基金電商遭遇新型犯罪 創(chuàng)新途中收緊“安全帶”
每日經(jīng)濟新聞
2014-06-30 17:34:16
據(jù)悉����,近期在北京和上海發(fā)生了多起通過基金直銷賬戶盜取他人銀行卡內(nèi)資金的新型金融刑事案件。犯罪嫌疑人所鉆的空子�,正是近年來基金公司為了提升直銷客戶的體驗而增加的功能。
行業(yè):互聯(lián)網(wǎng)金融系統(tǒng)高危漏洞屢現(xiàn)/
除了流程漏洞可能被不法分子鉆空子之外�,系統(tǒng)漏洞被黑客攻破后引發(fā)的損失將更難以估量���。隨著金融行業(yè)與互聯(lián)網(wǎng)的深度融合�,基金公司網(wǎng)站直銷客戶數(shù)量出現(xiàn)跨越式增長����。去年基金直銷平臺首度超過銀行渠道,成為基金購買的第一大途徑���,成交金額高達2.33萬億元���,基金在線交易網(wǎng)絡(luò)安全問題也因此越來越引起各方關(guān)注。
據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計的情況顯示���,政府網(wǎng)站和金融行業(yè)網(wǎng)站一直以來都是不法分子攻擊的重點目標���,安全漏洞是重要聯(lián)網(wǎng)信息系統(tǒng)遭遇攻擊的主要內(nèi)因��。
天弘基金創(chuàng)新支持部總經(jīng)理樊振華認為����,基金公司網(wǎng)站總體安全等級保護要求是比較高的���,“必須符合監(jiān)管機構(gòu)規(guī)定的等級保護要求���,基金公司一般都會遵守這個規(guī)范����,監(jiān)管機構(gòu)也會進行檢查。”
然而����,在一個民間創(chuàng)辦的網(wǎng)絡(luò)漏洞報告平臺“烏云網(wǎng)”上,記者還是查到了不少關(guān)于基金公司網(wǎng)站系統(tǒng)的漏洞報告信息����,其中不乏近年來在互聯(lián)網(wǎng)金融領(lǐng)域風(fēng)生水起的大型公司��,涉及的漏洞危害等級也從中等到高等����。
例如�����,部分高危漏洞包括“XX現(xiàn)金寶多個嚴重漏洞 (可搶占他人賬號)”�����、“XX基金用戶賬號安全隱患可獲取到基金交易等敏感信息”����、“XX基金某賬戶管理系統(tǒng)命令執(zhí)行及XSS漏洞”等。
其中部分已被基金公司確認并修復(fù)��,但部分漏洞至今沒有被基金公司確認處理��。不過����,有相關(guān)基金就此問題回復(fù)《每日經(jīng)濟新聞》記者稱,早在該帖子發(fā)布之前,就已經(jīng)進行過系統(tǒng)升級�,不存在帖子中提及的漏洞。
CNCERT最新一期的互聯(lián)網(wǎng)安全威脅報告顯示���,大多數(shù)安全事件是網(wǎng)站程序存在SQL注入����、弱口令以及權(quán)限繞過等漏洞�,也有部分是信息系統(tǒng)采用的應(yīng)用軟件存在漏洞,可能導(dǎo)致獲取后臺系統(tǒng)管理權(quán)限��、信息泄露���、惡意文件上傳等危害���,甚至?xí)?dǎo)致主機存在被不法分子遠程控制的風(fēng)險。
此類互聯(lián)網(wǎng)公司通過所運營的在線交易信息系統(tǒng)���,掌握大量用戶資金、真實身份�����、經(jīng)濟狀況、消費習(xí)慣等信息����,系統(tǒng)出現(xiàn)安全問題后,風(fēng)險隨之傳導(dǎo)至關(guān)聯(lián)的銀行�����、證券�����、電商等其他行業(yè)�����,產(chǎn)生連鎖反應(yīng)�����。
此外�,互聯(lián)網(wǎng)和移動通信技術(shù)降低了使用門檻,在帶來便利的同時也引入新的安全風(fēng)險����。2013年12月,支付寶錢包客戶端iOS版被披露存在手勢密碼漏洞,連續(xù)輸錯5次手勢密碼后可導(dǎo)致密碼失效�����,使得攻擊者可以任意進入手機支付寶賬戶�,免密碼進行小額支付。
天弘基金創(chuàng)新支持部總經(jīng)理樊振華表示��,“余額寶的用戶出口和入口主要是在支付寶這一端����,而我們這一端主要是負責(zé)清算、結(jié)算��、收益分配等后端功能�。我想支付寶的線上安全措施在國內(nèi)網(wǎng)站中應(yīng)該算是一流的,而我們這邊的安全措施應(yīng)該也是比較到位的���,所有的核心業(yè)務(wù)系統(tǒng)完全是在一個隔離的網(wǎng)段��,可以理解為不對外暴露的����。此外也有定期漏洞掃描等安全措施���。到目前為止我們還沒出現(xiàn)過用戶信息泄露����、被盜這些現(xiàn)象���。”
有基金公司電商部人士表示����,2007�、2008年時基金公司網(wǎng)絡(luò)系統(tǒng)比較脆弱,也出過一些問題�����。近年基金公司普遍在IT方面投入較大���,系統(tǒng)安全相比早前已經(jīng)提高了很多���。
相對于內(nèi)控相對規(guī)范的基金公司而言,部分P2P和第三方理財網(wǎng)站在系統(tǒng)建設(shè)方面則更顯薄弱��,更容易成為黑客攻擊的對象��。
有業(yè)內(nèi)人士表示,如今做互聯(lián)網(wǎng)金融門檻極低���,相關(guān)網(wǎng)站建設(shè)都有現(xiàn)成的模板���,在淘寶上只需幾千元就買一套模板,做一個P2P的網(wǎng)站�,其中暗藏風(fēng)險不言而喻。
今年3月份�����,以“網(wǎng)貸之家”為代表的多家P2P行業(yè)門戶網(wǎng)站�、論壇,再次成為黑客的攻擊目標����,受到黑客持續(xù)多日的惡意嚴重攻擊。而此前亦發(fā)生過一些平臺因黑客的攻擊導(dǎo)致系統(tǒng)癱瘓�����,而遭遇擠兌的情況�����。
趨勢:基金手機終端成新“重災(zāi)區(qū)”/
值得注意的是,基金公司手機客戶端也成為漏洞暴露的災(zāi)區(qū)之一�����。有烏云網(wǎng)的“白帽子”(能識別計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞��,但并不會惡意去利用�,而是公布其漏洞的人)提供的示例圖片顯示����,在某基金公司蘋果iOS版本的客戶端中,在知道用戶身份證號碼情況下���,通過一些手段可以重置用戶的基金賬戶密碼��。對于職業(yè)黑客而言���,通過攻擊腳本獲得用戶身份證號碼亦非難事。
某大型基金公司電商人士亦向《每日經(jīng)濟新聞》記者表示���,基金公司近年大力拓展電商業(yè)務(wù)�����,除了基本的交易查詢功能外����,亦紛紛上線進行購物支付、轉(zhuǎn)賬等功能�����,也出現(xiàn)了一些風(fēng)險事件�����。
除了系統(tǒng)安全問題外�����,“釣魚攻擊”在手機移動端亦愈演愈烈�����。
釣魚網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為�����,是指不法分子利用各種手段�����,仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容,或利用真實網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼����,以此來騙取用戶銀行或信用卡賬號�����、密碼等私人資料�。
從中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)下屬中國反釣魚網(wǎng)站聯(lián)盟今年5月處理釣魚網(wǎng)站的情況來看�,釣魚網(wǎng)站涉及行業(yè)前三位,分別為支付交易類���、金融證券類��、媒體傳播類�,占處理總量的99.41%。其中�,支付交易類釣魚網(wǎng)站數(shù)量占5月處理總量最高,占到了5月處理總量的81.34%����。
CNCERT2013年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告稱���,釣魚攻擊呈現(xiàn)跨平臺發(fā)展趨勢,2013年��,在傳統(tǒng)互聯(lián)網(wǎng)的釣魚網(wǎng)站之外�,黑客還結(jié)合移動互聯(lián)網(wǎng),利用仿冒移動應(yīng)用����、移動互聯(lián)網(wǎng)惡意程序、偽基站等多種手段�����,實施跨平臺的釣魚欺詐攻擊�����,危害用戶經(jīng)濟利益�。
2013年,黑客利用安卓系統(tǒng)的“簽名驗證繞過”高危漏洞�����,制作散播大量仿冒國內(nèi)主流銀行等金融機構(gòu)的移動應(yīng)用,誘導(dǎo)用戶安裝���,盜取用戶銀行賬戶信息�����。一些釣魚網(wǎng)站在盜取用戶銀行賬號和密碼等信息時���,還大量傳播仿冒相應(yīng)手機銀行安全插件的惡意程序,劫持用戶收到的短信驗證碼�����,從而使黑客進一步完成網(wǎng)銀支付��、轉(zhuǎn)賬等交易操作��。
有基金公司電商人士表示�����,隨著移動應(yīng)用和支付的普及��,移動互聯(lián)網(wǎng)上的詐騙行為泛濫����,譬如一些仿冒的APP、微信公眾賬號等層出不窮��,投資者應(yīng)該提升自身防范意識�����。
