趨勢科技首席資安顧問紀孟宏在臺灣資安大會探討金融科技面臨的威脅與防範措施。

管理顧問公司Capgemini在2017年一分世界金融科技報告中指出,全球有50%的消費者,都至少使用一項FinTech技術。舉例來說,光是中國與印度在行動支付上的使用率,就占了84.4%、76.9%,顯示金融科技已經融入大眾的生活中。趨勢科技首席資安顧問紀孟宏在2018臺灣資安大會,探討金融科技帶來便利之餘,金融業者與用戶所要面對的的威脅與防範措施。

然而,除了行動支付,消費者普遍會在手機安裝行動銀行(Mobile banking)APP,用來轉帳或是進行其他銀行業務。紀孟宏指出,至2017年9月為止,在Google Play商店出現將近30個Bankbot惡意程式,偽裝成正常的應用程式到處散布。駭客利用假網頁覆蓋在正常的行動銀行APP,當用戶輸入行動銀行的帳號密碼後,此惡意程式會要求再輸入一次帳號密碼,確保兩次的輸入無誤,再使用竊取的帳號密碼,從網路銀行登入進行盜刷。

而且,Bankbot惡意程式還會攔截銀行寄給用戶的簡訊雙重認證,讓受害者無法及時發現,駭客在盜刷時,甚至可以用攔截下來的簡訊,輸入銀行寄來的消費驗證碼,成功消費。他建議,用戶在登入行動銀行時,盡量不要用公共WiFi登入,以免讓駭客有機可乘。

同樣是金融犯罪,紀孟宏進一步提到,跨國銀行的SWIFT系統遭攻擊事件頻傳,且集中在亞洲地區,某種程度上是針對性的攻擊,而且盜領數目都很大。從2013年到2018年都有發生銀行SWIFT系統遭攻擊,其中包括去年臺灣遠東銀行遭轉帳6,000萬美元,以及今年剛被盜600萬美元的俄羅斯銀行。

趨勢科技指出,SWIFT入侵事件的共通點。首先,駭客會透過社交工程攻擊、漏洞攻擊、水坑式攻擊,駭進銀行內部網路,並植入後門,監聽帳號密碼,找到有權限能登入SWIFT的帳密,進行轉帳盜領。而此惡意程式還可將所有入侵活動痕跡刪除。

紀孟宏提醒,金融科技服務提供者與一般用戶都要有資安思維。金融業者除了需要提升資安人員的意識,加強程式開發、維運人員的能力,更要強化資安控管,包含注意內賊監守自盜,或是協力廠商VPN連線的可能性。此外,內部也要定期做原始代碼掃描、連線控管(Access Control),建立應用程式白名單(Application Control)以及內部稽核紀錄與監控(Audit log),落實內部資安風險管理。他也直言,金融業者要做好被駭客入侵的心理準備,建立資安事件響應程序,並定期演練,把損失減至最低。

用戶端的個資也同等重要,他建議,用戶在使用行動載具時,不要安裝來路不明的APP,並且需要安裝且定期更新防毒軟體。在使用金融服務時,盡量使用行動網路登入,避免使用公共或不明WiFi。最後,除了妥善保管個人機密資料,也可啟用雙重認證登入遠端服務,預防個資外洩。


Advertisement

更多 iThome相關內容