管理顧問公司Capgemini在2017年一分世界金融科技報告中指出,全球有50%的消費者,都至少使用一項FinTech技術。舉例來說,光是中國與印度在行動支付上的使用率,就占了84.4%、76.9%,顯示金融科技已經融入大眾的生活中。趨勢科技首席資安顧問紀孟宏在2018臺灣資安大會,探討金融科技帶來便利之餘,金融業者與用戶所要面對的的威脅與防範措施。
然而,除了行動支付,消費者普遍會在手機安裝行動銀行(Mobile banking)APP,用來轉帳或是進行其他銀行業務。紀孟宏指出,至2017年9月為止,在Google Play商店出現將近30個Bankbot惡意程式,偽裝成正常的應用程式到處散布。駭客利用假網頁覆蓋在正常的行動銀行APP,當用戶輸入行動銀行的帳號密碼後,此惡意程式會要求再輸入一次帳號密碼,確保兩次的輸入無誤,再使用竊取的帳號密碼,從網路銀行登入進行盜刷。
而且,Bankbot惡意程式還會攔截銀行寄給用戶的簡訊雙重認證,讓受害者無法及時發現,駭客在盜刷時,甚至可以用攔截下來的簡訊,輸入銀行寄來的消費驗證碼,成功消費。他建議,用戶在登入行動銀行時,盡量不要用公共WiFi登入,以免讓駭客有機可乘。
同樣是金融犯罪,紀孟宏進一步提到,跨國銀行的SWIFT系統遭攻擊事件頻傳,且集中在亞洲地區,某種程度上是針對性的攻擊,而且盜領數目都很大。從2013年到2018年都有發生銀行SWIFT系統遭攻擊,其中包括去年臺灣遠東銀行遭轉帳6,000萬美元,以及今年剛被盜600萬美元的俄羅斯銀行。
趨勢科技指出,SWIFT入侵事件的共通點。首先,駭客會透過社交工程攻擊、漏洞攻擊、水坑式攻擊,駭進銀行內部網路,並植入後門,監聽帳號密碼,找到有權限能登入SWIFT的帳密,進行轉帳盜領。而此惡意程式還可將所有入侵活動痕跡刪除。
紀孟宏提醒,金融科技服務提供者與一般用戶都要有資安思維。金融業者除了需要提升資安人員的意識,加強程式開發、維運人員的能力,更要強化資安控管,包含注意內賊監守自盜,或是協力廠商VPN連線的可能性。此外,內部也要定期做原始代碼掃描、連線控管(Access Control),建立應用程式白名單(Application Control)以及內部稽核紀錄與監控(Audit log),落實內部資安風險管理。他也直言,金融業者要做好被駭客入侵的心理準備,建立資安事件響應程序,並定期演練,把損失減至最低。
用戶端的個資也同等重要,他建議,用戶在使用行動載具時,不要安裝來路不明的APP,並且需要安裝且定期更新防毒軟體。在使用金融服務時,盡量使用行動網路登入,避免使用公共或不明WiFi。最後,除了妥善保管個人機密資料,也可啟用雙重認證登入遠端服務,預防個資外洩。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-12-11
2024-11-29