据悉,近期在北京和上海发生了多起通过基金直销账户盗取他人银行卡内资金的新型金融刑事案件。犯罪嫌疑人所钻的空子,正是近年来基金公司为了提升直销客户的体验而增加的功能。
行业:互联网金融系统高危漏洞屡现/
除了流程漏洞可能被不法分子钻空子之外,系统漏洞被黑客攻破后引发的损失将更难以估量。随着金融行业与互联网的深度融合,基金公司网站直销客户数量出现跨越式增长。去年基金直销平台首度超过银行渠道,成为基金购买的第一大途径,成交金额高达2.33万亿元,基金在线交易网络安全问题也因此越来越引起各方关注。
据国家互联网应急中心(CNCERT)统计的情况显示,政府网站和金融行业网站一直以来都是不法分子攻击的重点目标,安全漏洞是重要联网信息系统遭遇攻击的主要内因。
天弘基金创新支持部总经理樊振华认为,基金公司网站总体安全等级保护要求是比较高的,“必须符合监管机构规定的等级保护要求,基金公司一般都会遵守这个规范,监管机构也会进行检查。”
然而,在一个民间创办的网络漏洞报告平台“乌云网”上,记者还是查到了不少关于基金公司网站系统的漏洞报告信息,其中不乏近年来在互联网金融领域风生水起的大型公司,涉及的漏洞危害等级也从中等到高等。
例如,部分高危漏洞包括“XX现金宝多个严重漏洞 (可抢占他人账号)”、“XX基金用户账号安全隐患可获取到基金交易等敏感信息”、“XX基金某账户管理系统命令执行及XSS漏洞”等。
其中部分已被基金公司确认并修复,但部分漏洞至今没有被基金公司确认处理。不过,有相关基金就此问题回复《每日经济新闻》记者称,早在该帖子发布之前,就已经进行过系统升级,不存在帖子中提及的漏洞。
CNCERT最新一期的互联网安全威胁报告显示,大多数安全事件是网站程序存在SQL注入、弱口令以及权限绕过等漏洞,也有部分是信息系统采用的应用软件存在漏洞,可能导致获取后台系统管理权限、信息泄露、恶意文件上传等危害,甚至会导致主机存在被不法分子远程控制的风险。
此类互联网公司通过所运营的在线交易信息系统,掌握大量用户资金、真实身份、经济状况、消费习惯等信息,系统出现安全问题后,风险随之传导至关联的银行、证券、电商等其他行业,产生连锁反应。
此外,互联网和移动通信技术降低了使用门槛,在带来便利的同时也引入新的安全风险。2013年12月,支付宝钱包客户端iOS版被披露存在手势密码漏洞,连续输错5次手势密码后可导致密码失效,使得攻击者可以任意进入手机支付宝账户,免密码进行小额支付。
天弘基金创新支持部总经理樊振华表示,“余额宝的用户出口和入口主要是在支付宝这一端,而我们这一端主要是负责清算、结算、收益分配等后端功能。我想支付宝的线上安全措施在国内网站中应该算是一流的,而我们这边的安全措施应该也是比较到位的,所有的核心业务系统完全是在一个隔离的网段,可以理解为不对外暴露的。此外也有定期漏洞扫描等安全措施。到目前为止我们还没出现过用户信息泄露、被盗这些现象。”
有基金公司电商部人士表示,2007、2008年时基金公司网络系统比较脆弱,也出过一些问题。近年基金公司普遍在IT方面投入较大,系统安全相比早前已经提高了很多。
相对于内控相对规范的基金公司而言,部分P2P和第三方理财网站在系统建设方面则更显薄弱,更容易成为黑客攻击的对象。
有业内人士表示,如今做互联网金融门槛极低,相关网站建设都有现成的模板,在淘宝上只需几千元就买一套模板,做一个P2P的网站,其中暗藏风险不言而喻。
今年3月份,以“网贷之家”为代表的多家P2P行业门户网站、论坛,再次成为黑客的攻击目标,受到黑客持续多日的恶意严重攻击。而此前亦发生过一些平台因黑客的攻击导致系统瘫痪,而遭遇挤兑的情况。
趋势:基金手机终端成新“重灾区”/
值得注意的是,基金公司手机客户端也成为漏洞暴露的灾区之一。有乌云网的“白帽子”(能识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞的人)提供的示例图片显示,在某基金公司苹果iOS版本的客户端中,在知道用户身份证号码情况下,通过一些手段可以重置用户的基金账户密码。对于职业黑客而言,通过攻击脚本获得用户身份证号码亦非难事。
某大型基金公司电商人士亦向《每日经济新闻》记者表示,基金公司近年大力拓展电商业务,除了基本的交易查询功能外,亦纷纷上线进行购物支付、转账等功能,也出现了一些风险事件。
除了系统安全问题外,“钓鱼攻击”在手机移动端亦愈演愈烈。
钓鱼网站是一种网络欺诈行为,是指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
从中国互联网络信息中心(CNNIC)下属中国反钓鱼网站联盟今年5月处理钓鱼网站的情况来看,钓鱼网站涉及行业前三位,分别为支付交易类、金融证券类、媒体传播类,占处理总量的99.41%。其中,支付交易类钓鱼网站数量占5月处理总量最高,占到了5月处理总量的81.34%。
CNCERT2013年中国互联网网络安全报告称,钓鱼攻击呈现跨平台发展趋势,2013年,在传统互联网的钓鱼网站之外,黑客还结合移动互联网,利用仿冒移动应用、移动互联网恶意程序、伪基站等多种手段,实施跨平台的钓鱼欺诈攻击,危害用户经济利益。
2013年,黑客利用安卓系统的“签名验证绕过”高危漏洞,制作散播大量仿冒国内主流银行等金融机构的移动应用,诱导用户安装,盗取用户银行账户信息。一些钓鱼网站在盗取用户银行账号和密码等信息时,还大量传播仿冒相应手机银行安全插件的恶意程序,劫持用户收到的短信验证码,从而使黑客进一步完成网银支付、转账等交易操作。
有基金公司电商人士表示,随着移动应用和支付的普及,移动互联网上的诈骗行为泛滥,譬如一些仿冒的APP、微信公众账号等层出不穷,投资者应该提升自身防范意识。