25%银行类网站存高危风险 小银行和P2P平台成重灾区

本篇文章2842字，读完约7分钟

最近，一名18岁的黑客窃取了涉及15亿元的银行卡信息的消息，在社会上引起了很大反响。本案中，18岁的黑客叶某利用自己的黑客软件，通过互联网批量提取客户银行卡信息，并通过网络中介转卖。犯罪分子利用这些银行卡信息在网上盗取或转移资金牟利，涉案金额高达14.98亿元。

记者了解到，这一事件不仅仅是一个案件。金融机构的许多网站确实存在高风险漏洞，容易受到黑客攻击，从而危及客户的信息安全和资金安全。权威部门的测试结果也显示，虽然近年来金融机构网站的高风险风险有所下降，但仍有约25%的银行网站存在高风险，可能危及资金安全。此外，一些组织预测移动支付将成为网络攻击的新目标。

许多金融网站都有高风险

据统计，截至1月19日，白帽(即能够识别计算机系统或网络系统中的安全漏洞，但不会恶意利用它们的积极黑客)向平台提交并经平台验证的漏洞报告显示，与金融机构相关的网络漏洞有89个，其中高风险漏洞70个，中风险漏洞6个，低风险漏洞13个。值得注意的是，到目前为止，仍有近30个漏洞尚未修复。

360天空补充平台负责人吴钊在接受《经济信息日报》采访时表示，如果一些高风险漏洞被黑客利用或攻击，将会产生严重后果。“例如，黑客可以利用某些漏洞入侵银行网站的数据库，非法获取大量的后台客户数据；此外，一些漏洞的存在可以让黑客通过植入木马来控制整个服务器。这些漏洞被我们称为高风险漏洞。”

360天平台的漏洞报告还显示，这些存在安全漏洞的银行网站中，有很多是中小银行和区域性城市商业银行。例如，三峡银行、邯郸银行、连云港东方农村商业银行、湖北仙桃农村商业银行等近30家区域性商业银行的主要网点存在sql注入漏洞。这个漏洞是一个高风险的漏洞，会导致大量的数据泄露。其中一些漏洞已经被修复，而其他的还没有。

这些漏洞是如何产生的？吴钊告诉记者，网站系统设计和开发不当，操作和维护不当，以及工作人员安全意识薄弱都可能导致漏洞。一些金融机构的网站有非常低端的设计漏洞。他列举了一些已被银行修复的漏洞案例，称如果用户名直接输入网站，用户的手机号码和客户号码等信息可以直接显示，无需任何密码，这给了黑客一个机会。此外，员工薄弱的安全意识也可能被黑客利用。“一些工作人员可能会将一些内部系统的网址、用户名和密码作为qq群的签名文件发布。这些信息是完全公开的，任何人都可以通过qq查询功能查询这些信息，存在很大的隐患。”吴钊说。

危险机器新兴网络金融平台成为重灾区

值得注意的是，在网络安全方面，一些新兴的网络平台，如p2p金融借贷平台和在线支付平台，暴露出比传统金融机构网站更严重的问题。

根据360天漏洞应对平台提供的信息，国内p2p金融平台ppmoney存在高风险漏洞，影响了数十亿资产。黑客不仅可以获取用户的财务和私人信息，还可以通过手机发送明文交易密码，还可以任意修改账户金额。该平台前20名账户余额超过2000万元，最高超过1亿元。目前，该漏洞已被修复。

据吴钊称，ppmoney的高风险漏洞可能被黑客利用，并植入后门以控制数据库和服务器。控制服务器后，您可以获得数据库中的所有信息，包括用户账户金额等财务信息和手机号码等私人信息。从漏洞的细节可以看出，还可以实时获取发送到手机的重置密码、认证码、交易密码等信息。

根据360天漏洞响应平台提供的信息，在国内p2p平台小米借用多个高风险漏洞之前，黑客可以直接控制服务器；中国通用企业的p2p金融网站存在xss漏洞，使得成千上万的会员存在隐患；易网融通综合金融服务平台存在用户信息泄露风险；p2p金融管理平台有一个主密码，黑客可以进入后台操作，泄露所有用户数据；长沙大鼎财富管理网站的漏洞可能导致多个数据库信息的泄露。目前，这些漏洞已经被修复。

国家信息技术安全研究中心专家曹越在接受《经济信息日报》采访时表示，与传统金融机构相比，新兴平台由于建立时间短、业务发展快、缺乏有效监管，容易暴露问题。特别是一些新兴网络平台的技术水平与传统银行机构存在一定差距，容易受到黑客攻击。“在监管不足的情况下，这些平台需要为自己负责，并提高网站的安全性。”

反粉丝移动支付可能成为网络攻击的新目标

“实际上，总的来说，金融业的信息系统安全与其他行业相比是相对安全的。例如，在金融行业的重要系统中，很少有诸如弱密码等低级漏洞。”曹越说。

360互联网安全中心发布的最新网站安全行业分析报告也显示，从高风险漏洞的角度来看，电子商务网站(26%)所占比例最高；其次是生活信息(24%)、医疗保健(22%)和企业公司(21%)。银行网站的安全性相对较高，高风险漏洞的比例最低。

“但是，由于金融网站涉及客户的信息安全和资金安全，一个小小的漏洞也可能造成更大的风险和问题。因此，它必须得到高度重视。”曹越说。

曹越表示，从高强度渗透测试来看，仍存在大规模网络攻击风险。据他介绍，自十八大以来，国家信息技术安全研究中心一直在监控金融网站，并将每季度发布一份分析报告。根据该中心对银行网站的持续测试，约25%的网站存在高风险。根据360在2014年发布的互联网安全报告，网站中中等和高风险漏洞的比例约为65%。

“金融系统采用了世界上最先进的防御系统。我们对他们的防御能力进行了渗透测试，有漏洞的网站被直接渗透的概率约为20%。”曹越说。

不可忽视的是，随着移动支付和移动互联网的快速发展，金融机构的网络安全问题变得更加突出。根据卡巴斯基的统计，2014年针对安卓设备的攻击是2013年的四倍，每五个安卓用户中就有一个面临移动威胁。一些组织预测，2015年针对安卓设备的恶意软件数量将是2014年的两倍。移动支付将成为网络攻击的新目标。通过利用系统漏洞和创建网上银行病毒，网络犯罪分子可能获得金融敏感信息或劫持账户。与此同时，近年来，大规模的全球数据泄露事件频频发生，如美国目标超市7000万客户数据、摩根大通账户数据被盗、icloud泄露大量好莱坞电影明星私人照片、12306国内用户身份证等敏感信息泄露等。

曹越指出，目前，黑色产业链正变得越来越有利可图、集团化和跨国化。例如，在一次跨境网络钓鱼攻击中，黑客只需2个小时就能诈骗用户信息并从国外的自动取款机上提取现金，而最快的立案时间是6个小时。犯罪分子的攻击速度已经远远超出了安全防御框架的范围。

“2014年互联网金融发展迅速，金融支付已经渗透到存款、贷款和流通的方方面面。安全问题也是跨平台、跨地区的，安全问题更加复杂。例如，犯罪分子通过假冒淘宝商户在北京买家的电脑上安装了一个木马，通过欺诈手段骗取了用户的账户金额，最后钱在几家银行流通，从另一台自动取款机中取出。因此，在一个高度连接和依赖的数字金融网络中，攻击一个金融系统意味着攻击整个金融系统，没有人能够逃脱这种攻击。尽管每个金融机构在业务上都有竞争力，但在信息安全方面却面临着同样的竞争对手。必须与保安服务提供者、金融机构和主管当局以及金融参与者共同进行辩护。”曹越说。