计世网

“抓包”案拷问银行客户端安全流程设计
作者:刘艳 | 来源:科技日报
2020-03-26
钻“手机银行”人脸识别系统的空子,伪造76个虚假身份骗取银行账户并售卖的田某,被判刑两年。

 

钻“手机银行”人脸识别系统的空子,伪造76个虚假身份骗取银行账户并售卖的田某,被判刑两年。

对于中国裁判文书网公布的这起黑客入侵厦门银行手机银行的案子,网络安全工程师们表示,犯罪分子的作案手段没什么技术含量,就是利用了他们常用来做网络安全测试的“抓包”工具(软件)。在这起案件中,系统被入侵这个锅不能甩给人脸识别技术,需要复盘的是银行业务安全流程。

“抓包”骗过银行人脸识别验证

抓包(packet capture)工具是拦截查看网络数据包内容的软件,它能够将网络传输发送与接收的数据进行截获、编辑、转存、重发等操作,常被技术人员用来检查网络安全。黑客也不都是江洋大盗,利用技术来维护网络安全的黑客叫做“白帽子子黑客”,他们也会用抓包工具来分析报文,针对漏洞做渗透测试,这种行为属于阳光下的操作,而“黑帽子黑客”是一群通过窃取网络资源或破解软件来获取利益的人,他们抓包就是为了破坏网络来赚钱。

早在2017年,上海警方曾破获一起特大网络盗窃案,犯罪分子仅用半天时间就非法提现人民币近千万元,警方通过调查发现,是黑客利用抓包工具拦截下银行系统内传输的数据,将实际充值的1元改为1000元或更高金额,然后把伪造的数据传回并成功欺骗了金融机构。

但所有利用抓包工具的案件都有一个共同的前提,就是有漏洞可钻。

从福建省厦门市思明区人民法院刑事判决书来看,田某偶然发现厦门银行APP漏洞后,使用虚假身份信息,在厦门银行手机银行APP注册该银行Ⅱ、Ⅲ类账户。注册中,田某先输入本人身份信息,待进入人脸识别步骤,利用抓包软件将银行系统下发的人脸识别身份认证数据包拦截并保存。尔后,在输入开卡密码步骤,田某将APP返回到第一步(上传身份证照片),重新输入伪造的身份信息,当再次进入到人脸识别的身份验证步骤时,他把之前拦截下来的包含其本人真实身份信息的数据包进行上传,使系统误以为此刻要对比的是其真实的身份信息,田某遂用本人人脸通过了银行系统人脸识别比对,成功利用虚假身份信息注册到银行账户。

简单地说,田某的作案手法是,用他本人的人脸识别身份认证数据包换掉伪造身份的人脸识别身份认证数据包,骗过银行系统的审核。

安全问题需要向内找原因

现如今,人脸识别在金融领域的应用越来越广泛。以银行为例,区别于Ⅰ类全功能账户,银行的Ⅱ、Ⅲ类账户为虚拟电子账户,在Ⅰ类账户的基础上功能递减,现在很多银行都可以通过手机终端远程开通Ⅱ、Ⅲ类账户,人脸识别已经成为核实用户身份的常用手段。铸造一道固若金汤的安全防护墙,是每一个金融消费者的诉求。

中粤联合投资创始人罗浩元说:“银行Ⅱ、Ⅲ类户开户存在的明显风险被田某用简单粗暴的手法测出来了,我们相信手机银行在功能设计、安全验证及防护等方面的完善能力,却通过此案看到了他们的‘漫不经心’。显然,这些银行对‘抓包’替换行为缺乏该有的防范措施。关键是,此前用‘抓包’非法获利的案件已有很多,金融机构需要检讨。”

北京奇安信科技有限公司董事长齐向东给金融机构开出一副“药方”,其中包括几个假设,或许对银行等金融机构检视业务安全有帮助。这几个假设是:“假设系统一定有没被发现的漏洞,一定有已发现漏洞没打补丁;假设系统已经被黑;假设一定有内鬼。”

尽管在这起案件中,人脸识别系统可以说是无辜“躺枪”,但是公众对人脸识别安全性的顾虑也被这起案件重新牵了出来。

对此,百度安全事业部总经理马杰有这样的观点,越来越多的智能设备采用了生物特征识别技术,所谓“破解生物识别”,就是“欺骗传感器”的过程。但大家不用过分担心,被发现的漏洞基本都找到了相应的解决方案。很多安全问题,可以看做安全人员与黑客之间的竞速赛,未来人脸识别技术要跟随机器学习等相关领域一同发展,才能构筑一个更加安全、更加可靠的环境。

责任编辑:焦旭