上個月,上海警方抓捕了一個利用網上銀行漏洞非法獲利的幫派,該團夥利用銀行App漏洞非法獲利2800多萬元。
據悉,該團夥使用技術軟體成倍放大定期存單金額,進而非法獲利。理财邦的一篇文章分析了犯罪嫌疑人的手段:“犯罪嫌疑人馬某利用了銀行App中質押貸款業務的安全漏洞,借用他人存單辦理了存單質押貸款。”
從這裡來看,銀行的漏洞應該是兩方面,一方面是儲戶的賬戶資訊被洩露了,另一方面則是業務上的漏洞,即質押貸款上讓犯罪嫌疑人鑽了空子,得以利用洩露的儲戶資訊套現。
後續的報道印證了這個判斷,有媒體稱:
經過進一步偵查,警方還循線抓獲了非法出售個人身份資訊和銀行儲戶資訊的方某某以及倒賣此類資訊的鄧某某,并對其他倒賣個人資訊的犯罪嫌疑人進行布控。
目前,警方已将方某某、鄧某某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案銀行完成了安全漏洞的修複。
值得一提的是,這種金融犯罪比比皆是。2018年5月15日,銀聯官網釋出的安全提示稱,移動網際網路領域支付犯罪大幅增加,2017年,中國銀聯累計協助公安機關查辦案件累計3.18萬件。
銀聯表示,從作案手法表現來看,具有以下特點:一是電信詐騙形勢依然嚴峻,其中超過90%是由于個人資訊洩露所緻,已成為犯罪主要源頭;二是各種風險交織并存,利用網絡管道僞冒辦卡、通過APP軟體套現、無證機構侵占商戶資金等手段活躍;三是移動網際網路領域支付犯罪大幅增加。銀聯指出,通過社交網絡平台、欺詐APP軟體、惡意二維碼等進行詐騙的案件頻發,移動支付安全已經成為使用者最擔心的問題之一。
随着移動網際網路向人們生活各個角落的滲透,越來越多的App成為了工作和生活的好幫手,給社會帶來了巨大的變革。不論是智能手機,還是移動App,都成為了現代人“身體一部分”的延伸。然而人們在接納各種App的同時,也造就了一個個基礎資訊平台,使得移動安全的保障成為一個挑戰。
有調查顯示,目前金融行業移動App安全問題排名靠前的有敏感資訊洩露問題、資訊認證繞過問題,除此之外,他們也會被如下問題困擾,包括:資訊資料明文發送、通信資料可解密、敏感資料本地可破解、調試資訊洩漏、密碼學誤用、功能洩露、可二次打包、可調試、代碼可逆向等。如果把這些常見問題進行分類的話,則是三大類:通訊資料安全、本地資料存儲安全以及營運時的資料安全 。
造成這些問題的原因,主要是三個方面。一個是開發經驗不足,有些企業隻注重App的功能性,而忽略了安全性。其次是,投入的時間和經濟成本較低,認為這樣的投入足夠了,殊不知移動安全是一個長期攻防對抗的過程,需要不斷投入;第三是相關安全人員的缺失,導緻防禦不到位。
對于以上,網易雲易盾建議安全能力欠缺的企業盡量采購第三方專業的移動安全服務,比如說易盾的加強和安全元件服務,在以下環節加強保護:
- 通信協定上:可以通過在APP和服務端嵌入SDK,在通信層對通信資料進行加密保護,防止攻擊者竊取通信資料;
- 安全存儲:可以通過動态密鑰、白盒加密技術對應用資料進行加密存儲,保護本地隐私資料不被竊取;
- 裝置指紋:可以采集裝置軟體、硬體等多層次資訊生成可識别的唯一ID,為入網裝置提供虛拟“身份證”;
- 安全鍵盤:可以通過安全鍵盤,為使用者在輸入關鍵資訊時提供安全防護,阻止黑客利用網絡監聽、木馬病毒等手段竊取資料;
- 防界面劫持:可以通過防劫持SDK,實時捕獲惡意程式的攻擊行為,提醒使用者安全風險,有效降低移動應用敏感資訊被竊取風險。
隻有這樣,才能場景化動态深度保護,抵禦各類不法入侵,維護好自己的利益。
結束語
國家從前年開始,出台了《中華人民共和國網絡安全法》、《網絡安全等級保護條例》、《網絡安全等級保護基本要求》等法律, 要求企業實作等級保護基本要求 ,以适應移動互聯等新技術、新應用情況下網絡安全。
是以,構築好企業的移動安全不僅僅是維護自己的利益和核心競争力,某種程度上也成了企業的生命線。
點選免費體驗網易雲易盾移動安全解決方案。
相關文章:
【推薦】 Hive中文注釋亂碼解決方案
【推薦】 金融創新業務基于容器雲的微服務化實踐
【推薦】 Google guava cache源碼解析1--建構緩存器(2)
![病毒分析常用工具集[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)