手机短信验证盗用漏洞

给用户手机植入木马病毒和短信劫持，是不法分子常用的盗用用户手机验证码的两种方式，前者一般借助钓鱼短信和恶意链接，让用户点击，以到达植入宾度目的;后者通过劫持安全等级最低的2G网络(目标多为中老年人群体)，轻松获取目标短信验证码信息。