金融科技網絡安全概覽

雖然受到疫情影響,2020 年使用交易應用程式的用戶一直有增無減,當中交易者的資產和個人資料也吸引到網絡罪犯的注意,作為交易平台的操作員和開發人員,不妨看看公司面對的常見威脅和處理方法。

應用程式漏洞
交易平台和任何軟件一樣都會存在漏洞,在 2018 年網絡安全專家 Alejandro Hernandez 在 79 個交易應用程式中找到漏洞,其中包括沒有使用加密去儲存或轉輸數據 (即是所有人都可以查看和更改),一段時間不活動後沒有登出用戶帳號,也有設計上的缺憾容許用戶使月結構薄弱的密碼。

一年後,ImmuniWeb 進行了相似的研究,並找到相似的負面結果,他們測試了 100 項金融科技的開發,全部都存在某程度上的弱點,問題同時在網頁和流動應用程式中出發,包括從第三方開發商和程式員使用的工具遺留下來的臭蟲,某些弱點其實早就存在安全補丁但卻沒有安裝,其中一個更早在 2012 年便已推出,但該金融科技應用程式開發者卻一直沒有安裝。

如果產品存在保安問題,理所當然地會令他們「知名」,為公司的聲譽帶來潛在傷害,也會嚇跑客戶,如果應用程式存在臭蟲,用戶更可能面臨資料外洩或金錢損失,而開發者就有機會需要支付鉅額罰款或被迫支付賠償金。

有時候平台的製作者也只是受害者,例如交易應用程式 Rohinhood 沒有發現當中的臭蟲,容許高級客戶從平台無限借資金去進行證券交易,其中一位用戶位了 100 萬美元而按金只是 4000 美元,就像遊戲中使用了無限金錢的弊密碼一樣。

要避免因為臭蟲和漏洞導致損失,交易平台的編碼者需要在開發階段已考慮保安元素,事先準備好例如自動登出用戶、加密和禁止使用弱的密碼組合等等,並且定期檢視編碼有否錯誤和盡快修復。

供應鏈攻擊
很多公司為了節省時間和金錢而不自行編寫編碼,改為聘請第三方的開發、架構和服務,如果供應商的基建已遭入侵,其他使用它的公司也會遭殃。而且曾經發生在外匯經紀 Pepperstone 身上,在今年的 8 月,網絡罪犯成功感染該公司的承辦商的電腦,取得進入 Pepperstone CRM 系統的帳號權限,雖然違法行為很快被發現,但攻擊者仍能成功盜取了部份客戶資料,該公司聲稱其金融和交易系統沒有受到影響,事件也提醒了資料外洩可能令公司損失慘重的事實,即使事件是由第三方編碼所引起。

要避免被牽連,選用具有保安意識的可靠伙伴最為重要,也不要單純倚靠他們的防護機制,任何在金融界別的公司都應該採取嚴格的保安守則。

針對式網絡釣魚
人為因素經常導致網絡事故,所以攻擊者也懂得利用員工對公司基建進行滲透。就在今年 7 月,網絡安全研究人員接觸到一系列金融科技機構的攻擊,地點包括歐洲、英國、加拿大和澳洲,茅頭直接 APT 組織 Evilnum,網絡罪犯發送含有連結的電郵經公司員工,該連結是合法雲端服務上的一個 Zip 檔案,訊息裝作是商業的往來,而壓縮檔內是文件和圖像,如果打開這些檔案便會開始感染的連鎖。

有部份攻擊者會首先攻破公司的電郵帳號,令他們的釣魚行為更加容易,在今年 8 月貿易公司 Virtu 就遭到類似的攻擊,根據公司公開的資料,網絡罪犯取得高級管理層的電郵帳號,然後花兩星期時間透過電郵指示會計部把鉅額金錢轉到中國,會計部門的盲目信任令公司損失 1100 萬元。

要擊退這類攻擊,負責網絡安全的員工需要合適的培訓,準備釣魚電郵的警告清單,並制訂相應行動,以應對來自同事、合作伙伴或客戶面求過戶金錢的情況,即使不是索取過百萬元。

客戶問題
有時候用戶損失金錢並非因為你公司或應用程式,而是因為下載了惡意程式、在釣魚網站輸入密碼或其他不當行為,這時候客戶也可能會對交易平台要求索償。在某些國家,公司在法律上需要查明事件,因此公司有定期警告用戶潛在危險和敦促他們保護自己的價值 (這同時也是保護公司)。

每隔一段時間提醒客戶任何第三方軟件,特別是盜版或來歷不明的軟件都可能扣成威脅,例如可能盜取密碼,包括用戶交易的帳號密碼。提醒客戶網絡罪犯有可能偽裝成公司的服務去騙取他們的憑證資料,建議對有關服務問題的電郵提高警剔,小心檢本發送者地址和訊息中的文法錯漏,提議他們在有疑感時,在瀏覽器中手動輸入網址、打開應用程式或致電客戶支援。

如何保護公司的金錢和聲譽
處理金錢需要極大的責任感,忽視保安可能令金融科技公司損失慘重,所以:

  • 監察應用程式和程式的安全,掃瞄漏洞,加保遠離臭蟲或錯誤。
  • 在工作裝置上安裝可靠的保安方案,最好能夠在雲管的單一控制台上進行管理。
  • 培訓顧員關於網絡保安的基本知識,令他們不會因為失誤而令公司或客戶損失金錢或構成壓力。
  • 對顧和第三方供應商採取最嚴謹的保安措施
  • 提醒客戶保護他們錢財安全很大部份來自他們自己,建議他們在進行交易的裝置上安裝保安方案,並且不要安裝或儲存非必要的內容。
  • 在開發的最開始階段已部署保安機制,最低限度也要禁止弱密碼組合、加密和用戶不活躍便自動登出。

資料來源:Kaspersky Blog