近期,一起“18岁黑客盗取银行卡信息,涉案15亿元”的消息在社会上引发较大反响。该案件中,18岁黑客叶某利用自编的黑客软件,通过互联网批量提取客户银行卡信息,并通过网上中介转卖。非法分子再利用这些银行卡信息在网上放肆盗刷或转账牟利,涉案金额高达14.98亿多元。 ( |, G8 V9 O1 w4 l8 A
记者相识到,这一变乱绝不但仅是个案,不少金融机构的网站确实存在高危弊端,易被黑客攻击,从而危及客户的信息安全和资金安全。而权势巨子部分的检测效果也体现,固然金融机构网站的高危风险比年来连续降落,但现在仍有大概25%银行类网站存在高危风险,恐危及资金安全。别的,有机构猜测,移动付出将大概成为网络攻击的新目标。
( f" Z! l' J1 p4 `2 u8 J鉴戒 不少金融类网站存高危风险 $ I, c6 _' E- j
360补天弊端相应平台工作职员向记者先容称,经统计,停止1月19日,白帽子(即正面的黑客,可辨认盘算机体系或网络体系中的安全弊端,但并不会恶意利用)提交到平台且通过平台验证的弊端陈诉体现,和金融机构相干的网络弊端共89个,此中高危弊端70个,中危弊端6个,低危弊端13个。值得留意的是,停止现在,仍有靠近30个弊端仍未修复。
8 ?& e6 }1 M6 R. B360补天平台负责人赵武在继续记者采访时体现,某些高危弊端若被黑客利用或攻击,将产生严肃效果。“比如,利用某些弊端,黑客可入侵银行网站的数据库,非法得到大量配景客户数据;更有甚者,有些弊端的存在能使黑客通过植入木马步伐从而控制整个服务器。这些弊端都被我们称为高危弊端。”
( p1 E' d* w0 o! U* T( Q而来自360补天平台的弊端陈诉还体现,在这些存在安全弊端的银行类网站中,不少为中小银行和地区类都会贸易银行。比如,三峡银行、邯郸银行、连云港东方农村贸易银行、湖北仙桃农村贸易银行等近30家地区性贸易银行的主站存在SQL注入弊端,这一弊端属于高危弊端,可导致大量数据走漏,在这些弊端中,有些已被修复,有些则没有。 7 f8 w- w% s2 y4 j t9 [9 b! Y' k% z
这些弊端是怎样产生的呢?赵武对记者体现,网站体系计划开辟不妥、运营维护不妥以及工作职员安全意识不强都有大概产生弊端。有些金融机构网站在计划上的弊端显得非常低端,他枚举某银行已经修复的弊端案例称,在该网站若直接输入用户名,不必要任何暗码,可直接体现该用户的手机号码和客户号等信息,这就给了黑客可乘之机。别的,工作职员安全意识的淡薄也大概被黑客所利用。“有些工作职员大概会将一些内部体系的网址、用户名和暗码作为QQ群的署名档贴出来,这些信息完满是公开的,任何人都可以通过QQ的查询功能查询到信息,隐患很大。”赵武说。
" c% M) {$ q7 _8 S I7 q1 ]危急 新兴网络理财平台成重灾区
6 a3 Z7 W$ h: f- ?2 _) e值得留意的是,在网络安全上,一些新兴的网络平台,如P2P理财借贷平台、网上付出平台等,暴袒露比传统金融机构网站更加严肃的标题。
( U2 X; Z8 P/ g4 h4 {来自360补天弊端相应平台的信息体现,此前,国内P2P理财平台PPmoney存在高危弊端,影响到几十亿元资产。黑客不但可以获取用户的财政、隐私信息及发送得手机上的明文生意业务暗码,还能恣意修改账户金额。而该平台里前20名账户余额都在2000万元以上,最多的凌驾一亿元。现在,该弊端已经被修复。 : J* Q0 c* | `& f; n
据赵武先容,PPmoney的高危弊端可以被黑客利用植入后门,到达控制数据库和服务器的目标。控礼服务器以后,可以获取数据库中的全部信息,包罗用户的账户金额等财政信息、手机号等隐私信息。从弊端详情可以看到,还能得到及时下发得手机上的重置暗码、认证码、生意业务暗码等信息。
/ F* P& R+ R; a! P$ A7 c另据360补天弊端相应平台提供的信息,此前,国内P2P平台小米贷存多个高危弊端,黑客可直接控礼服务器;普资华企P2P理财网站存在XSS弊端,使得数十万会员信息存在隐患;易网融通金融综合服务平台存在用户信息走漏风险;点点理财P2P平台存在万能暗码,黑客可进入配景操纵,走漏全部用户资料;长沙大定产业理财网站存在的弊端可导致走漏多个数据库信息。现在,这些弊端均被修复。
$ g) R, f5 x$ b" k. _- [ z2 k国家书息技能安全研究中心专家曹岳在继续记者采访时体现,比起传统的金融机构,新兴的平台由于创建时间较短,业务飞速发展,且缺乏有效的羁系,因此轻易袒露标题。尤其是有些新兴网络平台的技能水平与传统的银行机构相比存在肯定差距,易被黑客攻击。“在羁系不敷的环境下,这些平台必要自身负担起责任,进步网站的安全性。” ' D1 t8 `/ ~% m9 P% q8 ~& Z
防范 移动付出恐成网络攻击新目标
8 Y, w& \ B* Z# m; q“实际上,从团体来看,金融行业的信息体系安全性相对于其他行业来说,算是比力安全的,如金融行业的紧张体系少少存在弱口令如许的低级弊端。”曹岳体现。
0 c6 {4 l# R) a- G' y8 X1 x/ Y360互联网安全中心最新发布的网站安全性行业分析陈诉也体现,从存在高危弊端的角度看,电子商务类网站(26%)的比例最高;其次为生存信息类(24%)、医疗卫生(22%)和企业公司(21%)。银行类网站安全性相对较高,存在高危弊端比例最低。 , ~/ I6 ~5 Y" X0 m$ b: K( a% x
“不外,由于金融类网站涉及客户的信息安全和资金安全,因此,一个很小的弊端也大概引发较大的风险和标题。因此,必须引发高度器重。”曹岳体现。 7 D* f/ C2 X) f3 C8 o4 U
曹岳体现,从高强度的渗出测试来看金融安全态势,依然存在大规模的网络攻击风险。据他先容,国家书息技能安全研究中心从十八大以后开始对金融网站举行监测,每个季度会出一个分析陈诉。根据该中心对银行网站的连续检测,大概25%左右网站存在高危风险。根据360在2014年发布的互联网安全陈诉,网站的中高危弊端比例大概占65%。
2 \0 \$ p2 `+ f5 R* I! a% ?“金融体系接纳了天下上开始辈的防御体系,我们对他们的防御本领举行了穿透性测试,存有弊端的网站大概有20%的概率被直接穿透。”曹岳说。
$ v( U, l4 L$ i不容忽视的是,陪同着移动付出和移动互联网的快速发展,金融机构网络安全标题更为突出。据卡巴斯基统计,2014年针对安卓装备的攻击是2013年的4倍,每5个安卓用户就有1个面临过移动威胁。有机构猜测,2015年针对安卓装备的恶意软件数量将是2014年的2倍。移动付出将大概成为网络攻击的新目标,通过发掘体系弊端、制造网上银行病毒等,网络犯罪分子大概获取金融敏感信息或挟制账户。与此同时,比年来,环球大规模数据走漏变乱频仍发生,如美国Target超市7000万客户资料,摩根大通账号资料被盗取,iCloud泄袒露大量好莱坞影星私密照片,国内12306用户身份证等敏感信息走漏。 ' | t$ X% C' i
曹岳指出,现在玄色产业链趋利化、团体化、跨境化的特点日趋显着,如一次跨境网络垂纶攻击,黑客从骗取用户的信息到在国外的ATM取现只必要2小时,而备案最快得6小时,非法分子的攻击速率已经远远超出更大范围的安全防御框架。
& b, B* }- w9 O9 ]“互联网金融在2014年快速发展,金融付出已经贯穿到存、贷、流通各个环节,安全标题也是跨平台、跨地区的,安全标题更加复杂。譬如非法分子通过冒充淘宝商家让一个北京的买家电脑中了一个木马,通过敲诈的方式骗取用户账户金额,末了钱在几个银行流通后,从别的一个省ATM取出去。因此,在一个高度关联依赖的数字金融网络,攻击一个金融体系就意味着攻击整个金融体系,没有一个人可以逃脱这种攻击。固然每个金融机构在业务上是竞争的,但在信息安全上面临着同样的对手。有须要团结安全服务商、金融机构和主管部分、金融到场者等举行共同防御。”曹岳说。 | 
|手机版|Archiver|
( 桂ICP备12001440号-3 )|网站地图
发表于 2019-6-13 00:37:46