信息网络技术的不断进步和金融业务的日益发展,促进了电子银行的形成和发展。作为一种结合了货币电子化与移动通信的崭新服务,手机银行业务不仅可以使人们在任何时间、任何地点处理多种金融业务,而且极大地丰富了银行服务的内涵,使银行能以便利、高效而又较为安全的方式为客户提供传统和创新的服务,手机银行、电子银行等线上服务带来更好的客户体验的同时,也面临着金融欺诈、营销欺诈和信息泄露等业务风险。
我们整理了一些在商业银行手机银行业务安全评估中经常发现的问题及相应措施,以便客户加强自己的手机银行业务安全。
01 、验证强度不足
客户身份验证是银行业务的关键工作之一,是保证业务活动安全性的必要手段。手机银行业务活动是由客户端(手机)和服务端(银行系统)两方通过交互来完成的,当在远程的一部手机提出将最近的交易记录传送过去时,银行系统是否应进行查询这些记录并传送给对方的手机?这种场景下,手机客户端的身份验证就成为关键性的问题。
相应措施 :
业务操作中可能面临什么级别的风险,其验证强度就应达到什么级别的要求。
1、利用专业的设备指纹、移动终端安全技术,从客户交易发起源头开启保护;
2、利用丰富的专家规则集,对不同业务场景进行无间断风险监测,及时阻断异常操作,覆盖客户全渠道业务场景;
3、通过机器学习与专家规则集优势互补,通过人物画像、关联图谱等模型,持续发现新型欺诈团伙及作弊模式,规避因黑色欺诈带来的高额损失;
02 、业务中提供了不必要的功能或信息
从安全角度看,业务设计中提供的功能和信息越多,出问题的概率就越大,敏感信息就越有可能泄露。
2-1包含不必要的功能
2014年3月,某旅游服务网站用于处理用户支付的服务器开启了处理用户支付服务的调试功能,把用户向网站提交的信用卡的持卡人卡号、CVV码等敏感信息直接打印到日志并保存在本地服务器。同时由于服务器自身未做必要的安全检查与加固,存在目录遍历漏洞,导致这些信息可被攻击者读取。其中泄露的信息包括:持卡人姓名、持卡人身份证、所持银行卡卡号、所持银行卡CVV码、所持银行卡6位Bin(验证支付信息的6位密码)等。
本例事件的根源就是因为上线时检查不严格,业务中增加了多余的功能。
2-2提供不必要的提示信息
如某银行信用卡的手机银行功能存在提供信息过多的问题,通过这些信息可枚举信用卡CVV码。该手机银行系统的信用卡注册功能中,要求用户提交包括CVV码在内的相关信息进行验证,如果CVV码错误,则会提示”CVV码输入错误,请重新输入”。由于CVV码只有三位,因此,攻击者可以利用这一提供信息进行枚举猜测,从而获得该信用卡的三位CVV数字,并在猜测出正确的CVV码后,进一步继续枚举而获得信用卡有效期。攻击者继续采用此方式,对其他用户的信用卡重复上述操作,可能使大量用户的信用卡信息泄露。
2-3对客户端输出不必要的信息内容
银行有时为了做业务方便,向客户提供的信息中包含不必要的内容。如在交易记录查询结果中显示全部的银行卡号信息,包括银行卡主的身份证号码等,由于”撞库攻击”可能性的存在,应当对银行卡号进行部分屏蔽,不返回身份证号码,或在返回身份证号码的时候也进行部署屏蔽。
相应措施:
防范提供不必要的功能或信息的问题,在业务中传递的信息和功能应遵循“最小必需”原则,即在保证满足业务功能的前提下,只向用户或其他机构提供必需的信息和功能,使业务与安全达到平衡,在业务设计和系统开发各环节中进行控制:
1、需求分析阶段对涉及信息查询、下载、导出、日志记录、打印、第三方接口等功能需求,应组织业务需求人员、项目组安全员等评审功能必要性,不必要的功能不纳入正式系统需求。
2、设计阶段应根据信息系统系统需求,仅对必需的功能进行设计。
3、编码阶段:严格遵守编码安全规范,屏蔽不必要的提示信息和出错信息。
4、投产上线阶段:应对发布的文件与功能进行审核,确保只发布适当的文件与功能。