警惕2011年信用卡盗刷数据刷卡安全成新课题
这是一组足以引起人们警惕的数据:趋势科技和清华大学信息与网络安全实验室日前联合发布的《中国互联网信息安全地下产业链调查报告》显示,2011年,我国涉及银行网银账户盗刷和支付账户盗窃的受害者就超过54万人,预计损失在21亿元以上。其中,如某银行网银在系统升级后,就出现了多名客户因重填个人信息,信用卡被盗刷现象。据推测,这是黑客用木马程序或钓鱼网站窃取客户手机动态验证码后实施的。
提供上述数据的这份报告还透露,2011年,中国互联网地下黑色产业链的盈利规模,已经超越50亿元,逾9万人参与其中,分别从事真实资产盗窃、网络虚拟资产盗窃、互联网资源与服务滥用、黑帽技术工具与培训等业务。报告指出,网络钓鱼、恶意吸费已经成为黑色产业链最常用的手段之一。
这份报告所揭示的正是近年来网银账户盗刷和支付账户盗窃案呈上升趋势、网络威胁形势日趋严峻的现实。“现在,移动互联的发展,带来了智能手机和平板电脑的爆炸式增长,仅去年全球就有4.27亿部智能手机售出,这催生了数以十万计的移动应用程序。”在“2012云计算安全。高端CIO峰会”上,趋势科技CEO陈怡桦曾这样分析,这些APP应用,现已成为地下黑色产业链的集中攻击目标。
互联网地下黑色产业链,盯上网民使用日趋普遍的智能手机和平板电脑,其对金融信息安全的威胁,应当引起银行等金融机构以及从事第三方支付的非金融机构的高度重视。因为这些黑色产业链所发动的高持续性威胁,通常是以智能手机、平板电脑和USB等移动设备为目标和攻击对象,进而入侵金融机构和非金融机构的信息系统和数据库;有的则通过社交工程的恶意邮件进行攻击,比如,一些金融机构和非金融机构的某些特定员工,经常会收到钓鱼邮件,一旦员工接受邮件,黑客入侵金融信息系统就有了突破口和进入通道;当然,也有的黑客会利用防火墙、服务器等系统的漏洞,获取访问金融机构和非金融机构的有效凭证信息,使攻击得以实现。
由于高持续性威胁的终极目标,是通过各种途径,窃取金融机构和非金融机构的机密情报,尽管相关机构的防范措施不断升级,但在这些利用复杂精准方式,发动的长期、有计划、有组织的攻击面前,金融机构和非金融机构仍不应掉以轻心。
为防止黑客攻击,确保数据信息安全,金融机构和非金融机构可以利用云计算技术,转化传统的数据中心;也可以在网民使用智能手机和平板电脑进行网银支付时,建立网银或支付账户的自动检查机制,通过强制扫描,清查病毒,有效保护个人客户信息和资产安全。