關注金融，關注釣魚黑產

白帽匯 2016-10-11 09:58 搶發第一評

孩子剛剛入學，某訊通發來提示關注孩子在校表現，點開鏈接稍后銀行提示才知道原來中了木馬程序，已被盜刷消費。溫馨的周末，你正在和心愛的姑娘吃著晚餐，一個短信提示后不經意的操作讓銀行存款不翼而飛；海淘的正嗨，敲定下單，殊不知一開始已是一個錯誤，看似“正規”網站實際上是精心設計的詐騙陷阱。各種形式的金融黑產不勝枚舉。

金融，和我們的工作生活息息相關，近年來一起起觸目驚心的金融界信息安全事件，讓我們對它既愛又怕。偽基站釣魚是導致金融安全威脅與巨額損失的最主要因素，即使在法律和技術進行安全管控的情況下，由于成本低獲利大，形勢依然變的日益嚴峻。

作為中國反釣魚網站聯盟(APAC)成員、中國互聯網網絡安全威脅治理聯盟首批成員單位，白帽匯對偽基站釣魚黑色產業持續關注。針對金融領域，2016年已相繼發布了2期“偽基站釣魚黑產分析報告”。累計發現釣魚網站9000+個，帳戶信息1.5 萬個，受害用戶7萬＋名，金額超過7.5億人民幣。銀行是釣魚黑產的重災區，賬號覆蓋了國有銀行、地區城商行，無一幸免，工商銀行、建設銀行、農業銀行、郵政儲蓄銀行、中國銀行首當其沖。

根據相關監控數據顯示每天都有大量新增的釣魚網站上線，這些釣魚網站時效性短，部署搭建容易，成本低廉。保守估計，中國金融領域每年遭受偽基站釣魚攻擊導致的金額損失高達100億元，并呈現逐年上升的態勢。

白帽匯首席安全官鄧煥表示：“國內對各類混亂的支付渠道缺乏有效安全監督，竊取用戶姓名、證件號碼、銀行卡號、銀行密碼、手機密碼后，黑產團伙一般通過銀行、商戶、第三方支付等渠道將用戶卡中資金轉走。”變現方式也是花樣百出，一般開通快捷支付充值水電、話費、游戲幣或者利用其他存在第三方支付轉賬接口和銀行快捷支付漏洞等，將“四大件”變成現金后通過各種規避追查的手段與合伙人按比例分賬，日均可以賺取10萬元以上。

根據白帽匯第二季度《針對金融領域為基準釣魚黑產分析報告》顯示：釣魚網站、帳戶信息、受害用戶及受害金額高幅度增加，保護個人信息安全是釣魚黑產反制的重要一環。9月初國務院常務會通過《無線電管理條例》修訂案，加大了對非法使用無線電設備等行為的監管和處罰力度。對利用“偽基站”進行電信詐騙等違反條例的行為，罰款上限由此前的5000元，最高擬提高至50萬元，提高至100倍。

相關部門在健全法律的同時，還應注重提高公民的個人信息保護意識，加大信息安全知識宣傳和普及教育。妥善管理好個人信息，比如保管好身份證、銀行卡等個人信息載體，網銀、網購的支付密碼設置應盡量復雜，并且定期更換。在上網注冊、登記填表時謹慎填寫個人信息，網上購物、聊天時不要隨意泄露、填寫密碼。當個人信息遭遇侵害時，應及時報警。

同時，保險、銀行、融資等金融單位應制定嚴格的客戶信息保密制度，加強對客戶個人信息的保護力度。