下载掌阅APP,畅读海量书库
立即打开
2018年上海公安机关捣毁了一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事拘留。经查,马某等人利用技术软件成倍放大存款金额,借此获得质押贷款,非法获利。
据警方介绍,某银行工作人员于2018年11月26日向警方报案称,该行所属的一个账户发生多笔异常交易,造成银行巨额资金损失。接报后,公安机关高度重视,立即抽调精干警力组成专案组,全力开展侦查工作。专案组综合运用多种侦查手段,渐渐摸清了犯罪团伙的组织架构和行动规律。12月6日,经周密部署,警方在多地同步撒网,成功将涉案的主要犯罪嫌疑人马某以及另外3名犯罪嫌疑人一举抓获,并当场查获了5套作案工具及现金200余万元,以及大量豪车、名表、奢侈品。
据警方初步查证,马某利用黑客技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。2018年5月,他发现某银行App软件中的质押贷款业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得质押贷款,累计非法获利2800余万元。
为了变现,马某将非法获利的账户存款余额,在某网络直播平台上全部购成点数卡,再折价卖给其他用户。非法获利后,马某大肆挥霍,购买了大量的豪车、名表、奢侈品。经进一步侦查,警方还循线抓获了非法出售个人身份信息和银行储户信息的方某以及倒卖此类信息的邓某,并对其他倒卖个人信息的犯罪嫌疑人进行布控。
目前,警方已将马某、方某、邓某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复,案件正在进一步侦查中。
通过资金损失发现系统漏洞,对于金融机构来说损失较大。业界一些专业的科技机构有能力对网银或者手机银行安全进行测评。比较有代表性的是2017年中国信通院泰尔终端实验室依据相关标准对多款基于安卓操作系统的手机银行App进行了安全测评,涉及国内多家大型商业银行和股份制银行,测评内容包括通信安全性、键盘输入安全性、客户端运行时安全性、客户端安全防护、代码安全性和客户端业务逻辑安全性等6个方面的39项内容。测评结果不容乐观。
测评显示,手机银行App在逻辑设计及流程设计中可能存在一定的缺陷,导致黑客可以识别转账、汇款时的敏感函数,继而将客户的交易数据中包含的目标账户篡改为黑客指定的账户,造成本应转给正常用户的资金被转到黑客的账户,此类情况会造成个人客户或企业客户的巨大资金损失。
此次测评的手机银行App普遍存在高危漏洞,用户在进行转账交易时,黑客能够通过一定的技术手段劫持用户的转账信息,从而导致用户的转账资金被非法窃取。同时,工程师还发现,被检测的手机银行App自身防御能力较弱,易被破解,安全性较低。
部分手机银行App存在的问题如下:
·手机银行App敏感交易数据可被篡改;
·手机银行App运行时关键Activity组件容易被劫持;
·手机银行App抗逆向分析能力不足;
·手机银行App能够被重新编译、二次打包;
·手机银行App可进行动态调试;
·手机银行App代码允许任意备份;
·在发布版本的手机银行App中留存测试用的组件或账号信息。
由上述测评结果可知,被测手机银行App大多存在高危风险,对相关金融机构的建议如下:采取更加安全的App加固解决方案,同时增强对应用分发渠道的监控,以便能第一时间发现盗版应用发布上线;增加应用自身完整性校验功能,检测到应用被篡改后,及时提醒用户卸载非法应用或者自动进行更新修复。