利用App漏洞獲利2800多萬元，企業該如何避免相似事件？

上個月，上海警方抓捕了一個利用網上銀行漏洞非法獲利的犯罪團伙，該團伙利用銀行App漏洞非法獲利2800多萬元。

據悉，該團伙使用技術軟件成倍放大按期存單金額，從而非法獲利。理財邦的一篇文章分析了犯罪嫌疑人的手段：「犯罪嫌疑人馬某利用了銀行App中質押貸款業務的安全漏洞，借用他人存單辦理了存單質押貸款。」

從這裏來看，銀行的漏洞應該是兩方面，一方面是儲戶的帳戶信息被泄露了，另外一方面則是業務上的漏洞，即質押貸款上讓犯罪嫌疑人鑽了空子，得以利用泄露的儲戶信息套現。

後續的報道印證了這個判斷，有媒體稱：

通過進一步偵查，警方還循線抓獲了非法出售我的身份信息和銀行儲戶信息的方某某以及倒賣此類信息的鄧某某，並對其餘倒賣我的信息的犯罪嫌疑人進行布控。

目前，警方已將方某某、鄧某某等6名犯罪嫌疑人依法刑事拘留，並敦促涉案銀行完成了安全漏洞的修復。

值得一提的是，這種金融犯罪比比皆是。2018年5月15日，銀聯官網發佈的安全提示稱，移動互聯網領域支付犯罪大幅增長，2017年，中國銀聯累計協助公安機關查辦案件累計3.18萬件。

銀聯表示，從做案手法表現來看，具備如下特色：一是電信詐騙形勢依然嚴峻，其中超過90%是因爲我的信息泄露所致，已成爲犯罪主要源頭；二是各類風險交織並存，利用網絡渠道僞冒辦卡、經過APP軟件套現、無證機構侵佔商戶資金等手段活躍；三是移動互聯網領域支付犯罪大幅增長。銀聯指出，經過社交網絡平臺、欺詐APP軟件、惡意二維碼等進行詐騙的案件頻發，移動支付安全已經成爲用戶最擔憂的問題之一。

隨着移動互聯網向人們生活各個角落的滲透，愈來愈多的App成爲了工做和生活的好幫手，給社會帶來了巨大的變革。不管是智能手機，仍是移動App，都成爲了現代人「身體一部分」的延伸。然而人們在接納各類App的同時，也造就了一個個基礎信息平臺，使得移動安全的保障成爲一個挑戰。

有調查顯示，目前金融行業移動App安全問題排名靠前的有敏感信息泄露問題、信息認證繞過問題，除此以外，他們也會被以下問題困擾，包括：信息數據明文發送、通訊數據可解密、敏感數據本地可破解、調試信息泄漏、密碼學誤用、功能泄露、可二次打包、可調試、代碼可逆向等。若是把這些常見問題進行分類的話，則是三大類：通信數據安全、本地數據存儲安全以及運營時的數據安全 。

形成這些問題的緣由，主要是三個方面。一個是開發經驗不足，有些企業只注重App的功能性，而忽略了安全性。其次是，投入的時間和經濟成本較低，認爲這樣的投入足夠了，卻不知移動安全是一個長期攻防對抗的過程，須要不斷投入；第三是相關安全人員的缺失，致使防護不到位。

對於以上，網易雲易盾建議安全能力欠缺的企業儘可能採購第三方專業的移動安全服務，好比說易盾的加固和安全組件服務，在如下環節增強保護：

通訊協議上：能夠經過在APP和服務端嵌入SDK，在通訊層對通訊數據進行加密保護，防止攻擊者竊取通訊數據；

安全存儲：能夠經過動態密鑰、白盒加密技術對應用數據進行加密存儲，保護本地隱私數據不被竊取；

設備指紋：能夠採集設備軟件、硬件等多層次信息生成可識別的惟一ID，爲入網設備提供虛擬「身份證」；

安全鍵盤：能夠經過安全鍵盤，爲用戶在輸入關鍵信息時提供安全防禦，阻止黑客利用網絡監聽、木馬病毒等手段竊取數據；

防界面劫持：能夠經過防劫持SDK，實時捕獲惡意程序的攻擊行爲，提醒用戶安全風險，有效下降移動應用敏感信息被竊取風險。

只有這樣，才能場景化動態深度保護，抵禦各種不法入侵，維護好本身的利益。

結束語

國家從前年開始，出臺了《中華人民共和國網絡安全法》、《網絡安全等級保護條例》、《網絡安全等級保護基本要求》等法律， 要求企業實現等級保護基本要求 ，以適應移動互聯等新技術、新應用狀況下網絡安全。

所以，構築好企業的移動安全不只僅是維護本身的利益和核心競爭力，某種程度上也成了企業的生命線。

點擊免費體驗網易雲易盾移動安全解決方案。

文章來源： 網易雲社區