网络安全风险事件案例
案例一 视频监控系统存在安全隐患
关键字
视频监控系统、弱口令
风险描述
近期,国内安防企业X康公司的视频监控产品存在严重安全隐患,部分在互联网上设备已经被境外IP地址控制,造成一定不良的社会影响。
原因分析
据了解,X康视频监控产品主要存在两方面的安全隐患
(一) “弱口令”隐患。视频监控产品在出厂前设置了初始密码(初始密码一般设为"123456"、"888888"、"admin"),由于用户使用时未及时更改,导致被黑客攻击和控制。
(二) 内存溢出漏洞。部分DVR/NVR产品在处理特制的RTSP请求时,存在内存溢出的风险。通过该漏洞,攻击者可以对设备实施Dos攻击,甚至直接获取设备的最高权限。
整改建议
(一) 高度重视,落实工作责任。将视频监控系统作为重要基础设施和信息系统,纳入日常管理和安全保护视线。
(二) 开展自查,及时消除隐患。消除“弱口令”隐患,提高密码强度,增强抗攻击能力。消除内存溢出隐患,根据2015年12月X康威视已经发布存在此漏洞的产品列表及相关解决方案进行设备升级。
(三) 举一反三,加强安全防护。要严格按照国家信息安全等级保护制度的要求,落实视频监控系统定级备案、等级测评、建设整改工作,加强安全隐患、安全漏洞排查和整改,提高安全防护能力。
案例二 伪基站短信钓鱼诈骗风险事件
关键字
伪“基站”、钓鱼诈骗、盗取资金、短信
风险描述
近期,某银监局监测发现本地有不法分子使用伪“基站”以某银行服务电话9****发送短信,诱骗客户登录钓鱼网站后盗取客户资金。
原因分析
伪“基站”钓鱼诈骗过程和特征伪“基站”钓鱼短信诈骗过程一般如下:
(一) 不法分子在银行网点附近利用伪“基站”技术搜索附近区域移动电话,并冒用银行客服电话号码9****群发钓鱼短信至客户手机,称客户电子密码器(挑战应答式动态令牌)即将失效并要求登录指定钓鱼网址进行升级。
(二) 客户登录钓鱼网址后,不法分子从后台获取客户账户信息及手机银行登录口令,并冒充客户登录真实的手机银行,开始实施转账操作。
(三) 待转账页面提示要求输入电子密码器产生的交易密码时,不法分子快速将相关信息在钓鱼网址中显示或直接推送至客户手机终端,并诱导客户在电子密码器中生成交易密码,同时提交该密码。用户一旦提交,资金即被非法转移。
上述诈骗具有以下特征:一是手段新颖,通过伪“基站”技术任意伪造电话号码,利用客户对银行服务热线真实性的信任,冒充银行、欺诈客户;二是针对性强,利用了部分银行在交易环节只需输入电子密码器产生的密码即可完成转账,而未经短信等其它渠道二次验证交易安全性的漏洞;三是对移动银行威胁较大,目前移动银行安全验证技术手段相对较少,给不法分子以可乘之机。
整改建议
随着互联网、移动互联网技术发展日新月异,电子银行交易量逐年攀升,诈骗技术不断升级。
(一) 积极主动开展电子银行安全风险评估,提早发现业务与技术漏洞和隐患。
(二) 加强交易环节的身份识别和安全验证,交易发生时应以短信或本交易之外的其它渠道通知客户即将发生的交易,提醒用户可能存在短信钓鱼诈骗风险,或将正确的银行官网地址发送给客户。
(三) 提升异常交易监测与快速处置能力,强化横向联动机制,主动、快速发现和处理钓鱼网站。发现重大风险隐患及时上报。
(四) 加强客户教育,及时向客户提示伪“基站”等钓鱼诈骗风险,提醒客户做好安全自我防范。
案例三 非法补办手机卡盗划手机银行资金事件
关键字
补办手机卡、盗划资金、手机银行
风险描述
日前,某银行、当地银监局和当地市公安局紧密协同,破获了一起不法分子通过非法补办手机卡盗划手机银行客户资金的案件,抓获4名主要犯罪嫌疑人,查扣绝大部分赃款、赃物。从目前掌握情况看,该案涉及该银行186名客户,其中119名客户共被盗划资金1600余万元。
原因分析
2013年九月下旬,多名客户向某银行反映手机卡被复制、致使手机信号中断,其与手机绑定账户内的资金莫名其妙地消失。经分析,客户反映的情况都具有客户手机卡都在当地一联通代理点被补办的共同特点。根据总行的要求和公安机关的办案规定,该行迅速协调当地一名受害人于9月29日向属地公安机关报案。属地银监局也紧急派员主动与当地市公安局会商处置事宜。案件得到了当地市公安局的高度重视,成立了有多警种参与的专案组。10月3日凌晨,两名主要犯罪嫌疑人落网。此后,联通公司两名涉案人员被依法刑拘。据犯罪嫌疑人交代:他们发现该银行的网上银行只需输入客户的身份证号、密码和验证码即可进入查看个人在该银行的所有账户信息。主要作案思路是:只需获取开通网上银行客户的身份证号和密码,就可登陆其网上银行,查看其是否开办了手机银行业务。对手机银行客户,可通过补办其手机卡的方式实施盗划。其中,获取客户身份证号及对应密码和补办手机卡是作案关键。主要作案过程是:两人考虑到很多人为便于记忆,把银行密码与自己在网络上注册的论坛、游戏、QQ、微信等密码设为一致,便从网上购买了2万条含有身份证号及对应密码的个人信息,伺机去该银行“网上银行”比对客户的身份证号和密码。因工作量太大,手工比对效率极低,于是通过网上聘用了一名技术人员,利用程序对所购买的资料进行批量比对,从大量的数据中碰撞出30余条符合条件的个人信.息及密码,从中筛选出手机银行用户。2013年8月初,两人勾结联通公司某代理点人员非法补办了2名该银行手机银行联通用户的手机卡,并通过手机银行成功盗划了8万余元。初试成功后,为快速、大量补办手机卡,两人通过网上联系,从代理商处非法购买了手机SIM卡写卡机和白卡及3个某省联通公司工号,同时联系好外地取钱人。2013年9月2日至27日期间,两人用购买的工号通过网上营业厅非法补办了184名该银行手机银行联通用户的手机卡,疯狂作案。
整改建议
(一) 各金融机构组织信息科技部门对网上银行、手机银行可能存在的风险进行排查并及时整改。
(二) 在与第三方进行业务合作时,建议将其运营安全控制纳入合作考虑的范畴并界定相互责任。
(三) 加强程序开发的测试工作,加强代码审查和漏洞扫瞄。
案例四 黑客软件攻击网银事件
关键字
网银、黑客软件、程序逻辑缺陷
风险描述
2008年12月31日至2009年1月4日,某银行发生一起网上银行客户资金被盗事件,涉及被盗账号12个,总金额12万元。由于该行处置及时、措施得当,犯罪嫌疑人已被抓获,被盗资金已全部追回。
原因分析
犯罪嫌疑人通过黑客软件发现银行大众版网银系统存在漏洞。网银系统存在缺陷,通过模拟浏览器与服务端通讯的方式,非法截获并篡改交易数据,从而导致通过模拟浏览器与服务端通讯的方式,非法截获并篡改交易数据。
整改建议
网银业务的快速发展需要有一个安全、稳健的环境,银行业金融机构应吸取本案的经验教训,立即对网银系统进行全面梳理,查找漏洞,及时修正,防止类似事件的发生,并加强业务部门和信息科技部门的沟通与合作,检查、完善相关预案,切实保障在出现紧急事件时能够快速响应,使损失和不良影响降到最低。同时,银行业金融机构应充分利用短信提醒等方式使客户参与风险预警。
案例五 网络DDOS攻击事件
关键字
DDOS攻击、流量急剧上升、DDOS防护系统、防火墙、在线入侵防御
风险描述
2010年8月7日,某银行成功处置一起来自互联网对该行门户网站的DDOS(分布式拒绝服务)攻击事件,保障了该行门户网站和网银系统的正常运行。
原因分析
2010年8月7日凌晨1时45分,某银行通过网络事件自动监控系统发现,该行某互联网出口线路突发异常,流量急剧上升,对该行门户网站的访问偶发缓慢。经分析,异常流量来自互联网上游,地址分散且分布无规律,具有典型的外部DDOS攻击特征。事件发生后,该行立即启动了应急处理预案,启动自主防护系统(防DDOS攻击模块),要求相关电信运营商协查并做好DDOS流量清洗的准备工作。3时20分左右,电信运营商开启了网站地址流量清洗服务,随即门户网站通讯线路流量明显下降,并稳定在正常流量范围。6时25分左右,经持续观测和电信运营商确认,大流量攻击停止,网络整体流量恢复至正常水平。13时30分左右,该行正式通知电信运营商停止清洗,互联网出口整体应用平稳正常。由于该行互联网出口采用了两地双出口冗余双活架构,此次异常事件发生后,部分业务流量被动态分流至另一正常出口,一定程度上保证了门户网站服务的连续性。此外,该行还部署了DDOS防护系统、外层防火墙、在线入侵防御以及内层防火墙等多层安全控制和防护设备,实施了网络动态监控预警,应急联动处理及时,因此,本次攻击未对该行门户网站、网银等系统的对外服务造成影响。
整改建议
(一) 银行业金融机构要树立危机意识和主动防范意识,强化互联网平台对外服务的安全性和可靠性。要提高对DDOS网络攻击危害的认识,制定有针对性的应急预案;要未雨绸缪,与电信运营商等相关协作单位共同建立DDOS攻击防御机制,并组织开展协同演练;要密切跟踪国际上网络攻击手段最新发展趋势,加强对防护技术的学习和研究,增强和完善安全防护手段,提升应对互联网各种新兴攻击技术的能力。
(二) 银行业金融机构要不断完善网络架构,健全安全防护体系,加强网络系统的防攻击能力和防入侵能力,做好重要网络设备、通信线路冗余配置,部署多重安全防控机制,加强防病毒管理,最大程度提升对DDOS攻击的防护能力。
(三) 银行业金融机构要加强对网络边界、互联网出口、银行卡组织外联出口等关键风险区域的监控,强化网络监控与预警机制,提高对网络攻击的预警能力以及对网络攻击行为的检测和分析力度,对各种网络通讯异常情况要做到“早发现、早定位、早报警”。
案例六 暴力攻击获取网银用户密码事件
关键字
特征码识别程序、弱口令、暴力攻击
风险描述
不法分子根据互联网上下载的“特征码识别程序”自行编写了密码猜解软件,该软件在进行账号、口令猜测的同时,“特征码识别程序”能自动识别不断变化的验证码。不法分子利用密码猜解软件,通过锁定某一固定密码反复轮询账号的方式,对多家银行业金融机构的网银系统发起暴力猜测攻击,最终非法获取了两家银行数百个客户的网银账号、查询密码等信息。
原因分析
此案中被不法分子攻击的某银行由于监控到位、及时报警,没有造成客户资金损失,但是暴露出银行业金融机构在网银系统安全方面存在的一些薄弱环节。
(一) 网银系统“验证码”复杂度不足。被攻击银行的网银系统“验证码”仅采用简单的数字或字母,未进行变形和扭曲,复杂度不高,利用“特征码识别程序”自动识别的准确率几乎达到100%。
(二) 网银系统缺乏对密码复杂度的检测与提示机制。本案中不法分子尝试成功的密码均为“888888”、“666666”、“555555”“123456”等弱口令,显示出一些客户缺乏密码设置 的安全意识,而网银系统缺乏对密码复杂度的检测与提示机制,增加了不法分子破解密码的可能性。
(三) 缺乏有效的监测和报警机制。不法分子在发起攻击时,曾经在同一天内,使用同一IP地址和不同账号尝试网银登录高达10多万次,而部分银行缺失监测机制,在接到公安部门配合调查、取证的通知时才获悉网银系统遭到非法攻击。
(四) 缺乏报告意识。在互联网环境下,不法分子攻击范围广泛,攻击手段不断翻新,因此银行业金融机构及时了解风险趋势并采取防范措施十分必要。本案中涉及的银行业金融机构均未向银监会及其派出机构报告,监管部门不能及时掌握有关情况并向银行业金融机构警示风险。
整改建议
(一) 尽快评估此类攻击对网银系统的危害,查找“验证码”,等当前安全机制存在的问题,及时调整安全策略。并在此基础上,建立网银系统全面、动态的安全评估机制。
(二) 建立有效的入侵监控和报警机制,提高对网银系统攻击行为的检测和分析力度。在对各类日志自动分析的基础上,加强人工审核,对任何异常或可疑行为都要进行深入分析、调查。
(三) 加强安全防护机制建设,部署多重防护措施,不断提升系统应对互联网各种新兴黑客攻击技术的能力,提高网银系统的整体安全性。
(四) 加强客户安全教育,培养客户的安全意识和良好的计算机使用习惯。对于典型案例,要加大警示宣传力度。
(五) 强化重大事件报告制度。对于网银等信息系统重要数据损毁、丢失、泄露等事件,必须按照银监会有关要求,在第一时间及时上报银监会及其派出机构。
案例七 非法监控ATM机,盗取客户信息及资金事件
关键字
无线监控装置、伪卡、测录客户信息、解码芯片、读卡器、发射器、接收器
风险描述
2011年12月24日,某客户到重庆公安机关报案,称其银行卡上110万元被他人盗刷。公安机关经立案侦查发现,犯罪嫌疑人喻某伙同他人在ATM机上安装无线监控装置,测录客户银行卡信息后制造伪卡,窃取客户资金总计180万元,其中取现70万元,购买珠宝110万元。目前,3名犯罪嫌疑人已被刑事拘留,追回被盗资金156万元。该犯罪团伙主要针对离行式单台迪堡100。型ATM机作案,先后8次在两家银行7台该型号ATM机上安装了无线监控装置,测录了多名客户的银行卡信息。
原因分析
网上获取技术知识,自制作案工具。2008年2月至3月,喻某在网上认识名叫“东方商人”的网民,向其学习测录银行卡信息的技术原理后,自制了如下作案工具:一是利用自行绘制的电路图到某电子市场制作成电路板,焊接网上购买的解码芯片等电子元器件后制成印刷电路板(PCB),再装上自制外壳后即制成读卡器;二是用石膏模取得某型号ATM机键盘模型,加工成仿制键盘并在键盘背面安装自制电路板;三是运用从网上购买的零部件自行组装成无线电发射器和无线信号接收器,分别在上述读卡器和仿制键盘背面安装无线电发射器,在无线电信号接收器内安装SD存储卡。网上招募作案同伙,分工协作实施作案。完成作案工具“研发”后,喻某在网上招募同伙实施安装。安装由3人协作:1人在ATM机插卡口安装读卡器,同时用仿制键盘覆盖在ATM机键盘上,1人在旁挡住他人视线作掩护,1人在旁望风。安装过程只需要1分钟左右,大约20分钟至40分钟后即由三人配合将作案工具取走。远程接收银行卡信息,制作伪卡。客户在安装有非法装置的ATM机上进行操作时,自制读卡器和仿制键盘立即将银行卡信息和密码信.息通过无线电装置自动发送到犯罪嫌疑人的无线电信号接收器上,并储存于SD卡中。犯罪嫌疑人利用从电子市场购买的写卡器,将测录到的银行卡信息复制到可重复使用的白卡上,尔后用伪卡取现或刷卡消费。
整改建议
(一) 提升自助设备自身防范功能。从本案看,所有“非鸭嘴状”插卡器异型口、密码键盘下沉、出钞口前方空间是挖空成槽的柜员机自助设备均存在被加装读卡器、高仿真密码窃取器、条状填充式密码接收器的风险,且不易被发现。建议银行业金融机构对存量自助设备进行全面清查,凡存在此类缺陷的自助设备,对未到淘汰期的,应进行技术改造或采取其他措施;对已到淘汰期的,应及时更换为具备相应防范功能的自助设备;对存在上述安全缺陷又未达到安全整改的柜员机自助设备,一律不能采购使用。
(二) 加强对自助设备的安全管理。重点加大对离行式自助设备的监控、巡查力度,通过采取定期回放监控录像、列为联网监控中心重点监控部位、增加巡查频率等各种方法增强对自助设备的人防力度,防止出现防控空白点。
(三) 加强对客户的宣传和教育。通过银行业金融机构、媒体、监管部门、公安机关的宣传教育,增强客户的安全用卡意识,提高对自助设备上附着非法装置的警惕性;提示客户设置转账及刷卡消费限额,减少损失可能性;在自助设备界面和语音提示中增加防范自助设备附着非法装置的内容。
案例八 不法分子截取、修改自助设备传输数据虚增存款事件
关键字
短款、修改交易流水、电源插座裸露、网络端口未锁、明文字段、光缆防护不足
风险描述
2012年2月7日下午,某行会计部在对一台离行式自助存取款机进行清机时发现短款9100元。经警方破案侦察发现:2012年2月6日22时50分10秒,彭某蒙面进入该分行某地离行式自助银行,仅用20秒的时间就将随身携带的设备接入一台自助存取款机,于22时52分01秒和22时53分38秒分别在“贾某某”和“冯某某”的借记卡上正常存入现金4800元、4300元,此时,其接入的设备截取了自助设备向主机的报文并自动修改交易流水号和时间后重复发送,导致上述两张借记卡除正常存入的两笔款项外,又于22时54分30秒各自重复上账一次,存款金额与正常存入的款项相同。作案后,彭某通过该银行网银将上述两张借记卡上的金额划转至其持有的其他银行卡上,于2月7日飞往北京,在东直门一某银行自助银行内取出其中的17000元,并于当晚乘机返回。
原因分析
(一) 自助设备信息点物理防护不足。本案中,案发时数据线、电源插座裸露在外,信息点插座(网络端口)未上锁。
(二) 交易报文MAC唯一性校验强度不足。
(三) 交易报文存在部分明文字段。该银行自助设备终端上传的交易报文仅对PIN进行了加密,其他数据元素包括流水号、时间、卡号、金额等字段均通过明文方式发送。
(四) 运营商对电信交换箱及光缆防护不足。该分行所租用的通讯线路运营商将交换箱安装在街边,交换箱未上锁,任何人都可以随意开启,并且在箱内光缆上标示了租用单位。
整改建议
(一) 加强对自助设备、营业场所暴露信息点的物理防护。
(二) 会同信息科技部门对网络运营系统可能存在的风险进行排查并及时整改。
(三) 严格按照规定进行程序开发,确保相关报文密文传输。
(四) 加强对线路等关键基础设施的管理和巡检。
案例九 外包服务人员窃取客户信息事件
关键字
复制卡、制卡设备、外包服务、自助机具、弱密码、客户敏感信息
风险描述
2012年7月12日,重庆某银行长寿支行接到某企业4位员工反映其代发工资卡内存款异常,涉及金额4900元。2012年7 月22日,公安机关将犯罪嫌疑人卓某抓获归案,并缴获了复制卡、制卡设备及盗取的现金等。据卓某供述,其曾就职于南京某信息技术有限公司(为重庆某银行外包服务公司,2009年为该行开发升级自助机具平台),于 2010年下半年至 2011年1月破解了银行自助机具平台生产系统日志,盗取客户信息并复制卡461 张,在南京、马鞍山等地对331张卡进行了查询,盗取其中84张卡现金167笔,涉及金额共计29.82万元,用于支付购房首付。
原因分析
犯罪嫌疑人利用银行和客户存在的薄弱环节实施犯罪。
(一) 银行客户风险意识淡薄,继续使用银行卡“弱智密码”使犯罪嫌疑人盗取资金得以实现。本案中,被盗取资金的客户均为一直沿用银行发卡时的初始密码,此类密码多为六位相同数字或者连续的六位数字,犯罪嫌疑人1-2次就试出密码。
(二) 银行在客户敏感信息的管理上存在薄弱环节。客户与 银行发生业务的过程中会留下诸如账号等一系列敏感信息,这些信息被大量储存在银行系统中,一旦泄露会产生严重后果。本案中犯罪嫌疑人就是通过盗取存储在自助业务平台中的客户银行卡号实施犯罪的。
(三) 外包公司员工隐含道德风险。外包业务在银行业务中所占的比重越来越大,此案例说明防控外包公司员工道德风险引发的案件已成为安全防范工作面临的重要问题
整改建议
(一) 进一步完善信息系统。应高度关注敏感信息安全问题,在系统开发过程中生产系统与测试系统应严格分离,数据日常管理中应加强数据拷贝管理,将USB等数据接口纳入重点部位管理,关闭多余数据接口,对所有数据拷贝进行授权管理,严禁移动设备进入机房等敏感区域等。
(二) 进一步加强客户风险教育。提示客户及时更改初始密码,不得使用简单密码等,同时,还应从技术手段上防止客户使用“弱智密码”。
(三) 进一步强化外包风险管理。在实施业务外包时,要高度关注外包公司员工道德风险,采取合同管理、流程控制、审计监督、风险排查等综合性措施,切实控制外包业务中可能产生的安全风险。
(四) 定期对服务提供商进行安全检查,获取服务提供商自 评估或第三方评估报告。对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。
案例十 加密算法被破解,IC卡系统安全受威胁
关键字
密码算法、破解、严重威胁
风险描述
由于国外MIFARE CLASSIC IC 芯片的密码算法已被破解,使已在我国广泛使用该芯片的IC卡系统安全受到严重威胁。
原因分析
(一) 部分单位仍然存在新建 IC 卡系统不符合密码管理要求。
(二) 已建运行但不符合密码管理要求的 IC 卡系统未进行升级改造。
整改建议
(一) 各单位要尽快采取措施,对重要IC卡系统使用密码情况进行核查。重点检查系统中采用的密码方案、密码算法及密码产品(如IC卡或IC卡芯片、SAM模块、密钥管理系统、加密机或加密卡等)是否经国家密码管理局审批。重要IC卡系统是指重要部门、重要岗位用于身份认证的IC卡系统;涉及消费或其他交易的IC卡系统;其他由政府投资或与人民群众生产生活密切相关的IC卡系统。
(二) 对已建设运行的不符合国家密码管理局要求的重要IC卡系统,要由系统主管部门和运营单位对密码方案进行升级改造。对正在建设和拟建的重要IC卡系统的密码方案,必须使用国产密码产品和密码算法。上述系统的密码方案须报密码管理部门审批通过后方可实施。
(三) 由本地区政府投资建设的门禁IC系统,应符合国家密码管理局制订的《重要门禁系统密码应用指南》要求。
(四) 对本地区本系统制定和采用的IC卡系统相关技术标准进行把关,凡涉及密码技术的部分不符合国家密码管理局要求的,要督促相关部门尽快组织修订和完善,并报国家密码管理局审查。