前言:在国外,SIM交换攻击技术与恶意软件攻击结合使用,从移动设备上窃取在线银行凭证,使受害者失去了对自己手机和账户的控制,同时劫持者还可以在几个小时内清空受害者的银行帐户。国内,银行APP破解,支付宝刷脸被“薅羊毛”,金融机构被罚款;金融乱象下保护公民个人信息安全,监管机构和个人都应行动。
案例1:移动数据安全隐患,欧洲刑警逮捕数个SIM交换黑客组织
欧洲刑警组织表示,根据调查西班牙黑客正在将SIM(Subscriber Identity Module SIM卡是GSM系统的移动用户所持有的IC卡,称为用户识别卡)技术与恶意软件攻击结合使用,目的是从移动设备上窃取在线银行凭证。一旦黑客掌握了这些凭据,便可以通过向移动服务提供商提供虚假文档来申请重复的SIM卡,然后执行交换和拦截安全代码等操作。欧洲刑警组织、欧洲网络犯罪中心负责人费尔南多·鲁伊斯表示,SIM卡交换攻击不仅使受害者失去了对自己手机和账户的控制,同时劫持者还可以在几个小时内清空受害者的银行帐户。
在奥地利和罗马尼亚,黑客利用SIM卡交换攻击形式,使用户的随机密码被黑客拦截用以登录银行应用程序。随后,该软件被黑客进行更新,用于在较新的支持无卡业务的ATM机设备上进行犯罪。通过以上行动,网络犯罪分子窃取了100多名受害者信息,从他们的银行帐户中窃取了6000至137000欧元,总盗窃金额约为50万欧元。
技术上,为了进行SIM卡交换攻击,网络攻击者试图欺骗移动运营商,将受害者的电话号码转移到他们所拥有的SIM卡中。由于攻击时会出现服务中断、信号消失的现象,因此受害者可能很快就会意识到手机出了点问题。但是,设备中弹出的小窗口足以使攻击者完成信息拦截,从而导致帐户受损。
目前,执法部门正在为应对这种威胁做相关工作,并预计在欧洲各地采取协调行动。
案例2:移动终端安全隐患,银行APP人脸识别技术被破解。
厦门银行手机银行APP被使用虚假身份注册银行Ⅱ、Ⅲ类账户一案判决书显示,2019年1月5日至15日之间,犯罪分子田某通过软件抓包(抓取网络传输的数据)、PS身份证等非法手段,破解人脸识别等功能,在厦门银行手机银行App内使用虚假身份注册银行Ⅱ、Ⅲ类账户(Ⅱ、Ⅲ类账户为虚拟账户,可网上开通;Ⅰ类账户是全功能账户,比如借记卡,需在银行柜台办理)76个。
注册虚假账户后,田某将上述账户信息(包括身份证号、银行卡号、绑定的手机号)卖给张某等人,非法获利两万多元。明知田某出售的账户为虚假身份注册的账户,张某仍多次购买,每套入手价格在100元至200元不等,然后再加价出售。
为了赚取更多利润,张某向他人学习上述技术,并尝试在多家银行注册Ⅱ、Ⅲ类账户。其中,张某在厦门银行App、建设银行App上拦截身份认证十余次,在浦发银行极速开户网页页面拦截身份认证信息四、五次。此外,张某还雇佣他人利用上述技术,在建设银行系统内成功注册12个Ⅱ、Ⅲ类账户。
裁判文书还指出,从2019年1月,厦门银行关闭手机银行中Ⅱ、Ⅲ类账户开户链接功能。
由此可见,厦门银行App被入侵一事,暴露了App未能验证人脸数据的来源是否可靠,使得犯罪分子可通过注入虚假数据的方式,伪造App需要验证的人脸信息。这也显示出,通信数据未加密,使得手机银行App和服务器端的通信难以保证完整性和可靠性。
案例3:非法窃取人脸数据 2000 万,制作 3D 头像通过支付宝认证,支付宝可能怎么也没想到,自己有一天也会被“薅羊毛”。
2018年7月份开始,被告人张某、余某等人以牟利为目的,利用已非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,并使用上述公民个人信息注册支付宝账户。通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等)。
从2018年7月份开始,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。张某共使用他人公民个人身份信息注册成功至少547个通过人脸识别认证的实名支付宝账户,从中非法获利15316元。
一个更令人不安的事实,在本案中,涉案的四人仅仅是使用软件合成了3D 头像便骗过了支付宝,难道支付宝的人脸认证系统就如此“不堪一击”吗?也许,以目前的技术,人脸认证系统还是有漏洞的,一定程度上是可以被破解的,基于活体识别的人脸识别确实有一定概率会被面具突破。
案例4:金融乱象,杭州银行南京分行、重庆富民银行均因侵害客户个人信息等违法行为被罚款
从中国人民银行官网获悉,3月13日杭州银行南京分行因违规查询和使用客户个人信息等原因被罚42万;3月17日重庆富民银行因7项违规行为收到监管罚单,被罚184.5万元,没收违法所得30.35万元。同时,中国人民银行均对其责人做出行政处罚。
处罚信息显示,重庆富民银行受罚是因存在7项违规行为,杭州银行南京分行存在4项违法行为:
重庆富民银行受罚是因存在7项违规行为,包括:
1.虚报、瞒报金融统计资料;
2.超过期限或未向中国人民银行报送账户开立、变更、撤销等资料;
3.未按规定进行条码支付业务管理;
4.未按照《征信业管理条例》的规定处理异议;
5.未按规定履行客户身份识别义务;
6.未按规定报送可疑交易报告;
7.侵害消费者个人信息依法得到保护的权利。
处罚书显示,杭州银行南京分行存在4宗违法行为分别是:
1.超期或未报送账户开立、撤销等资料;
2.明知是单位资金,允许以自然人名称开立账户存储;
3.未按规定履行客户身份识别义务;
4.违规查询和使用客户个人信息。
在对两家银行的违法行为进行分析发现,其均违背过“未按规定履行客户身份识别业务”。对两家银行的处罚中,关于消费者的违规行为还包括“侵害消费者个人信息依法得到保护的权利”“违规查询和使用客户个人信息”。因此,保护公民个人信息安全是行业规范的重点。
在金融行业,可靠的身份认证,交易过程的可追溯和不可抵赖、交易信息的真实性、保密性和完整性是关键所在。近日,公安部第三研究所研发的eID(electronic IDentity)数字身份直销银行全场景业务应用已经在晋商银行实践应用。这将为金融机构在日后的保护措施提供新的思路。
解决以上金融问题,保护公民个人信息安全,监管部门和个人都应行动
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术 个人信息安全规范》(以下简称“规范”),并定于 2020年10月1日实施。《规范》对个人信息收集不透明、强制和捆绑收集个人信息现象严重、个性化推送侵犯用户自主选择权、第三方隐秘收集信息缺乏控制、账号注销难、对生物识别信息的滥用和泄露频发等实践中个人信息保护疑难问题做出了有力回应。
保护个人金融信息安全,SCA安全通信联盟在此建议,作为公民个人应该做好以下三点:
1、防止信息被过度收集,关闭非必要权限;
2、不使用金融APP时及时注销账户;
由于很多用户在不使用金融APP后没有及时注销账户,个人数据也一直“躺”在账户中。个人在点击注销的同时也要注意需要点击删除账户数据,才能确保个人金融信息被及时删除。
3、不要随意丢弃个人金融信息;
用户应该注意不轻易泄露个人信息,不随意在网上晒照、发送地理位置,不要随意丢弃刷卡签购单、取款凭条、信用卡对账单等,此外,在提供个人身份证件复印件办理各类业务时,应在复印件上注明使用用途,如“仅供申报××信用卡用”,以防身份证复印件被移作他用。
本文出自SCA安全通信联盟,转载请注明出处。