银行卡莫名被盗刷,智能摄像头被攻破当事人被直播,专家称各方需共享数据联手打击。
用户银行卡莫名其妙被盗刷、O2O网站防不胜防让黑客任意买、邮箱账号密码被盗导致连串损失……在“互联网+”计划提速、网络支付日益普及的大环境下,各类盗取账户、套现等信用风险和欺诈风险事件层出不穷。
昨日有众多业界人士呼吁,单个企业已经无法抵御网络安全风险,各大互联网公司、银行、电信运营商和监管部门等应该一起联手防范和打击。
案例1:
用户银行卡莫名其妙被盗刷
不少用户反映,突然收到银行发来的短信称自己的银行卡在异地被盗刷,卡上余额在短时间内被取空,他们奇怪:自己没有交易,银行卡也并未离身啊!
在业界看来,这一幕并不离奇,用户银行卡在一些终端上的刷卡信息很容易被截取。前几天,GeekPwn 2015嘉年华(俗称“黑客大赛”)在上海举办,现场一名“黑客”通过安卓手机绑定拉卡拉收款宝POS机,并在手机上安装Xposed模块去劫持交易信息,接着再用银行卡(如某商业银行)完成一次查询余额的动作,之后会将交易信息劫持下来,然后用另一张卡(如公积金卡)去刷卡转账,输入任意密码就可以转走前面银行卡上的余额。
在当天的演示中,“黑客”利用SSL互联网底层协议的未知漏洞,在用户不知不觉中查询余额和消费纪录,个人隐私也都一览无遗,“黑客”们还轻松攻破了盒子支付POS机,通过银联账户交易系统,“黑客”可以盗刷用户银行卡。
案例2:
智能摄像头被攻破,隐私上网
最近,某视频直播网站火了。根据各地网友反馈,这一视频网站提供的是摄像头实时监控的视频画面:有的来自街道、景点等公共场所,有一些则来自餐厅、超市,甚至办公室、宾馆、私宅……更可怕的是,不少当事人表示,对“被直播”这事一无所知。
行内专家说,智能家居类产品已逐渐步入寻常百姓家,但实践证明这些智能设备很容易被攻破,黑客可以让智能摄像头变成侵犯用户隐私的道具。黑客还可以攻破智能烤箱,随意调节其温度、频率等。想象一下,电影中烤箱爆炸的情景或许真的可能在现实生活中上演并威胁生命安全。
案例3:
O2O网站不设防让黑客任性买
不久前,某犯罪分子利用上海一家影院网络售票系统的漏洞,仅以1分钱的价格,买下影院在网络平台出售的价值140元的套票,并在其他网络平台上以36元的价格售出,致使该院线售票收入损失147万元左右。令人惊讶的是,犯罪分子作案手段高明,不仅第三方支付平台没有发现问题,就连被盗影院都没有发现异样。
众多O2O网站不同程度存在交易风险。有专家现场演示了如何利用“嘟嘟”美甲充值系统项目的漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。
现场选手还进行了利用O2O网站“阿姨帮”系统未知漏洞,进行任意充值的演示,其实,除了“阿姨帮”很多O2O产品都在支付接口有着类似的漏洞。
原因:超50%
小微金融企业无安全投入
各类盗取账户、套现等信用风险和欺诈风险事件层出不穷,给大家的信息财产安全带来威胁,也成为了互联网金融行业发展的桎梏,影响着行业的健康发展。
不少人疑惑:网易邮箱账号泄露为何导致苹果手机被锁?携程支付信息泄露却导致京东用户受骗?除了用户自身原因外,也与各大互联网公司缺乏合作有关。
腾讯公司首席运营官任宇昕认为,开放互联网生态已经将所有的人、服务、应用连接起来,数以百万计的服务应用与地图、支付、社交等基础产品连接,各大平台级产品相互开放接口,互联互通,在这样密织成网状的生态链里,任何一个环节出现安全纰漏,链条上其他人都可能被迅速波及。
数据
《2015网络生态安全报告》显示,超过45%的企业在过去三年曾发生过不同量级的信息安全事故,甚至不乏我们所熟悉的知名企业; 大型企业(规模超500人)与电信行业尤其是重灾区,分别有超过57%和64%的企业发生过信息安全事故;这些安全事故直指商业机密、用户信息等核心信息资产。
小微企业尤其是小微金融企业成为信息安全的最大风险点,接近40%的小微企业(100人以下)无信息安全团队和资金投入,而超过50%的小微金融企业没有任何安全方面的投入。
与之相对的,互联网与电信行业在信息安全建设方面则已有较好基础,这些企业超过76%已有信息安全方面的专项投入。
解决办法:
各方共享数据联手打击
国家互联网信息办公室副主任王秀军表示,信息网络按照以摩尔定律为代表的非线性规律发展,云计算大数据互联网移动互联网的新技术新应用层出不穷,这些都对传统安全防护模式带来了严重的冲击和挑战,在万物互联的时代,系统的边界日渐模糊,同时网络安全的威胁样式攻击手段也发生了巨大的变化,照搬的做法是没用的。
静态防护单点防护不再适用,需要创新防护理念,坚持动态综合的安全防护思想,防止简单各自为战,通过持续的创新和网络发展,有效防范不断变化的安全风险。
在此背景下,中国互联网金融安全联盟昨日宣布成立,首批成员单位包括腾讯安全、腾讯征信和京东金融、微众银行、招联金融、光大银行、光大永明人寿、北银消费金融、浦发银行信用卡中心、中信银行信用卡中心、中邮消费金融、兴业消费金融等,指导单位包括中国支付清算协会、中国人民大学。除此之外,联盟成立后还将会和金融监管部门、公安机关以及其他学术研究机构保持沟通。
任宇昕表示,作为互联网开放生态中的一员,腾讯将开放腾讯玄武实验室、反病毒实验室和移动安全实验室的安全技术,让手机、智能设备、PC设备,以及运营商、银行、开发者和万千创业者在建立连接的时候获得安全支持。
业界呼吁,各大互联网公司拥有庞大的用户数据库以及保护海量用户的经验,应该与警方、运营商、银行、企业等产业链合作伙伴实现连接和共享。通过大数据共享,共同打造一个立体的“天网”,在国家空间安全、企业级安全、金融安全、用户安全以及防诈骗、防骚扰等泛安全层面实现全方位立体化保护。