25%銀行類(lèi)網(wǎng)站存高危風(fēng)險

　　近期，一起“18歲黑客竊取銀行卡信息，涉案15億元”的新聞在社會(huì )上引發(fā)較大反響。該案件中，18歲黑客葉某利用自編的黑客軟件，通過(guò)互聯(lián)網(wǎng)批量提取客戶(hù)銀行卡信息，并通過(guò)網(wǎng)上中介轉賣(mài)。不法分子再利用這些銀行卡信息在網(wǎng)上大肆盜刷或轉賬牟利，涉案金額高達14.98億多元。
　　記者了解到，這一事件絕不僅僅是個(gè)案，不少金融機構的網(wǎng)站確實(shí)存在高危漏洞，易被黑客攻擊，從而危及客戶(hù)的信息安全和資金安全。而權威部門(mén)的檢測結果也顯示，雖然金融機構網(wǎng)站的高危風(fēng)險近年來(lái)持續下降，但目前仍有大概25%銀行類(lèi)網(wǎng)站存在高危風(fēng)險，恐危及資金安全。此外，有機構預測，移動(dòng)支付將可能成為網(wǎng)絡(luò )攻擊的新目標。

趙乃育/繪

　　警惕　　不少金融類(lèi)網(wǎng)站存高危風(fēng)險

　　360補天漏洞響應平臺工作人員向記者介紹稱(chēng)，經(jīng)統計，截至1月19日，白帽子（即正面的黑客，可識別計算機系統或網(wǎng)絡(luò )系統中的安全漏洞，但并不會(huì )惡意利用）提交到平臺且通過(guò)平臺驗證的漏洞報告顯示，和金融機構相關(guān)的網(wǎng)絡(luò )漏洞共89個(gè)，其中高危漏洞70個(gè)，中危漏洞6個(gè)，低危漏洞13個(gè)。值得注意的是，截至目前，仍有接近30個(gè)漏洞仍未修復。
　　360補天平臺負責人趙武在接受《經(jīng)濟參考報》記者采訪(fǎng)時(shí)表示，某些高危漏洞若被黑客利用或攻擊，將產(chǎn)生嚴重后果�！氨热�，利用某些漏洞，黑客可入侵銀行網(wǎng)站的數據庫，非法獲得大量后臺客戶(hù)數據；更有甚者，有些漏洞的存在能使黑客通過(guò)植入木馬程序從而控制整個(gè)服務(wù)器。這些漏洞都被我們稱(chēng)為高危漏洞�！�
　　而來(lái)自360補天平臺的漏洞報告還顯示，在這些存在安全漏洞的銀行類(lèi)網(wǎng)站中，不少為中小銀行和地區類(lèi)城市商業(yè)銀行。比如，三峽銀行、邯鄲銀行、連云港東方農村商業(yè)銀行、湖北仙桃農村商業(yè)銀行等近30家地區性商業(yè)銀行的主站存在SQL注入漏洞，這一漏洞屬于高危漏洞，可導致大量數據泄露，在這些漏洞中，有些已被修復，有些則沒(méi)有。
　　這些漏洞是如何產(chǎn)生的呢？趙武對記者表示，網(wǎng)站系統設計開(kāi)發(fā)不當、運營(yíng)維護不當以及工作人員安全意識不強都有可能產(chǎn)生漏洞。有些金融機構網(wǎng)站在設計上的漏洞顯得非常低端，他列舉某銀行已經(jīng)修復的漏洞案例稱(chēng)，在該網(wǎng)站若直接輸入用戶(hù)名，不需要任何密碼，可直接顯示該用戶(hù)的手機號碼和客戶(hù)號等信息，這就給了黑客可乘之機。另外，工作人員安全意識的淡薄也可能被黑客所利用�！坝行┕ぷ魅藛T可能會(huì )將一些內部系統的網(wǎng)址、用戶(hù)名和密碼作為QQ群的簽名檔貼出來(lái)，這些信息完全是公開(kāi)的，任何人都可以通過(guò)QQ的查詢(xún)功能查詢(xún)到信息，隱患很大�！壁w武說(shuō)。

　　危機　　新興網(wǎng)絡(luò )理財平臺成重災區

　　值得注意的是，在網(wǎng)絡(luò )安全上，一些新興的網(wǎng)絡(luò )平臺，如P2P理財借貸平臺、網(wǎng)上支付平臺等，暴露出比傳統金融機構網(wǎng)站更加嚴重的問(wèn)題。
　　來(lái)自360補天漏洞響應平臺的信息顯示，此前，國內P2P理財平臺PPmoney存在高危漏洞，影響到幾十億元資產(chǎn)。黑客不僅可以獲取用戶(hù)的財務(wù)、隱私信息及發(fā)送到手機上的明文交易密碼，還能任意修改賬戶(hù)金額。而該平臺里前20名賬戶(hù)余額都在2000萬(wàn)元以上，最多的超過(guò)一億元。目前，該漏洞已經(jīng)被修復。
　　據趙武介紹，PPmoney的高危漏洞可以被黑客利用植入后門(mén)，達到控制數據庫和服務(wù)器的目的�？刂品�務(wù)器以后，可以獲取數據庫中的所有信息，包括用戶(hù)的賬戶(hù)金額等財務(wù)信息、手機號等隱私信息。從漏洞詳情可以看到，還能獲得實(shí)時(shí)下發(fā)到手機上的重置密碼、認證碼、交易密碼等信息。
　　另?yè)?60補天漏洞響應平臺提供的信息，此前，國內P2P平臺小米貸存多個(gè)高危漏洞，黑客可直接控制服務(wù)器；普資華企P2P理財網(wǎng)站存在XSS漏洞，使得數十萬(wàn)會(huì )員信息存在隱患；易網(wǎng)融通金融綜合服務(wù)平臺存在用戶(hù)信息泄露風(fēng)險；點(diǎn)點(diǎn)理財P2P平臺存在萬(wàn)能密碼，黑客可進(jìn)入后臺操作，泄露所有用戶(hù)資料；長(cháng)沙大定財富理財網(wǎng)站存在的漏洞可導致泄露多個(gè)數據庫信息。目前，這些漏洞均被修復。
　　國家信息技術(shù)安全研究中心專(zhuān)家曹岳在接受《經(jīng)濟參考報》記者采訪(fǎng)時(shí)表示，比起傳統的金融機構，新興的平臺由于成立時(shí)間較短，業(yè)務(wù)飛速發(fā)展，且缺乏有效的監管，因此容易暴露問(wèn)題。尤其是有些新興網(wǎng)絡(luò )平臺的技術(shù)水平與傳統的銀行機構相比存在一定差距，易被黑客攻擊�！霸诒O管不足的情況下，這些平臺需要自身承擔起責任，提高網(wǎng)站的安全性�！�

　　防范　　移動(dòng)支付恐成網(wǎng)絡(luò )攻擊新目標

　　“實(shí)際上，從整體來(lái)看，金融行業(yè)的信息系統安全性相對于其他行業(yè)來(lái)說(shuō)，算是比較安全的，如金融行業(yè)的重要系統極少存在弱口令這樣的低級漏洞�！辈茉辣硎�。
　　360互聯(lián)網(wǎng)安全中心最新發(fā)布的網(wǎng)站安全性行業(yè)分析報告也顯示，從存在高危漏洞的角度看，電子商務(wù)類(lèi)網(wǎng)站（26%）的比例最高；其次為生活信息類(lèi)（24%）、醫療衛生（22%）和企業(yè)公司（21%）。銀行類(lèi)網(wǎng)站安全性相對較高，存在高危漏洞比例最低。
　　“不過(guò)，由于金融類(lèi)網(wǎng)站涉及客戶(hù)的信息安全和資金安全，因此，一個(gè)很小的漏洞也可能引發(fā)較大的風(fēng)險和問(wèn)題。因此，必須引發(fā)高度重視�！辈茉辣硎�。
　　曹岳表示，從高強度的滲透測試來(lái)看金融安全態(tài)勢，依然存在大規模的網(wǎng)絡(luò )攻擊風(fēng)險。據他介紹，國家信息技術(shù)安全研究中心從十八大以后開(kāi)始對金融網(wǎng)站進(jìn)行監測，每個(gè)季度會(huì )出一個(gè)分析報告。根據該中心對銀行網(wǎng)站的持續檢測，大概25%左右網(wǎng)站存在高危風(fēng)險。根據360在2014年發(fā)布的互聯(lián)網(wǎng)安全報告，網(wǎng)站的中高危漏洞比例大概占65%。
　　“金融系統采用了世界上最先進(jìn)的防御體系，我們對他們的防御能力進(jìn)行了穿透性測試，存有漏洞的網(wǎng)站大概有20%的概率被直接穿透�！辈茉勒f(shuō)。
　　不容忽視的是，伴隨著(zhù)移動(dòng)支付和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，金融機構網(wǎng)絡(luò )安全問(wèn)題更為突出。據卡巴斯基統計，2014年針對安卓設備的攻擊是2013年的4倍，每5個(gè)安卓用戶(hù)就有1個(gè)面臨過(guò)移動(dòng)威脅。有機構預測，2015年針對安卓設備的惡意軟件數量將是2014年的2倍。移動(dòng)支付將可能成為網(wǎng)絡(luò )攻擊的新目標，通過(guò)挖掘系統漏洞、制造網(wǎng)上銀行病毒等，網(wǎng)絡(luò )犯罪分子可能獲取金融敏感信息或劫持賬戶(hù)。與此同時(shí)，近年來(lái)，全球大規模數據泄露事件頻繁發(fā)生，如美國Target超市7000萬(wàn)客戶(hù)資料，摩根大通賬號資料被竊取，iCloud泄露出大量好萊塢影星私密照片，國內12306用戶(hù)身份證等敏感信息泄露。
　　曹岳指出，目前黑色產(chǎn)業(yè)鏈趨利化、集團化、跨境化的特點(diǎn)日趨明顯，如一次跨境網(wǎng)絡(luò )釣魚(yú)攻擊，黑客從騙取用戶(hù)的信息到在國外的ATM取現只需要2小時(shí)，而立案最快得6小時(shí)，不法分子的攻擊速度已經(jīng)遠遠超出更大范圍的安全防御框架。
　　“互聯(lián)網(wǎng)金融在2014年快速發(fā)展，金融支付已經(jīng)貫穿到存、貸、流通各個(gè)環(huán)節，安全問(wèn)題也是跨平臺、跨地域的，安全問(wèn)題更加復雜。譬如不法分子通過(guò)假冒淘寶商家讓一個(gè)北京的買(mǎi)家電腦中了一個(gè)木馬，通過(guò)欺詐的方式騙取用戶(hù)賬戶(hù)金額，最后錢(qián)在幾個(gè)銀行流通后，從另外一個(gè)省ATM取出去。因此，在一個(gè)高度關(guān)聯(lián)依賴(lài)的數字金融網(wǎng)絡(luò )，攻擊一個(gè)金融系統就意味著(zhù)攻擊整個(gè)金融系統，沒(méi)有一個(gè)人可以逃脫這種攻擊。雖然每個(gè)金融機構在業(yè)務(wù)上是競爭的，但在信息安全上面臨著(zhù)同樣的對手。有必要聯(lián)合安全服務(wù)商、金融機構和主管部門(mén)、金融參與者等進(jìn)行共同防御�！辈茉勒f(shuō)。