资讯专栏INFORMATION COLUMN

利用App漏洞获利2800多万元,企业该如何避免类似事件?

tylin / 2517人阅读

摘要:上个月,上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙,该团伙利用银行漏洞非法获利多万元。目前,警方已将方某某邓某某等名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复。

上个月,上海警方抓捕了一个利用网上银行漏洞非法获利的犯罪团伙,该团伙利用银行App漏洞非法获利2800多万元。

据悉,该团伙使用技术软件成倍放大定期存单金额,从而非法获利。理财邦的一篇文章分析了犯罪嫌疑人的手段:“犯罪嫌疑人马某利用了银行App中质押贷款业务的安全漏洞,借用他人存单办理了存单质押贷款。”

从这里来看,银行的漏洞应该是两方面,一方面是储户的账户信息被泄露了,另一方面则是业务上的漏洞,即质押贷款上让犯罪嫌疑人钻了空子,得以利用泄露的储户信息套现。

后续的报道印证了这个判断,有媒体称:

经过进一步侦查,警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某,并对其他倒卖个人信息的犯罪嫌疑人进行布控。

目前,警方已将方某某、邓某某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复。

值得一提的是,这种金融犯罪比比皆是。2018年5月15日,银联官网发布的安全提示称,移动互联网领域支付犯罪大幅增加,2017年,中国银联累计协助公安机关查办案件累计3.18万件。

银联表示,从作案手法表现来看,具有以下特点:一是电信诈骗形势依然严峻,其中超过90%是由于个人信息泄露所致,已成为犯罪主要源头;二是各种风险交织并存,利用网络渠道伪冒办卡、通过APP软件套现、无证机构侵占商户资金等手段活跃;三是移动互联网领域支付犯罪大幅增加。银联指出,通过社交网络平台、欺诈APP软件、恶意二维码等进行诈骗的案件频发,移动支付安全已经成为用户最担心的问题之一。

随着移动互联网向人们生活各个角落的渗透,越来越多的App成为了工作和生活的好帮手,给社会带来了巨大的变革。不论是智能手机,还是移动App,都成为了现代人“身体一部分”的延伸。然而人们在接纳各种App的同时,也造就了一个个基础信息平台,使得移动安全的保障成为一个挑战。

有调查显示,目前金融行业移动App安全问题排名靠前的有敏感信息泄露问题、信息认证绕过问题,除此之外,他们也会被如下问题困扰,包括:信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄漏、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等。如果把这些常见问题进行分类的话,则是三大类:通讯数据安全、本地数据存储安全以及运营时的数据安全 。

造成这些问题的原因,主要是三个方面。一个是开发经验不足,有些企业只注重App的功能性,而忽略了安全性。其次是,投入的时间和经济成本较低,认为这样的投入足够了,殊不知移动安全是一个长期攻防对抗的过程,需要不断投入;第三是相关安全人员的缺失,导致防御不到位。

对于以上,网易云易盾建议安全能力欠缺的企业尽量采购第三方专业的移动安全服务,比如说易盾的加固和安全组件服务,在以下环节加强保护:

通信协议上:可以通过在APP和服务端嵌入SDK,在通信层对通信数据进行加密保护,防止攻击者窃取通信数据;

安全存储:可以通过动态密钥、白盒加密技术对应用数据进行加密存储,保护本地隐私数据不被窃取;

设备指纹:可以采集设备软件、硬件等多层次信息生成可识别的唯一ID,为入网设备提供虚拟“身份证”;

安全键盘:可以通过安全键盘,为用户在输入关键信息时提供安全防护,阻止黑客利用网络监听、木马病毒等手段窃取数据;

防界面劫持:可以通过防劫持SDK,实时捕获恶意程序的攻击行为,提醒用户安全风险,有效降低移动应用敏感信息被窃取风险。

只有这样,才能场景化动态深度保护,抵御各类不法入侵,维护好自己的利益。

结束语

国家从前年开始,出台了《中华人民共和国网络安全法》、《网络安全等级保护条例》、《网络安全等级保护基本要求》等法律, 要求企业实现等级保护基本要求 ,以适应移动互联等新技术、新应用情况下网络安全。

因此,构筑好企业的移动安全不仅仅是维护自己的利益和核心竞争力,某种程度上也成了企业的生命线。

点击免费体验网易云易盾移动安全解决方案。

文章来源: 网易云社区

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/25380.html

相关文章

  • 区块链2018年度盘点

    摘要:加密数字货币价格巅峰,区块链成二线企业股价春药年月日,是区块链行业的高光时刻,整个加密数字货币市值亿美元,人民币近万亿元。直接原因是,当日,中网载线刚刚宣布与井通网络科技有限公司合作开展区块链产业。 加密数字货币价格巅峰,区块链成二线企业股价春药 2018 年 1 月 8 日,是区块链行业的高光时刻,整个加密数字货币市值 8139 亿美元,人民币近 6 万亿元。在 10 天之前,12 ...

    changfeng1050 评论0 收藏0
  • 1月第1周业务风控关注| 国家网信办启动专项行动 剑指12类违法违规互联网信息

    摘要:国家网信办启动专项行动剑指类违法违规互联网信息近日,针对网络生态问题频发各类有害信息屡禁不止等突出问题,为积极回应民众关切,国家网信办启动网络生态治理专项行动。中国铁路总公司官方微博回应网传信息不实,网站未发生用户信息泄露。 易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风...

    张巨伟 评论0 收藏0
  • 简历大数据公司全员被抓,HR要注意什么?

    摘要:日前,简历大数据公司巧达科技被警方一锅端,高管和员工全部被带走。买卖简历,直接违法。三人累计贩卖个人简历万余份,智联招聘由此蒙受损失近日前,简历大数据公司巧达科技被警方一锅端,高管和员工全部被带走。到底发生了什么?  一 、为什么公司全员被抓? 3月14日团队被警方带走,有HR等非核心成员回家,但核心高管依然失联中。3月25日,一位巧达科技前员工告诉燃财经。 在天眼查中北京...

    Loong_T 评论0 收藏0
  • 简历大数据公司全员被抓,HR要注意什么?

    摘要:日前,简历大数据公司巧达科技被警方一锅端,高管和员工全部被带走。买卖简历,直接违法。三人累计贩卖个人简历万余份,智联招聘由此蒙受损失近 日前,简历大数据公司巧达科技被警方一锅端,高管和员工全部被带走。到底发生了什么? 一 、为什么公司全员被抓?3月14日团队被警方带走,有HR等非核心成员回家,但核心高管依然失...

    邱勇 评论0 收藏0
  • 阿里云推企业云安全架构 11层防护武装到“牙齿”

    摘要:年,阿里云在全球范围内率先发起数据保护倡议。借助阿里云的网络溯源,警方最终成功抓捕到名犯罪嫌疑人,将黑客组织一网打尽。过去两年,阿里云已陆续协助警方破获案件数十起攻击相关案件,抓捕百余人次。9月28日,阿里云正式发布首个企业云安全架构和《2017阿里云安全白皮书》(以下简称白皮书),企业可参考架构指南和白皮书构建安全、稳固的信息化架构。白皮书将用户隐私和数据安全列为第一原则,并于2015年全...

    Kaede 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<