FinTech的挑戰 App化有資安風險

林亭妤 2016/08/23 15:27 點閱 25013 次
多位金融業專家23日針對推動FinTech配套的資安問題進行分析。(photo by 林亭妤/台灣醒報)
多位金融業專家23日針對推動FinTech配套的資安問題進行分析。(photo by 林亭妤/台灣醒報)

【台灣醒報記者林亭妤台北報導】「未來FinTech或是網路銀行全部App化後,駭客仍有程式碼可以竊取帳密,需針對網頁進行加密或防護的動作。」F5 Networks資深顧問許力仁23日指出,惡意程式盜取帳密的手法日新月異,就算要推動FinTech也需要防護配套。金管會表示,希望金融領域可以有ISAC概念,建立平台共同分享資訊問題。

F5 Networks資深顧問許力仁在「推動FinTech配套-資訊安全」記者會中操作許多新惡意程式盜取帳密的手法,該手法可以直接在瀏覽器上竊取用戶帳密,或是自動進行交易行為。

「駭客編譯了一套程式進入後台背景,」許力仁解釋,如果網站上另外跳出了登錄帳密的小頁面,用戶登錄之後,駭客方就會產生出一連串的功能選單,其中一個選項即「偷取密碼」,可以直接複製某一欄位(如:用戶登錄密碼欄位)並進行更改設置,啓動該惡意程式的方法有可能是用戶電腦中毒後,程式會從後台自動啟用,或是用戶被誤導至其他網站執行。

「更複雜的惡意程式,還可以將這些偷取到的帳號密碼、信用卡資料、信用卡背後檢查碼等結合傳送方式,全部集中送至某一網站進行後續運用,」許力仁指出,比如將這些名單拿去賣錢、拿去詐騙,甚至另外建立一個假網站,自動替這些個資做銀行交易及轉帳。

「我們也測驗過網路銀行提款器的虛擬鍵盤,敲入的密碼也能被惡意程式抓取。」許力仁說,當未來的FinTech或是網路銀行全部app化後,若沒有針對這套程式碼,對網頁進行加密或防護的動作,則損失將無法估計,只要有保護措施,則駭客在盜取時就會發現密碼被遮罩起來。

「政府現有GISAC資訊分享平台,負責電子商務部分的資訊交換。」金管會表示,國家關鍵基礎設施的八大領域的防護都屬於資安處的範疇,銀行就是八大領域的其中一項,希望金融領域也可以有F-ISAC概念,把金融方面的資訊問題,建立一個平台共同分享策劃,達到早期預警機制,從被動防護變成積極防禦。