銀行互聯(lián)網(wǎng)金融平臺(tái)面臨的新型威脅及防護(hù)技術(shù)研究

文/劉樺潔，中國(guó)郵政儲(chǔ)蓄銀行濮陽市分行

1 引言

互聯(lián)網(wǎng)金融平臺(tái)在運(yùn)營(yíng)過程中，是搭載互聯(lián)網(wǎng)平臺(tái)來實(shí)現(xiàn)運(yùn)營(yíng)的，但由于互聯(lián)網(wǎng)屬于開放式運(yùn)營(yíng)方式，其內(nèi)部的系統(tǒng)缺陷將為網(wǎng)絡(luò)黑客提供攻擊平臺(tái)，進(jìn)而對(duì)網(wǎng)絡(luò)終端用戶的財(cái)產(chǎn)安造成威脅。“薅羊毛”行為與撞庫(kù)攻擊行為則是典型的網(wǎng)絡(luò)攻擊案例，攻擊者通過網(wǎng)絡(luò)系統(tǒng)漏洞來將用戶信息進(jìn)行盜取與篡改，進(jìn)而使用戶以及銀行機(jī)構(gòu)造成財(cái)產(chǎn)損失。傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)是針對(duì)威脅信息來進(jìn)行被動(dòng)式攻擊，缺乏隱性病毒檢測(cè)的能力，為此，應(yīng)加強(qiáng)防護(hù)技術(shù)的研究，以此來凈化網(wǎng)絡(luò)環(huán)境，為用戶的財(cái)產(chǎn)安全提供基礎(chǔ)保障。

2 互聯(lián)網(wǎng)業(yè)務(wù)在銀行機(jī)構(gòu)的應(yīng)用隱患

近年來，銀行機(jī)構(gòu)在互聯(lián)網(wǎng)技術(shù)的應(yīng)用下，實(shí)現(xiàn)遠(yuǎn)距離操控、虛擬鏈接等，提升銀行的辦事效率。同時(shí)，在互聯(lián)網(wǎng)平臺(tái)的建立下，也催生出多種業(yè)務(wù)模式是，包括移動(dòng)金融、多平臺(tái)支付、理財(cái)融資等，令銀行服務(wù)鏈呈現(xiàn)出持續(xù)增加的趨勢(shì)，進(jìn)而提升銀行管理系統(tǒng)的安全風(fēng)險(xiǎn)，使人民的財(cái)產(chǎn)安全受到威脅。對(duì)于銀行互聯(lián)網(wǎng)金融平臺(tái)來講，其主要風(fēng)險(xiǎn)漏洞一般以系統(tǒng)登錄平臺(tái)風(fēng)險(xiǎn)、驗(yàn)證平臺(tái)風(fēng)險(xiǎn)、跨站腳本攻擊、業(yè)務(wù)涉及風(fēng)險(xiǎn)、信息泄露風(fēng)險(xiǎn)等為主，將為銀行帶來較大的運(yùn)行負(fù)擔(dān)。

3 銀行互聯(lián)網(wǎng)金融平臺(tái)面臨的新型威脅

3.1 “薅羊毛”行為

“薅羊毛”行為是指客戶依據(jù)網(wǎng)絡(luò)平臺(tái)給予的優(yōu)惠活動(dòng)來開展一系列操作，一般是以個(gè)人或團(tuán)體為主，利用智能化軟件對(duì)參與銀行活動(dòng)的商家進(jìn)行定向優(yōu)惠活動(dòng)索取，通過非正常手段來進(jìn)行線上搶購(gòu)。薅羊毛行為與違法行為的本質(zhì)區(qū)別在于消費(fèi)者信息的合理性，薅羊毛一般以真實(shí)的信息為主，通過各項(xiàng)活動(dòng)的參與來完成目標(biāo)需求，此類攻擊行為一般利用軟件來對(duì)電商APP、金融類APP等進(jìn)行實(shí)時(shí)關(guān)注，當(dāng)出現(xiàn)活動(dòng)時(shí)，將自動(dòng)進(jìn)行參加，攻擊者通過智能化軟件進(jìn)行不同平臺(tái)的的登錄，以此來獲取利潤(rùn)。此種軟件的使用將阻礙平臺(tái)服務(wù)器的運(yùn)行，使正常參與的用戶無法在第一時(shí)間登錄活動(dòng)頁面，導(dǎo)致活動(dòng)產(chǎn)生利益落入少部分不法分子手中，而對(duì)于活動(dòng)承辦商來講，推廣效果也與預(yù)期不符，造成營(yíng)銷費(fèi)用與經(jīng)濟(jì)收入不匹配。2018年某銀行舉辦的信用卡活動(dòng)，其刷卡金優(yōu)惠力度開展以來，2月到8月薅羊毛行為產(chǎn)生的金額約為8億元。不法分子發(fā)動(dòng)此類網(wǎng)絡(luò)攻擊行為，則是依靠銀行系統(tǒng)的漏洞，采用新型手法對(duì)銀行機(jī)構(gòu)的網(wǎng)絡(luò)平臺(tái)進(jìn)行攻擊，致使銀行機(jī)構(gòu)面臨服務(wù)器崩潰、信息泄露等風(fēng)險(xiǎn)。

3.2 撞庫(kù)攻擊行為

撞庫(kù)攻擊是指黑客將已經(jīng)泄露的數(shù)據(jù)信息進(jìn)行集成處理，在利用網(wǎng)絡(luò)平臺(tái)來進(jìn)行批量登錄，以此來獲取更多的登錄信息?，F(xiàn)階段，大部分網(wǎng)絡(luò)用戶一般在不同網(wǎng)絡(luò)平臺(tái)使用的是同一個(gè)賬號(hào)、密碼等，黑客則是利用一個(gè)平臺(tái)的泄露信息在其它平臺(tái)進(jìn)行的登錄，此種操作則為撞庫(kù)攻擊。對(duì)于互聯(lián)網(wǎng)金融平臺(tái)來講，每天都將產(chǎn)生大量的數(shù)據(jù)信息，用戶在進(jìn)行網(wǎng)上登錄時(shí)，大部分人過于依賴于網(wǎng)絡(luò)平臺(tái)的安全系統(tǒng)，將導(dǎo)致個(gè)人信息泄露，為網(wǎng)絡(luò)黑客提供信息資源。例如，近年來較大的撞庫(kù)案例則是某購(gòu)物平臺(tái)，其平臺(tái)的數(shù)據(jù)庫(kù)安全系數(shù)較高，不存在泄露風(fēng)險(xiǎn)，黑客則是通過撞庫(kù)攻擊來對(duì)平臺(tái)用戶的數(shù)據(jù)信息進(jìn)行獲取，以此來將數(shù)據(jù)信息同步應(yīng)用到各大網(wǎng)站中，導(dǎo)致用戶的財(cái)產(chǎn)安全受到威脅。

4 傳統(tǒng)網(wǎng)絡(luò)銀行機(jī)構(gòu)防護(hù)系統(tǒng)的缺陷

銀行機(jī)構(gòu)作為人民財(cái)產(chǎn)的存儲(chǔ)中心，其在運(yùn)營(yíng)過程中將采用多種防護(hù)技術(shù)，來對(duì)居民的個(gè)人信息以及財(cái)產(chǎn)安全進(jìn)行防護(hù)，大部分銀行機(jī)構(gòu)部署WAF、DDOS、IPS等防護(hù)系統(tǒng)，但此類防護(hù)系統(tǒng)一般是對(duì)已知的攻擊行為進(jìn)行分析，然后在對(duì)簽名、規(guī)則等進(jìn)行編寫，以此來形成防護(hù)措施。但對(duì)于撞庫(kù)攻擊行為來講，其是依靠數(shù)據(jù)信息的模擬來進(jìn)行操作的，在銀行的防護(hù)系統(tǒng)中默認(rèn)為合法化操作，同時(shí)撞庫(kù)攻擊不屬于主動(dòng)攻擊的范疇，其是將用戶名與密碼進(jìn)行復(fù)制型登錄，以此來對(duì)該用戶在銀行機(jī)構(gòu)名下的數(shù)據(jù)信息進(jìn)行竊取，進(jìn)而侵入到銀行機(jī)構(gòu)的操作系統(tǒng)中。傳統(tǒng)的網(wǎng)絡(luò)銀行機(jī)構(gòu)系統(tǒng)如圖一所示，在WAF防護(hù)層中，內(nèi)部系統(tǒng)無法對(duì)合法化的登錄協(xié)議進(jìn)行檢查，致使數(shù)據(jù)信息的真實(shí)性辨別存在缺陷；在DDOS防護(hù)層中，其在應(yīng)用層中不具備防護(hù)能力；在IPS防護(hù)層中，不具備主動(dòng)攔截的能力，造成系統(tǒng)防護(hù)存在漏洞。

圖1 傳統(tǒng)網(wǎng)絡(luò)防護(hù)缺陷

5 銀行互聯(lián)網(wǎng)金融平臺(tái)的防護(hù)技術(shù)研究

5.1 偽裝技術(shù)

偽裝技術(shù)是利用網(wǎng)絡(luò)模擬化手段，對(duì)網(wǎng)絡(luò)平臺(tái)、應(yīng)用、數(shù)據(jù)終端等進(jìn)行偽裝，并依據(jù)攻擊者的主要意圖來調(diào)整，以此來令侵入軟件的識(shí)別功能失效，進(jìn)而對(duì)攻擊者造成范圍擾亂效果，以延長(zhǎng)攻擊時(shí)間，令內(nèi)部網(wǎng)絡(luò)安全防護(hù)系統(tǒng)可有更多的時(shí)間來運(yùn)行防護(hù)程序，以此來加強(qiáng)系統(tǒng)的防護(hù)功能。

5.2 遠(yuǎn)程操控技術(shù)

遠(yuǎn)程操控技術(shù)的主要防護(hù)平臺(tái)是以瀏覽器為主。網(wǎng)絡(luò)攻擊者一般是通過瀏覽器來進(jìn)行操作的，將瀏覽器作為切入點(diǎn)來盜取信息以及登錄信息等，為此，遠(yuǎn)程操控技術(shù)則是建造一個(gè)平臺(tái)型服務(wù)器，將瀏覽器系統(tǒng)集成到平臺(tái)中，令用戶通過此種隔離型平臺(tái)來進(jìn)行虛擬化操控，以確保服務(wù)器與終端系統(tǒng)的獨(dú)立運(yùn)行，達(dá)到最終防護(hù)效果。

5.3 動(dòng)態(tài)防護(hù)技術(shù)

動(dòng)態(tài)防護(hù)技術(shù)則是將偽裝技術(shù)、遠(yuǎn)程操控技術(shù)進(jìn)行融合，將傳統(tǒng)的被動(dòng)防護(hù)模式轉(zhuǎn)變?yōu)橹鲃?dòng)防護(hù)模式，進(jìn)而減少防護(hù)系統(tǒng)運(yùn)行的響應(yīng)時(shí)間。動(dòng)態(tài)防護(hù)技術(shù)主要是對(duì)銀行機(jī)構(gòu)的主服務(wù)器進(jìn)行防護(hù)，以底層代碼周期性動(dòng)態(tài)轉(zhuǎn)換來對(duì)隱蔽系統(tǒng)的缺陷，進(jìn)而從源頭上制止攻擊行為，此類防護(hù)模式具備感知能力，可對(duì)終端操控系統(tǒng)進(jìn)行深度辨別，防止攻擊者利用模擬化登錄來竊取數(shù)據(jù)信息。網(wǎng)絡(luò)金融平臺(tái)通過此種防護(hù)機(jī)制，可擾亂網(wǎng)絡(luò)攻擊者的計(jì)劃，進(jìn)而提升網(wǎng)絡(luò)系統(tǒng)的安全性。動(dòng)態(tài)防護(hù)技術(shù)以一般以動(dòng)態(tài)封裝、驗(yàn)證、混合、令牌等來完成防護(hù)工作。

首先，動(dòng)態(tài)封裝主要是對(duì)瀏覽器的服務(wù)代碼進(jìn)行更改與封裝，將瀏覽器頁面上的敏感信息進(jìn)行主動(dòng)獲取，例如被攻擊入口、表單等，通過服務(wù)代碼的隱藏，使攻擊者無法通過軟件來對(duì)定性信息進(jìn)行獲取，并無法預(yù)料到服務(wù)器的運(yùn)行路徑。

其次，動(dòng)態(tài)驗(yàn)證是采用信息反饋模式，將客戶終端、服務(wù)終端進(jìn)行對(duì)接，以防止第三者的窺探行為，進(jìn)而形成終端防護(hù)。此外，動(dòng)態(tài)驗(yàn)證具有離散性，每一次驗(yàn)證碼的生成方式都不相同，其數(shù)量、項(xiàng)目等都無任何規(guī)律所尋，進(jìn)而提升攻擊成本。

再次，動(dòng)態(tài)混合是將瀏覽器內(nèi)的敏感信息、代碼等進(jìn)行隨機(jī)混合，以此來增加網(wǎng)絡(luò)的自檢防護(hù)能力，其混合目標(biāo)一般為URL、data、cookie等，進(jìn)而令代碼侵入、地址偽造、信息篡改等行為無法進(jìn)行正確操作。

最后，動(dòng)態(tài)令牌是系統(tǒng)發(fā)出的一種定向數(shù)據(jù)，一般服務(wù)對(duì)象為瀏覽器內(nèi)的合法用戶，以此來保證各項(xiàng)業(yè)務(wù)可進(jìn)行邏輯操作，此外，動(dòng)態(tài)令牌可對(duì)系統(tǒng)內(nèi)的自動(dòng)化攻擊行為進(jìn)行阻擋，以此來凈化網(wǎng)絡(luò)系統(tǒng)。

與傳統(tǒng)防護(hù)系統(tǒng)相比，動(dòng)態(tài)防護(hù)技術(shù)是以數(shù)據(jù)信息的不可預(yù)見性轉(zhuǎn)變方式為主。通過動(dòng)態(tài)變換來增強(qiáng)網(wǎng)絡(luò)系統(tǒng)各項(xiàng)應(yīng)用的模擬性，以此來將系統(tǒng)安全漏洞進(jìn)行隱藏；通過動(dòng)態(tài)感知來對(duì)瀏覽器內(nèi)的運(yùn)行路徑進(jìn)行全過程監(jiān)督，并可實(shí)時(shí)感知到終端威脅型信息，以保證業(yè)務(wù)運(yùn)行的邏輯性；動(dòng)態(tài)智能則是按照網(wǎng)絡(luò)系統(tǒng)的運(yùn)行模式來進(jìn)行智能化轉(zhuǎn)變，并對(duì)侵入信息進(jìn)行主動(dòng)攻擊，以此來增加攻擊者侵入的難度；動(dòng)態(tài)響應(yīng)是對(duì)攻擊者的攻擊行為進(jìn)行及時(shí)響應(yīng)，并進(jìn)行動(dòng)態(tài)調(diào)整，以防御型手段來模擬攻擊行為。

動(dòng)態(tài)防護(hù)技術(shù)可對(duì)互聯(lián)網(wǎng)金融平臺(tái)進(jìn)行四重動(dòng)態(tài)防護(hù)，從賬戶安全、數(shù)據(jù)信息泄露以及業(yè)務(wù)欺詐行為等進(jìn)行全過程監(jiān)督。第一，在賬戶安全方面，可有效防止撞庫(kù)、虛假信息登錄、短信息轟炸、批量注冊(cè)等，進(jìn)而實(shí)現(xiàn)源頭性防護(hù)。第二，在數(shù)據(jù)泄露方面，對(duì)個(gè)人信息以及名下的理財(cái)產(chǎn)品、賬戶數(shù)據(jù)歷史、程序掃描等進(jìn)行防護(hù)，以此來為技術(shù)的全過程監(jiān)督行為提供基礎(chǔ)保障。第三，業(yè)務(wù)欺詐則是指惡意刷單、交易篡改、“薅羊毛”行為等進(jìn)行防護(hù)。

6 結(jié)語

綜上所述，文章對(duì)銀行機(jī)構(gòu)互聯(lián)網(wǎng)金融平臺(tái)面臨的風(fēng)險(xiǎn)進(jìn)行分析，指出傳統(tǒng)防護(hù)手段存在的弊端，并對(duì)新型防護(hù)技術(shù)進(jìn)行研究。通過偽裝技術(shù)、遠(yuǎn)程操控技術(shù)、動(dòng)態(tài)防護(hù)技術(shù)可為銀行機(jī)構(gòu)的互聯(lián)網(wǎng)交易模式建構(gòu)安全體系，進(jìn)而為用戶的財(cái)產(chǎn)安全以及銀行機(jī)構(gòu)提供安全保障。