當前位置:首頁 >  IDC >  安全 >  正文

黑客利用銀行APP漏洞非法獲利2800萬愛加密指出金融業(yè)不可小覷的漏洞風險

 2018-12-19 15:25  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

日前,上海警方搗毀一個利用網(wǎng)上銀行漏洞非法獲利的犯罪團伙,據(jù)警方初步查證,馬某利用黑客技術(shù),長期在網(wǎng)上尋找全國各家銀行、金融機構(gòu)的安全漏洞。今年5月,他發(fā)現(xiàn)某銀行APP軟件中的*業(yè)務存在安全漏洞,遂使用非法手段獲取了5套該行的儲戶賬戶信息,在賬戶中存入少量金額后辦理定期存款,后通過技術(shù)軟件成倍放大存款金額,借此獲得*,累計非法獲利2800余萬元,馬某等6名犯罪嫌疑人被依法刑事拘留。

對此事件,專業(yè)的移動信息安全服務商愛加密安全專家表示,造成此類安全事件的原因主要是利用了該手機銀行APP中*業(yè)務的安全漏洞,借用他人存單辦理了存單*,而在貸款審核流程中未對貸款人身份進行驗證,也未對終端環(huán)境進行風險監(jiān)控。針對此次銀行APP事件,該專家認為金融類APP除進行常規(guī)的安全加固外,還應注意以下幾個方面漏洞風險,做到防患于未然。

Ø通訊數(shù)據(jù)明文風險

風險描述:

如果客戶端與服務端交互過程中的數(shù)據(jù)未采用任何加密處理,當用戶在支付過程中輸入支付密碼、賬戶信息等關(guān)鍵信息時會造成被黑客利用進行監(jiān)聽、植入病毒或木馬、竊取數(shù)據(jù)的危險行為。黑客通過對業(yè)務通信進行劫持偽造,動態(tài)修改上下行信息,使金融APP的客戶和金融機構(gòu)造成巨大的經(jīng)濟損失。

安全建議:目前市面上的主流算法容易被黑客分析并獲取密鑰key,從而可以方便的對數(shù)據(jù)進行解密還原操作,建議采用協(xié)議加密SDK。協(xié)議加密SDK算法采用白盒化的思路,把密鑰和算法融合在一起,在不可信的環(huán)境下達到保證密鑰安全性的目的。另外,在通信過程中,數(shù)據(jù)經(jīng)常存在被篡改的可能性,建議采用自帶數(shù)據(jù)校驗功能的協(xié)議加密SDK對數(shù)據(jù)進行完整性校驗,保證數(shù)據(jù)不可篡改。

ØH5代碼逆向破解風險

風險描述:對于H5應用來說,因為JavaScript作為開放的頁面腳本語言,本身安全缺陷明顯,并隸屬于解釋性語言,對任何人來說都是不設防的,而比較突出的攻擊手段如下包括H5網(wǎng)站被任意調(diào)試;H5應用被隨意獲取相關(guān)JavaScript腳本,通過盜用來生成仿冒應用;H5應用中JavaScript暴露其業(yè)務邏輯和系統(tǒng)接口,黑客通過分析JavaScript業(yè)務代碼,逆向解讀應用的核心邏輯,有針對性的通過應用挖掘服務端漏洞,最終實現(xiàn)攻擊金融機構(gòu)核心資產(chǎn)的目的。

安全建議:愛加密移動應用H5安全加固平臺可針對此類風險向企業(yè)提供系統(tǒng)級的安全服務。該平臺具有自動對H5文件進行加密、混淆、支持批量上傳及下載H5文件、支持API接口調(diào)用方式、支持Web JS、APPJS、公眾號JS以及小程序JS代碼加固、支持APP中熱更新框架,如RN代碼加固等特點。加密后的H5代碼具備常量字符串加密、常量數(shù)字加密、二元表達式加密、代碼壓縮、函數(shù)變量名混淆、基本塊分裂、垃圾指令注入、防調(diào)試、禁止控制臺輸出、一次一密、域名綁定等功能,達到對JS文件的反調(diào)試、反竊取、反篡改等保護,大大提高JavaScript文件的安全性。

Ø終端設備環(huán)境風險

風險描述:根據(jù)媒體的報道,自5月份犯罪嫌疑人就開始利用該漏洞作案,11月份銀行工作人員才進行報案,中間長達數(shù)月該應用都處于被攻擊且未被發(fā)覺的狀態(tài),此類情況絕非首例,且不止一家。

安全建議:此類黑客攻擊一般會在有安全風險的終端環(huán)境上運行,比如Xposed、ROOT、模擬器、雙開、可疑進程、代碼注入等等,愛加密提供安全清場SDK,客戶可自行嵌入到App中對客戶端所在手機環(huán)境進行安全檢測,嵌入后客戶端具備檢測框架攻擊行為(如Xposed,Substrate框架)、注入攻擊行為(如Hjack注入、inject注入)、調(diào)試攻擊行為(如gdbserver調(diào)試、ida調(diào)試)、劫持攻擊行為、模擬器攻擊行為、ROOT攻擊行為、病毒、木馬、惡意軟件攻擊行為等的能力??蓪Πl(fā)現(xiàn)的各種攻擊行為進行數(shù)據(jù)回調(diào),幫助金融機構(gòu)快速作出應急響應。

此前有調(diào)查顯示,亞太地區(qū)金融行業(yè)的106款APP中85%的應用沒有通過基本的安全檢測,50%的應用至少存在4至6個漏洞,金融應用仿冒、金融頁面釣魚攻擊、系統(tǒng)漏洞等問題層出不窮。為保證金融行業(yè)移動應用業(yè)務安全,愛加密基于金融業(yè)務特點,建立了一套牢固的移動應用安全防護體系,為移動金融業(yè)務提供可覆蓋全生命周期的解決方案,保證移動應用的合規(guī)性和安全性,從根源上解決移動應用業(yè)務面臨的各類風險。

目前,愛加密已服務中國銀行、交通銀行、浦發(fā)銀行、中泰證券、廣發(fā)證券、光大證券、陸金所、翼支付等數(shù)百家銀行、證券、保險等互聯(lián)網(wǎng)金融機構(gòu)和第三方支付平臺,致力做好金融安全的守門人,為金融行業(yè)健康穩(wěn)定發(fā)展保駕護航。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標簽
安全漏洞
網(wǎng)絡安全

相關(guān)文章

  • 2023 年 6 月頭號惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時,移動木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達克股票代碼

  • 華順信安榮獲“網(wǎng)絡空間安全產(chǎn)學協(xié)同育人優(yōu)秀案例”二等獎

    7月6日,“第三屆網(wǎng)絡空間安全產(chǎn)學協(xié)同育人優(yōu)秀案例”評選活動正式公布獲獎名單,華順信安與湘潭大學計算機學院·網(wǎng)絡空間安全學院聯(lián)合申報的參選案例獲評優(yōu)秀案例二等獎。本次活動由教育部高等學校網(wǎng)絡空間安全專業(yè)教學指導委員會產(chǎn)學合作育人工作組主辦,四川大學與華中科技大學共同承辦。本次評選,華順信安與湘潭大學

  • Check Point:攻擊者通過合法email服務竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時,在2023年一份針對我國電子郵件安全的第三方報告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險的是,今年又出現(xiàn)了許多新的勒索軟件即服務(RaaS)團伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運營商REvil的回歸

  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡安全產(chǎn)業(yè)研究機構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟(CCIA)

熱門排行

信息推薦