当前位置:首页 >  IDC >  安全 >  正文

黑客利用银行APP漏洞非法获利2800万爱加密指出金融业不可小觑的漏洞风险

 2018-12-19 15:25  来源: 互联网   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

日前,上海警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙,据警方初步查证,马某利用黑客技术,长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月,他发现某银行APP软件中的*业务存在安全漏洞,遂使用非法手段获取了5套该行的储户账户信息,在账户中存入少量金额后办理定期存款,后通过技术软件成倍放大存款金额,借此获得*,累计非法获利2800余万元,马某等6名犯罪嫌疑人被依法刑事拘留。

对此事件,专业的移动信息安全服务商爱加密安全专家表示,造成此类安全事件的原因主要是利用了该手机银行APP中*业务的安全漏洞,借用他人存单办理了存单*,而在贷款审核流程中未对贷款人身份进行验证,也未对终端环境进行风险监控。针对此次银行APP事件,该专家认为金融类APP除进行常规的安全加固外,还应注意以下几个方面漏洞风险,做到防患于未然。

Ø通讯数据明文风险

风险描述:

如果客户端与服务端交互过程中的数据未采用任何加密处理,当用户在支付过程中输入支付密码、账户信息等关键信息时会造成被黑客利用进行监听、植入病毒或木马、窃取数据的危险行为。黑客通过对业务通信进行劫持伪造,动态修改上下行信息,使金融APP的客户和金融机构造成巨大的经济损失。

安全建议:目前市面上的主流算法容易被黑客分析并获取密钥key,从而可以方便的对数据进行解密还原操作,建议采用协议加密SDK。协议加密SDK算法采用白盒化的思路,把密钥和算法融合在一起,在不可信的环境下达到保证密钥安全性的目的。另外,在通信过程中,数据经常存在被篡改的可能性,建议采用自带数据校验功能的协议加密SDK对数据进行完整性校验,保证数据不可篡改。

ØH5代码逆向破解风险

风险描述:对于H5应用来说,因为JavaScript作为开放的页面脚本语言,本身安全缺陷明显,并隶属于解释性语言,对任何人来说都是不设防的,而比较突出的攻击手段如下包括H5网站被任意调试;H5应用被随意获取相关JavaScript脚本,通过盗用来生成仿冒应用;H5应用中JavaScript暴露其业务逻辑和系统接口,黑客通过分析JavaScript业务代码,逆向解读应用的核心逻辑,有针对性的通过应用挖掘服务端漏洞,最终实现攻击金融机构核心资产的目的。

安全建议:爱加密移动应用H5安全加固平台可针对此类风险向企业提供系统级的安全服务。该平台具有自动对H5文件进行加密、混淆、支持批量上传及下载H5文件、支持API接口调用方式、支持Web JS、APPJS、公众号JS以及小程序JS代码加固、支持APP中热更新框架,如RN代码加固等特点。加密后的H5代码具备常量字符串加密、常量数字加密、二元表达式加密、代码压缩、函数变量名混淆、基本块分裂、垃圾指令注入、防调试、禁止控制台输出、一次一密、域名绑定等功能,达到对JS文件的反调试、反窃取、反篡改等保护,大大提高JavaScript文件的安全性。

Ø终端设备环境风险

风险描述:根据媒体的报道,自5月份犯罪嫌疑人就开始利用该漏洞作案,11月份银行工作人员才进行报案,中间长达数月该应用都处于被攻击且未被发觉的状态,此类情况绝非首例,且不止一家。

安全建议:此类黑客攻击一般会在有安全风险的终端环境上运行,比如Xposed、ROOT、模拟器、双开、可疑进程、代码注入等等,爱加密提供安全清场SDK,客户可自行嵌入到App中对客户端所在手机环境进行安全检测,嵌入后客户端具备检测框架攻击行为(如Xposed,Substrate框架)、注入攻击行为(如Hjack注入、inject注入)、调试攻击行为(如gdbserver调试、ida调试)、劫持攻击行为、模拟器攻击行为、ROOT攻击行为、病毒、木马、恶意软件攻击行为等的能力。可对发现的各种攻击行为进行数据回调,帮助金融机构快速作出应急响应。

此前有调查显示,亚太地区金融行业的106款APP中85%的应用没有通过基本的安全检测,50%的应用至少存在4至6个漏洞,金融应用仿冒、金融页面钓鱼攻击、系统漏洞等问题层出不穷。为保证金融行业移动应用业务安全,爱加密基于金融业务特点,建立了一套牢固的移动应用安全防护体系,为移动金融业务提供可覆盖全生命周期的解决方案,保证移动应用的合规性和安全性,从根源上解决移动应用业务面临的各类风险。

目前,爱加密已服务中国银行、交通银行、浦发银行、中泰证券、广发证券、光大证券、陆金所、翼支付等数百家银行、证券、保险等互联网金融机构和第三方支付平台,致力做好金融安全的守门人,为金融行业健康稳定发展保驾护航。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
安全漏洞
网络安全

相关文章

  • 2023 年 6 月头号恶意软件:Qbot 成为 2023 年上半年最猖獗恶意软件

    CheckPointResearch报告称,多用途木马Qbot是2023年上半年最猖獗的恶意软件。与此同时,移动木马SpinOk于6月份首次位居榜首,该恶意软件在MOVEit暴出零日漏洞后开始肆虐2023年7月,全球领先的网络安全解决方案提供商CheckPoint®软件技术有限公司(纳斯达克股票代码

    标签:
    网络安全
  • 华顺信安荣获“网络空间安全产学协同育人优秀案例”二等奖

    7月6日,“第三届网络空间安全产学协同育人优秀案例”评选活动正式公布获奖名单,华顺信安与湘潭大学计算机学院·网络空间安全学院联合申报的参选案例获评优秀案例二等奖。本次活动由教育部高等学校网络空间安全专业教学指导委员会产学合作育人工作组主办,四川大学与华中科技大学共同承办。本次评选,华顺信安与湘潭大学

    标签:
    网络安全
  • Check Point:攻击者通过合法email服务窃取用户凭证信息

    近日,CheckPoint®软件技术有限公司的研究人员对电子邮件安全展开调研,结果显示凭证收集仍是主要攻击向量,59%的报告攻击与之相关。它还在商业电子邮件入侵(BEC)攻击中发挥了重要作用,造成了15%的攻击。同时,在2023年一份针对我国电子邮件安全的第三方报告显示,与证书/凭据钓鱼相关的不法活

    标签:
    网络安全
  • 百代OSS防勒索解决方案,打造领先安全生态体系

    Verizon发布的VerizonBusiness2022数据泄露调查报告显示,勒索软件在2022年同比增长13%,增幅超过过去五年综合。更危险的是,今年又出现了许多新的勒索软件即服务(RaaS)团伙,例如Mindware、Onyx和BlackBasta,以及恶名昭著的勒索软件运营商REvil的回归

    标签:
    网络安全
  • 2023 CCIA年度榜单出炉,华顺信安三度蝉联“中国网安产业成长之星

    6月21日,中国网络安全产业联盟(CCIA)正式发布由网络安全产业研究机构“数说安全”提供研究支持的“2023年中国网安产业竞争力50强、成长之星、潜力之星”榜单。华顺信安凭借行业内优秀的专业能力与强劲的核心竞争力再次荣登“2023年中国网安产业成长之星”榜单。据悉,中国网络安全产业联盟(CCIA)

    标签:
    网络安全

热门排行

信息推荐