基金電商遭遇新型犯罪 創(chuàng)新途中收緊“安全帶”
每日經(jīng)濟(jì)新聞
2014-06-30 17:34:16
據(jù)悉����,近期在北京和上海發(fā)生了多起通過(guò)基金直銷(xiāo)賬戶盜取他人銀行卡內(nèi)資金的新型金融刑事案件��。犯罪嫌疑人所鉆的空子���,正是近年來(lái)基金公司為了提升直銷(xiāo)客戶的體驗(yàn)而增加的功能。
行業(yè):互聯(lián)網(wǎng)金融系統(tǒng)高危漏洞屢現(xiàn)/
除了流程漏洞可能被不法分子鉆空子之外����,系統(tǒng)漏洞被黑客攻破后引發(fā)的損失將更難以估量。隨著金融行業(yè)與互聯(lián)網(wǎng)的深度融合����,基金公司網(wǎng)站直銷(xiāo)客戶數(shù)量出現(xiàn)跨越式增長(zhǎng)。去年基金直銷(xiāo)平臺(tái)首度超過(guò)銀行渠道��,成為基金購(gòu)買(mǎi)的第一大途徑���,成交金額高達(dá)2.33萬(wàn)億元����,基金在線交易網(wǎng)絡(luò)安全問(wèn)題也因此越來(lái)越引起各方關(guān)注��。
據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計(jì)的情況顯示,政府網(wǎng)站和金融行業(yè)網(wǎng)站一直以來(lái)都是不法分子攻擊的重點(diǎn)目標(biāo)����,安全漏洞是重要聯(lián)網(wǎng)信息系統(tǒng)遭遇攻擊的主要內(nèi)因。
天弘基金創(chuàng)新支持部總經(jīng)理樊振華認(rèn)為����,基金公司網(wǎng)站總體安全等級(jí)保護(hù)要求是比較高的���,“必須符合監(jiān)管機(jī)構(gòu)規(guī)定的等級(jí)保護(hù)要求�,基金公司一般都會(huì)遵守這個(gè)規(guī)范���,監(jiān)管機(jī)構(gòu)也會(huì)進(jìn)行檢查��。”
然而���,在一個(gè)民間創(chuàng)辦的網(wǎng)絡(luò)漏洞報(bào)告平臺(tái)“烏云網(wǎng)”上,記者還是查到了不少關(guān)于基金公司網(wǎng)站系統(tǒng)的漏洞報(bào)告信息���,其中不乏近年來(lái)在互聯(lián)網(wǎng)金融領(lǐng)域風(fēng)生水起的大型公司��,涉及的漏洞危害等級(jí)也從中等到高等��。
例如��,部分高危漏洞包括“XX現(xiàn)金寶多個(gè)嚴(yán)重漏洞 (可搶占他人賬號(hào))”�����、“XX基金用戶賬號(hào)安全隱患可獲取到基金交易等敏感信息”�����、“XX基金某賬戶管理系統(tǒng)命令執(zhí)行及XSS漏洞”等��。
其中部分已被基金公司確認(rèn)并修復(fù)���,但部分漏洞至今沒(méi)有被基金公司確認(rèn)處理���。不過(guò),有相關(guān)基金就此問(wèn)題回復(fù)《每日經(jīng)濟(jì)新聞》記者稱�,早在該帖子發(fā)布之前,就已經(jīng)進(jìn)行過(guò)系統(tǒng)升級(jí)��,不存在帖子中提及的漏洞��。
CNCERT最新一期的互聯(lián)網(wǎng)安全威脅報(bào)告顯示�����,大多數(shù)安全事件是網(wǎng)站程序存在SQL注入、弱口令以及權(quán)限繞過(guò)等漏洞�����,也有部分是信息系統(tǒng)采用的應(yīng)用軟件存在漏洞�����,可能導(dǎo)致獲取后臺(tái)系統(tǒng)管理權(quán)限�����、信息泄露�����、惡意文件上傳等危害�,甚至?xí)?dǎo)致主機(jī)存在被不法分子遠(yuǎn)程控制的風(fēng)險(xiǎn)��。
此類(lèi)互聯(lián)網(wǎng)公司通過(guò)所運(yùn)營(yíng)的在線交易信息系統(tǒng)�,掌握大量用戶資金、真實(shí)身份���、經(jīng)濟(jì)狀況����、消費(fèi)習(xí)慣等信息,系統(tǒng)出現(xiàn)安全問(wèn)題后����,風(fēng)險(xiǎn)隨之傳導(dǎo)至關(guān)聯(lián)的銀行、證券��、電商等其他行業(yè)�,產(chǎn)生連鎖反應(yīng)。
此外����,互聯(lián)網(wǎng)和移動(dòng)通信技術(shù)降低了使用門(mén)檻,在帶來(lái)便利的同時(shí)也引入新的安全風(fēng)險(xiǎn)��。2013年12月�,支付寶錢(qián)包客戶端iOS版被披露存在手勢(shì)密碼漏洞,連續(xù)輸錯(cuò)5次手勢(shì)密碼后可導(dǎo)致密碼失效�����,使得攻擊者可以任意進(jìn)入手機(jī)支付寶賬戶����,免密碼進(jìn)行小額支付���。
天弘基金創(chuàng)新支持部總經(jīng)理樊振華表示,“余額寶的用戶出口和入口主要是在支付寶這一端��,而我們這一端主要是負(fù)責(zé)清算�、結(jié)算、收益分配等后端功能���。我想支付寶的線上安全措施在國(guó)內(nèi)網(wǎng)站中應(yīng)該算是一流的�����,而我們這邊的安全措施應(yīng)該也是比較到位的,所有的核心業(yè)務(wù)系統(tǒng)完全是在一個(gè)隔離的網(wǎng)段���,可以理解為不對(duì)外暴露的�����。此外也有定期漏洞掃描等安全措施�����。到目前為止我們還沒(méi)出現(xiàn)過(guò)用戶信息泄露��、被盜這些現(xiàn)象���。”
有基金公司電商部人士表示���,2007、2008年時(shí)基金公司網(wǎng)絡(luò)系統(tǒng)比較脆弱����,也出過(guò)一些問(wèn)題。近年基金公司普遍在IT方面投入較大���,系統(tǒng)安全相比早前已經(jīng)提高了很多����。
相對(duì)于內(nèi)控相對(duì)規(guī)范的基金公司而言�����,部分P2P和第三方理財(cái)網(wǎng)站在系統(tǒng)建設(shè)方面則更顯薄弱�����,更容易成為黑客攻擊的對(duì)象。
有業(yè)內(nèi)人士表示�����,如今做互聯(lián)網(wǎng)金融門(mén)檻極低�,相關(guān)網(wǎng)站建設(shè)都有現(xiàn)成的模板,在淘寶上只需幾千元就買(mǎi)一套模板�,做一個(gè)P2P的網(wǎng)站,其中暗藏風(fēng)險(xiǎn)不言而喻��。
今年3月份�����,以“網(wǎng)貸之家”為代表的多家P2P行業(yè)門(mén)戶網(wǎng)站�、論壇,再次成為黑客的攻擊目標(biāo)���,受到黑客持續(xù)多日的惡意嚴(yán)重攻擊。而此前亦發(fā)生過(guò)一些平臺(tái)因黑客的攻擊導(dǎo)致系統(tǒng)癱瘓����,而遭遇擠兌的情況。
趨勢(shì):基金手機(jī)終端成新“重災(zāi)區(qū)”/
值得注意的是�,基金公司手機(jī)客戶端也成為漏洞暴露的災(zāi)區(qū)之一�����。有烏云網(wǎng)的“白帽子”(能識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞�,但并不會(huì)惡意去利用�,而是公布其漏洞的人)提供的示例圖片顯示,在某基金公司蘋(píng)果iOS版本的客戶端中�,在知道用戶身份證號(hào)碼情況下,通過(guò)一些手段可以重置用戶的基金賬戶密碼��。對(duì)于職業(yè)黑客而言�,通過(guò)攻擊腳本獲得用戶身份證號(hào)碼亦非難事。
某大型基金公司電商人士亦向《每日經(jīng)濟(jì)新聞》記者表示����,基金公司近年大力拓展電商業(yè)務(wù),除了基本的交易查詢功能外�����,亦紛紛上線進(jìn)行購(gòu)物支付��、轉(zhuǎn)賬等功能�,也出現(xiàn)了一些風(fēng)險(xiǎn)事件。
除了系統(tǒng)安全問(wèn)題外,“釣魚(yú)攻擊”在手機(jī)移動(dòng)端亦愈演愈烈���。
釣魚(yú)網(wǎng)站是一種網(wǎng)絡(luò)欺詐行為���,是指不法分子利用各種手段,仿冒真實(shí)網(wǎng)站的URL地址以及頁(yè)面內(nèi)容����,或利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁(yè)中插入危險(xiǎn)的HTML代碼,以此來(lái)騙取用戶銀行或信用卡賬號(hào)�����、密碼等私人資料�。
從中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)下屬中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟今年5月處理釣魚(yú)網(wǎng)站的情況來(lái)看,釣魚(yú)網(wǎng)站涉及行業(yè)前三位��,分別為支付交易類(lèi)��、金融證券類(lèi)��、媒體傳播類(lèi)��,占處理總量的99.41%���。其中��,支付交易類(lèi)釣魚(yú)網(wǎng)站數(shù)量占5月處理總量最高����,占到了5月處理總量的81.34%��。
CNCERT2013年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告稱���,釣魚(yú)攻擊呈現(xiàn)跨平臺(tái)發(fā)展趨勢(shì)����,2013年��,在傳統(tǒng)互聯(lián)網(wǎng)的釣魚(yú)網(wǎng)站之外�,黑客還結(jié)合移動(dòng)互聯(lián)網(wǎng),利用仿冒移動(dòng)應(yīng)用����、移動(dòng)互聯(lián)網(wǎng)惡意程序、偽基站等多種手段���,實(shí)施跨平臺(tái)的釣魚(yú)欺詐攻擊���,危害用戶經(jīng)濟(jì)利益�。
2013年�����,黑客利用安卓系統(tǒng)的“簽名驗(yàn)證繞過(guò)”高危漏洞�����,制作散播大量仿冒國(guó)內(nèi)主流銀行等金融機(jī)構(gòu)的移動(dòng)應(yīng)用�����,誘導(dǎo)用戶安裝����,盜取用戶銀行賬戶信息。一些釣魚(yú)網(wǎng)站在盜取用戶銀行賬號(hào)和密碼等信息時(shí)��,還大量傳播仿冒相應(yīng)手機(jī)銀行安全插件的惡意程序�����,劫持用戶收到的短信驗(yàn)證碼�,從而使黑客進(jìn)一步完成網(wǎng)銀支付�、轉(zhuǎn)賬等交易操作�。
有基金公司電商人士表示�,隨著移動(dòng)應(yīng)用和支付的普及,移動(dòng)互聯(lián)網(wǎng)上的詐騙行為泛濫�,譬如一些仿冒的APP、微信公眾賬號(hào)等層出不窮����,投資者應(yīng)該提升自身防范意識(shí)。
