网络黑客盯上app 移动端已成为消费者身份信息泄露主要方式
【摘要】曾经电影里头蒙丝袜手拿冲锋枪去抢银行的镜头如今已经过时了,黑进银行系统悄悄转移资金成为这个数字时代黑客们的梦想,他们需要的,不是枪支弹药、防弹背心和把车停在银行门口的接头人,而仅仅是一把舒服的椅子和一台电脑。
曾经电影里头蒙丝袜手拿冲锋枪去抢银行的镜头如今已经过时了,黑进银行系统悄悄转移资金成为这个数字时代黑客们的梦想,他们需要的,不是枪支弹药、防弹背心和把车停在银行门口的接头人,而仅仅是一把舒服的椅子和一台电脑。今年年初,网络黑客从孟加拉中央银行系统中盗出8100万美元,同时也让使用该银行SWIFT全球支付网络的用户对银行彻底失去了信心。
因此支付网络不得不持之以恒的对抗来自数字世界的种种威胁。据悉,从2015年3月截止到2016年3月,美国地区的网络犯罪案件就上升137个百分点。
紧随孟加拉中央银行被盗案之后接踵而来的是发生在厄瓜多尔、菲律宾和越南等地的银行系统被黑事件。这些受到攻击的银行都是SWIFT(银行结算系统)成员,基础安全措施较薄弱是这些被攻击银行的共同特点。
对于SWIFT和P2P这样的支付网络,验证方式还不能完全保证安全,即使银行要求提供加密数据来保证个人身份验证信息准确性,其中还是有漏洞可寻。
据一家名为哥谭数字科学的网络安全公司透露,攻击孟加拉中央银行的黑客正是利用了银行系统的薄弱环节,那就是SWIFT成员银行都使用各自、不同的安全保护措施,同时,黑客会攻击那些安保系统较弱的小型银行。
大型银行通常会建立多重安全壁垒并使用自动化控制系统。位于美国硅谷帕拉奥托的Nok Nok产品部副总裁Rajiv认为,黑客攻击孟加拉、乌克兰等地的银行所用的方法是,通过这些银行较薄弱的安保系统,“假装”以政府、法律机构的身份潜入进去。
数字时代的黑客变得越来越熟练,可以在更短的时间内破解防护系统。
黑客转移账户资金的目的可以通过盗取用户身份信息实现。如今的EMV支付让黑客难以使用虚假信用卡或黑进支付终端,但是在如今“银行卡并不代表交易”的思潮下,黑客总能从线上支付和电话购物窃取“良”机。
为了从更多途径窃取用户身份信息,黑客把目光瞄准了网页和移动app,因为消费者通常会对app所要求的多重身份验证感到繁琐,而简化之后的app让黑客们有了可乘之机。
Visa曾经为了保护用户信息,在用户点击支付后将其引入一个第三方验证页面,但是由于零售商认为这个过程会给消费者带来不方便的操作体验,所以并未继续施行。
Vasco数据安全公司首席战略官Scott Clements表示,在过去一年,针对银行和app的移动端恶意软件数量增加三倍。黑客会通过“复制”虚假银行app等方式以假乱真,用户注册之后就可直接获取身份验证信息。
JPM编译自
PYMNTS, Cybercriminals Targeting Apps.