一直以來標榜自己比互聯(lián)網(wǎng)金融風控�����、安全技術(shù)更優(yōu)的商業(yè)銀行如今也中招�����。近日,來自“烏云”、“補天”等多家漏洞響應(yīng)平臺的數(shù)據(jù)顯示��,部分銀行網(wǎng)站存在漏洞���,銀行轉(zhuǎn)賬記錄�、交易時間、持卡人戶名、賬戶等信息存泄露風險�����。
例如��,最近被曝出網(wǎng)站系統(tǒng)存在漏洞的包商銀行可被利用查看部分銀行轉(zhuǎn)賬記錄�,包括轉(zhuǎn)賬金額�����、時間以及持卡人戶名����、賬號��、電話號碼等信息�。據(jù)了解,該漏洞現(xiàn)在已被包商銀行修復。
不僅如此����,此前百度安全����、烏云都曾發(fā)布警告�,某大型銀行網(wǎng)銀存在重大漏洞����。百度安全指出,該銀行網(wǎng)銀助手等安全控件存在“災(zāi)難級”漏洞,該漏洞可致遠程任意代碼執(zhí)行,對用戶電腦安全造成極大危害。烏云則對該漏洞給出了詳細的說明,該漏洞的具體執(zhí)行過程為:該行網(wǎng)銀控件在安裝和每次啟動時����,會自動檢查網(wǎng)銀環(huán)境����,這時它會將自家網(wǎng)站地址添加到IE的受信任站點列表里���,并且把“對未標記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本”的開關(guān)設(shè)置為啟動����。
一旦啟用了這一選項,信用站點列表中的網(wǎng)站可以無需用戶許可即能執(zhí)行高危代碼��,比如打開任意程序��、讀寫本地文件��。不僅如此,很多ActiveX會將自身的域名寫入“受信任列表”����,降低了黑客攻擊難度���,從而導致風險擴大��。故而當用戶訪問“受信任列表”中的網(wǎng)站時(如網(wǎng)購的時候),將可能會遭遇惡意攻擊(黑客采用XSS攻擊、DNS劫持�、WiFi釣魚等手段��,在公共網(wǎng)絡(luò)環(huán)境下的風險尤為嚴重)��,通過執(zhí)行任意惡意代碼�,給電腦帶來極高風險���。
近年來�,網(wǎng)絡(luò)安全問題日趨嚴重,相關(guān)報告指出��,網(wǎng)民因為網(wǎng)絡(luò)詐騙���、垃圾信息�����、個人信息泄露等侵權(quán)現(xiàn)象而產(chǎn)生的損失達千億元��。那么,金融機構(gòu)網(wǎng)站漏洞會給消費者帶來怎樣的影響?專家表示�����,部分敏感信息通過金融機構(gòu)網(wǎng)站漏洞泄露�����,最直接的影響是導致推銷電話騷擾乃至財產(chǎn)損失�����。例如,這些漏洞可能泄露大量用戶數(shù)據(jù)��,如郵箱�����、手機����、銀行賬號等����。泄露的信息主要被用于電話銷售、欺詐投資等用途�����。
中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長樊會文指出��,按照全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》��,遭遇信息泄露的個人有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除有關(guān)信息或者采取其他必要措施予以制止。但實際情況是�,消費者很難通過技術(shù)手段驗證泄密源頭的責任�����,難以維權(quán)。在維權(quán)難的現(xiàn)實下,客戶只能盡量降低自身風險��,包括保護好敏感信息和動態(tài)交易碼����,不要輕信不明電話和短信,留意短信中的提示網(wǎng)站是否與銀行對外公布的網(wǎng)站域名一致����。另外����,客戶在辦理銀行卡時�����,不管是儲蓄卡還是信用卡,盡量要開通短信提醒業(yè)務(wù),雖然有的銀行要收取短信通知手續(xù)費���,但比起資金安全,這點手續(xù)費的支出還是必要的。
