前言:在國外,SIM交換攻擊技術與惡意軟件攻擊結合使用,從移動設備上竊取在線銀行憑證,使受害者失去了對自己手機和賬戶的控制,同時劫持者還可以在幾個小時內清空受害者的銀行帳戶。國內,銀行APP破解,支付寶刷臉被“薅羊毛”,金融機構被罰款;金融亂象下保護公民個人信息安全,監管機構和個人都應行動。
案例1:移動數據安全隱患,歐洲刑警逮捕數個SIM交換黑客組織
歐洲刑警組織表示,根據調查西班牙黑客正在將SIM(Subscriber Identity Module SIM卡是GSM系統的移動用戶所持有的IC卡,稱爲用戶識別卡)技術與惡意軟件攻擊結合使用,目的是從移動設備上竊取在線銀行憑證。一旦黑客掌握了這些憑據,便可以通過向移動服務提供商提供虛假文檔來申請重複的SIM卡,然後執行交換和攔截安全代碼等操作。歐洲刑警組織、歐洲網絡犯罪中心負責人費爾南多·魯伊斯表示,SIM卡交換攻擊不僅使受害者失去了對自己手機和賬戶的控制,同時劫持者還可以在幾個小時內清空受害者的銀行帳戶。
在奧地利和羅馬尼亞,黑客利用SIM卡交換攻擊形式,使用戶的隨機密碼被黑客攔截用以登錄銀行應用程序。隨後,該軟件被黑客進行更新,用於在較新的支持無卡業務的ATM機設備上進行犯罪。通過以上行動,網絡犯罪分子竊取了100多名受害者信息,從他們的銀行帳戶中竊取了6000至137000歐元,總盜竊金額約爲50萬歐元。
技術上,爲了進行SIM卡交換攻擊,網絡攻擊者試圖欺騙移動運營商,將受害者的電話號碼轉移到他們所擁有的SIM卡中。由於攻擊時會出現服務中斷、信號消失的現象,因此受害者可能很快就會意識到手機出了點問題。但是,設備中彈出的小窗口足以使攻擊者完成信息攔截,從而導致帳戶受損。
目前,執法部門正在爲應對這種威脅做相關工作,並預計在歐洲各地採取協調行動。
案例2:移動終端安全隱患,銀行APP人臉識別技術被破解。
廈門銀行手機銀行APP被使用虛假身份註冊銀行Ⅱ、Ⅲ類賬戶一案判決書顯示,2019年1月5日至15日之間,犯罪分子田某通過軟件抓包(抓取網絡傳輸的數據)、PS身份證等非法手段,破解人臉識別等功能,在廈門銀行手機銀行App內使用虛假身份註冊銀行Ⅱ、Ⅲ類賬戶(Ⅱ、Ⅲ類賬戶爲虛擬賬戶,可網上開通;Ⅰ類賬戶是全功能賬戶,比如借記卡,需在銀行櫃檯辦理)76個。
註冊虛假賬戶後,田某將上述賬戶信息(包括身份證號、銀行卡號、綁定的手機號)賣給張某等人,非法獲利兩萬多元。明知田某出售的賬戶爲虛假身份註冊的賬戶,張某仍多次購買,每套入手價格在100元至200元不等,然後再加價出售。
爲了賺取更多利潤,張某向他人學習上述技術,並嘗試在多家銀行註冊Ⅱ、Ⅲ類賬戶。其中,張某在廈門銀行App、建設銀行App上攔截身份認證十餘次,在浦發銀行極速開戶網頁頁面攔截身份認證信息四、五次。此外,張某還僱傭他人利用上述技術,在建設銀行系統內成功註冊12個Ⅱ、Ⅲ類賬戶。
裁判文書還指出,從2019年1月,廈門銀行關閉手機銀行中Ⅱ、Ⅲ類賬戶開戶鏈接功能。
由此可見,廈門銀行App被入侵一事,暴露了App未能驗證人臉數據的來源是否可靠,使得犯罪分子可通過注入虛假數據的方式,僞造App需要驗證的人臉信息。這也顯示出,通信數據未加密,使得手機銀行App和服務器端的通信難以保證完整性和可靠性。
案例3:非法竊取人臉數據 2000 萬,製作 3D 頭像通過支付寶認證,支付寶可能怎麼也沒想到,自己有一天也會被“薅羊毛”。
2018年7月份開始,被告人張某、餘某等人以牟利爲目的,利用已非法獲取的公民個人信息,通過使用軟件將相關公民頭像照片製作成公民3D頭像,從而通過支付寶人臉識別認證,並使用上述公民個人信息註冊支付寶賬戶。通過這種方式來獲取支付寶提供的邀請註冊新支付寶用戶的相應紅包獎勵(包括邀請新人紅包、通用消費紅包、花唄紅包等)。
從2018年7月份開始,使用其購買的公民個人身份信息註冊支付寶賬號,並使用軟件將公民頭像照片製作成公民3D頭像,從而通過支付寶人臉識別認證。張某共使用他人公民個人身份信息註冊成功至少547個通過人臉識別認證的實名支付寶賬戶,從中非法獲利15316元。
一個更令人不安的事實,在本案中,涉案的四人僅僅是使用軟件合成了3D 頭像便騙過了支付寶,難道支付寶的人臉認證系統就如此“不堪一擊”嗎?也許,以目前的技術,人臉認證系統還是有漏洞的,一定程度上是可以被破解的,基於活體識別的人臉識別確實有一定概率會被面具突破。
案例4:金融亂象,杭州銀行南京分行、重慶富民銀行均因侵害客戶個人信息等違法行爲被罰款
從中國人民銀行官網獲悉,3月13日杭州銀行南京分行因違規查詢和使用客戶個人信息等原因被罰42萬;3月17日重慶富民銀行因7項違規行爲收到監管罰單,被罰184.5萬元,沒收違法所得30.35萬元。同時,中國人民銀行均對其責人做出行政處罰。
處罰信息顯示,重慶富民銀行受罰是因存在7項違規行爲,杭州銀行南京分行存在4項違法行爲:
重慶富民銀行受罰是因存在7項違規行爲,包括:
1.虛報、瞞報金融統計資料;
2.超過期限或未向中國人民銀行報送賬戶開立、變更、撤銷等資料;
3.未按規定進行條碼支付業務管理;
4.未按照《徵信業管理條例》的規定處理異議;
5.未按規定履行客戶身份識別義務;
6.未按規定報送可疑交易報告;
7.侵害消費者個人信息依法得到保護的權利。
處罰書顯示,杭州銀行南京分行存在4宗違法行爲分別是:
1.超期或未報送賬戶開立、撤銷等資料;
2.明知是單位資金,允許以自然人名稱開立賬戶存儲;
3.未按規定履行客戶身份識別義務;
4.違規查詢和使用客戶個人信息。
在對兩家銀行的違法行爲進行分析發現,其均違背過“未按規定履行客戶身份識別業務”。對兩家銀行的處罰中,關於消費者的違規行爲還包括“侵害消費者個人信息依法得到保護的權利”“違規查詢和使用客戶個人信息”。因此,保護公民個人信息安全是行業規範的重點。
在金融行業,可靠的身份認證,交易過程的可追溯和不可抵賴、交易信息的真實性、保密性和完整性是關鍵所在。近日,公安部第三研究所研發的eID(electronic IDentity)數字身份直銷銀行全場景業務應用已經在晉商銀行實踐應用。這將爲金融機構在日後的保護措施提供新的思路。
解決以上金融問題,保護公民個人信息安全,監管部門和個人都應行動
2020年3月6日,國家市場監督管理總局、國家標準化管理委員會正式發佈國家標準《信息安全技術 個人信息安全規範》(以下簡稱“規範”),並定於 2020年10月1日實施。《規範》對個人信息收集不透明、強制和捆綁收集個人信息現象嚴重、個性化推送侵犯用戶自主選擇權、第三方隱祕收集信息缺乏控制、賬號註銷難、對生物識別信息的濫用和泄露頻發等實踐中個人信息保護疑難問題做出了有力迴應。
保護個人金融信息安全,SCA安全通信聯盟在此建議,作爲公民個人應該做好以下三點:
1、防止信息被過度收集,關閉非必要權限;
2、不使用金融APP時及時註銷賬戶;
由於很多用戶在不使用金融APP後沒有及時註銷賬戶,個人數據也一直“躺”在賬戶中。個人在點擊註銷的同時也要注意需要點擊刪除賬戶數據,才能確保個人金融信息被及時刪除。
3、不要隨意丟棄個人金融信息;
用戶應該注意不輕易泄露個人信息,不隨意在網上曬照、發送地理位置,不要隨意丟棄刷卡籤購單、取款憑條、信用卡對賬單等,此外,在提供個人身份證件複印件辦理各類業務時,應在複印件上註明使用用途,如“僅供申報××信用卡用”,以防身份證複印件被移作他用。
本文出自SCA安全通信聯盟,轉載請註明出處。