网络黑客盯上app 移动端已成为消费者身份信息泄露主要方式

作者: ManjiMasha   

曾经电影里头蒙丝袜手拿冲锋枪去抢银行的镜头如今已经过时了，黑进银行系统悄悄转移资金成为这个数字时代黑客们的梦想，他们需要的，不是枪支弹药、防弹背心和把车停在银行门口的接头人，而仅仅是一把舒服的椅子和一台电脑。今年年初，网络黑客从孟加拉中央银行系统中盗出8100万美元，同时也让使用该银行SWIFT全球支付网络的用户对银行彻底失去了信心。

因此支付网络不得不持之以恒的对抗来自数字世界的种种威胁。据悉，从2015年3月截止到2016年3月，美国地区的网络犯罪案件就上升137个百分点。

紧随孟加拉中央银行被盗案之后接踵而来的是发生在厄瓜多尔、菲律宾和越南等地的银行系统被黑事件。这些受到攻击的银行都是SWIFT(银行结算系统)成员，基础安全措施较薄弱是这些被攻击银行的共同特点。

对于SWIFT和P2P这样的支付网络，验证方式还不能完全保证安全，即使银行要求提供加密数据来保证个人身份验证信息准确性，其中还是有漏洞可寻。

据一家名为哥谭数字科学的网络安全公司透露，攻击孟加拉中央银行的黑客正是利用了银行系统的薄弱环节，那就是SWIFT成员银行都使用各自、不同的安全保护措施，同时，黑客会攻击那些安保系统较弱的小型银行。

大型银行通常会建立多重安全壁垒并使用自动化控制系统。位于美国硅谷帕拉奥托的Nok Nok产品部副总裁Rajiv认为，黑客攻击孟加拉、乌克兰等地的银行所用的方法是，通过这些银行较薄弱的安保系统，“假装”以政府、法律机构的身份潜入进去。

数字时代的黑客变得越来越熟练，可以在更短的时间内破解防护系统。

黑客转移账户资金的目的可以通过盗取用户身份信息实现。如今的EMV支付让黑客难以使用虚假信用卡或黑进支付终端，但是在如今“银行卡并不代表交易”的思潮下，黑客总能从线上支付和电话购物窃取“良”机。

为了从更多途径窃取用户身份信息，黑客把目光瞄准了网页和移动app，因为消费者通常会对app所要求的多重身份验证感到繁琐，而简化之后的app让黑客们有了可乘之机。

Visa曾经为了保护用户信息，在用户点击支付后将其引入一个第三方验证页面，但是由于零售商认为这个过程会给消费者带来不方便的操作体验，所以并未继续施行。

Vasco数据安全公司首席战略官Scott Clements表示，在过去一年，针对银行和app的移动端恶意软件数量增加三倍。黑客会通过“复制”虚假银行app等方式以假乱真，用户注册之后就可直接获取身份验证信息。

JPM编译自

PYMNTS, Cybercriminals Targeting Apps.

ManjiMasha