文/刘桦洁,中国邮政储蓄银行濮阳市分行
互联网金融平台在运营过程中,是搭载互联网平台来实现运营的,但由于互联网属于开放式运营方式,其内部的系统缺陷将为网络黑客提供攻击平台,进而对网络终端用户的财产安造成威胁。“薅羊毛”行为与撞库攻击行为则是典型的网络攻击案例,攻击者通过网络系统漏洞来将用户信息进行盗取与篡改,进而使用户以及银行机构造成财产损失。传统的网络防护技术是针对威胁信息来进行被动式攻击,缺乏隐性病毒检测的能力,为此,应加强防护技术的研究,以此来净化网络环境,为用户的财产安全提供基础保障。
近年来,银行机构在互联网技术的应用下,实现远距离操控、虚拟链接等,提升银行的办事效率。同时,在互联网平台的建立下,也催生出多种业务模式是,包括移动金融、多平台支付、理财融资等,令银行服务链呈现出持续增加的趋势,进而提升银行管理系统的安全风险,使人民的财产安全受到威胁。对于银行互联网金融平台来讲,其主要风险漏洞一般以系统登录平台风险、验证平台风险、跨站脚本攻击、业务涉及风险、信息泄露风险等为主,将为银行带来较大的运行负担。
“薅羊毛”行为是指客户依据网络平台给予的优惠活动来开展一系列操作,一般是以个人或团体为主,利用智能化软件对参与银行活动的商家进行定向优惠活动索取,通过非正常手段来进行线上抢购。薅羊毛行为与违法行为的本质区别在于消费者信息的合理性,薅羊毛一般以真实的信息为主,通过各项活动的参与来完成目标需求,此类攻击行为一般利用软件来对电商APP、金融类APP等进行实时关注,当出现活动时,将自动进行参加,攻击者通过智能化软件进行不同平台的的登录,以此来获取利润。此种软件的使用将阻碍平台服务器的运行,使正常参与的用户无法在第一时间登录活动页面,导致活动产生利益落入少部分不法分子手中,而对于活动承办商来讲,推广效果也与预期不符,造成营销费用与经济收入不匹配。2018年某银行举办的信用卡活动,其刷卡金优惠力度开展以来,2月到8月薅羊毛行为产生的金额约为8亿元。不法分子发动此类网络攻击行为,则是依靠银行系统的漏洞,采用新型手法对银行机构的网络平台进行攻击,致使银行机构面临服务器崩溃、信息泄露等风险。
撞库攻击是指黑客将已经泄露的数据信息进行集成处理,在利用网络平台来进行批量登录,以此来获取更多的登录信息。现阶段,大部分网络用户一般在不同网络平台使用的是同一个账号、密码等,黑客则是利用一个平台的泄露信息在其它平台进行的登录,此种操作则为撞库攻击。对于互联网金融平台来讲,每天都将产生大量的数据信息,用户在进行网上登录时,大部分人过于依赖于网络平台的安全系统,将导致个人信息泄露,为网络黑客提供信息资源。例如,近年来较大的撞库案例则是某购物平台,其平台的数据库安全系数较高,不存在泄露风险,黑客则是通过撞库攻击来对平台用户的数据信息进行获取,以此来将数据信息同步应用到各大网站中,导致用户的财产安全受到威胁。
银行机构作为人民财产的存储中心,其在运营过程中将采用多种防护技术,来对居民的个人信息以及财产安全进行防护,大部分银行机构部署WAF、DDOS、IPS等防护系统,但此类防护系统一般是对已知的攻击行为进行分析,然后在对签名、规则等进行编写,以此来形成防护措施。但对于撞库攻击行为来讲,其是依靠数据信息的模拟来进行操作的,在银行的防护系统中默认为合法化操作,同时撞库攻击不属于主动攻击的范畴,其是将用户名与密码进行复制型登录,以此来对该用户在银行机构名下的数据信息进行窃取,进而侵入到银行机构的操作系统中。传统的网络银行机构系统如图一所示,在WAF防护层中,内部系统无法对合法化的登录协议进行检查,致使数据信息的真实性辨别存在缺陷;在DDOS防护层中,其在应用层中不具备防护能力;在IPS防护层中,不具备主动拦截的能力,造成系统防护存在漏洞。
图1 传统网络防护缺陷
伪装技术是利用网络模拟化手段,对网络平台、应用、数据终端等进行伪装,并依据攻击者的主要意图来调整,以此来令侵入软件的识别功能失效,进而对攻击者造成范围扰乱效果,以延长攻击时间,令内部网络安全防护系统可有更多的时间来运行防护程序,以此来加强系统的防护功能。
远程操控技术的主要防护平台是以浏览器为主。网络攻击者一般是通过浏览器来进行操作的,将浏览器作为切入点来盗取信息以及登录信息等,为此,远程操控技术则是建造一个平台型服务器,将浏览器系统集成到平台中,令用户通过此种隔离型平台来进行虚拟化操控,以确保服务器与终端系统的独立运行,达到最终防护效果。
动态防护技术则是将伪装技术、远程操控技术进行融合,将传统的被动防护模式转变为主动防护模式,进而减少防护系统运行的响应时间。动态防护技术主要是对银行机构的主服务器进行防护,以底层代码周期性动态转换来对隐蔽系统的缺陷,进而从源头上制止攻击行为,此类防护模式具备感知能力,可对终端操控系统进行深度辨别,防止攻击者利用模拟化登录来窃取数据信息。网络金融平台通过此种防护机制,可扰乱网络攻击者的计划,进而提升网络系统的安全性。动态防护技术以一般以动态封装、验证、混合、令牌等来完成防护工作。
首先,动态封装主要是对浏览器的服务代码进行更改与封装,将浏览器页面上的敏感信息进行主动获取,例如被攻击入口、表单等,通过服务代码的隐藏,使攻击者无法通过软件来对定性信息进行获取,并无法预料到服务器的运行路径。
其次,动态验证是采用信息反馈模式,将客户终端、服务终端进行对接,以防止第三者的窥探行为,进而形成终端防护。此外,动态验证具有离散性,每一次验证码的生成方式都不相同,其数量、项目等都无任何规律所寻,进而提升攻击成本。
再次,动态混合是将浏览器内的敏感信息、代码等进行随机混合,以此来增加网络的自检防护能力,其混合目标一般为URL、data、cookie等,进而令代码侵入、地址伪造、信息篡改等行为无法进行正确操作。
最后,动态令牌是系统发出的一种定向数据,一般服务对象为浏览器内的合法用户,以此来保证各项业务可进行逻辑操作,此外,动态令牌可对系统内的自动化攻击行为进行阻挡,以此来净化网络系统。
与传统防护系统相比,动态防护技术是以数据信息的不可预见性转变方式为主。通过动态变换来增强网络系统各项应用的模拟性,以此来将系统安全漏洞进行隐藏;通过动态感知来对浏览器内的运行路径进行全过程监督,并可实时感知到终端威胁型信息,以保证业务运行的逻辑性;动态智能则是按照网络系统的运行模式来进行智能化转变,并对侵入信息进行主动攻击,以此来增加攻击者侵入的难度;动态响应是对攻击者的攻击行为进行及时响应,并进行动态调整,以防御型手段来模拟攻击行为。
动态防护技术可对互联网金融平台进行四重动态防护,从账户安全、数据信息泄露以及业务欺诈行为等进行全过程监督。第一,在账户安全方面,可有效防止撞库、虚假信息登录、短信息轰炸、批量注册等,进而实现源头性防护。第二,在数据泄露方面,对个人信息以及名下的理财产品、账户数据历史、程序扫描等进行防护,以此来为技术的全过程监督行为提供基础保障。第三,业务欺诈则是指恶意刷单、交易篡改、“薅羊毛”行为等进行防护。
综上所述,文章对银行机构互联网金融平台面临的风险进行分析,指出传统防护手段存在的弊端,并对新型防护技术进行研究。通过伪装技术、远程操控技术、动态防护技术可为银行机构的互联网交易模式建构安全体系,进而为用户的财产安全以及银行机构提供安全保障。