觀點

金融資訊安全現況探討(上)以交易為核心的攻擊思維

2014 / 06 / 06
余俊賢
金融資訊安全現況探討(上)以交易為核心的攻擊思維
從近期資訊安全威脅事件來看,金融業者以及電子商務業者已成為網路黑幫與駭客鎖定的目標,本文針對金融業者的資訊安全現況探討,從外界威脅演變、對外服務的系統安全常見問題、內部資訊環境常見問題、作業程序管理等,來檢視金融資安現況,並在下一篇說明未來在「金融機構辦理電腦系統資訊安全檢測辦法」實施後,如何有效因應威脅與管理風險。

近期金融安全威脅事件簿
以下是近一年來對於金融相關的威脅事件整理:

1. 2013年11月 21日,i2Ninja新款針對銀行的惡意程式出現。目的為竊取用戶輸入至Web表單上的資訊,惡意內容透過IE、Firefox與Chrome等瀏覽器的HTTP與HTTPS封包傳輸。同時透過其他方式竊取用戶的憑證檔案。其使用「黑暗網路」(darknet)透過I2P網路控制通訊,I2P是一個類似TOR(洋蔥)的匿名分散式點對點(P2P)網路,難以追查。

2. 2013年5月,某網路犯罪集團入侵阿拉伯聯合大公國的「拉斯海瑪國家銀行」(National Bank of Ras Al-Khaimah)及阿曼馬斯開特銀行(Bank Muscat),竊取金融簽帳卡用戶個資。同時亦入侵銀行委外的付款處理服務公司,取消遭竊帳戶提領上限,再由車手於全球各地ATM盜領高達13億台幣。

3. 2013 手機簡訊誘導安裝惡意App攔截簡訊進行小額付款詐財: 根據警政署統計,從2013年八月開始已有647人被這種手法詐騙,損失至少177萬元。今年透過行動平台APP、簡訊等通訊方法誘騙受害者點閱連結、下載惡意行動APP或是攔截金融機構所發出的簡訊OTP,突破了原有的安全機制。

以下為針對特定國家金融機構的惡意活動:
1.2014年4月,日本16家網路銀行共約1.3萬個帳號ID、密碼被盜,其中三菱東京UFJ,郵政銀行和樂天銀行有存戶的存款已被盜領。受害網銀的存款戶大多因為個人電腦連結到被駭的企業或省廳網頁,導致電腦感染病毒,使其銀行帳戶ID和密碼被盜。

2.2013年六月竊取南韓金融機構密碼的惡意程式 KRBanker,入侵對象為一般民眾,只要民眾使用特定的韓國金融機構,就會被記錄帳號密碼,並蒐集電腦中的數位憑證(NPKI) 與金融帳號。目的在於獲取帳號與憑證後進行假交易獲取金錢。

3.2013年5月1日Ramnit Worm (或稱為Bank Malware)設計偽冒的OTP認證機制來欺騙英國某家銀行存戶,並盜領存款。

4.2013年2月Zeus知名的botnet針對日本金融機構用戶進行攻擊。

4. 2013年6月6日, 美國微軟集團與聯邦調查局合作,成功阻止電腦駭客金融詐騙行為,駭客利用「殭屍網路」,盜取受害者的銀行帳戶和密碼。其中「Citadel」殭屍網路至今已在90個國家和地區包括歐洲各國、香港、印度、新加坡、澳洲和美國等,感染了數以百萬計的電腦。

5. 2012年12月Zeus 殭屍網路行動版(ZitMo ,ZeuS-in-the-Mobile ) 行動殭屍網路竊取36億歐元,導致百萬手機雙因數認證mTAN被盜,mTAN事件至少有600家金融機構遭到鎖定用戶端的攻擊。

6. 2011年10月- QRCode 木馬:卡巴斯基實驗室安全專家調查,有不法分子利用網站上的 QR Code,引誘安全警惕性不高的 Android 用戶訪問惡意網站來散播木馬病毒。用戶一旦下載並成功安裝後,木馬病毒隨即運行,並自動發送高收費短訊讓受害者蒙受金錢損失。在2013年11月亦有類似案例,透過QRCode方式傳播惡意App及連結。

針對性攻擊增多 宜強化內外防禦機制
由以上新聞事件可知,針對金融機構的外在惡意威脅持續演變,因此原有的金融服務網路資訊環境,宜強化以下幾種常見問題的防禦機制:
(一) 對外服務的系統安全常見問題
1. 身分鑑別與授權: 使用晶片卡與插拔機制,可以有效防範目前常見的案例中的攻擊手法。值得注意的是使用晶片卡與相關網路安控元件之間仍有潛在風險。例如,晶片卡密碼洩漏。晶片卡密碼透過安全管制元件驗證後,應無傳遞出用戶端之必要,且傳輸敏感資訊更應注意其必要性與安全性。而實際上發現在系統實作時,仍有將晶片卡密碼傳輸到網路服務後端的現象。

2. 網路安控元件弱點:於網頁上使用金融服務時,多半需要安裝ActiveX、DLL或是Driver檔案,而這些檔案安裝後會長存在於用戶端,若此類元件設計上疏忽未完全按照規範要求,則會對用戶端產生危害。目前常見問題為元件使用的參數,未能完全檢查輸入值的長度與內容,而有潛在緩衝區溢位(Buffer Overflow)的風險。攻擊者可以透過此元件,取得瀏覽器所授予之權限。或透過惡意網頁攻擊WebATM元件的使用者環境,即使該使用者不是瀏覽銀行相關的網站。此外,包含以Java語言撰寫之安控元件容易暴露其原始碼及安全相關函數內容。

3. 行動應用App安全不若Web系統強韌
行動網路銀行與相關之App應用在開發期間短且缺乏安全要求下,已造成安全上新的缺口,檢測分析後發現易造成用戶資訊外洩、後端安全不足、傳輸過程未受保護等問題,可參考以「行動應用為媒介的攻擊思維」──OWASP Top 10 Mobile Risks一文。

(二) 內部資訊環境常見問題
首先是包括內部資訊環境入侵事件與金融高層用戶遭特定攻擊來源鎖定。隨著針對式的社交攻擊興起,攻擊者使用電子郵件夾帶惡意檔案鎖定金融單位用戶與單位高層主管,已經可以輕易入侵至金融單位內部環境,多數金融單位之防禦觀念仍有待強化,殊不知已經被駭客鎖定。近兩年已有幾起事故,而處理過程更凸顯金融機構對於針對性攻擊的應變不足,若無法有效杜絕則可能導致災情擴大。同時,與金融單位相關之基金會組織或福委會,其資訊資源與防禦能力較弱,亦可能遭受鎖定攻擊。

其次,合作廠商攜入手機或行動裝置並且分享無線網路熱點,容易造成網路混用。若該廠商裝置已經遭到駭客入侵控制,則可能造成金融內部網路遭受侵害。

此外,後端管理脆弱亦是常見問題。銀行前端系統的後台管理介面,其安全維運不若前端系統的嚴謹,在內部網路執行掃描時,經常發現存在多種高風險弱點,若內部網路遭受入侵成功,則容易遭到進一步攻擊。

小結
從上述可知,攻擊者主要目的不外乎金錢、帳戶資料、高層決策情報及對商譽造成影響。對於金融機構的威脅手法可分為,以「交易為核心」的攻擊手法以及以「行動應用為媒介」的攻擊。以下為以交易為核心的攻擊手法:
1. 連線階段安控未貫徹商業邏輯產生交易安全問題。例如未授權下即可查詢他人帳號及帳號內容沒有貫徹權限管理,可能造成未授權新增、查詢、變動他人資料內容,有資料外洩與權限控管問題;又如,查詢外部資訊,但查詢資料的存取控制不完整,經由修改參數即可查詢他人之帳戶或繳費內容,未授權查詢他人繳費資料內容,或可任意查詢帳單金額而未比對用戶身分,也是有資料外洩與權限控管問題。

2. OTP weak (One Time Password): 銀行交易確認或變更用戶資料時,部分採用簡訊提供OTP方式作為雙因素認證的一環,而科技環境進步造成新的威脅,手機簡訊OTP方法已經出現專門竊取的手法,並結合其他多方資訊拼圖,造成進行交易者身分偽冒的漏洞。

3. 以CSRF 偽造交易指令:在身分驗證、存取控制及連線階段管理(session management)有缺失的潛在狀況下,攻擊者先竊取受害者的連線資訊後(包含 cookie, session id 或hijack session),假造一個可以觸發的交易指令 (放置於連結、圖片、自動轉址的方式),誘騙受害者點擊觸發該交易指令。對於金融系統而言,交易仍是受害者親自執行且毫無異狀。例如2013年11月22日,Gmail 被發現有 CSRF及密碼重設漏洞可奪取用戶帳號。

下一篇將繼續探討以「行動應用為媒介」的攻擊思維,並介紹OWASP Top 10 Mobile Risks。
本文作者為資深資安顧問擅長資安檢測、事件處理