25%銀行類網站存風險 小銀行和P2P成重災區
- 發佈時間:2015-01-26 06:56:00 來源:經濟參考報 責任編輯:胡愛善
近期,一起“18歲駭客竊取銀行卡資訊,涉案15億元”的新聞在社會上引發較大反響。該案件中,18歲駭客葉某利用自編的駭客軟體,通過網際網路批量提取客戶銀行卡資訊,並通過網上仲介轉賣。不法分子再利用這些銀行卡資訊在網上大肆盜刷或轉賬牟利,涉案金額高達14.98億多元。
記者了解到,這一事件絕不僅僅是個案,不少金融機構的網站確實存在高危漏洞,易被駭客攻擊,從而危及客戶的資訊安全和資金安全。而權威部門的檢測結果也顯示,雖然金融機構網站的高危風險近年來持續下降,但目前仍有大概25%銀行類網站存在高危風險,恐危及資金安全。此外,有機構預測,移動支付將可能成為網路攻擊的新目標。
警惕 不少金融類網站存高危風險
360補天漏洞響應平臺工作人員向記者介紹稱,經統計,截至1月19日,白帽子(即正面的駭客,可識別電腦系統或網路系統中的安全漏洞,但並不會惡意利用)提交到平臺且通過平臺驗證的漏洞報告顯示,和金融機構相關的網路漏洞共89個,其中高危漏洞70個,中危漏洞6個,低危漏洞13個。值得注意的是,截至目前,仍有接近30個漏洞仍未修復。
360補天平臺負責人趙武在接受《經濟參考報》記者採訪時表示,某些高危漏洞若被駭客利用或攻擊,將産生嚴重後果。“比如,利用某些漏洞,駭客可入侵銀行網站的數據庫,非法獲得大量後臺客戶數據;更有甚者,有些漏洞的存在能使駭客通過植入木馬程式從而控制整個伺服器。這些漏洞都被我們稱為高危漏洞。”
而來自360補天平臺的漏洞報告還顯示,在這些存在安全漏洞的銀行類網站中,不少為中小銀行和地區類城市商業銀行。比如,三峽銀行、邯鄲銀行、連雲港東方農村商業銀行、湖北仙桃農村商業銀行等近30家地區性商業銀行的主站存在SQL注入漏洞,這一漏洞屬於高危漏洞,可導致大量數據洩露,在這些漏洞中,有些已被修復,有些則沒有。
這些漏洞是如何産生的呢?趙武對記者表示,網站系統設計開發不當、運營維護不當以及工作人員安全意識不強都有可能産生漏洞。有些金融機構網站在設計上的漏洞顯得非常低端,他列舉某銀行已經修復的漏洞案例稱,在該網站若直接輸入用戶名,不需要任何密碼,可直接顯示該用戶的手機號碼和客戶號等資訊,這就給了駭客可乘之機。另外,工作人員安全意識的淡薄也可能被駭客所利用。“有些工作人員可能會將一些內部系統的網址、用戶名和密碼作為QQ群的簽名檔貼出來,這些資訊完全是公開的,任何人都可以通過QQ的查詢功能查詢到資訊,隱患很大。”趙武説。
危機 新興網路理財平臺成重災區
值得注意的是,在網路安全上,一些新興的網路平臺,如P2P理財借貸平臺、網上支付平臺等,暴露出比傳統金融機構網站更加嚴重的問題。
來自360補天漏洞響應平臺的資訊顯示,此前,國內P2P理財平臺PPmoney存在高危漏洞,影響到幾十億元資産。駭客不僅可以獲取用戶的財務、隱私資訊及發送到手機上的明文交易密碼,還能任意修改賬戶金額。而該平臺裏前20名賬戶餘額都在2000萬元以上,最多的超過一億元。目前,該漏洞已經被修復。
據趙武介紹,PPmoney的高危漏洞可以被駭客利用植入後門,達到控制數據庫和伺服器的目的。控制伺服器以後,可以獲取數據庫中的所有資訊,包括用戶的賬戶金額等財務資訊、手機號等隱私資訊。從漏洞詳情可以看到,還能獲得實時下發到手機上的重置密碼、認證碼、交易密碼等資訊。
另據360補天漏洞響應平臺提供的資訊,此前,國內P2P平臺小米貸存多個高危漏洞,駭客可直接控制伺服器;普資華企P2P理財網站存在XSS漏洞,使得數十萬會員資訊存在隱患;易網融通金融綜合服務平臺存在用戶資訊洩露風險;點點理財P2P平臺存在萬能密碼,駭客可進入後臺操作,洩露所有用戶資料;長沙大定財富理財網站存在的漏洞可導致洩露多個數據庫資訊。目前,這些漏洞均被修復。
國家資訊技術安全研究中心專家曹岳在接受《經濟參考報》記者採訪時表示,比起傳統的金融機構,新興的平臺由於成立時間較短,業務飛速發展,且缺乏有效的監管,因此容易暴露問題。尤其是有些新興網路平臺的技術水準與傳統的銀行機構相比存在一定差距,易被駭客攻擊。“在監管不足的情況下,這些平臺需要自身承擔起責任,提高網站的安全性。”
防範 移動支付恐成網路攻擊新目標
“實際上,從整體來看,金融行業的資訊系統安全性相對於其他行業來説,算是比較安全的,如金融行業的重要系統極少存在弱密碼這樣的低級漏洞。”曹岳表示。
360網際網路安全中心最新發佈的網站安全性行業分析報告也顯示,從存在高危漏洞的角度看,電子商務類網站(26%)的比例最高;其次為生活資訊類(24%)、醫療衛生(22%)和企業公司(21%)。銀行類網站安全性相對較高,存在高危漏洞比例最低。
“不過,由於金融類網站涉及客戶的資訊安全和資金安全,因此,一個很小的漏洞也可能引發較大的風險和問題。因此,必須引發高度重視。”曹岳表示。
曹岳表示,從高強度的滲透測試來看金融安全態勢,依然存在大規模的網路攻擊風險。據他介紹,國家資訊技術安全研究中心從十八大以後開始對金融網站進行監測,每個季度會出一個分析報告。根據該中心對銀行網站的持續檢測,大概25%左右網站存在高危風險。根據360在2014年發佈的網際網路安全報告,網站的中高危漏洞比例大概佔65%。
“金融系統採用了世界上最先進的防禦體系,我們對他們的防禦能力進行了穿透性測試,存有漏洞的網站大概有20%的概率被直接穿透。”曹岳説。
不容忽視的是,伴隨著移動支付和移動網際網路的快速發展,金融機構網路安全問題更為突出。據卡巴斯基統計,2014年針對安卓設備的攻擊是2013年的4倍,每5個安卓用戶就有1個面臨過移動威脅。有機構預測,2015年針對安卓設備的惡意軟體數量將是2014年的2倍。移動支付將可能成為網路攻擊的新目標,通過挖掘系統漏洞、製造網上銀行病毒等,網路犯罪分子可能獲取金融敏感資訊或劫持賬戶。與此同時,近年來,全球大規模數據洩露事件頻繁發生,如美國Target超市7000萬客戶資料,摩根大通賬號資料被竊取,iCloud洩露出大量好萊塢影星私密照片,國內12306用戶身份證等敏感資訊洩露。
曹岳指出,目前黑色産業鏈趨利化、集團化、跨境化的特點日趨明顯,如一次跨境網路釣魚攻擊,駭客從騙取用戶的資訊到在國外的ATM取現只需要2小時,而立案最快得6小時,不法分子的攻擊速度已經遠遠超出更大範圍的安全防禦框架。
“網際網路金融在2014年快速發展,金融支付已經貫穿到存、貸、流通各個環節,安全問題也是跨平臺、跨地域的,安全問題更加複雜。譬如不法分子通過假冒淘寶商家讓一個北京的買家電腦中了一個木馬,通過欺詐的方式騙取用戶賬戶金額,最後錢在幾個銀行流通後,從另外一個省ATM取出去。因此,在一個高度關聯依賴的數字金融網路,攻擊一個金融系統就意味著攻擊整個金融系統,沒有一個人可以逃脫這種攻擊。雖然每個金融機構在業務上是競爭的,但在資訊安全上面臨著同樣的對手。有必要聯合安全服務商、金融機構和主管部門、金融參與者等進行共同防禦。”曹岳説。